1. •Asignatura: Administracion publica y
Politica Informatica
•Tema: La Norma UNE-ISO/IEC 27001.
•Catedratico: Ing. Guillermo Brand.
•Alumno: Milton Robles.
12-Jun-17
•Asignatura: Administracion publica y
Politica Informatica
•Tema: La Norma UNE-ISO/IEC 27001.
•Catedratico: Ing. Guillermo Brand.
•Alumno: Milton Robles.
12-Jun-17
2. • Es una parte del sistema de gestión
general, basada en un enfoque de
riesgo empresarial, que se establece
para crear, implementar, operar,
supervisar, revisar, mantener y mejorar
la seguridad de la información.
Fuente:Norma UNE-ISO/IEC 27001
• Es una parte del sistema de gestión
general, basada en un enfoque de
riesgo empresarial, que se establece
para crear, implementar, operar,
supervisar, revisar, mantener y mejorar
la seguridad de la información.
Fuente:Norma UNE-ISO/IEC 27001
3. • Incluye las políticas, la
planificación, las responsabilidades,
las prácticas, los procedimientos,
los procesos y los recursos. Es
decir, tanto la documentación de
soporte como las tareas que se
realizan.
• Incluye las políticas, la
planificación, las responsabilidades,
las prácticas, los procedimientos,
los procesos y los recursos. Es
decir, tanto la documentación de
soporte como las tareas que se
realizan.
4.
5.
6. • Procesos por los cuales se
va a actuar y evaluar los
recursos que se pueden
dedicar al proyecto y la
dimensión correcta del
proyecto para alcanzar el
éxito.
• Procesos por los cuales se
va a actuar y evaluar los
recursos que se pueden
dedicar al proyecto y la
dimensión correcta del
proyecto para alcanzar el
éxito.
7. • Contendrá las directrices
generales, la estrategia a
seguir a la de establecer
objetivos y líneas de
actuación.
• Contendrá las directrices
generales, la estrategia a
seguir a la de establecer
objetivos y líneas de
actuación.
8. • Detallara los activos
dentro del alcance del
SGSI, así como los
propietarios y la
valoración.
• Detallara los activos
dentro del alcance del
SGSI, así como los
propietarios y la
valoración.
9. • Se basan en la política de
la organización sobre
seguridad de la
información y el grado de
seguridad requerido.
• Se basan en la política de
la organización sobre
seguridad de la
información y el grado de
seguridad requerido.
• respecto a los riesgos
identificados, así como la
de los riesgos residuales..
• respecto a los riesgos
identificados, así como la
de los riesgos residuales..
10. • Con la relación de los controles que
son aplicables para conseguir el
nivel de riesgo residual aprobado por
la dirección
• Con la relación de los controles que
son aplicables para conseguir el
nivel de riesgo residual aprobado por
la dirección
• Los resultados deben ser
comparables y repetibles
adaptándose a los modos de trabajo
de la organización.
• Los resultados deben ser
comparables y repetibles
adaptándose a los modos de trabajo
de la organización.
• Se deben mitigar (disminución) los
riesgos mediante la implementación
de controles hasta un nivel
aceptable
• Se deben mitigar (disminución) los
riesgos mediante la implementación
de controles hasta un nivel
aceptable
11. • Especifica que los controles deben
ser seleccionados de entre los
listados de la propia norma UNE-
ISO/IEC 27002.
• Especifica que los controles deben
ser seleccionados de entre los
listados de la propia norma UNE-
ISO/IEC 27002.
• Una vez seleccionados los controles
que repetirá el análisis de riesgos,
teniendo en cuenta ya todas las
medidas de seguridad
implementadas
• Una vez seleccionados los controles
que repetirá el análisis de riesgos,
teniendo en cuenta ya todas las
medidas de seguridad
implementadas
• Debe incluir los objetivos de control
y los controles seleccionados con las
razones de esta selección.
• Debe incluir los objetivos de control
y los controles seleccionados con las
razones de esta selección.
12. • La dirección tiene que aprobar la
documentación desarrollada en las
actividades detalladas y proveer los
recursos necesarios para ejecutar
las actividades.
• La dirección tiene que aprobar la
documentación desarrollada en las
actividades detalladas y proveer los
recursos necesarios para ejecutar
las actividades.
• Controlar y revisar el SGSI de
manera periódica para garantizar la
conveniencia, adecuación y eficacia
continuas del sistema.
• Controlar y revisar el SGSI de
manera periódica para garantizar la
conveniencia, adecuación y eficacia
continuas del sistema.
• Los cambios en la organización
impactaran en los niveles de riesgos y a
la inversa, y tiene que haber
mecanismos que acomoden estos
cambios y mantengan el nivel de
seguridad en un nivel aceptable.
• Los cambios en la organización
impactaran en los niveles de riesgos y a
la inversa, y tiene que haber
mecanismos que acomoden estos
cambios y mantengan el nivel de
seguridad en un nivel aceptable.
13.
14. • La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología
de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de
apoyo al SGSI.
• El análisis del riesgo.
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología
de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de
apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios
para la implementación de los
controles y asegurarse de que se
cumplan los objetivos.
• Los registros requeridos por la
norma.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios
para la implementación de los
controles y asegurarse de que se
cumplan los objetivos.
• Los registros requeridos por la
norma.
15. • Los documentos requeridos por el SGSI deben
hallarse protegidos y controlados, por lo que se
precisan unos procedimientos de control de
documentación, de revisión y de registro (informes,
auditorías, cambios, autorizaciones de acceso,
permisos temporales, bajas, etc.).
