SlideShare una empresa de Scribd logo

ISO 27001

Descargar como DOC, PDF
Diego Cueva Córdova
Diego Cueva Córdova

Este documento proporciona una introducción al estándar ISO 27001 para la seguridad de la información. Explica que la norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre la evolución de la norma, el proceso de implementación, la certificación, otros estándares relacionados con la seguridad de la información, y los beneficios de la certificación ISO 27001.

TecnologíaEmpresariales
1 de 8
Universidad César Vallejo Estándar ISO 27001 AUDITORIA DE SISTEMAS Docente: Ing. Carlos Chávez Monzón Alumno: CUEVA CÓRDOVA, Diego Escuela: Ingeniería de Sistemas 09
Universidad César Vallejo Estándares ISO 27001 1. Introducción. El estándar para la seguridad de la información ISO/IEC 27001 (Information Technology - Security techniques - Information Security Management Systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la (British Standards Institution - BSI). Auditoria de Sistemas Página 2
Universidad César Vallejo 2. Evolución. España, en el año 2004 se publicó la UNE 71502 titulada “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)” y que fue elaborada por el comité técnico AEN/ CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002. Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001. Auditoria de Sistemas Página 3
Universidad César Vallejo 3. Implantación. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/ IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). 4. Certificación. La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Auditoria de Sistemas Página 4
Universidad César Vallejo Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada. El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y en base a un sistema de gestión común. 5. La Serie 27000. La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:  ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.  UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSI deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).  ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.  ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información Auditoria de Sistemas Página 5
Universidad César Vallejo acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.  ISO 27004: En fase de desarrollo; probable publicación en 2009. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.  ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.  ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 6. Beneficios de ISO 27001:2005. La reputación de ISO y la certificación de la norma internacional ISO 27001:2005 aumentan la credibilidad de cualquier organización. La norma claramente demuestra la validez de su información y un compromiso real de mantener la seguridad de la información. El establecimiento y certificación de un SGSI puede así mismo transformar la cultura corporativa tanto interna como externa, abriendo nuevas oportunidades de negocio con clientes conscientes de la importancia de la seguridad, además de mejorar el nivel ético y profesional de los empleados y la noción de la confidencialidad en el puesto de trabajo. Aún más, permite reforzar la seguridad de la información y reducir el posible riesgo de fraude, pérdida de información y revelación. Las organizaciones certificadas en la norma británica BS 7799 pasarán a estarlo en ISO 27001. Según el comunicado para la transición realizado por UKAS en Junio del año 2006, las compañías certificadas en la norma británica BS 7799-2:2002 dispondrán hasta Julio del año 2007 para hacer efectiva la transición. Auditoria de Sistemas Página 6
Universidad César Vallejo 7. Consideraciones clave del estándar. La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)” (como podrán apreciar que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:  ISMS.  Valoración de riegos (Risk Assesment)  Controles 8. Lo que abarca. El estándar ISO 27001:2005 cubre de forma efectiva 11 secciones:  Política de Seguridad  Organización de la Seguridad de la Información  Gestión de Activos  Seguridad ligada a Recursos Humanos  Seguridad Física y del Entorno  Gestión de Comunicaciones y Operaciones  Control de Accesos  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información  Gestión de Incidentes de Seguridad de la Información  Gestión de la Continuidad de Negocio Auditoria de Sistemas Página 7
Universidad César Vallejo  Conformidad. El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas. Auditoria de Sistemas Página 8

Recomendados

Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
franyelis23
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
La auditoria de sistemas
La auditoria de sistemasLa auditoria de sistemas
La auditoria de sistemasArnoldMB
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
Jesus Cisneros Morales
 
La auditoria de sistemas
La auditoria de sistemasLa auditoria de sistemas
La auditoria de sistemasArnoldMB
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 

Recomendados

Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
franyelis23
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
La auditoria de sistemas
La auditoria de sistemasLa auditoria de sistemas
La auditoria de sistemasArnoldMB
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
Jesus Cisneros Morales
 
La auditoria de sistemas
La auditoria de sistemasLa auditoria de sistemas
La auditoria de sistemasArnoldMB
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
Jerich Chavarry
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativaandrea veliz
 
Auditoria Elvis Armijo
Auditoria Elvis ArmijoAuditoria Elvis Armijo
Auditoria Elvis Armijo
Elvis Daniel Armijo Rivas
 
auditoria-07
auditoria-07auditoria-07
auditoria-07
Cristian Aviles
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de RiesgosShirley Contreras Ulloa
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Anne Yackeline
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
franyelis23
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Karuu Morales
 
Maria francia
Maria franciaMaria francia
Maria francia
mariacaro2195
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
Carlos Andres Perez Cabrales
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Andreita Lissette
 
Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006
Facultad de Ciencias Económicas - Universidad Nacional de Cuyo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Auditoria De Sistemas Introduccion
Auditoria De Sistemas IntroduccionAuditoria De Sistemas Introduccion
Auditoria De Sistemas Introduccionfbogota
 
Auditoria de sistemas. unidad ii
Auditoria de sistemas. unidad iiAuditoria de sistemas. unidad ii
Auditoria de sistemas. unidad ii
franyelis23
 
Auditoria interna e informe de auditoria
Auditoria interna e informe de auditoriaAuditoria interna e informe de auditoria
Auditoria interna e informe de auditoria
FerJes Mogo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasErnesto Herrera
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMichelle Perez
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria
DeymileeRocca
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
carlosure07
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
Maria Jose Buigues
 

Más contenido relacionado

La actualidad más candente

auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
Jerich Chavarry
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativaandrea veliz
 
Auditoria Elvis Armijo
Auditoria Elvis ArmijoAuditoria Elvis Armijo
Auditoria Elvis Armijo
Elvis Daniel Armijo Rivas
 
auditoria-07
auditoria-07auditoria-07
auditoria-07
Cristian Aviles
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Anne Yackeline
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
franyelis23
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Karuu Morales
 
Maria francia
Maria franciaMaria francia
Maria francia
mariacaro2195
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
Carlos Andres Perez Cabrales
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Andreita Lissette
 
Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006
Facultad de Ciencias Económicas - Universidad Nacional de Cuyo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Auditoria De Sistemas Introduccion
Auditoria De Sistemas IntroduccionAuditoria De Sistemas Introduccion
Auditoria De Sistemas Introduccionfbogota
 
Auditoria de sistemas. unidad ii
Auditoria de sistemas. unidad iiAuditoria de sistemas. unidad ii
Auditoria de sistemas. unidad ii
franyelis23
 
Auditoria interna e informe de auditoria
Auditoria interna e informe de auditoriaAuditoria interna e informe de auditoria
Auditoria interna e informe de auditoria
FerJes Mogo
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria
DeymileeRocca
 

La actualidad más candente (20)

auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativa
 
Auditoria Elvis Armijo
Auditoria Elvis ArmijoAuditoria Elvis Armijo
Auditoria Elvis Armijo
 
auditoria-07
auditoria-07auditoria-07
auditoria-07
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Maria francia
Maria franciaMaria francia
Maria francia
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)
 
Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006Trabajo Auditoría de Sistemas FCE 2006
Trabajo Auditoría de Sistemas FCE 2006
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria De Sistemas Introduccion
Auditoria De Sistemas IntroduccionAuditoria De Sistemas Introduccion
Auditoria De Sistemas Introduccion
 
Auditoria de sistemas. unidad ii
Auditoria de sistemas. unidad iiAuditoria de sistemas. unidad ii
Auditoria de sistemas. unidad ii
 
Auditoria interna e informe de auditoria
Auditoria interna e informe de auditoriaAuditoria interna e informe de auditoria
Auditoria interna e informe de auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria
 

Destacado

Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
carlosure07
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
Maria Jose Buigues
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001
Juan Carlos Fernández
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
 
NUEVA NORMA ISO 9001:2015
NUEVA NORMA ISO 9001:2015NUEVA NORMA ISO 9001:2015
NUEVA NORMA ISO 9001:2015
ISOTALDE
 
Nueva ISO 9001: 2015 - Cambios clave
Nueva ISO 9001: 2015 - Cambios claveNueva ISO 9001: 2015 - Cambios clave
Nueva ISO 9001: 2015 - Cambios clave
Juan Carlos Bajo Albarracín
 
Sistemas De Gestión De Calidad (Iso 9001)
Sistemas De Gestión De Calidad (Iso 9001)Sistemas De Gestión De Calidad (Iso 9001)
Sistemas De Gestión De Calidad (Iso 9001)lgarcia148
 

Destacado (8)

Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
NUEVA NORMA ISO 9001:2015
NUEVA NORMA ISO 9001:2015NUEVA NORMA ISO 9001:2015
NUEVA NORMA ISO 9001:2015
 
Nueva ISO 9001: 2015 - Cambios clave
Nueva ISO 9001: 2015 - Cambios claveNueva ISO 9001: 2015 - Cambios clave
Nueva ISO 9001: 2015 - Cambios clave
 
Sistemas De Gestión De Calidad (Iso 9001)
Sistemas De Gestión De Calidad (Iso 9001)Sistemas De Gestión De Calidad (Iso 9001)
Sistemas De Gestión De Calidad (Iso 9001)
 

Similar a ISO 27001

Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
carloscv
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
Hector Chajón
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
indeson12
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Cristian Gonzalez
 

Similar a ISO 27001 (20)

Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso27001
Iso27001Iso27001
Iso27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
ii
iiii
ii
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 

Último

Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 

Último (20)

Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 

ISO 27001

  • 1. Universidad César Vallejo Estándar ISO 27001 AUDITORIA DE SISTEMAS Docente: Ing. Carlos Chávez Monzón Alumno: CUEVA CÓRDOVA, Diego Escuela: Ingeniería de Sistemas 09
  • 2. Universidad César Vallejo Estándares ISO 27001 1. Introducción. El estándar para la seguridad de la información ISO/IEC 27001 (Information Technology - Security techniques - Information Security Management Systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la (British Standards Institution - BSI). Auditoria de Sistemas Página 2
  • 3. Universidad César Vallejo 2. Evolución. España, en el año 2004 se publicó la UNE 71502 titulada “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)” y que fue elaborada por el comité técnico AEN/ CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002. Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001. Auditoria de Sistemas Página 3
  • 4. Universidad César Vallejo 3. Implantación. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/ IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). 4. Certificación. La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Auditoria de Sistemas Página 4
  • 5. Universidad César Vallejo Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada. El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y en base a un sistema de gestión común. 5. La Serie 27000. La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:  ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.  UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSI deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).  ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.  ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información Auditoria de Sistemas Página 5
  • 6. Universidad César Vallejo acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.  ISO 27004: En fase de desarrollo; probable publicación en 2009. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.  ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.  ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 6. Beneficios de ISO 27001:2005. La reputación de ISO y la certificación de la norma internacional ISO 27001:2005 aumentan la credibilidad de cualquier organización. La norma claramente demuestra la validez de su información y un compromiso real de mantener la seguridad de la información. El establecimiento y certificación de un SGSI puede así mismo transformar la cultura corporativa tanto interna como externa, abriendo nuevas oportunidades de negocio con clientes conscientes de la importancia de la seguridad, además de mejorar el nivel ético y profesional de los empleados y la noción de la confidencialidad en el puesto de trabajo. Aún más, permite reforzar la seguridad de la información y reducir el posible riesgo de fraude, pérdida de información y revelación. Las organizaciones certificadas en la norma británica BS 7799 pasarán a estarlo en ISO 27001. Según el comunicado para la transición realizado por UKAS en Junio del año 2006, las compañías certificadas en la norma británica BS 7799-2:2002 dispondrán hasta Julio del año 2007 para hacer efectiva la transición. Auditoria de Sistemas Página 6
  • 7. Universidad César Vallejo 7. Consideraciones clave del estándar. La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information Security Management System)” (como podrán apreciar que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:  ISMS.  Valoración de riegos (Risk Assesment)  Controles 8. Lo que abarca. El estándar ISO 27001:2005 cubre de forma efectiva 11 secciones:  Política de Seguridad  Organización de la Seguridad de la Información  Gestión de Activos  Seguridad ligada a Recursos Humanos  Seguridad Física y del Entorno  Gestión de Comunicaciones y Operaciones  Control de Accesos  Adquisición, Desarrollo y Mantenimiento de Sistemas de Información  Gestión de Incidentes de Seguridad de la Información  Gestión de la Continuidad de Negocio Auditoria de Sistemas Página 7
  • 8. Universidad César Vallejo  Conformidad. El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de identificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de la auditoría no se localizan no conformidades mayores o cuando los posibles problemas identificados tengan definidos unas medidas correctivas. Auditoria de Sistemas Página 8