SlideShare una empresa de Scribd logo

Norma iso 27001

Descargar como PPTX, PDF
C
Cecilia Hernandez

La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.

1 de 16
NORMA ISO 27001 SO/IEC-27001 (Information technology – Security techniques – Information security management systems – Requirements) Cecilia Hernández Diana Ramírez
ISO 27001  La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y tiene como fin describir como gestionar la seguridad de la información en una empresa.  Su primera publicación se realizo en el año 2005 y a partir de esta ha tenido varias modificaciones, la ultima de ella se realizo en el año 2013.  Esta norma esta diseñada para implementarse en cualquier tipo de empresa ya sea publica o privada, pequeña o grande, con animo o sin animo de lucro, y el de la misma avala la certificación en dicha norma.
Requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)  Organización de la seguridad de la información.  Política de seguridad.  Gestión de activos.  Control de acceso.  Seguridad de los recursos humanos.  Cumplimiento.  Seguridad física y del entorno.  Adquisición, desarrollo y mantenimiento de los sistemas de información.  Gestión de las comunicaciones y operaciones.  Gestión de la continuidad del negocio.  Gestión de incidentes de seguridad de la información.
Beneficios de la implementación de la norma ISO 27001  Previene o reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.  Diseña una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.  A la dirección, le ayuda a gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.  Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática.
Origen de la Norma ISO 27001  El origen de ISO-27001 se rastrea desde hasta una publicación del Departamento de Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de mejores prácticas para la administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera:
Origen de la Norma ISO 27001  En 1998 se liberó la segunda parte, BS7799-2, estableció la especificación para implantar un sistema de gestión de seguridad de la información (SGSI).  En el año 2000, la Organización Internacional para la Estandarización (ISO, Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1.  El Reino Unido, la BSI (British Standards Institution) publicó la norma BS7799- 2:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora.  En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO- 17799.  Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO- 27002:2005.
Descripción de la norma ISO 27001  ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.  De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
 Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras norma.  Sección 1 – Alcance – explica que la norma es aplicable a cualquier tipo de organización.  Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.  Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.  Sección 4 – Contexto de la organización – Explica la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, define las partes interesadas, requisitos y el alcance del SGSI.  Sección 5 – Liderazgo – Hace parte de la fase de Planificación del ciclo PDCA ,define responsabilidades de la dirección, establece roles, responsabilidades y el contenido de la política sobre seguridad informática.  Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
 Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.  Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.  Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.  Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.  Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.  Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
Pasos para implementación de la Norma ISO 27001 1. Obtener el apoyo de la dirección. 2. Utilizar una metodología para gestión de proyectos. 3. Definir el alcance del SGSI. 4. Redactar una política de alto nivel sobre seguridad de la información. 5. Definir la metodología de evaluación de riesgos. 6. Realizar la evaluación y el tratamiento de riesgos. 7. Redactar la Declaración de aplicabilidad 8. Redactar el Plan de tratamiento de riesgos 9. Definir la forma de medir la efectividad de sus controles y de su SGSI. 10. Implementar todos los controles y procedimientos necesarios. 11. Implementar programas de capacitación y concienciación. 12. Realizar todas las operaciones diarias establecidas en la documentación de su SGSI. 13. Monitorear y medir su SGSI 14. Realizar la auditoría interna. 15. Realizar la revisión por parte de la dirección. 16. Implementar medidas correctivas
Documentos requeridos por la ISO 27001  Alcance del SGSI (punto 4.3)  Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)  Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)  Declaración de aplicabilidad (punto 6.1.3 d)  Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)  Informe de evaluación de riesgos (punto 8.2)  Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)  Inventario de activos (punto A.8.1.1)  Uso aceptable de los activos (punto A.8.1.3)  Política de control de acceso (punto A.9.1.1)  Procedimientos operativos para gestión de TI (punto A.12.1.1)  Política de seguridad para proveedores (punto A.15.1.1)  Procedimiento para gestión de incidentes (punto A.16.1.5)  Procedimientos para continuidad del negocio (punto A.17.1.2)  Requisitos legales, normativos y contractuales (punto A.18.1.1)  Y estos son los registros obligatorios:  Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)  Monitoreo y resultados de medición (punto 9.1)  Programa de auditoría interna (punto 9.2)  Resultados de auditorias internas (punto 9.2)  Resultados de la revisión por parte de la dirección (punto 9.3)  Resultados de medidas correctivas (punto 10.1)  Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)
Como se Obtiene la Certificación en ISO 27001? Es posible certificarse como empresa y como persona.
Certificación como Empresa  Las empresas se certifican con el fin de demostrar que cumplen todos los punto obligatorios de la norma.  Para obtener la certificación como Empresa se debe implementar la norma al pie de la letra y aprobar la auditoria que la realiza la entidad de la Norma.  1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.  2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.  Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.
Certificación Como Persona  Las persona se certifican para garantizar que realizaron el curso a cerca de la norma el cual fue evaluado y aprobado.  Los siguiente son Cursos A cerca de la norma. • Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores. • Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información. • Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.
Ultimas revisiones de la norma ISO 27001  La norma se publico por primera vez en el año 2005 y se reviso en el año 2013, la cual seria su versión mas actual.  los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos.  El principal objetivo de la norma continua vigente, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA, por sus siglas en inglés). Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc.

Recomendados

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 

Recomendados

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Iso 9000 3
Iso 9000 3Iso 9000 3
Iso 9000 3
Mónica María Espejo Pérez
 
ENS e ISO-27001
ENS e ISO-27001ENS e ISO-27001
ENS e ISO-27001
Alejandro Corletti Estrada
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Gestión de la Calidad de UTN BA
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 

Más contenido relacionado

La actualidad más candente

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Iso 9000 3
Iso 9000 3Iso 9000 3
Iso 9000 3
Mónica María Espejo Pérez
 
ENS e ISO-27001
ENS e ISO-27001ENS e ISO-27001
ENS e ISO-27001
Alejandro Corletti Estrada
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 

La actualidad más candente (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
iso 27005
iso 27005iso 27005
iso 27005
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 9000 3
Iso 9000 3Iso 9000 3
Iso 9000 3
 
ENS e ISO-27001
ENS e ISO-27001ENS e ISO-27001
ENS e ISO-27001
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 

Destacado

Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Gestión de la Calidad de UTN BA
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 

Destacado (7)

Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 

Similar a Norma iso 27001

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
Yesith Valencia
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
martincillo1234321
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
carloscv
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
Hector Chajón
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
AreaTIC1
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Pedhro Acuario
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
Prof. Janeth Piscoya
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 

Similar a Norma iso 27001 (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Iso27001
Iso27001Iso27001
Iso27001
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
ii
iiii
ii
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 

Último

IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁIMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
Claude LaCombe
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
https://gramadal.wordpress.com/
 
Carlos salina de Gortari Presentación de su Sexenio
Carlos salina de Gortari Presentación de su SexenioCarlos salina de Gortari Presentación de su Sexenio
Carlos salina de Gortari Presentación de su Sexenio
johanpacheco9
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
GallardoJahse
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
arleyo2006
 
PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.
https://gramadal.wordpress.com/
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
pablomarin116
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
LorenaCovarrubias12
 
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
Joan Ribes Gallén
 
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
HuallpaSamaniegoSeba
 
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docxENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
SandraPiza2
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
LorenaCovarrubias12
 
Presentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdfPresentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdf
H4RV3YH3RN4ND3Z
 
MIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicasMIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicas
jheisonraulmedinafer
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
20minutos
 
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
AracelidelRocioOrdez
 
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
María Sánchez González (@cibermarikiya)
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
Alejandrino Halire Ccahuana
 

Último (20)

IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁIMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
 
Carlos salina de Gortari Presentación de su Sexenio
Carlos salina de Gortari Presentación de su SexenioCarlos salina de Gortari Presentación de su Sexenio
Carlos salina de Gortari Presentación de su Sexenio
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
 
PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
 
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
 
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
 
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docxENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
ENSAYO SOBRE LA ANSIEDAD Y LA DEPRESION.docx
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
 
Presentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdfPresentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdf
 
MIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicasMIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicas
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
 
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
 
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
 

Norma iso 27001

  • 1. NORMA ISO 27001 SO/IEC-27001 (Information technology – Security techniques – Information security management systems – Requirements) Cecilia Hernández Diana Ramírez
  • 2.
  • 3. ISO 27001  La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y tiene como fin describir como gestionar la seguridad de la información en una empresa.  Su primera publicación se realizo en el año 2005 y a partir de esta ha tenido varias modificaciones, la ultima de ella se realizo en el año 2013.  Esta norma esta diseñada para implementarse en cualquier tipo de empresa ya sea publica o privada, pequeña o grande, con animo o sin animo de lucro, y el de la misma avala la certificación en dicha norma.
  • 4. Requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)  Organización de la seguridad de la información.  Política de seguridad.  Gestión de activos.  Control de acceso.  Seguridad de los recursos humanos.  Cumplimiento.  Seguridad física y del entorno.  Adquisición, desarrollo y mantenimiento de los sistemas de información.  Gestión de las comunicaciones y operaciones.  Gestión de la continuidad del negocio.  Gestión de incidentes de seguridad de la información.
  • 5. Beneficios de la implementación de la norma ISO 27001  Previene o reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.  Diseña una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.  A la dirección, le ayuda a gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.  Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática.
  • 6. Origen de la Norma ISO 27001  El origen de ISO-27001 se rastrea desde hasta una publicación del Departamento de Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de mejores prácticas para la administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera:
  • 7. Origen de la Norma ISO 27001  En 1998 se liberó la segunda parte, BS7799-2, estableció la especificación para implantar un sistema de gestión de seguridad de la información (SGSI).  En el año 2000, la Organización Internacional para la Estandarización (ISO, Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1.  El Reino Unido, la BSI (British Standards Institution) publicó la norma BS7799- 2:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora.  En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO- 17799.  Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO- 27002:2005.
  • 8. Descripción de la norma ISO 27001  ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.  De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
  • 9.  Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras norma.  Sección 1 – Alcance – explica que la norma es aplicable a cualquier tipo de organización.  Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.  Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.  Sección 4 – Contexto de la organización – Explica la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, define las partes interesadas, requisitos y el alcance del SGSI.  Sección 5 – Liderazgo – Hace parte de la fase de Planificación del ciclo PDCA ,define responsabilidades de la dirección, establece roles, responsabilidades y el contenido de la política sobre seguridad informática.  Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
  • 10.  Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.  Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.  Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.  Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.  Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.  Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
  • 11. Pasos para implementación de la Norma ISO 27001 1. Obtener el apoyo de la dirección. 2. Utilizar una metodología para gestión de proyectos. 3. Definir el alcance del SGSI. 4. Redactar una política de alto nivel sobre seguridad de la información. 5. Definir la metodología de evaluación de riesgos. 6. Realizar la evaluación y el tratamiento de riesgos. 7. Redactar la Declaración de aplicabilidad 8. Redactar el Plan de tratamiento de riesgos 9. Definir la forma de medir la efectividad de sus controles y de su SGSI. 10. Implementar todos los controles y procedimientos necesarios. 11. Implementar programas de capacitación y concienciación. 12. Realizar todas las operaciones diarias establecidas en la documentación de su SGSI. 13. Monitorear y medir su SGSI 14. Realizar la auditoría interna. 15. Realizar la revisión por parte de la dirección. 16. Implementar medidas correctivas
  • 12. Documentos requeridos por la ISO 27001  Alcance del SGSI (punto 4.3)  Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)  Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)  Declaración de aplicabilidad (punto 6.1.3 d)  Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)  Informe de evaluación de riesgos (punto 8.2)  Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)  Inventario de activos (punto A.8.1.1)  Uso aceptable de los activos (punto A.8.1.3)  Política de control de acceso (punto A.9.1.1)  Procedimientos operativos para gestión de TI (punto A.12.1.1)  Política de seguridad para proveedores (punto A.15.1.1)  Procedimiento para gestión de incidentes (punto A.16.1.5)  Procedimientos para continuidad del negocio (punto A.17.1.2)  Requisitos legales, normativos y contractuales (punto A.18.1.1)  Y estos son los registros obligatorios:  Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)  Monitoreo y resultados de medición (punto 9.1)  Programa de auditoría interna (punto 9.2)  Resultados de auditorias internas (punto 9.2)  Resultados de la revisión por parte de la dirección (punto 9.3)  Resultados de medidas correctivas (punto 10.1)  Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)
  • 13. Como se Obtiene la Certificación en ISO 27001? Es posible certificarse como empresa y como persona.
  • 14. Certificación como Empresa  Las empresas se certifican con el fin de demostrar que cumplen todos los punto obligatorios de la norma.  Para obtener la certificación como Empresa se debe implementar la norma al pie de la letra y aprobar la auditoria que la realiza la entidad de la Norma.  1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.  2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.  Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.
  • 15. Certificación Como Persona  Las persona se certifican para garantizar que realizaron el curso a cerca de la norma el cual fue evaluado y aprobado.  Los siguiente son Cursos A cerca de la norma. • Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores. • Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información. • Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.
  • 16. Ultimas revisiones de la norma ISO 27001  La norma se publico por primera vez en el año 2005 y se reviso en el año 2013, la cual seria su versión mas actual.  los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos.  El principal objetivo de la norma continua vigente, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA, por sus siglas en inglés). Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc.