SlideShare una empresa de Scribd logo

Iso 27001 actualización versión 2013

M
Maria Jose Buigues

Workshop sobre actualización de la versión 2013 de la norma respecto de la versión 2005. Cambios introducidos.

Empresariales
1 de 41
Descargar para leer sin conexión
Actualización de la versión 2013 de la norma ISO 27001 Sistemas de gestión de seguridad de la información María José Buigues Abril 2014 *
ISO 27001: 2013  Publicada el 25-09-2013  Reemplaza a ISO 27001: 2005  Cambia su estructura  Nuevos requisitos y requisitos eliminados  Nuevos controles y controles eliminados
Cambios en la estructura de la norma ISO27001
Por qué cambia la estructura? ISO trabaja en armonizar de las normas de sistemas de gestión. http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype Anexo SL ISO/IEC Directives, Part 1, Consolidated ISO Suplement Directives – Procedures specific to ISO Creación de estructura genérica para normas de sistemas de gestión • Publicado en 2012 • Reemplaza la Guía ISO 83 Para qué? • Estructura de alto nivel • Texto básico • Términos comunes • Definiciones básicas idénticos • Ayudar al proceso de creación de nuevas normas. • Facilitar la implementación múltiple de sistemas de gestión.
Resumen de cambios ISO 27001 versión 2005 ISO 27001 versión 2013 Estructura no alineada con otras normas Estructura alineada con Anexo SL 12 páginas (sistema de gestión) 9 páginas (sistema de gestión) Requerimientos: carácter más general (mayor libertad de interpretación) Anexo A: • 11 cláusulas • 133 controles Anexo A: • 14 cláusulas • 113 controles Anexo A referenciado en ISO 27002: 2013 Referencia directa a PDCA Sin referencia directa a PDCA, aunque mantiene su espíritu Referencia a principios OECD No hay referencia a principios OECD
Estructura alineada a Anexo SL Planificación Acciones para tratar riesgos y oportunidades Objetivos de SI y planes para alcanzarlos Mejora No conformidades y acciones correctivas Mejora continua Liderazgo Liderazgo y compromiso Política Funciones, responsabilidad es y autoridades Operación Planificación y control operativo Análisis de riesgos de seguridad de la información Tratamiento de riesgos de seguridad de la información Evaluación desempeño Seguimiento, medición, análisis y evaluación Auditoría interna Revisión por la Dirección Contexto organización Comprensión de la organización y el contexto Expectativas de las partes interesadas Alcance del sistema de gestión ISMS Respaldo Recursos Competencia Concientización Comunicación Información documentada 10 PLAN DO CHECK ACT 987654
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
Cuerpo de la norma Nuevos requisitos ISO27001
Nuevos requisitos | Punto 4 Nuevos requisitos incorporados en la versión 2013 4.2 Entender las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas relevantes para el SGSI; y 4.3 Determinar el alcance del SGSI c) las interfaces y dependencias entre las actividades realizadas por la organización, y aquellas realizadas por otras organizaciones.
Nuevos requisitos | Punto 5 Nuevos requisitos incorporados en la versión 2013 5.1 Liderazgo y compromiso b) asegurando la integración de los requisitos del SGSI en los procesos de la organización;
Nuevos requisitos | Punto 6 Nuevos requisitos incorporados en la versión 2013 6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s); b) prevenir, o reducir, efectos no deseados; y c) alcanzar la mejora continua. 6.1.2 Evaluación de riesgos de seguridad de la información a) establezca y mantenga un criterio de riesgo de seguridad de la información que incluya:
Nuevos requisitos | Punto 6 Nuevos requisitos incorporados en la versión 2013 6.2 Objetivos de seguridad de la información y planificación para su cumplimiento b) ser medibles (si es posible); c) tomar en cuenta los requisitos de seguridad de la información aplicables, y los resultados de la evaluación de riesgos y del tratamiento de riesgos; Al planificar cómo alcanzar estos objetivos de seguridad de la información, la organización debe determinar: f) qué se hará; g) qué recursos serán requeridos; h) quién será responsable; i) cuándo será completado; y j) cómo los resultados serán evaluados.
Nuevos requisitos | Punto 7 Nuevos requisitos incorporados en la versión 2013 7.3 Concientización Las personas trabajando bajo el control de la organización deben estar conscientes de: a) la política de seguridad de la información; 7.4 Comunicación a) qué comunicar; b) cuándo comunicarlo; c) a quién comunicarlo; d) quién lo comunicará; y e) los procesos por los cuales la comunicación será efectuada. 7.5.1 General b) la información documentada determinada por la organización como necesaria para la eficacia del SGSI. NOTA El alcance de la información documentada para un SGSI puede diferir de una organización a otra debido a: 1) el tamaño de la organización y su tipo de actividad, sus procesos, sus productos y servicios; 2) la complejidad de los procesos y sus interacciones; y 3) la competencia de las personas.
Nuevos requisitos | Punto 8 Nuevos requisitos incorporados en la versión 2013 8.1 Planificación operacional y control La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información, e implementar las acciones determinadas en 6.1.
Nuevos requisitos | Punto 9 Nuevos requisitos incorporados en la versión 2013 9.1 Monitoreo, medición, análisis y evaluación c) cuándo se realizarán el monitoreo y la medición; d) quién monitoreará y medirá; f) quién analizará y evaluará estos resultados. 9.3 Revisión por la dirección 4) el cumplimiento de los objetivos de seguridad de la información;
Nuevos requisitos | Punto 10 Nuevos requisitos incorporados en la versión 2013 10.1 No conformidad y acción correctiva Cuando ocurre una no conformidad, la organización debe: a) reaccionar a la no conformidad, y según sea aplicable: 1) tomar acción para controlarla y corregirla; y 2) hacer frente a las consecuencias; e) hacer cambios al SGSI, si es necesario. La organización debe retener información documentada como evidencia de: f) la naturaleza de las no conformidades y cualquier acción subsecuente tomada, y
Cuerpo de la norma Requisitos eliminados ISO27001
Requisitos eliminados Requisitos de ISO 27001: 2005 eliminados en la versión 2013 4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso conforme sea apropiado para cubrir estos requerimientos. 4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI. 4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento; 4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos; 4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de indicadores; y 4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad. 4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI. 4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles. Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y objetivos del SGSI. 4.3.1.c) Procedimientos y controles de soporte del SGSI;
Requisitos eliminados Requisitos de ISO 27001: 2005 eliminados en la versión 2013 4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias … 4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje, protección, recuperación, tiempo de retención y disposición de los registros. 4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI. 5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales; 5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; 6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado. 8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para… 8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para… 8.3.d) registrar los resultados de la acción tomada; 8.3.e) revisar la acción preventiva tomada. 8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo.
Anexo A Nuevos controles ISO27001
Nuevos controles | A.6 Nuevos requisitos incorporados en la versión 2013 A.6.1.5 Seguridad de la información en gestión de proyectos Se abordará la seguridad de la información en la gestión de proyectos, independientemente del tipo de proyecto.
Nuevos controles | A.12 Nuevos requisitos incorporados en la versión 2013 A.12.6.2 Restricciones a la instalación de software Deben establecerse e implementarse reglas para gobernar la instalación de software por parte de los usuarios.
Nuevos controles | A.14 Nuevos requisitos incorporados en la versión 2013 A.14.2.1 Política de desarrollo seguro Deben establecerse y aplicase reglas para el desarrollo de software y sistemas a los desarrollos en la organización. A.14.2.5 Principios de ingeniería segura de sistemas Deben establecerse, documentarse, mantenerse y aplicarse principios de ingeniería segura de sistemas a cualquier esfuerzo de implementación de sistemas de información. A.14.2.6 Entorno de desarrollo seguro Las organizaciones deben establecer y proteger apropiadamente los entornos seguros de desarrollo para el desarrollo de sistemas y los esfuerzos de integración que cubran todo el ciclo completo de desarrollo. A.14.2.8 Pruebas de seguridad del sistema Debe llevarse a cabo pruebas de la funcionalidad de seguridad durante el desarrollo.
Nuevos controles | A.15 Nuevos requisitos incorporados en la versión 2013 A.15.1.1 Política de seguridad de la información para relaciones con proveedores Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso de los proveedores a los activos de la organización deben ser acordados con el proveedor y documentados. A.15.1.3 Cadena de suministro de tecnología de la información y comunicación Los acuerdos con proveedores deben incluir los requisitos para hacer frente a los riesgos de seguridad de la información asociados con los servicios de tecnología de la información y las comunicaciones y la cadena de suministro del producto.
Nuevos controles | A.16 Nuevos requisitos incorporados en la versión 2013 A.16.1.4 Evaluación de y decisión sobre eventos de seguridad de la información Los eventos de seguridad de la información deben ser evaluados y debe decidirse si deben ser clasificados como incidentes de seguridad de la información. A.16.1.5 Respuesta a los incidentes de seguridad de la información Los incidentes de seguridad de la información deben ser respondidos de acuerdo con los procedimientos documentados.
Nuevos controles | A.17 Nuevos requisitos incorporados en la versión 2013 A.17.2.1 Disponibilidad de las instalaciones de procesamiento de la información Las instalaciones de procesamiento de la información deben ser implementadas con suficiente redundancia para cumplir los requisitos de disponibilidad.
Anexo A Controles eliminados ISO27001
Controles eliminados Controles ISO 27001: 2005 eliminados en la versión 2013 A.6.1.1 Compromiso de la dirección con la seguridad de la información A.6.1.2 Coordinación de la seguridad de la información A.6.1.4 Proceso de autorización para instalaciones de procesamiento de la información A.6.2.1 Identificación de riesgos relacionados con partes externas A.6.2.2 Abordaje de la seguridad en la gestión con clientes A.10.7.4 Seguridad del sistema documental A.10.8.5 Sistemas de información del negocio A.11.4.2 Autenticación de usuarios para conexiones externas A.11.4.3 Identificación del equipamiento en redes A.11.4.4 Protección de diagnóstico remoto y configuración de puertos
Controles eliminados Controles ISO 27001: 2005 eliminados en la versión 2013 A.11.4.6 Control de conexión de red A.11.4.7 Control de ruteo de red A.11.6.2 Aislamiento de sistemas sensibles A.12.2.1 Validación de data de insumo A.12.2.2 Control de procesamiento interno A.12.2.3 Integridad del mensaje A.12.2.4 Validación de data de output A.12.5.4 Filtración de información A.15.1.5 Prevención de mal uso de medios de procesamiento de información A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
Consultora de Procesos y Comunicaciones María José Buigues* https://ar.linkedin.com/in/majobuigues majobuigues@gmail.com justmajo

Recomendados

Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 45001
Iso 45001Iso 45001
Iso 45001Alexandra Urrego Morales
 
Estrategias para abordar el cumplimiento de los requisitos de la documentació...
Estrategias para abordar el cumplimiento de los requisitos de la documentació...Estrategias para abordar el cumplimiento de los requisitos de la documentació...
Estrategias para abordar el cumplimiento de los requisitos de la documentació...FESABID
 
¿Usted conoce la norma ISO 45001?
¿Usted conoce la norma ISO 45001?¿Usted conoce la norma ISO 45001?
¿Usted conoce la norma ISO 45001?Sistemas Integrados de Gestión
 
Norma iso 30301 sg documentos
Norma iso 30301 sg documentosNorma iso 30301 sg documentos
Norma iso 30301 sg documentosPrimala Sistema de Gestion
 
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...FESABID
 

Recomendados

Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 45001
Iso 45001Iso 45001
Iso 45001Alexandra Urrego Morales
 
Estrategias para abordar el cumplimiento de los requisitos de la documentació...
Estrategias para abordar el cumplimiento de los requisitos de la documentació...Estrategias para abordar el cumplimiento de los requisitos de la documentació...
Estrategias para abordar el cumplimiento de los requisitos de la documentació...FESABID
 
¿Usted conoce la norma ISO 45001?
¿Usted conoce la norma ISO 45001?¿Usted conoce la norma ISO 45001?
¿Usted conoce la norma ISO 45001?Sistemas Integrados de Gestión
 
Norma iso 30301 sg documentos
Norma iso 30301 sg documentosNorma iso 30301 sg documentos
Norma iso 30301 sg documentosPrimala Sistema de Gestion
 
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...
La nuevas normas de sistemas de gestión y los cambios en los requisitos de la...FESABID
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
Charla iso 45001
Charla iso 45001Charla iso 45001
Charla iso 45001Prevencionar
 
00 iso aplicado 6 contexto organización
00 iso aplicado 6 contexto organización00 iso aplicado 6 contexto organización
00 iso aplicado 6 contexto organizaciónLuis Manuel González Nieto
 
Iso 11 norma iso 14001 analisis
Iso 11 norma iso 14001 analisisIso 11 norma iso 14001 analisis
Iso 11 norma iso 14001 analisisPrimala Sistema de Gestion
 
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2TaniaTixe2
 
Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...FESABID
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolUva Vargas
 
OHSAS 18001 2007
OHSAS 18001 2007OHSAS 18001 2007
OHSAS 18001 2007yolimayra
 
Futuro norma iso 9001 2015
Futuro norma iso 9001 2015Futuro norma iso 9001 2015
Futuro norma iso 9001 2015Andrés Torres
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacionPrimala Sistema de Gestion
 
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015ISOTools Colombia
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoDiego Cueva Córdova
 
Iso norma iso 19011 v 2020
Iso norma iso 19011 v 2020Iso norma iso 19011 v 2020
Iso norma iso 19011 v 2020Primala Sistema de Gestion
 
Actualizacion iso 9001 2015
Actualizacion iso 9001 2015Actualizacion iso 9001 2015
Actualizacion iso 9001 2015marcosesl
 
Actualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestiónActualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestiónAnonimo
 
Ohsas 18000 introduccion
Ohsas 18000 introduccionOhsas 18000 introduccion
Ohsas 18000 introduccionFedericoGarciaOtero
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidadOmar Hernandez
 
Iso 45001 vidaurito
Iso 45001 vidauritoIso 45001 vidaurito
Iso 45001 vidauritovidauro carpio incio
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 

Más contenido relacionado

La actualidad más candente

ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2TaniaTixe2
 
Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...FESABID
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolUva Vargas
 
OHSAS 18001 2007
OHSAS 18001 2007OHSAS 18001 2007
OHSAS 18001 2007yolimayra
 
Futuro norma iso 9001 2015
Futuro norma iso 9001 2015Futuro norma iso 9001 2015
Futuro norma iso 9001 2015Andrés Torres
 
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015ISOTools Colombia
 
Actualizacion iso 9001 2015
Actualizacion iso 9001 2015Actualizacion iso 9001 2015
Actualizacion iso 9001 2015marcosesl
 
Actualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestiónActualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestiónAnonimo
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidadOmar Hernandez
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 

La actualidad más candente (20)

ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
 
Charla iso 45001
Charla iso 45001Charla iso 45001
Charla iso 45001
 
00 iso aplicado 6 contexto organización
00 iso aplicado 6 contexto organización00 iso aplicado 6 contexto organización
00 iso aplicado 6 contexto organización
 
Iso 11 norma iso 14001 analisis
Iso 11 norma iso 14001 analisisIso 11 norma iso 14001 analisis
Iso 11 norma iso 14001 analisis
 
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
Análisis de las normas iso 9001 2015 ntc 14001 2015 iso 45001-2
 
Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...Oportunidades para el desarrollo profesional de los especialistas de gestión ...
Oportunidades para el desarrollo profesional de los especialistas de gestión ...
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
OHSAS 18001 2007
OHSAS 18001 2007OHSAS 18001 2007
OHSAS 18001 2007
 
Futuro norma iso 9001 2015
Futuro norma iso 9001 2015Futuro norma iso 9001 2015
Futuro norma iso 9001 2015
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
 
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
Plataforma Tecnológica para la Gestión de la Nueva ISO 9001:2015
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso norma iso 19011 v 2020
Iso norma iso 19011 v 2020Iso norma iso 19011 v 2020
Iso norma iso 19011 v 2020
 
Actualizacion iso 9001 2015
Actualizacion iso 9001 2015Actualizacion iso 9001 2015
Actualizacion iso 9001 2015
 
Actualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestiónActualización de las normas de sistemas de gestión
Actualización de las normas de sistemas de gestión
 
Ohsas 18000 introduccion
Ohsas 18000 introduccionOhsas 18000 introduccion
Ohsas 18000 introduccion
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Iso 45001 vidaurito
Iso 45001 vidauritoIso 45001 vidaurito
Iso 45001 vidaurito
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
 

Destacado

Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...Carlos A. Horna Vallejos
 
ISO IEC 27001 2013
ISO IEC 27001 2013ISO IEC 27001 2013
ISO IEC 27001 2013Ana Castillo
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoriakinny32
 
ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16David Guerrero
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v finalxavazquez
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopdSetival SCV
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 

Destacado (20)

NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
 
ISO IEC 27001 2013
ISO IEC 27001 2013ISO IEC 27001 2013
ISO IEC 27001 2013
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoria
 
ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16ISO 31000 - 2011/02/16
ISO 31000 - 2011/02/16
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final
 
Norma técnica ntc iso-iec
Norma técnica ntc iso-iecNorma técnica ntc iso-iec
Norma técnica ntc iso-iec
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopd
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301
 

Similar a Iso 27001 actualización versión 2013

ISO_Teoria_2de4.ppt
ISO_Teoria_2de4.pptISO_Teoria_2de4.ppt
ISO_Teoria_2de4.ppttefy49
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
INTRODUCCIÓN ISO 9001_2015.pdf
INTRODUCCIÓN ISO 9001_2015.pdfINTRODUCCIÓN ISO 9001_2015.pdf
INTRODUCCIÓN ISO 9001_2015.pdfGrisselQuisbert
 
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Victor Hugo Jaramillo Salazar
 
Estandares de Ciberseguridad.pdf
Estandares de Ciberseguridad.pdf Estandares de Ciberseguridad.pdf
Estandares de Ciberseguridad.pdfssuser44ff1b
 
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADIMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADAJYSCORP
 
La norma iso 9000 2008
La norma iso 9000 2008La norma iso 9000 2008
La norma iso 9000 2008Francisco
 
La norma iso 9000 2008
La norma iso 9000 2008La norma iso 9000 2008
La norma iso 9000 2008Francisco
 
Interpretacion de la Norma ISO 9001:2008 - parte3
Interpretacion de la Norma ISO 9001:2008 - parte3Interpretacion de la Norma ISO 9001:2008 - parte3
Interpretacion de la Norma ISO 9001:2008 - parte3donnyacostab
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Victor Hugo Jaramillo Salazar
 
Matriz ISO 9000:2015 Vs ISO 9000:2008
Matriz ISO 9000:2015 Vs ISO 9000:2008Matriz ISO 9000:2015 Vs ISO 9000:2008
Matriz ISO 9000:2015 Vs ISO 9000:2008Gestión de Calidad
 
Requisitos de iso 9001
Requisitos de iso 9001Requisitos de iso 9001
Requisitos de iso 9001oscarreyesnova
 
Requisitos de iso 9001
Requisitos de iso 9001Requisitos de iso 9001
Requisitos de iso 9001oscarreyesnova
 

Similar a Iso 27001 actualización versión 2013 (20)

ISO_Teoria_2de4.ppt
ISO_Teoria_2de4.pptISO_Teoria_2de4.ppt
ISO_Teoria_2de4.ppt
 
ISO_Teoria_2de4.ppt
ISO_Teoria_2de4.pptISO_Teoria_2de4.ppt
ISO_Teoria_2de4.ppt
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Correspondencia entre normas
Correspondencia entre normasCorrespondencia entre normas
Correspondencia entre normas
 
Gestion de Calidad 2013 3-1 normas iso9001
Gestion de Calidad 2013 3-1 normas iso9001Gestion de Calidad 2013 3-1 normas iso9001
Gestion de Calidad 2013 3-1 normas iso9001
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
 
INTRODUCCIÓN ISO 9001_2015.pdf
INTRODUCCIÓN ISO 9001_2015.pdfINTRODUCCIÓN ISO 9001_2015.pdf
INTRODUCCIÓN ISO 9001_2015.pdf
 
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
 
Estandares de Ciberseguridad.pdf
Estandares de Ciberseguridad.pdf Estandares de Ciberseguridad.pdf
Estandares de Ciberseguridad.pdf
 
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADIMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
 
La norma iso 9000 2008
La norma iso 9000 2008La norma iso 9000 2008
La norma iso 9000 2008
 
La norma iso 9000 2008
La norma iso 9000 2008La norma iso 9000 2008
La norma iso 9000 2008
 
Manual iso 45001
Manual iso 45001Manual iso 45001
Manual iso 45001
 
Interpretacion de la Norma ISO 9001:2008 - parte3
Interpretacion de la Norma ISO 9001:2008 - parte3Interpretacion de la Norma ISO 9001:2008 - parte3
Interpretacion de la Norma ISO 9001:2008 - parte3
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 2001 2015
Iso 2001 2015Iso 2001 2015
Iso 2001 2015
 
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
Apuntes de clases anexo sl (iso 9001-2015 iso 14001-2015- iso 45001-2018_ ...
 
