SlideShare una empresa de Scribd logo
Norma UNE-ISO/IEC 27001
En Sistemas de Seguridad de la Información
Ing. Guillermo Brand
Elaborado por: Mercedes Adalinda Turcios 20112006072
11/Junio/2017
Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001
es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial,
que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la
seguridad de la información.
La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la
organización como las políticas, la planificación, las responsabilidades, las prácticas,
los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte
como las tareas que se realizan.
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información
cuando lo requieran.
Admon publicaypolitcasinfo
Admon publicaypolitcasinfo
Requisitos generales del sistema de gestión
de la seguridad
Sistema de gestión de la seguridad de la información.
Responsabilidad de la dirección.
Auditorias internas del SGSI.
Revisión del SGSI por la dirección.
Mejora del SGSI.
El sistema constara de una documentación en varios niveles.
Políticas, que proporcionan las guías
generales de actuación en cada caso.
Registros, que son las evidencias de que se
han llevado a cabo las actuaciones
establecidas.
Procedimientos, que dan las instrucciones
para ejecutar cada una de las tareas
previstas.
Establecimiento y Gestión del SGSI
Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los
recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para
alcanzar el éxito.
Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la
de establecer objetivos y líneas de actuación.
Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los
propietarios y la valoración.
Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la
información y el grado de seguridad requerido.
Las decisiones de la dirección: respecto a los riesgos identificados, así como la
de los riesgos residuales.
Documento de aplicabilidad: con la relación de los controles que son aplicables para
conseguir el nivel de riesgo residual aprobado por la dirección.
Metodología del análisis de riesgos: Los resultados deben ser comparables y
repetibles adaptándose a los modos de trabajo de la organización.
Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la
implementación de controles hasta un nivel aceptable.
Selección de controles: Especifica que los controles deben ser seleccionados de entre
los listados de la propia norma UNE-ISO/IEC 27002.
Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de
riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas.
Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles
seleccionados con las razones de esta selección.
Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la
documentación desarrollada en las actividades detalladas y proveer los recursos
necesarios para ejecutar las actividades.
Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para
garantizar la conveniencia, adecuación y eficacia continuas del sistema.
Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los
niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos
cambios y mantengan el nivel de seguridad en un nivel aceptable.
Requisitos de documentación
El SGSI debe contar con la documentación necesaria que
justifique las decisiones de la dirección, las políticas y las
acciones tomadas.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios para la implementación de
los controles y
asegurarse de que se cumplan los objetivos.
• Los registros requeridos por la norma.
Control de documentos
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados,
por lo que se precisan unos procedimientos de control de documentación, de
revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso,
permisos temporales, bajas, etc.).
Control de registros
Los registros son aquellos documentos que proporcionan evidencia
de la realización de actividades del SGSI. Con ellos se puede verificar
el cumplimiento de los requisitos. Ejemplo de Registros son el libro de
visitas, los informes de auditorías y los de los sistemas.
Compromiso de la dirección
Establecer la política del SGSI y asegurar que se establezcan los objetivos y
planes del SGSI. Así como asignar los roles y las responsabilidades para la
seguridad de la información.
Gestión de los recursos
La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento
SGSI en función de lo que se estime necesario para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI.
Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias.
Esto significa que hay que definir las competencias necesarias y, en función
de tales necesidades (por ejemplo, la contratación de personal competente).
Auditorias Internas
Una de las herramientas más interesantes para controlar el funcionamiento del
SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse
regularmente, normalmente una vez al año. Debe existir un procedimiento
documentado que defina las responsabilidades y los requisitos para planificar
y dirigir las auditorias, para informar de los resultados y para mantener los registros.
Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la
adecuación y eficacia continuas del sistema.
Para realizar esta revisión hay que recopilar información de los resultados
de las distintas actividades del SGSI para comprobar si se están alcanzando
los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles
soluciones.
Entradas a la Revisión
Los resultados de la revisión deben ser documentados para proporcionar
evidencia de su realización, involucrar a la dirección en la gestión del
sistema y apoyar las acciones de mejora.
Salida de la Revisión
La revisión, aunque se centre en la detección y resolución de problemas en la
gestión y operativa del SGSI, debe considerar también los puntos fuertes, es
decir, qué se está haciendo bien y la razón, sobre todo en comparación con
revisiones anteriores, de manera que se ponga en evidencia la mejora
del sistema.
Mejora Continua
La mejora continua es una actividad recurrente para incrementar la
capacidad a la hora de cumplir los requisitos. El proceso mediante el cual
se establecen objetivos y se identifican oportunidades de mejora es continuo.
Acción Correctiva
La acción correctiva se define como la tarea que se emprende para corregir
una no conformidad significativa con cualquiera de los requisitos del sistema
de gestión de seguridad de la información.
Acción Preventiva
Las acciones preventivas se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la causa de una posible no
conformidad.
En una acción preventiva se determina la posible fuente de problemas
con el objeto de eliminarla. Se pretende con ello evitar tener que
solucionar problemas, puesto que es más eficaz y sencillo prevenirlos
que solucionarlos.
Pueden utilizarse como fuentes de información para el establecimiento
de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.