• Los documentos requeridos por el SGSI deben
hallarse protegidos y controlados, por lo que se
precisan unos procedimientos de control de
documentación, de revisión y de registro (informes,
auditorías, cambios, autorizaciones de acceso,
permisos temporales, bajas, etc.).
• Son aquellos documentos que proporcionan
evidencia de la realización de actividades del
SGSI. Con ellos se puede verificar el
cumplimiento de los requisitos. Ejemplo de
Registros son el libro de visitas, los informes
de auditorías y los de los sistemas.
• Son aquellos documentos que proporcionan
evidencia de la realización de actividades del
SGSI. Con ellos se puede verificar el
cumplimiento de los requisitos. Ejemplo de
Registros son el libro de visitas, los informes
de auditorías y los de los sistemas.
• Establecer la política del SGSI y
asegurar que se establezcan los
objetivos y planes del SGSI. Así como
asignar los roles y las responsabilidades
para la seguridad de la información.
• Establecer la política del SGSI y
asegurar que se establezcan los
objetivos y planes del SGSI. Así como
asignar los roles y las responsabilidades
para la seguridad de la información.
16. • La dirección es la que gestiona los recursos,
provee recursos al desarrollo y mantenimiento
SGSI en función de lo que se estime necesario
para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar,
mantener y mejorar el SGSI.
• La dirección es la que gestiona los recursos,
provee recursos al desarrollo y mantenimiento
SGSI en función de lo que se estime necesario
para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar,
mantener y mejorar el SGSI.
• La norma exige que todos los trabajadores con
responsabilidades definidas en el SGSI sean
competentes para efectuar las actividades
necesarias. Esto significa que hay que definir las
competencias necesarias y, en función de tales
necesidades (por ejemplo, la contratación de
personal competente)
• La norma exige que todos los trabajadores con
responsabilidades definidas en el SGSI sean
competentes para efectuar las actividades
necesarias. Esto significa que hay que definir las
competencias necesarias y, en función de tales
necesidades (por ejemplo, la contratación de
personal competente)
• Una de las herramientas más interesantes para controlar
el funcionamiento del SGSI son las auditorías internas.
Estas auditorías deben programarse y prepararse
regularmente, normalmente una vez al año. Debe existir
un procedimiento documentado que defina las
responsabilidades y los requisitos para planificar y dirigir
las auditorias, para informar de los resultados y para
mantener los registros.
• Una de las herramientas más interesantes para controlar
el funcionamiento del SGSI son las auditorías internas.
Estas auditorías deben programarse y prepararse
regularmente, normalmente una vez al año. Debe existir
un procedimiento documentado que defina las
responsabilidades y los requisitos para planificar y dirigir
las auditorias, para informar de los resultados y para
mantener los registros.
17. • Se debe revisar el SGSI de manera periódica para
garantizar la adecuación y eficacia continuas del sistema.
Para realizar esta revisión hay que recopilar información
de los resultados de las distintas actividades del SGSI
para comprobar si se están alcanzando los objetivos, y si
no es así, averiguar las causas y decidir sobre las
posibles soluciones.
• Se debe revisar el SGSI de manera periódica para
garantizar la adecuación y eficacia continuas del sistema.
Para realizar esta revisión hay que recopilar información
de los resultados de las distintas actividades del SGSI
para comprobar si se están alcanzando los objetivos, y si
no es así, averiguar las causas y decidir sobre las
posibles soluciones.
• Los resultados de la revisión deben ser
documentados para proporcionar evidencia de su
realización, involucrar a la dirección en la gestión del
sistema y apoyar las acciones de mejora.
• Los resultados de la revisión deben ser
documentados para proporcionar evidencia de su
realización, involucrar a la dirección en la gestión del
sistema y apoyar las acciones de mejora.
• Aunque se centre en la detección y resolución de
problemas en la gestión y operativa del SGSI, debe
considerar también los puntos fuertes, es decir, qué se
está haciendo bien y la razón, sobre todo en
comparación con revisiones anteriores, de manera que
se ponga en evidencia la mejora del sistema.
• Aunque se centre en la detección y resolución de
problemas en la gestión y operativa del SGSI, debe
considerar también los puntos fuertes, es decir, qué se
está haciendo bien y la razón, sobre todo en
comparación con revisiones anteriores, de manera que
se ponga en evidencia la mejora del sistema.
18. • La mejora continua es una actividad
recurrente para incrementar la capacidad a la
hora de cumplir los requisitos. El proceso
mediante el cual se establecen objetivos y se
identifican oportunidades de mejora es
continuo.
• La mejora continua es una actividad
recurrente para incrementar la capacidad a la
hora de cumplir los requisitos. El proceso
mediante el cual se establecen objetivos y se
identifican oportunidades de mejora es
continuo.
• Se define como la tarea que se
emprende para corregir una no
conformidad significativa con cualquiera
de los requisitos del sistema de gestión
de seguridad de la información.
• Se define como la tarea que se
emprende para corregir una no
conformidad significativa con cualquiera
de los requisitos del sistema de gestión
de seguridad de la información.
• se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la
causa de una posible no conformidad. En una acción
preventiva se determina la posible fuente de problemas
con el objeto de eliminarla. Se pretende con ello evitar
tener que solucionar problemas, puesto que es más
eficaz y sencillo prevenirlos que solucionarlos.
• se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la
causa de una posible no conformidad. En una acción
preventiva se determina la posible fuente de problemas
con el objeto de eliminarla. Se pretende con ello evitar
tener que solucionar problemas, puesto que es más
eficaz y sencillo prevenirlos que solucionarlos.