Documente Academic
Documente Profesional
Documente Cultură
Agenda
Seccin
Introduccin a la norma
ISO/IEC 27001:2013.
ISO 27001:2013
ISO IEC 27001 2013 es un estndar de gestin
de seguridad de la informacin.
Se define un conjunto de requisitos de gestin
de seguridad de la informacin.
El nombre oficial completo de la norma ISO /
IEC 27001:2013 Tecnologa de la informacin Tcnicas de seguridad Sistema de gestin de
Seguridad de la informacin - Requisitos
4
Historia de la Norma
ISO 27001
Anexo SL
El Anexo SL sugiere una estructura nica para
todas las normas en Sistemas de Gestin,
consiguiendo con ello mayor coherencia,
efectividad y eficiencia en su implementacin,
integracin, mantenimiento y proceso de
auditora para la posterior certificacin.
Esta estructura, a la que se le ha dado el
nombre de estructura de Alto Nivel, consta de
10 apartados.
6
1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
10. Mejora
7
CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
Estructura de la ISO
27001:2013
1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
10. Mejora
Anexo A Lista de Controles
9
Seccin
Estructura de la
nueva norma
11
Qu es ISO?
Fuente: http://www.pmg-ssi.com/
12
Contexto de la organizacin
Se definen los requerimientos para definir el
contexto del SGSI sin importar el tipo de
organizacin y su alcance.
Nuevo concepto de la partes
interesadas como un elemento
primordial para el alcance del SGSI.
Se alienan las partes interesadas con relacin
a la seguridad de la informacin y sus
requisitos
13
Liderazgo
Los objetivos del SGSI y La poltica de
seguridad de la informacin deben estar
alineados con los objetivos del negocio.
Garantizar disponibilidad de los recursos
Garantizar que se asignen los roles y
responsabilidades
14
Planeacin
Se elimina el trmino Propietario del activo y se
adopta el trmino Propietario del riesgo.
La evaluacin de riesgos ya no est enfocado en los
activos, las vulnerabilidades y las amenazas.
El objetivo es identificar los riesgos asociados con la
prdida de la confidencialidad, integridad y
disponibilidad de la informacin.
El nivel de riesgo esta en base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas
(impacto), si el riesgo se materializa.
Los requerimientos del SOA no sufrieron
transformaciones significativas.
15
Soporte
La definicin informacin documentada sustituye a
los trminos documentos y registros
Se enfoca en el contenido de los documentos y no en
la existencia de un determinado conjunto de estos.
Requerimientos de soporte: Recursos, Personal
competente, y comunicacin de las partes
interesadas
16
Operacin
Los activos, vulnerabilidades y amenazas ya no
son la base de la evaluacin de riesgos.
Solo se requiere para identificar los riesgos
asociados con la confidencialidad, integridad y
disponibilidad.
Establece los requerimientos para medir el
funcionamiento del SGSI.
La organizacin debe planear y controlar las
operaciones y requerimientos de seguridad
17
18
Mejora
Las no-conformidades identificadas, tienen
que contabilizarse y compararse con las
acciones correctivas para asegurar que no se
repitan y sean efectivas.
Las medidas preventivas se fusionarn con la
evaluacin y tratamiento el riesgo.
19
Anexos
El Anexo A Referencia de objetivos y
controles contina formando parte de este
estndar.
Los anexos B y C se han eliminado.
El nmero de dominios del anexo A aumenta
de 11 a 14.
El numero de controles del anexo A paso de
133 a 114.
20
Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin
Clausula 5
Planificacin
Clausula 10
Mejora
Clausula 7
Soporte
Clausula 8
Funcionamiento
Clausula 9
Evaluacin del
desempeo
Clausula 5
Liderazgo
21
22
Seccin
Principales cambios
y mejoras.
23
ISO 27001
Especifica los requisitos de gestin
de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
24
ISO 27002
Gua para el cdigo de prcticas para los
controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles
25
Cambios
26
Cambios
27
Documentos
28
Documentos
29
Cambios
ISO 27001:2005
ISO 27001:2013
30
Seccin
Modelo de
transicin.
31
Transicin
32
Informacin documentada
La 'Informacin documentada' es el un
nuevo trmino que se aplica a lo que la
versin 2005 denominaba documentos
y Registros.
En la transicin a la norma ISO / IEC
27001: 2013, slo tiene que sustituir el
trminos documentos y registros con el
trmino documentos de informacin
Si desea realizar una distincin se
entiende que los documentos son
declaraciones de intenciones y los
registros son evidencias
33
Poltica
Poltica de Seguridad de la Informacin
en lugar de poltica del SGSI
Criterios para la realizacin de las
evaluaciones de riesgos de seguridad
de informacin (vase el numeral 6.1.2
a) 2))
La poltica de la organizacin hacia la
liberacin de su informacin, la poltica
de seguridad a las partes interesadas
(vase el numeral 5.2 g))
La poltica de la organizacin con
respecto a las comunicaciones externas
(ver Clusula 7.4).
34
Evaluacin de riesgos
En contraste con la norma ISO /
IEC 27001: 2005, ISO / IEC 27001:
2013 no exige explcitamente la
identificacin de activos,
amenazas y vulnerabilidades,
como requisito previo a la
identificacin de riesgos.
Utiliza el vocabulario de 31000
(Gestin de riesgos ISO
principios y directrices) y, por
tanto, la norma ISO / IEC 27001:
2013 se refiere a consecuencias
en lugar de impactos
35
Evaluacin de riesgos
La estructura general de los
requisitos (identificar los
riesgos, evaluar
consecuencias y
probabilidades) es el mismo
que ISO / IEC 27001: 2005.
Esto significa que poco o
ningn cambio se debe
realizar en la evaluacin del
riesgo / metodologa de
tratamiento riesgo o su
implementacin.
36
37
b)
c)
b)
c)
d)
e)
Responsabilidades
Se debe acomodar la
especificacin
responsabilidades dadas en
las Clusulas 5.3 a) y b).
40
41
Concientizacin
42
7.4. Comunicacin
La organizacin debe determinar la
necesidad de comunicaciones
internas y externas relevantes al
sistema de gestin de seguridad de la
informacin incluyendo:
a)
b)
c)
d)
e)
qu comunicar;
cundo comunicar;
a quin comunicar;
quin debe comunicar; y
Los procesos por los cuales la
comunicacin debe ser efectuada
43
Preguntas
44
Contacto
Soporte SGSI:
Correo Electrnico:
Telfonos:
45
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe