SlideShare una empresa de Scribd logo

SGSI según ISO 27001: ciclo PDCA y requisitos

Descargar como PPTX, PDF
A
Anders Castellanos

resumen del cap1

Tecnología
1 de 11
 Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.  La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.  La norma es compatible con el resto de las normas ISO para sistemas de gestión (UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los sistemas de gestión que existan en la empresa para no duplicar esfuerzos.
 Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por algunos de los más sobresalientes personajes del mundo de la calidad. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.  El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en inglés), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización.
Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y diseña el programa, sistematizando las políticas a aplicar en la organización, cuáles son los fines a alcanzar y en qué ayudarán a lograr los objetivos negocio, qué medios se utilizarán para ello, los procesos de negocio y los activos que los soportan, cómo se enfocará el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo con las políticas y objetivos de seguridad. Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos, procedimientos o ambas cosas a la se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones. Check. Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. Además, hay que verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran y, hasta donde sea posible, su origen, mediante revisiones y auditorías. Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SGSI, o cualquier otra información relevante para permitir la mejora permanente del SGSI.
 ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo.  En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unión de este comité técnico, son enviados a los organismos de las diferentes naciones para su votación. La publicación como norma internacional requiere la aprobación de, por lo menos, el 75% de los organismos nacionales que emiten su voto. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
 Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica.  Por ejemplo, uno de los principales requisitos es la realización de un análisis de riesgos con unas determinadas características de objetividad y precisión, pero no aporta indicaciones de cuál es la mejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramienta comercial, con una aplicación diseñada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro método que se estime oportuno. Todos estos recursos servirán para cumplir la norma, siempre y cuando se observen los requisitos de objetividad del método, los resultados sean repetibles y la metodología se documente.
 La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sido modificada en el marco de la creación de la familia de normas ISO 27000.  Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familia incluye normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones, así como una guía de implementación de los sistemas de gestión de la seguridad de la información. Dicha familia de normas tiene un esquema de numeración que utilizará los números de la serie 27000.
 La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.  Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanece sujeta a lo detectado en un análisis de riesgos previo, y el grado de implementación de cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.
 La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos está siendo el motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Pública, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más adecuados a la realidad social.  Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
 El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trá- mite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura.  Toda la Administración Pública española, Administración General del Estado, Administraciones de las Comunidades Autónomas, Administraciones Locales, así como las entidades de derecho público vinculadas o dependientes de las mismas, están sujetas al cumplimiento de los requisitos del ENS.  Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.

Recomendados

Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17MARIA DEL CARMEN MARADIAGA SUAZO
 
Introducción a los sistemas de gestión
Introducción a los sistemas de gestiónIntroducción a los sistemas de gestión
Introducción a los sistemas de gestióndavidrami2806
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSIJoel Sorto
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSIWiley Caceres
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixDanny Calix
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSIAngela Cruz
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Dilcia Mejia
 

Recomendados

Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17MARIA DEL CARMEN MARADIAGA SUAZO
 
Introducción a los sistemas de gestión
Introducción a los sistemas de gestiónIntroducción a los sistemas de gestión
Introducción a los sistemas de gestióndavidrami2806
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSIJoel Sorto
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSIWiley Caceres
 
Sistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixSistema de gestión de seguridad de la información Danny Calix
Sistema de gestión de seguridad de la información Danny CalixDanny Calix
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSIAngela Cruz
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Dilcia Mejia
 
William maldonado.
William maldonado.William maldonado.
William maldonado.William Maldonado
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Edras Izaguirre
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionJose Carlos Rojas
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Samir Villalta
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001Marvin Joel Diaz Navarro
 
Presentacion cap 1
Presentacion cap 1Presentacion cap 1
Presentacion cap 1ilicona83
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Sistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la InformacionSistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la InformacionCesar De Leon
 
Sgsi
SgsiSgsi
SgsiErmis Beatriz Hernandez Bonilla
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCRISTIAN FLORES
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCelia Rivera
 

Más contenido relacionado

La actualidad más candente

Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Edras Izaguirre
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionJose Carlos Rojas
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Samir Villalta
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
Presentacion cap 1
Presentacion cap 1Presentacion cap 1
Presentacion cap 1ilicona83
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 

La actualidad más candente (17)

