Copyright © 2013 BSI. All rights reserved.Copyright © 2012 BSI. All rights reserved.
1
¿Qué puedes esperar de la nueva ISO...
Copyright © 2013 BSI. All rights reserved.
2
Agenda
• ¿Qué es BSI?
• La evolución de ISO/IEC 27001 y 27002
• Estatus
• Cre...
Copyright © 2013 BSI. All rights reserved.
3
¿Qué es BSI?
Fundada en
1901
Organismo
Nacional de
estándares en
Reino Unido
...
Copyright © 2013 BSI. All rights reserved.
4
La evolución de ISO/IEC 27001 y 27002
BS 7799:1995
BS 7799-1:1999
BS ISO/IEC
...
Copyright © 2013 BSI. All rights reserved.
5
Estatus
• ISO 27001:2005 ha estado bajo revisión.
• El Proyecto de Norma Inte...
Copyright © 2013 BSI. All rights reserved.
6
Crecimiento global en certificaciones
21%
40%
12%
NúmerodeCertificados
Copyright © 2013 BSI. All rights reserved.
7
Nueva estructura de alto nivel
• ISO 27001 se ha desarrollado utilizando el A...
Copyright © 2013 BSI. All rights reserved.
8
PAS 99:2012
Copyright © 2013 BSI. All rights reserved.
9
Nueva estructura de alto nivel
Copyright © 2013 BSI. All rights reserved.
10
La estructura de ISO/IEC 27001
4 Contexto de la
organización
Entendimiento d...
Copyright © 2013 BSI. All rights reserved.
11
Structure of ISO/IEC 27001
Clausula Descripción
4.0 Es un componente de Plan...
Copyright © 2013 BSI. All rights reserved.
12
Structure of ISO/IEC 27001
Clausula Descripción
7.0 Es un componente de Plan...
Copyright © 2013 BSI. All rights reserved.
13
Cambios clave
•La norma ha sido escrita de acuerdo al anexo SL
•ISO 27002 ya...
Copyright © 2013 BSI. All rights reserved.
14
Términos y definiciones
• Todas las definiciones que estaban en la versión 2...
Copyright © 2013 BSI. All rights reserved.
15
Contexto de la organización
• La clausula 4 está relacionada con el contexto...
Copyright © 2013 BSI. All rights reserved.
16
Liderazgo
• La clausula 5 del estándar resume los requerimientos específicos...
Copyright © 2013 BSI. All rights reserved.
17
Planeación
• Es una nueva sección relacionada con el establecimiento, como u...
Copyright © 2013 BSI. All rights reserved.
18
Soporte
• La clausula 7 detalla el soporte requerido para establecer, implem...
Copyright © 2013 BSI. All rights reserved.
19
Operación
• ISO 27001 requiere que la organización planee y controle la oper...
Copyright © 2013 BSI. All rights reserved.
20
Evaluación del desempeño
• Las auditorías internas y revisión de la administ...
Copyright © 2013 BSI. All rights reserved.
21
Mejora
• Las no-conformidades del ISMS tienen que ser conmesuradas con las a...
Copyright © 2013 BSI. All rights reserved.
22
Controles
Copyright © 2013 BSI. All rights reserved.
23
Controles en el DIS
• El número de controles ha sido disminuido de 133 a 113...
Copyright © 2013 BSI. All rights reserved.
24
Controles que han sido eliminados en el DIS
• A.6.1.1 Comité de gestión para...
Copyright © 2013 BSI. All rights reserved.
25
Controles que han sido eliminados en el DIS
• A11.4.4 Diagnóstico remoto y c...
Copyright © 2013 BSI. All rights reserved.
26
Nuevos controles propuestos en la DIS
• A.6.1.4 Seguridad de la información ...
Copyright © 2013 BSI. All rights reserved.
27
Línea de tiempo probable para la revisión
Escenario Ene. Feb. Mar. Abr. May....
Copyright © 2013 BSI. All rights reserved.