Más contenido relacionado

La actualidad más candente

Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
Control Interno
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
Virtualización Distancia Empresas
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
marco Eufragio
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
Anders Castellanos
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
Primala Sistema de Gestion
 
Presentación meci actualizada
Presentación meci actualizadaPresentación meci actualizada
Presentación meci actualizada
gonzalo2017
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17
MARIA DEL CARMEN MARADIAGA SUAZO
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
Mitcheel Matute
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
jAzMi_N
 

La actualidad más candente (19)

Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
 
Iso27001
Iso27001Iso27001
Iso27001
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Iso norma iso 55001 v 2020
Iso norma  iso 55001 v 2020 Iso norma  iso 55001 v 2020
Iso norma iso 55001 v 2020
 
Presentación meci actualizada
Presentación meci actualizadaPresentación meci actualizada
Presentación meci actualizada
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
 

Similar a Admon publicaypolitcasinfo

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
Gladisichau
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
ssuserd8dfec
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
As9100
As9100 As9100
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsasSistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Meinzul ND
 

Similar a Admon publicaypolitcasinfo (20)

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
As9100
As9100 As9100
As9100
 
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsasSistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
 

Último

BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
sunwndniel
 
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
sunwndniel
 
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docxSEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
Eddy Nathaly Jaimes Villamizar
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
estudios22
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
gregory760891
 
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
MenaOlortinYherlyEli
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
Katia Reyes
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
Henry W. Zavala
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
KEVINYOICIAQUINOSORI
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
cyberquiximies
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
correodetareas
 
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
241578066
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
GnesisOrtegaDeLen
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
JessAdrinGonzlezCade
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
walter729637
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
edgarcalle8
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
milagrosAlbanPacherr
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
bellomiguelangel68
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
PanchoChangue
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Rubén Cortes Zavala
 

Último (20)

BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
 
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
 
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docxSEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
SEGUNDA GENERACIÓN xxxxxxxxxxxxxxxx.docx
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
 
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
 
_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
 
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
"El uso de las TIC en la vida cotidiana". SantanaMartinez_Alejandra
 
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptxDiapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
Diapositiva sobre Tecnologia de la Información y Telecomunicaciones.pptx
 
bomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexionesbomba-koomey -Todo sobre sus istema y conexiones
bomba-koomey -Todo sobre sus istema y conexiones
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
 
Conceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagaciónConceptos y definiciones de Antenas y propagación
Conceptos y definiciones de Antenas y propagación
 
Transporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdfTransporte a través del tiempo en el perú.pdf
Transporte a través del tiempo en el perú.pdf
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
 
11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf11. Legislación Aplicada a la Informática.pdf
11. Legislación Aplicada a la Informática.pdf
 
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdfInforme_mc_bombas_Warman_001-WEIR vulco.pdf
Informe_mc_bombas_Warman_001-WEIR vulco.pdf
 

Admon publicaypolitcasinfo

  • 1. Norma UNE-ISO/IEC 27001 En Sistemas de Seguridad de la Información Ing. Guillermo Brand Elaborado por: Mercedes Adalinda Turcios 20112006072 11/Junio/2017
  • 2. Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001 es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
  • 5. Requisitos generales del sistema de gestión de la seguridad Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorias internas del SGSI. Revisión del SGSI por la dirección. Mejora del SGSI. El sistema constara de una documentación en varios niveles. Políticas, que proporcionan las guías generales de actuación en cada caso. Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
  • 6. Establecimiento y Gestión del SGSI Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la de establecer objetivos y líneas de actuación. Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración. Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. Las decisiones de la dirección: respecto a los riesgos identificados, así como la de los riesgos residuales. Documento de aplicabilidad: con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 7. Metodología del análisis de riesgos: Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable. Selección de controles: Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE-ISO/IEC 27002. Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas. Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades.
  • 8. Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
  • 9. Requisitos de documentación El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
  • 10. Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de Registros son el libro de visitas, los informes de auditorías y los de los sistemas. Compromiso de la dirección Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
  • 11. Gestión de los recursos La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente). Auditorias Internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
  • 12. Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. Entradas a la Revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora.
  • 13. Salida de la Revisión La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora del sistema. Mejora Continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Acción Correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información.
  • 14. Acción Preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. Pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.