William maldonado.
William maldonado.William maldonado.
William maldonado.
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacion
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Presentacion cap 1
Presentacion cap 1Presentacion cap 1
Presentacion cap 1
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 

Destacado

Sistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la InformacionSistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la InformacionCesar De Leon
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCRISTIAN FLORES
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCelia Rivera
 
Sistemas degestiondelaseguridaddelainformacion
Sistemas degestiondelaseguridaddelainformacionSistemas degestiondelaseguridaddelainformacion
Sistemas degestiondelaseguridaddelainformacionBrayan Fuentes
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadedwin damian pavon
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónPter Melgar
 
Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la InformaciónSistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la InformaciónSoffy Hernandez
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónBlanca Melida Oliva Amaya
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Kevin Rosales
 

Destacado (13)

Sistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la InformacionSistema de Gestion de Seguridad de la Informacion
Sistema de Gestion de Seguridad de la Informacion
 
Sgsi
SgsiSgsi
Sgsi
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Sistemas degestiondelaseguridaddelainformacion
Sistemas degestiondelaseguridaddelainformacionSistemas degestiondelaseguridaddelainformacion
Sistemas degestiondelaseguridaddelainformacion
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la InformaciónSistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
 
Politicas
PoliticasPoliticas
Politicas
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
 

Similar a SGSI según ISO 27001: ciclo PDCA y requisitos

Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcelamarzeth
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Estandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaEstandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaDiego
 
Estandares Iso 27001
Estandares Iso 27001Estandares Iso 27001
Estandares Iso 27001yalussa
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 

Similar a SGSI según ISO 27001: ciclo PDCA y requisitos (20)

Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
 
Estandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaEstandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco Rubina
 
Estandares Iso 27001
Estandares Iso 27001Estandares Iso 27001
Estandares Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (19)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

SGSI según ISO 27001: ciclo PDCA y requisitos

  • 1.
  • 2.  Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.  La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.  La norma es compatible con el resto de las normas ISO para sistemas de gestión (UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los sistemas de gestión que existan en la empresa para no duplicar esfuerzos.
  • 3.  Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por algunos de los más sobresalientes personajes del mundo de la calidad. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.  El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en inglés), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización.
  • 4. Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y diseña el programa, sistematizando las políticas a aplicar en la organización, cuáles son los fines a alcanzar y en qué ayudarán a lograr los objetivos negocio, qué medios se utilizarán para ello, los procesos de negocio y los activos que los soportan, cómo se enfocará el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo con las políticas y objetivos de seguridad. Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos, procedimientos o ambas cosas a la se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones. Check. Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. Además, hay que verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran y, hasta donde sea posible, su origen, mediante revisiones y auditorías. Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SGSI, o cualquier otra información relevante para permitir la mejora permanente del SGSI.
  • 5.
  • 6.  ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo.  En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unión de este comité técnico, son enviados a los organismos de las diferentes naciones para su votación. La publicación como norma internacional requiere la aprobación de, por lo menos, el 75% de los organismos nacionales que emiten su voto. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
  • 7.  Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica.  Por ejemplo, uno de los principales requisitos es la realización de un análisis de riesgos con unas determinadas características de objetividad y precisión, pero no aporta indicaciones de cuál es la mejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramienta comercial, con una aplicación diseñada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro método que se estime oportuno. Todos estos recursos servirán para cumplir la norma, siempre y cuando se observen los requisitos de objetividad del método, los resultados sean repetibles y la metodología se documente.
  • 8.  La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sido modificada en el marco de la creación de la familia de normas ISO 27000.  Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familia incluye normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones, así como una guía de implementación de los sistemas de gestión de la seguridad de la información. Dicha familia de normas tiene un esquema de numeración que utilizará los números de la serie 27000.
  • 9.  La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.  Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanece sujeta a lo detectado en un análisis de riesgos previo, y el grado de implementación de cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.
  • 10.  La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos está siendo el motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Pública, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más adecuados a la realidad social.  Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
  • 11.  El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trá- mite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura.  Toda la Administración Pública española, Administración General del Estado, Administraciones de las Comunidades Autónomas, Administraciones Locales, así como las entidades de derecho público vinculadas o dependientes de las mismas, están sujetas al cumplimiento de los requisitos del ENS.  Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.