28
Disposiciones de la transición
• Las organizaciones que están certificadas c...
Copyright © 2013 BSI. All rights reserved.
29
Contáctanos
BSI Group México
www.bsigroup.com.mx
informacion.msmexico@bsigro...
Copyright © 2013 BSI. All rights reserved.
30
Próxima SlideShare
Cargando en…5
×

Webinar que puedes esperar de la nueva ISO 27001:2013

485 visualizaciones

Publicado el

Publicado en: Liderazgo y gestión
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
485
En SlideShare
0
De insertados
0
Número de insertados
10
Acciones
Compartido
0
Descargas
17
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Webinar que puedes esperar de la nueva ISO 27001:2013

  1. 1. Copyright © 2013 BSI. All rights reserved.Copyright © 2012 BSI. All rights reserved. 1 ¿Qué puedes esperar de la nueva ISO 27001? Basado en el Proyecto de Norma Internacional (DIS) Presentado por: Maricarmen García de Ureña LA ISO27001, LA 22301, CBCP México, D.F. a 26 de abril de 2013.
  2. 2. Copyright © 2013 BSI. All rights reserved. 2 Agenda • ¿Qué es BSI? • La evolución de ISO/IEC 27001 y 27002 • Estatus • Crecimiento global en certificaciones • La serie ISO/IEC 27000 • La estructura de ISO/IEC 27001 (DIS) • Cambios clave • Comparación entre ISO 27001:2005 y ISO 27001 (DIS) • Disposiciones de la transición
  3. 3. Copyright © 2013 BSI. All rights reserved. 3 ¿Qué es BSI? Fundada en 1901 Organismo Nacional de estándares en Reino Unido Organismo de certificación # 1 en Estados Unidos y Reino Unido +2500 personas + del 50% fuera de Reino Unido Ingresos por 244.9m de libras al 2011 70,000 clientes en 150 países 53 oficinas alrededor del mundo No accionistas/ Propietarios, todas las utilidades son reinvertidas en el negocio Organización independiente, a nivel global, de servicios empresariales Normas y publicaciones, Capacitación, Certificación, Sistemas de gestión
  4. 4. Copyright © 2013 BSI. All rights reserved. 4 La evolución de ISO/IEC 27001 y 27002 BS 7799:1995 BS 7799-1:1999 BS ISO/IEC 17799:2000 El comité internacional decide cambiar de número 2004: El comité del Reino Unido decide presentar ISO Fast Track El comité de ISO decide cambiar de número Ciclo normal de revisión en ISO 1999: Comité de Reino Unido decide presentar ISO Fast Track Revisado en Reino Unido BS 7799-2 : 1999 Desarrollado para apoyar la certificación ISO/IEC 27001: 2005 BS 7799-2 - Certifficable BS 7799-1 – No certificable ISO/IEC 27002: 2007 ISO/IEC 17799:2005 1995 200720052000
  5. 5. Copyright © 2013 BSI. All rights reserved. 5 Estatus • ISO 27001:2005 ha estado bajo revisión. • El Proyecto de Norma Internacional (DIS) se dio a conocer a los Organismos Nacionales de Normalización el 16 de enero 2013. • La reunión del Comité ISO se encuentra en proceso considerada para el 22 al 30 de abril de 2013 después la cual serán emitidas las resoluciones. • El día de ayer 25 de abril se aprueba en reunión plenaria “JTC1/SC27”, los borradores del ISO/IEC 27001 y del ISO 2700 los cuales pasan del Proyecto de Norma Internacional (DIS) al Proyecto Final de Norma Internacional (FDIS). • La publicación está prevista para finales del 2013.
