Un SGSI es una parte del sistema de gestión general que establece procesos para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización basándose en un enfoque de riesgo y un ciclo de mejora continua. Los SGSI se documentan y siguen normas internacionales como ISO/IEC 27001 e ISO/IEC 27002 para formalizar las políticas y hacerlas más fáciles de comunicar.

1. Presentado por: David Ramírez

2. Qué es un SGSI
Es una parte del sistema de gestión general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la información.
Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos
hacer para que la situación mejore.
Los sistemas de gestión que definen las normas ISO siempre están
documentados, ya que, por un lado, es la mejor manera de formalizar normas e
instrucciones y, por otro, son más fáciles de transmitir y comunicar.

3. Plan
Do
Check
Act
EL CICLO DE MEJORA CONTINUA

4. Plan: Se planifica y diseña el
programa, sistematizando las políticas a aplicar en la organización
Do: se implementa y pone en funcionamiento el SGSI.
Check: es la de monitorización y revisión del SGSI. Hay que controlar
que los procesos se ejecutan como se ha establecido
Act: Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando
las acciones preventivas y correctivas necesarias

5. La Norma UNE-ISO/IEC 27001
Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 están en proceso de revisión
internacional, y se espera que se publiquen las nuevas versiones a lo largo del año 2013.
Como se ha comentado anteriormente, este estándar internacional adopta también el modelo Plan-
Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continua que consiste en planificar,
desarrollar, comprobar y actuar en consecuencia con lo que se haya detectado al efectuar las
comprobaciones.
De esta manera se conseguirá ir refinando la gestión, haciéndola más eficaz y efectiva.
CAMPO DE APLICACIÓN DE LA NORMA
Está pensada para que se emplee en todo tipo de organizaciones (empresas privadas y públicas,
entidades sin ánimo de lucro, etc.), sin importar el tamaño o la actividad.
Esta norma especifica los requisitos para la creación, implementación, funcionamiento,
supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los
riesgos empresariales
generales de la organización

6. La Norma UNE-ISO/IEC 27002
Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la
información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al
comité técnico con-junto ISO/IEC JTC 1/SC 27 Tecnología de la información.
Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas
de Gestión de la Seguridad de la Información (SGSI).
CAMPO DE APLICACIÓN DE LA NORMA
Establece las directrices y principios generales para el comienzo, la implementación, el
mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.
Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía
para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad.

7. El Esquema Nacional de Seguridad (ENS)
Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones
Públicas por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas
utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en
el ejercicio de sus competencias.
El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los requisitos técnicos y
organizativos que se deben cumplir para proteger la informa-ción dentro del ámbito de aplicación del
mismo.
El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de
manera que los ciudadanos puedan realizar cualquier trámite con la confianza de que va a tener validez
jurídica plena y que sus datos van a ser tratados de manera segura.
Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios
electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el
cumplimiento de deberes a través de medios electrónicos.
CAMPO DE APLICACIÓN DE LA NORMA