KC
Subido porkrn kdna cadena
ODP, PPTX2,323 vistas

Iso 27000

Este documento proporciona información sobre ISO 27000, la familia de normas internacionales para la gestión de la seguridad de la información. Explica que ISO 27000 define los términos y conceptos clave, ISO 27001 especifica los requisitos de un sistema de gestión de seguridad de la información certificable, y que otras normas como ISO 27002 y ISO 27005 proporcionan guías sobre buenas prácticas y gestión de riesgos respectivamente. También resume los beneficios de implementar un sistema de gestión de seguridad de la información cert

Incrustar presentación

Descargar como ODP, PPTX
UNIVERSIDAD VERACRUZANA Catedrático: M.C. e ING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
¿QUE ES ISO? ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
Introduccion. • Algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
Definición ● Es un conjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
Origen. ● Desde 1901, y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
Desarrollo. • A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
• Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
Beneficios. • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
● Confianza de clientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
Desventajas. • Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
• Las normas en español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
Planificación • Definir el alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
¿Como adaptarse?
Aspectos clave. ● Compromiso y apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
Fundamentos de Seguridad Informática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
La serie ISO 27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
Familia ISO 27000
Objetivo de la familia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
DEFINICION DE LA FAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
● ISO/IEC 27003: No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
CERTIFICACION DE ISO 27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
¿Quién certifica a mi empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
En México quien certifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
DGN en México ● El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
CERTIFICACION DE EMPRESAS MEXICANAS, (quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
Empresas certificadas en México
¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
¿Cómo es el proceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
6) Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
¿Qué es un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ● Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com

Más contenido relacionado

ODP
Iso 27000(2)
porBenet Oliver Noguera
 
PDF
ISO 27000
porLuis R Castellanos
 
PPTX
Norma iso 27001
porCecilia Hernandez
 
PPTX
Presentación iso 27001
porJohanna Pazmiño
 
PDF
Norma ISO 27000
porUPTAEB
 
PPTX
Iso 20000
porhperez-ti
 
PPT
Iso 14 sistema integrado de gestion
porPrimala Sistema de Gestion
 
PPTX
10. Sofware de auditoria de sistemas
porHector Chajón
 
Iso 27000(2)
porBenet Oliver Noguera
 
ISO 27000
porLuis R Castellanos
 
Norma iso 27001
porCecilia Hernandez
 
Presentación iso 27001
porJohanna Pazmiño
 
Norma ISO 27000
porUPTAEB
 
Iso 20000
porhperez-ti
 
Iso 14 sistema integrado de gestion
porPrimala Sistema de Gestion
 
10. Sofware de auditoria de sistemas
porHector Chajón
 

La actualidad más candente

PPTX
Iso 27000
porjulianabh
 
PPTX
ISO 27002(1).pptx
porcirodussan
 
PPTX
Norma iso 27000
porHaroll Suarez
 
PPTX
Iso 27001 iso 27002
porTensor
 
PDF
ISO 27001 cambios 2005 a 2013
porJaime Andrés Bello Vieda
 
PPT
Iso introduccion a la norma iso 9001 2015 v 2020
porPrimala Sistema de Gestion
 
PPT
Iso 20000 1 2018 SGS
porPrimala Sistema de Gestion
 
PPTX
Normas y estándares aplicables a la auditoria informática
porElvin Hernandez
 
PPTX
Estándares de Auditoria en sistemas
porNanet Martinez
 
PDF
control interno informatico
porManuel Medina
 
PDF
Familia ISO 27000 a enero 2019
porRicardo Urbina Miranda
 
PPT
Iso 27001 2013
porPrimala Sistema de Gestion
 
PDF
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
PDF
La nueva versión de ISO 19011:2018
porDQS de México
 
PDF
Presentacion ISO 20000
poritService ®
 
PPTX
Iso 20000
porRubén Darío Layme Velásquez
 
PPTX
Control interno informático
porJuan Moreno
 
PDF
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
porGabriel Gonzales
 
PPTX
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
porUNEG-AS
 
PDF
Mapa conceptual - Auditoría de Sistemas
porvmtorrealba
 
Iso 27000
porjulianabh
 
ISO 27002(1).pptx
porcirodussan
 
Norma iso 27000
porHaroll Suarez
 
Iso 27001 iso 27002
porTensor
 
ISO 27001 cambios 2005 a 2013
porJaime Andrés Bello Vieda
 
Iso introduccion a la norma iso 9001 2015 v 2020
porPrimala Sistema de Gestion
 
Iso 20000 1 2018 SGS
porPrimala Sistema de Gestion
 
Normas y estándares aplicables a la auditoria informática
porElvin Hernandez
 
Estándares de Auditoria en sistemas
porNanet Martinez
 
control interno informatico
porManuel Medina
 
Familia ISO 27000 a enero 2019
porRicardo Urbina Miranda
 
Iso 27001 2013
porPrimala Sistema de Gestion
 
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
La nueva versión de ISO 19011:2018
porDQS de México
 
Presentacion ISO 20000
poritService ®
 
Iso 20000
porRubén Darío Layme Velásquez
 
Control interno informático
porJuan Moreno
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
porGabriel Gonzales
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
porUNEG-AS
 
Mapa conceptual - Auditoría de Sistemas
porvmtorrealba
 

Destacado

PDF
NTC ISO/IEC 27001
porGeorge Gaviria
 
PPTX
Iso 27000 estandar
porMaria Villalba
 
PDF
Normas leyes-familia iso-27000
porReynaldo Quintero
 
PPTX
Iso 27000
porplackard
 
PDF
Iso 27000
porosbui
 
PPTX
Norma 27000
pornestor
 
PDF
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
porxavazquez
 
NTC ISO/IEC 27001
porGeorge Gaviria
 
Iso 27000 estandar
porMaria Villalba
 
Normas leyes-familia iso-27000
porReynaldo Quintero
 
Iso 27000
porplackard
 
Iso 27000
porosbui
 
Norma 27000
pornestor
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
porxavazquez
 

Similar a Iso 27000

PDF
Seguridad informartica Normas ISO 27000.pdf
porfredypaternina1
 
PDF
Seguridad informática
porCristian Gonzalez
 
PDF
ISO 27000 Seguridad de la Informacion.pdf
porIvan Cabrera
 
DOCX
Estándares Internacionales de seguridad informática
porPedro Cobarrubias
 
PPTX
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
porLuis Fernando Aguas Bucheli
 
DOCX
Estándares Internacionales de Seguridad Informática
porPedro Cobarrubias
 
PPTX
Normas iso-27000
porPedhro Acuario
 
PPTX
Norma iso 27000
porPedhro Acuario
 
PPTX
realizcion de un sistema de calidad basado en iso 27000
pormartincillo1234321
 
PPTX
isos/normativaymetodologias de la informacion.pptx
porRick Ccj
 
PDF
Doc iso27000 all
porabc000123
 
DOCX
Iso27001
porguest4740865e
 
PDF
ISO 27000
porindeson12
 
DOCX
Estandares Iso
porcarloscv
 
PPTX
Iso27000 bernardo martinez
porBernaMartinez
 
PPTX
Is
porVero Gonzalez
 
PDF
ii
porVero Gonzalez
 
PPTX
Iso 27000 nueva copia
porYadi De La Cruz
 
PPTX
Normaiso27000
porcarlos eduardo arevalo
 
PDF
Monográfico ISO 27001 ISOTools
porISOTools Excellence
 
Seguridad informartica Normas ISO 27000.pdf
porfredypaternina1
 
Seguridad informática
porCristian Gonzalez
 
ISO 27000 Seguridad de la Informacion.pdf
porIvan Cabrera
 
Estándares Internacionales de seguridad informática
porPedro Cobarrubias
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
porLuis Fernando Aguas Bucheli
 
Estándares Internacionales de Seguridad Informática
porPedro Cobarrubias
 
Normas iso-27000
porPedhro Acuario
 
Norma iso 27000
porPedhro Acuario
 
realizcion de un sistema de calidad basado en iso 27000
pormartincillo1234321
 
isos/normativaymetodologias de la informacion.pptx
porRick Ccj
 
Doc iso27000 all
porabc000123
 
Iso27001
porguest4740865e
 
ISO 27000
porindeson12
 
Estandares Iso
porcarloscv
 
Iso27000 bernardo martinez
porBernaMartinez
 
Is
porVero Gonzalez
 
ii
porVero Gonzalez
 
Iso 27000 nueva copia
porYadi De La Cruz
 
Normaiso27000
porcarlos eduardo arevalo
 
Monográfico ISO 27001 ISOTools
porISOTools Excellence
 

Último

PDF
Reporte Evento DevFest Sucre 2025 GDG Sucre
porGDGSucre
 
PPTX
Taller Intensivo ENERO 2026. Comunidades de aprendizaje
porKarenMtzv1
 
PPTX
Taller Dir. Sup. Enero 2026 Notas para el acompañamiento.pptx
porApolonioNavaHernande
 
PDF
Materia: Ecología Universidad - Conceptos básicos de ecología
porProfesorProductivo
 
PDF
Crecimiento 1. Clase 5.pdf. Estudio para persona que estan en el discipulado
poradanportillo64
 
PDF
Gestion de Emociones y Las Estrategias Docentes en el Acoso Escolar Ccesa007...
porDemetrio Ccesa Rayme
 
PDF
Tregua de Navidad en 1914: paz en medio de la guerra
porEspanhol Online
 
PPTX
DIAPOSITIVAS PRIMEROS AUXILIOS CLASE 17/01/2026
porAngieSalagata
 
PDF
Gestion de Emociones y el Acoso Escolar Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
PRESENTACIÓN SOBRE LA POLITICA, ADMINISTRACIÓN, ECONOMIA Y SOCIEDAD EN AL-AND...
porprofeRafa7
 
PDF
Derivadas de Orden Superior MA2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
PRESENTACIÓN SOBRE EL ARTE PRERROMÁNICO Y ROMÁNICO PENINSULAR
porprofeRafa7
 
PDF
Gestion de Emociones y la Prevencion del Acoso Escolar II Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Inteligencia Emocional - Daniel Goleman Editorial Kairos Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Física 4° Secundaria Editorial Ingenio Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
La Estafa del Progreso del 2026.........
porElara Mara
 
PDF
INFORME O-0 lo que la IA te diría.......
porElara Mara
 
PDF
Copia de 1 Proyecto_Teatro_Educacion_Inclusiva_COMPLETO.docx.pdf
porMiguel Héctor Chauqui
 
PDF
Tratado sobre la Entropía del Ciclo.....
porElara Mara
 
PDF
Guia de Practica de Matematica II Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Reporte Evento DevFest Sucre 2025 GDG Sucre
porGDGSucre
 
Taller Intensivo ENERO 2026. Comunidades de aprendizaje
porKarenMtzv1
 
Taller Dir. Sup. Enero 2026 Notas para el acompañamiento.pptx
porApolonioNavaHernande
 
Materia: Ecología Universidad - Conceptos básicos de ecología
porProfesorProductivo
 
Crecimiento 1. Clase 5.pdf. Estudio para persona que estan en el discipulado
poradanportillo64
 
Gestion de Emociones y Las Estrategias Docentes en el Acoso Escolar Ccesa007...
porDemetrio Ccesa Rayme
 
Tregua de Navidad en 1914: paz en medio de la guerra
porEspanhol Online
 
DIAPOSITIVAS PRIMEROS AUXILIOS CLASE 17/01/2026
porAngieSalagata
 
Gestion de Emociones y el Acoso Escolar Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PRESENTACIÓN SOBRE LA POLITICA, ADMINISTRACIÓN, ECONOMIA Y SOCIEDAD EN AL-AND...
porprofeRafa7
 
Derivadas de Orden Superior MA2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PRESENTACIÓN SOBRE EL ARTE PRERROMÁNICO Y ROMÁNICO PENINSULAR
porprofeRafa7
 
Gestion de Emociones y la Prevencion del Acoso Escolar II Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Inteligencia Emocional - Daniel Goleman Editorial Kairos Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Física 4° Secundaria Editorial Ingenio Ccesa007.pdf
porDemetrio Ccesa Rayme
 
La Estafa del Progreso del 2026.........
porElara Mara
 
INFORME O-0 lo que la IA te diría.......
porElara Mara
 
Copia de 1 Proyecto_Teatro_Educacion_Inclusiva_COMPLETO.docx.pdf
porMiguel Héctor Chauqui
 
Tratado sobre la Entropía del Ciclo.....
porElara Mara
 
Guia de Practica de Matematica II Ccesa007.pdf
porDemetrio Ccesa Rayme
 

Iso 27000

  • 1.
    UNIVERSIDAD VERACRUZANA Catedrático: M.C. eING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
  • 2.
    ¿QUE ES ISO? ISO(International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
  • 3.
    ¿Qué es unestándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
  • 4.
    ¿Qué es AENORy cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
  • 5.
    Introduccion. • Algunas delas normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
  • 6.
    Definición ● Es unconjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
  • 7.
    Origen. ● Desde 1901,y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
  • 8.
    Desarrollo. • A semejanzade otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 9.
    • Asimismo, ISOha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
  • 10.
    Beneficios. • Establecimiento deuna metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
  • 11.
    ● Confianza declientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
  • 12.
    Desventajas. • Si deseaacceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
  • 13.
    • Las normasen español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
  • 15.
    Planificación • Definir elalcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
  • 17.
  • 18.
    Aspectos clave. ● Compromisoy apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
  • 19.
    Fundamentos de SeguridadInformática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
  • 20.
    La serie ISO27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
  • 21.
  • 22.
    Objetivo de lafamilia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
  • 23.
    DEFINICION DE LAFAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
  • 24.
    ● ISO/IEC 27003:No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
  • 25.
    CERTIFICACION DE ISO27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
  • 26.
    ¿Quién certifica ami empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
  • 27.
    En México quiencertifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
  • 28.
    DGN en México ●El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
  • 29.
    CERTIFICACION DE EMPRESAS MEXICANAS,(quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
  • 30.
  • 31.
    ¿Quién acredita alas entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
  • 32.
    ¿Cómo es elproceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • 33.
    6) Fase 1de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
  • 34.
    ¿Qué es unSGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
  • 35.
    Si la seguridadtotal no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
  • 36.
    ¿Alguien puede obligarmea certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
  • 37.
    BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ●Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com