  6. 6. Copyright © 2013 BSI. All rights reserved. 6 Crecimiento global en certificaciones 21% 40% 12% NúmerodeCertificados
  7. 7. Copyright © 2013 BSI. All rights reserved. 7 Nueva estructura de alto nivel • ISO 27001 se ha desarrollado utilizando el Anexo SL • El Anexo SL es para los escritores de normas y proporciona una prueba estandarizada adecuada para todas las normas de los sistemas de gestión ISO • La nueva estructura de la norma será igual a la de todas las normas del sistema de gestión • La intensión es estandarizar la terminología y requerimientos fundamentales de un Sistema de Gestión
  8. 8. Copyright © 2013 BSI. All rights reserved. 8 PAS 99:2012
  9. 9. Copyright © 2013 BSI. All rights reserved. 9 Nueva estructura de alto nivel
  10. 10. Copyright © 2013 BSI. All rights reserved. 10 La estructura de ISO/IEC 27001 4 Contexto de la organización Entendimiento de la organización y su contexto Expectativas de las partes interesadas Alcance de ISMS ISMS 5 Liderazgo Liderazgo y compromiso Políticas Organización de roles, responsabilidade s y autoridades 6 Planeación 7 Soporte Recursos Competencias Conciencia Comunicación 8 Operación 9 Evaluación del desempeño Monitoreo, medición, análisis y evaluación Auditorías internas Revisión de la Alta Dirección 10 Mejora No- conformidades y acciones correctivas Mejora continua PLANEAR HACER VERIFICAR ACTUAR Información Documentada Las acciones para abordar los riesgos y oportunidades Objetivos y planes IS Planeación y control operacional Evaluación de riesgos de la seguridad de la información Manejo de reisgos de la seguridad de la información
  11. 11. Copyright © 2013 BSI. All rights reserved. 11 Structure of ISO/IEC 27001 Clausula Descripción 4.0 Es un componente de Planear. Introduce los requerimientos necesarios para establecer el contexto de ISMS sea cual sea el tipo de organización, necesidades o alcance. 5.0 Es un componente de Planear. Resume los requerimientos específicos del rol de la Alta Gerencia en el ISMS, y como su liderazgo puede articular las expectativas de la organización. 6.0 Es un componente de Planear. Describe los requerimientos relacionados con el establecimiento de objetivos y principios para el ISMS.
  12. 12. Copyright © 2013 BSI. All rights reserved. 12 Structure of ISO/IEC 27001 Clausula Descripción 7.0 Es un componente de Planear. Apoya las operaciones del ISMS que se relacionan con el establecimiento de la competencia y de la comunicación en forma recurrente /necesaria con las partes interesadas, a la vez que documenta, controla, mantiene y conserva la documentación. 8.0 Es un componente de Hacer. Define los requerimientos del ISMS y determina como alcanzarlos, así como la necesidad de realizar evaluaciones de riesgos de seguridad de información e implementar un plan de tratamiento de riesgos. 9.0 Es un componente de Revisar. Resume los requerimientos necesarios para medir el funcionamiento del ISMS, así como su cumplimiento con la norma internacional , además de las expectativas de la Alta Dirección y su retroalimentación sobre estas. 10.0 Es un componente de Actuar. Identifica y actua en las no- conformidades del ISMS a través de acciones correctivas.
  13. 13. Copyright © 2013 BSI. All rights reserved. 13 Cambios clave •La norma ha sido escrita de acuerdo al anexo SL •ISO 27002 ya no es una referencia normativa (nueva clausula 2) •Las definiciones de la versión 2005 han sido removidas y relocalizadas en ISO 27000 (nueva clausula 3) que es ahora una referencia normativa •Ha habido cambios en la terminología utilizada, por ejemplo: políticas de seguridad de la información se utiliza en lugar de políticas de ISMS •Los requisitos para los Compromisos de Gestión se han revisado y se presentan en la Cláusula de Liderazgo •La acción preventiva se ha sustituido por "acciones para hacer frente a riesgos y oportunidades" y se muestra al principio de la norma •Los requisitos de la evaluación de riesgo son más generales y reflejan un alineamiento de ISO 27001 con ISO 31000 •Los requerimientos de SoA son similares pero con mayor claridad en la determinación de los controles para el proceso de manejo de riesgos •La nueva norma pone un mayor énfasis en la definición de objetivos, monitoreo del desempeño y métricas
  14. 14. Copyright © 2013 BSI. All rights reserved. 14 Términos y definiciones • Todas las definiciones que estaban en la versión 2005 han sido removidas • Aquellas que son aún relevantes se han reubicado en ISO 27000 • La intención es promover la consistencia en los terminos y definiciones de todo el conjunto de normas ISO 27000
  15. 15. Copyright © 2013 BSI. All rights reserved. 15 Contexto de la organización • La clausula 4 está relacionada con el contexto de la organización y requiere que esta determine sus problemas externos e internos. • Existe una clara necesidad de considerar a las partes interesadas • Esto determinará las políticas de seguridad de la información y los objetivos y cómo se va a considerar el riesgo y el efecto del riesgo en el negocio • Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y las obligaciones contractuales
  16. 16. Copyright © 2013 BSI. All rights reserved. 16 Liderazgo • La clausula 5 del estándar resume los requerimientos específicos de la Alta Dirección en el ISMS • La ISO destaca las formas específicas en que la dirección debe demostrar su compromiso con el sistema. Los ejemplos incluyen: • asegurar que los recursos necesarios para el sistema de gestión de seguridad están disponibles • comunicar la importancia de que la gestión de seguridad de la información sea eficaz y se ajuste a los requisitos del SGSI. • Las políticas del ISMS ahora conocidas como políticas de seguridad de la información, siguen presentes • La clausla 5 contiene el requerimiento de que la Alta Dirección debe asegurarse de que las responsabilidades y roles relevantes de la seguridad de la información sean asignados y comunicados.
  17. 17. Copyright © 2013 BSI. All rights reserved. 17 Planeación • Es una nueva sección relacionada con el establecimiento, como un todo, de los objetivos de seguridad de la información y las guías de principios del ISMS • Cuando se planea el ISMS, el contexto de la organización debe tomarse en cuenta a través de la consideración de los riesgos y oportunidades • Los objetivos de seguridad de la información en las organizaciones deben estar claramente definidos y con planes para alcanzarlos • Los requisitos de evaluación de riesgos son más generales, reflejando un alineamiento de ISO 27001 con ISO 31000 • Los requerimientos de SOA, en gran medida, se encuentran sin cambios
  18. 18. Copyright © 2013 BSI. All rights reserved. 18 Soporte • La clausula 7 detalla el soporte requerido para establecer, implementar y mantener la mejora continua en un ISMS efectivo, incluyendo: • Recursos necesarios • Competencias del personal involucrado • Conciencia y comunicación de las partes interesadas • Requisitos para la gestión de documentos • La nueva norma se refiere a "información documentada" en lugar de "documentos y registros” • Ya no hay una lista de documentos o nombres en particular que se necesiten proporcionar • La nueva revisión hace énfasis más en el contenido que en el nombre
  19. 19. Copyright © 2013 BSI. All rights reserved. 19 Operación • ISO 27001 requiere que la organización planee y controle la operación de los requerimientos de la seguridad de la información • Y lo más importante, debe incluir: • La realización de evaluaciones de riesgos de seguridad de información a intervalos planificados • La puesta en práctica de un plan de manejo de riesgos de seguridad de información
