Taller de transicin de la norma ISO/IEC

27001:2005 a la ISO/IEC 27001:2013

Ing. CIP Maurice Frayssinet Delgado
mfrayssinet@gmail.com
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrnico e Informtica

Agenda

Seccin 1. Introduccin a la norma ISO/IEC 27001:2013.

Seccin 2. Estructura de la nueva norma.
Seccin 3. Principales cambios y mejoras.
Seccin 4. Modelo de transicin.

Seccin

Introduccin a la norma
ISO/IEC 27001:2013.

ISO 27001:2013
ISO IEC 27001 2013 es un estndar de gestin
de seguridad de la informacin.
Se define un conjunto de requisitos de gestin
de seguridad de la informacin.
El nombre oficial completo de la norma ISO /
IEC 27001:2013 Tecnologa de la informacin Tcnicas de seguridad Sistema de gestin de
Seguridad de la informacin - Requisitos
4

Historia de la Norma
ISO 27001

Anexo SL
El Anexo SL sugiere una estructura nica para
todas las normas en Sistemas de Gestin,
consiguiendo con ello mayor coherencia,
efectividad y eficiencia en su implementacin,
integracin, mantenimiento y proceso de
auditora para la posterior certificacin.
Esta estructura, a la que se le ha dado el
nombre de estructura de Alto Nivel, consta de
10 apartados.
6

Anexo SL - Estructura comn

1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
10. Mejora
7

Los Sistemas de Gestin se Integran

CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001

SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001

SEGURIDAD DE
LA
INFORMACION
ISO 27001

Estructura de la ISO
27001:2013
1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
10. Mejora
Anexo A Lista de Controles
9

PNTP ISO/IEC 27001:2014

Para el Per ser la
futura norma NTP
ISO/IEC 27001:2014.
Actualmente ya se
culmino su traduccin
encontrndose en fase
de consulta y revisin
final del borrador
10

Seccin

Estructura de la
nueva norma

11

Qu es ISO?

Fuente: http://www.pmg-ssi.com/

12

Contexto de la organizacin
Se definen los requerimientos para definir el
contexto del SGSI sin importar el tipo de
organizacin y su alcance.
Nuevo concepto de la partes
interesadas como un elemento
primordial para el alcance del SGSI.
Se alienan las partes interesadas con relacin
a la seguridad de la informacin y sus
requisitos
13

Liderazgo
Los objetivos del SGSI y La poltica de
seguridad de la informacin deben estar
alineados con los objetivos del negocio.
Garantizar disponibilidad de los recursos
Garantizar que se asignen los roles y
responsabilidades

14

Planeacin
Se elimina el trmino Propietario del activo y se
adopta el trmino Propietario del riesgo.
La evaluacin de riesgos ya no est enfocado en los
activos, las vulnerabilidades y las amenazas.
El objetivo es identificar los riesgos asociados con la
prdida de la confidencialidad, integridad y
disponibilidad de la informacin.
El nivel de riesgo esta en base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas
(impacto), si el riesgo se materializa.
Los requerimientos del SOA no sufrieron
transformaciones significativas.
15

Soporte
La definicin informacin documentada sustituye a
los trminos documentos y registros
Se enfoca en el contenido de los documentos y no en
la existencia de un determinado conjunto de estos.
Requerimientos de soporte: Recursos, Personal
competente, y comunicacin de las partes
interesadas

16

Operacin
Los activos, vulnerabilidades y amenazas ya no
son la base de la evaluacin de riesgos.
Solo se requiere para identificar los riesgos
asociados con la confidencialidad, integridad y
disponibilidad.
Establece los requerimientos para medir el
funcionamiento del SGSI.
La organizacin debe planear y controlar las
operaciones y requerimientos de seguridad
17

Evaluacin del desempeo

Revisiones del estado de los planes de accin
para atender no conformidades.
Identificar, medir la efectividad y desempeo
del SGSI mediante auditoras internas y las
revisiones.

18

Mejora
Las no-conformidades identificadas, tienen
que contabilizarse y compararse con las
acciones correctivas para asegurar que no se
repitan y sean efectivas.
Las medidas preventivas se fusionarn con la
evaluacin y tratamiento el riesgo.