Matriz ISO 9000:2015 Vs ISO 9000:2008
Matriz ISO 9000:2015 Vs ISO 9000:2008Matriz ISO 9000:2015 Vs ISO 9000:2008
Matriz ISO 9000:2015 Vs ISO 9000:2008
 
Requisitos de iso 9001
Requisitos de iso 9001Requisitos de iso 9001
Requisitos de iso 9001
 
Requisitos de iso 9001
Requisitos de iso 9001Requisitos de iso 9001
Requisitos de iso 9001
 

Último

DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfJaquelinRamos6
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxignaciomiguel162
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónBahamondesOscar
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónlicmarinaglez
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasoscarhernandez98241
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVTeresa Rc
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESMarielaAldanaMoscoso
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantessuperamigo2014
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfConstructiva
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzassuperamigo2014
 
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdf
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdfNota de clase 72 aspectos sobre salario, nomina y parafiscales.pdf
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdfJUANMANUELLOPEZPEREZ
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESADanielAndresBrand
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfguillencuevaadrianal
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxDr. Edwin Hernandez
 

Último (20)

DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptx
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de Gestión
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociación
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicas
 
Tarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.pptTarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.ppt
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantes
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzas
 
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdf
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdfNota de clase 72 aspectos sobre salario, nomina y parafiscales.pdf
Nota de clase 72 aspectos sobre salario, nomina y parafiscales.pdf
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptx
 

Iso 27001 actualización versión 2013

  • 1. Actualización de la versión 2013 de la norma ISO 27001 Sistemas de gestión de seguridad de la información María José Buigues Abril 2014 *
  • 2. ISO 27001: 2013  Publicada el 25-09-2013  Reemplaza a ISO 27001: 2005  Cambia su estructura  Nuevos requisitos y requisitos eliminados  Nuevos controles y controles eliminados
  • 3. Cambios en la estructura de la norma ISO27001
  • 4. Por qué cambia la estructura? ISO trabaja en armonizar de las normas de sistemas de gestión. http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype Anexo SL ISO/IEC Directives, Part 1, Consolidated ISO Suplement Directives – Procedures specific to ISO Creación de estructura genérica para normas de sistemas de gestión • Publicado en 2012 • Reemplaza la Guía ISO 83 Para qué? • Estructura de alto nivel • Texto básico • Términos comunes • Definiciones básicas idénticos • Ayudar al proceso de creación de nuevas normas. • Facilitar la implementación múltiple de sistemas de gestión.
  • 5. Resumen de cambios ISO 27001 versión 2005 ISO 27001 versión 2013 Estructura no alineada con otras normas Estructura alineada con Anexo SL 12 páginas (sistema de gestión) 9 páginas (sistema de gestión) Requerimientos: carácter más general (mayor libertad de interpretación) Anexo A: • 11 cláusulas • 133 controles Anexo A: • 14 cláusulas • 113 controles Anexo A referenciado en ISO 27002: 2013 Referencia directa a PDCA Sin referencia directa a PDCA, aunque mantiene su espíritu Referencia a principios OECD No hay referencia a principios OECD
  • 6. Estructura alineada a Anexo SL Planificación Acciones para tratar riesgos y oportunidades Objetivos de SI y planes para alcanzarlos Mejora No conformidades y acciones correctivas Mejora continua Liderazgo Liderazgo y compromiso Política Funciones, responsabilidad es y autoridades Operación Planificación y control operativo Análisis de riesgos de seguridad de la información Tratamiento de riesgos de seguridad de la información Evaluación desempeño Seguimiento, medición, análisis y evaluación Auditoría interna Revisión por la Dirección Contexto organización Comprensión de la organización y el contexto Expectativas de las partes interesadas Alcance del sistema de gestión ISMS Respaldo Recursos Competencia Concientización Comunicación Información documentada 10 PLAN DO CHECK ACT 987654
  • 7. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 8. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 9. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 10. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 11. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 12. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 13. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 14. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 15. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 16. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 17. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 18. Comparación entre estructuras 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Sistema de gestión de seguridad de la información 5. Responsabilidad de la dirección 6. Auditoría interna del SGSI 7. Revisión por la Dirección 8. Mejora del SGSI 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 8. Operación 9. Evaluación de desempeño 5. Liderazgo 6. Planificación 4. Contexto de la organización 7. Apoyo 10. Mejora 4.1 General 4.3 Requisitos de documentación 4.2 Establecimiento del SGSI ISO27001:2005 ISO27001:2013
  • 19. Cuerpo de la norma Nuevos requisitos ISO27001
  • 20. Nuevos requisitos | Punto 4 Nuevos requisitos incorporados en la versión 2013 4.2 Entender las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas relevantes para el SGSI; y 4.3 Determinar el alcance del SGSI c) las interfaces y dependencias entre las actividades realizadas por la organización, y aquellas realizadas por otras organizaciones.
  • 21. Nuevos requisitos | Punto 5 Nuevos requisitos incorporados en la versión 2013 5.1 Liderazgo y compromiso b) asegurando la integración de los requisitos del SGSI en los procesos de la organización;
  • 22. Nuevos requisitos | Punto 6 Nuevos requisitos incorporados en la versión 2013 6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s); b) prevenir, o reducir, efectos no deseados; y c) alcanzar la mejora continua. 6.1.2 Evaluación de riesgos de seguridad de la información a) establezca y mantenga un criterio de riesgo de seguridad de la información que incluya:
  • 23. Nuevos requisitos | Punto 6 Nuevos requisitos incorporados en la versión 2013 6.2 Objetivos de seguridad de la información y planificación para su cumplimiento b) ser medibles (si es posible); c) tomar en cuenta los requisitos de seguridad de la información aplicables, y los resultados de la evaluación de riesgos y del tratamiento de riesgos; Al planificar cómo alcanzar estos objetivos de seguridad de la información, la organización debe determinar: f) qué se hará; g) qué recursos serán requeridos; h) quién será responsable; i) cuándo será completado; y j) cómo los resultados serán evaluados.
  • 24. Nuevos requisitos | Punto 7 Nuevos requisitos incorporados en la versión 2013 7.3 Concientización Las personas trabajando bajo el control de la organización deben estar conscientes de: a) la política de seguridad de la información; 7.4 Comunicación a) qué comunicar; b) cuándo comunicarlo; c) a quién comunicarlo; d) quién lo comunicará; y e) los procesos por los cuales la comunicación será efectuada. 7.5.1 General b) la información documentada determinada por la organización como necesaria para la eficacia del SGSI. NOTA El alcance de la información documentada para un SGSI puede diferir de una organización a otra debido a: 1) el tamaño de la organización y su tipo de actividad, sus procesos, sus productos y servicios; 2) la complejidad de los procesos y sus interacciones; y 3) la competencia de las personas.
  • 25. Nuevos requisitos | Punto 8 Nuevos requisitos incorporados en la versión 2013 8.1 Planificación operacional y control La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información, e implementar las acciones determinadas en 6.1.
  • 26. Nuevos requisitos | Punto 9 Nuevos requisitos incorporados en la versión 2013 9.1 Monitoreo, medición, análisis y evaluación c) cuándo se realizarán el monitoreo y la medición; d) quién monitoreará y medirá; f) quién analizará y evaluará estos resultados. 9.3 Revisión por la dirección 4) el cumplimiento de los objetivos de seguridad de la información;
  • 27. Nuevos requisitos | Punto 10 Nuevos requisitos incorporados en la versión 2013 10.1 No conformidad y acción correctiva Cuando ocurre una no conformidad, la organización debe: a) reaccionar a la no conformidad, y según sea aplicable: 1) tomar acción para controlarla y corregirla; y 2) hacer frente a las consecuencias; e) hacer cambios al SGSI, si es necesario. La organización debe retener información documentada como evidencia de: f) la naturaleza de las no conformidades y cualquier acción subsecuente tomada, y
  • 28. Cuerpo de la norma Requisitos eliminados ISO27001
  • 29. Requisitos eliminados Requisitos de ISO 27001: 2005 eliminados en la versión 2013 4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso conforme sea apropiado para cubrir estos requerimientos. 4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI. 4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento; 4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos; 4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de indicadores; y 4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad. 4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI. 4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles. Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y objetivos del SGSI. 4.3.1.c) Procedimientos y controles de soporte del SGSI;
  • 30. Requisitos eliminados Requisitos de ISO 27001: 2005 eliminados en la versión 2013 4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias … 4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje, protección, recuperación, tiempo de retención y disposición de los registros. 4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI. 5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales; 5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; 6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado. 8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para… 8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para… 8.3.d) registrar los resultados de la acción tomada; 8.3.e) revisar la acción preventiva tomada. 8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo.
  • 32. Nuevos controles | A.6 Nuevos requisitos incorporados en la versión 2013 A.6.1.5 Seguridad de la información en gestión de proyectos Se abordará la seguridad de la información en la gestión de proyectos, independientemente del tipo de proyecto.
  • 33. Nuevos controles | A.12 Nuevos requisitos incorporados en la versión 2013 A.12.6.2 Restricciones a la instalación de software Deben establecerse e implementarse reglas para gobernar la instalación de software por parte de los usuarios.
  • 34. Nuevos controles | A.14 Nuevos requisitos incorporados en la versión 2013 A.14.2.1 Política de desarrollo seguro Deben establecerse y aplicase reglas para el desarrollo de software y sistemas a los desarrollos en la organización. A.14.2.5 Principios de ingeniería segura de sistemas Deben establecerse, documentarse, mantenerse y aplicarse principios de ingeniería segura de sistemas a cualquier esfuerzo de implementación de sistemas de información. A.14.2.6 Entorno de desarrollo seguro Las organizaciones deben establecer y proteger apropiadamente los entornos seguros de desarrollo para el desarrollo de sistemas y los esfuerzos de integración que cubran todo el ciclo completo de desarrollo. A.14.2.8 Pruebas de seguridad del sistema Debe llevarse a cabo pruebas de la funcionalidad de seguridad durante el desarrollo.
  • 35. Nuevos controles | A.15 Nuevos requisitos incorporados en la versión 2013 A.15.1.1 Política de seguridad de la información para relaciones con proveedores Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso de los proveedores a los activos de la organización deben ser acordados con el proveedor y documentados. A.15.1.3 Cadena de suministro de tecnología de la información y comunicación Los acuerdos con proveedores deben incluir los requisitos para hacer frente a los riesgos de seguridad de la información asociados con los servicios de tecnología de la información y las comunicaciones y la cadena de suministro del producto.
  • 36. Nuevos controles | A.16 Nuevos requisitos incorporados en la versión 2013 A.16.1.4 Evaluación de y decisión sobre eventos de seguridad de la información Los eventos de seguridad de la información deben ser evaluados y debe decidirse si deben ser clasificados como incidentes de seguridad de la información. A.16.1.5 Respuesta a los incidentes de seguridad de la información Los incidentes de seguridad de la información deben ser respondidos de acuerdo con los procedimientos documentados.
  • 37. Nuevos controles | A.17 Nuevos requisitos incorporados en la versión 2013 A.17.2.1 Disponibilidad de las instalaciones de procesamiento de la información Las instalaciones de procesamiento de la información deben ser implementadas con suficiente redundancia para cumplir los requisitos de disponibilidad.
  • 39. Controles eliminados Controles ISO 27001: 2005 eliminados en la versión 2013 A.6.1.1 Compromiso de la dirección con la seguridad de la información A.6.1.2 Coordinación de la seguridad de la información A.6.1.4 Proceso de autorización para instalaciones de procesamiento de la información A.6.2.1 Identificación de riesgos relacionados con partes externas A.6.2.2 Abordaje de la seguridad en la gestión con clientes A.10.7.4 Seguridad del sistema documental A.10.8.5 Sistemas de información del negocio A.11.4.2 Autenticación de usuarios para conexiones externas A.11.4.3 Identificación del equipamiento en redes A.11.4.4 Protección de diagnóstico remoto y configuración de puertos
  • 40. Controles eliminados Controles ISO 27001: 2005 eliminados en la versión 2013 A.11.4.6 Control de conexión de red A.11.4.7 Control de ruteo de red A.11.6.2 Aislamiento de sistemas sensibles A.12.2.1 Validación de data de insumo A.12.2.2 Control de procesamiento interno A.12.2.3 Integridad del mensaje A.12.2.4 Validación de data de output A.12.5.4 Filtración de información A.15.1.5 Prevención de mal uso de medios de procesamiento de información A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
  • 41. Consultora de Procesos y Comunicaciones María José Buigues* https://ar.linkedin.com/in/majobuigues majobuigues@gmail.com justmajo