  20. 20. Copyright © 2013 BSI. All rights reserved. 20 Evaluación del desempeño • Las auditorías internas y revisión de la administración continúan siendo métodos clave de revisión del desempeño del ISMS y herramientas para la mejora continua • Los nuevos requerimientos de medición de la efectividad son más específicos
  21. 21. Copyright © 2013 BSI. All rights reserved. 21 Mejora • Las no-conformidades del ISMS tienen que ser conmesuradas con las acciones correctivas para asegurar que no vuelvan a ocurrir • Al igual que con todas las normas de sistemas de gestión, la mejora continua es un requisito básico
  22. 22. Copyright © 2013 BSI. All rights reserved. 22 Controles
  23. 23. Copyright © 2013 BSI. All rights reserved. 23 Controles en el DIS • El número de controles ha sido disminuido de 133 a 113 • Los controles existentes han sido eliminados o fusionados, y se han agregado nuevos controles • Algunos de los controles conservados se han re-trabajado y necesitarán ser revisados con mayor detalle después de la publicación del FDIS
  24. 24. Copyright © 2013 BSI. All rights reserved. 24 Controles que han sido eliminados en el DIS • A.6.1.1 Comité de gestión para la seguridad de la información • A.6.1.2 Coordinación de seguridad de la información • A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información • A.6.2.1 Identificación de riesgos relacionados con los agentes externos • A.6.2.2 Direccionamiento de la seguridad al tratar con clientes • A.10.2.1 Entrega del servicio • A.10.7.4 Seguridad del sistema de documentos • A.10.10.2 Seguimiento al uso del sistema • A.10.10.5 Fallas en el registro • A.11.4.2 Autenticación de usuarios para conexiones externas • A.11.4.3 Identificación de equipos • A.11.4.4 Puerto remoto de diagnóstico y configuración de protección
  25. 25. Copyright © 2013 BSI. All rights reserved. 25 Controles que han sido eliminados en el DIS • A11.4.4 Diagnóstico remoto y configuración del puerto de protección • A.11.4.6 Control para la conexión de redes • A.11.4.7 Control para mapeo de redes • A.10.8.5 Sistemas de información de negocios • A.11.6.2 Aislamiento del sistema sensible • A.12.2.1 Validación de datos de entrada • A.12.2.2 Control de procesamiento interno • A.12.2.3 Integridad del mensaje • A.12.2.4 Validación de datos de salida • A.12.5.4 Filtración de la información • A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de información • A.15.3.2 Protección de las herramientas de auditoría de sistemas de información
  26. 26. Copyright © 2013 BSI. All rights reserved. 26 Nuevos controles propuestos en la DIS • A.6.1.4 Seguridad de la información en la gestión de proyectos • A.12.6.2 Restricciones en la instalación de software • A.14.2.1 Política de desarrollo de seguridad • A.14.2.5 Desarrollo de procedimientos para el sistema • A.14.2.6 Desarrollo de un entorno seguro • A.14.2.8 Sistema de pruebas de seguridad • A.15.1.1 Información de seguridad para las relaciones con proveedores • A.15.1.3 Cadena de suministro ICT • A.16.1.4 Evaluación y decisión de los eventos de seguridad de información • A.16.1.5 Respuesta a incidentes de seguridad de la información • A.17.1.2 Implementación de la continuidad de la seguridad de la información • A.17.2.1 Disponibilidad de instalaciones para procesamiento de información
  27. 27. Copyright © 2013 BSI. All rights reserved. 27 Línea de tiempo probable para la revisión Escenario Ene. Feb. Mar. Abr. May. – Jul. Ago. Sep. Oct. – Dic. Ene. – Mar. 1. DIS va a publicación 2.- DIS se va a FDIS 3.- DIS genera una segunda DIS Comentarios públicos Comentarios públicos Comentarios públicos Publicación probable Publicación probable Publicación probable Junta del comité ISO DIS- Proyecto de norma internacional FDIS- Proyecto final de norma internacional
  28. 28. Copyright © 2013 BSI. All rights reserved. 28 Disposiciones de la transición • Las organizaciones que están certificadas con BSI en ISO 27001:2005 recibirán: • Una guía de la transición • Una escala de tiempo de la transición • Se espera que las transiciones se lleven a cabo durante las visitas de seguimiento(CAV)
  29. 29. Copyright © 2013 BSI. All rights reserved. 29 Contáctanos BSI Group México www.bsigroup.com.mx informacion.msmexico@bsigroup.com 01 800 044 0274 +52 (55) 5241 1370
  30. 30. Copyright © 2013 BSI. All rights reserved. 30

×