19

Anexos
El Anexo A Referencia de objetivos y
controles contina formando parte de este
estndar.
Los anexos B y C se han eliminado.
El nmero de dominios del anexo A aumenta
de 11 a 14.
El numero de controles del anexo A paso de
133 a 114.
20

Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin

Clausula 5
Planificacin

Clausula 10
Mejora

Clausula 7
Soporte

Clausula 8
Funcionamiento
Clausula 9
Evaluacin del
desempeo

Clausula 5
Liderazgo
21

Ciclo PDCA en ISO/IEC

27001:2013

22

Seccin

Principales cambios
y mejoras.
23

ISO 27001
Especifica los requisitos de gestin
de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
24

ISO 27002
Gua para el cdigo de prcticas para los
controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles

Una organizacin no puede ser certificada

en esta norma

25

Cambios

26

Cambios

27

Documentos

28

Documentos

29

Cambios
ISO 27001:2005

ISO 27001:2013

30

Seccin

Modelo de
transicin.
31

Transicin

Realizar un anlisis de brecha entre la norma

ISO/IEC 27001:2005 y la ISO/IEC 27001:2013

Se debe iniciar un Proyecto de Transicin

32

Informacin documentada
La 'Informacin documentada' es el un
nuevo trmino que se aplica a lo que la
versin 2005 denominaba documentos
y Registros.
En la transicin a la norma ISO / IEC
27001: 2013, slo tiene que sustituir el
trminos documentos y registros con el
trmino documentos de informacin
Si desea realizar una distincin se
entiende que los documentos son
declaraciones de intenciones y los
registros son evidencias

33

Poltica
Poltica de Seguridad de la Informacin
en lugar de poltica del SGSI
Criterios para la realizacin de las
evaluaciones de riesgos de seguridad
de informacin (vase el numeral 6.1.2
a) 2))
La poltica de la organizacin hacia la
liberacin de su informacin, la poltica
de seguridad a las partes interesadas
(vase el numeral 5.2 g))
La poltica de la organizacin con
respecto a las comunicaciones externas
(ver Clusula 7.4).

34

Evaluacin de riesgos
En contraste con la norma ISO /
IEC 27001: 2005, ISO / IEC 27001:
2013 no exige explcitamente la
identificacin de activos,
amenazas y vulnerabilidades,
como requisito previo a la
identificacin de riesgos.
Utiliza el vocabulario de 31000
(Gestin de riesgos ISO
principios y directrices) y, por
tanto, la norma ISO / IEC 27001:
2013 se refiere a consecuencias
en lugar de impactos

35

Evaluacin de riesgos
La estructura general de los
requisitos (identificar los
riesgos, evaluar
consecuencias y
probabilidades) es el mismo
que ISO / IEC 27001: 2005.
Esto significa que poco o
ningn cambio se debe
realizar en la evaluacin del
riesgo / metodologa de
tratamiento riesgo o su
implementacin.
36

Trminos de referencia para la

alta direccin
Un cambio debe ser necesario
para acomodar la especificacin
de responsabilidades dadas en
las Clusulas 5.1 a) a h).

37

5.1 Liderazgo y compromiso

a)

b)

c)

asegurando que la poltica de

seguridad de la informacin y
los objetivos de seguridad de la
informacin son establecidos y
compatibles con la direccin
estratgica de la organizacin;
asegurando la integracin de
los requisitos del sistema de
gestin de seguridad de la
informacin en los procesos de
la organizacin;
asegurando que los recursos
necesarios para el sistema de
gestin de seguridad de la
informacin estn disponibles;
38

5.1 Liderazgo y compromiso

a)

b)

c)

d)
e)

comunicando la importancia de una

efectiva gestin de seguridad de la
informacin y en conformidad con los
requisitos del sistema de gestin de
seguridad de la informacin;
asegurando que el sistema de gestin de
seguridad de la informacin logre su(s)
resultado(s) previsto(s);
dirigiendo y apoyando a las personas
para que contribuyan con la efectividad
del sistema de gestin de seguridad de la
informacin;
promoviendo la mejora continua; y
apoyando a otros roles relevantes de
gestin para demostrar su liderazgo tal
como se aplica a sus reas de
responsabilidad.
39

Responsabilidades

Se debe acomodar la
especificacin
responsabilidades dadas en
las Clusulas 5.3 a) y b).
40

5.3. Roles, autoridad y

responsabilidades organizacionales
a) asegurar que el sistema de
gestin de seguridad de la
informacin est conforme a
los requisitos de este Proyecto
de Norma Tcnica Peruana; y
a) reportar sobre el desempeo
del sistema de gestin de
seguridad de la informacin a
la alta direccin.

41

Concientizacin

Los requisitos de Clusula 7.4 como

el proceso de creacin de
conciencia puede considerarse
como una forma de comunicacin.

42

7.4. Comunicacin
La organizacin debe determinar la
necesidad de comunicaciones
internas y externas relevantes al
sistema de gestin de seguridad de la
informacin incluyendo:

a)
b)
c)
d)
e)

qu comunicar;
cundo comunicar;
a quin comunicar;
quin debe comunicar; y
Los procesos por los cuales la
comunicacin debe ser efectuada

43

Preguntas

44

Contacto
Soporte SGSI:
Correo Electrnico:
Telfonos:

Maurice Frayssinet Delgado

mfrayssinet@gmail.com
Rpm #963-985-125
6346000 anexo 118
2197000 anexo 5118

45

ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe