Este documento proporciona información sobre la norma ISO/IEC 27001, que establece los requisitos para un sistema de gestión de seguridad de la información. Se explica brevemente el origen y evolución de esta norma y las normas relacionadas de la serie ISO 27000. También resume los principales cambios introducidos en la versión de 2013 de la norma ISO 27001.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
ISO 20000-1 has been updated to version 2018. Learn about common terms and definitions, tips on preparing a transition plan, and what to if you are already certified for ISO 20000-1
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
ISO 20000-1 has been updated to version 2018. Learn about common terms and definitions, tips on preparing a transition plan, and what to if you are already certified for ISO 20000-1
Las organizaciones necesitan (en ocasiones deben) demostrar que
realizan una gestión competente y efectiva de la seguridad de los
recursos y datos que gestionan.
− Deben demostrar que identifican y detectan los riesgos a los que está sometida y
que adoptan medidas adecuadas y proporcionadas.
− Necesario: conjunto estructurado, sistemático, coherente y completo de normas a
seguir.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
Las capacidades sociomotrices son las que hacen posible que el individuo se pueda desenvolver socialmente de acuerdo a la actuación motriz propias de cada edad evolutiva del individuo; Martha Castañer las clasifica en: Interacción y comunicación, introyección, emoción y expresión, creatividad e imaginación.
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA, crea y desarrolla ACERTIJO: «CARRERA OLÍMPICA DE SUMA DE LABERINTOS». Esta actividad de aprendizaje lúdico que implica de cálculo aritmético y motricidad fina, promueve los pensamientos lógico y creativo; ya que contempla procesos mentales de: PERCEPCIÓN, ATENCIÓN, MEMORIA, IMAGINACIÓN, PERSPICACIA, LÓGICA LINGUISTICA, VISO-ESPACIAL, INFERENCIA, ETCÉTERA. Didácticamente, es una actividad de aprendizaje transversal que integra áreas de: Matemáticas, Neurociencias, Arte, Lenguaje y comunicación, etcétera.
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
Mapa_Conceptual de los fundamentos de la evaluación educativa
NTC ISO/IEC 27001
1. NTC ISO/IEC 27001
Tecnología de la información
Técnicas de seguridad
sistemas de gestión de la
seguridad de la información
Integrantes:
Ing. Sandra Milena Ocampo C
Ing. Jorge Hernán Gaviria
2. ¿Qué es información?
Conjunto de datos organizados en poder de una
entidad que poseen valor para la misma.
La información
puede estar
• escrita,
• en imágenes,
• oral,
• impresa en papel,
• almacenada electrónicamente,
• proyectada,
• enviada por correo, fax o e-mail,
• transmitida en conversaciones.
• nube
3. Seguridad de la información
Consiste en la preservación de su
confidencialidad, integridad y
disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una
organización.
5. • La información no se pone a disposición ni se
revela a individuos, entidades o procesos no
autorizados.
Confidencialidad
• Mantenimiento de la exactitud y completitud
de la información y sus métodos de proceso.Integridad
• Acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte
de los individuos, entidades o procesos
autorizados cuando lo requieran.
Disponibilidad
6. ¿Qué es un SGSI?
Dado el conocimiento del ciclo de vida de cada
información relevante se debe adoptar el uso de
un proceso sistemático, documentado y conocido
por toda la organización, desde un enfoque de
riesgo empresarial. Este proceso es el que
constituye un SGSI
8. 1979 1998 20021995 2000
2013 200520072009
Normas BS
La British Standards Institution
publica normas con el prefijo BS con
carácter internacional. Estas son el
origen de normas actuales como ISO
9001, ISO 14001 u OHSAS 18001.
BS 7799-1:1995
Mejores prácticas para ayudar a las
empresas británicas a administrar la
Seguridad de la Información. Eran
recomendaciones que no permitían la
certificación ni establecía la forma de
conseguirla.
BS 7799-2:1999
Revisión de la anterior
norma. Establecía los requisitos
para implantar un Sistema de
Gestión de Seguridad de la
Información certificable. En 1999 se
revisa.
ISO/IEC 17799:2000
La organización Internacional
para la Estandarización
(ISO) tomó la norma británica BS
7799-1 que dio lugar a la llamada ISO
17799, sin experimentar grandes
cambios.
BS 7799-2:2002
Se publicó una nueva versión
que permitió la acreditación de
empresas por una entidad
certificadora de Reino Unido y
en otros países.
ISO/IEC 27001:2005 e ISO/IEC
17799:2005 Aparece el estándar
ISO 27001 como norma
internacional certificable y se
revisa la ISO 17799 dando lugar a
la ISO 27001:2005.
ISO 17799. Se renombra y pasa a
ser la ISO 27002:2005 ISO/IEC
27001:2007.
Se publica la nueva versión
ISO 27001:
2007/1M:2009
Se publica un documento adicional
de modificaciones llamado ISO
27001:2007/1M:2009.
Nueva ISO 27001:2013
Nueva ISO 27002:2013
9. Directrices
para auditoria
de SGSI
Requisitos
organismos
de auditoria
Gestión del
riesgo de S.I
Métricas
SGIS
Guía para
implementación
del SGSI
Términos y
vocabulario
Requisitos
SGSI
Guía de
buenas
prácticas
SERIE
27000
27007
27009
27006
27005
27004
27003
27002
27001
27000
10. ISO 27001: Norma principal de la serie. Especifica los requisitos
para la implantación de un SGSI.
ISO 27002: Guía de buenas prácticas para la gestión de la
seguridad de la información.
ISO 27003: Directrices para la implantación de un SGSI. ISO 27004: Métricas y técnicas para la gestión de la seguridad de
la información.
ISO 27005: Directrices para la gestión del riesgo seguridad de la
información.
ISO 27006: Requisitos para la acreditación de entidades que
proporcionan certificación de SGSI.
ISO 27007: Guía para auditar el SGSI. ISO 27008: Guía de auditoría de los controles seleccionados en el
marco de implantación de un SGSI.
ISO 27010: Guía para gestionar la seguridad de la información en
comunicaciones entre sectores.
ISO 27011: Guía de gestión de seguridad de la información para
telecomunicaciones.
ISO 270012: Requisitos y directrices de gestión de seguridad de la
información en organizaciones de servicios de e-administración.
ISO 27013: Guía para la implementación integrada de ISO 27001 e
ISO 20000-1 (Requisitos SGSTI)
ISO 27014: Guía de gobierno corporativo de la seguridad de la
información.
ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector
seguros y finanzas
ISO 27016: Guía de SGSI para aspectos económicos de las
organizaciones.
ISO 27031: Guía de continuidad de negocio referente a tecnologías
de la información y comunicaciones.
ISO 27032: Guía sobre ciberseguridad. ISO 27033: Formada por 7 partes para la gestión de redes
(seguridad, arquitectura, diseño, implementación…)
ISO 27034: Guía de seguridad en aplicaciones. ISO 27035: Guía de gestión de incidentes de seguridad de la
información.
ISO 27036: Guía de seguridad de servicios externalizados. ISO 27037: Guía para la identificación, recopilación y preservación
de evidencias digitales.
ISO 27038: Guía de especificación para la redacción digital. ISO 27039: Guía los sistemas de detección de intrusos.
ISO 27040: Guía para la seguridad en medios de almacenamiento. naranja Normas que describen las pautas generales
azul: Normas que especifican requisitos
Amari Normas que describen directrices específicas del sector
Ver Normas que describen directrices específicas del control
ISO 27799: Estándar para la estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO 27002.
12. Conceptos Generales del ISO 27001:2013
ISO/IEC 27001:2013 es
un conjunto de
lineamientos que
especifica los requisitos
para establecer,
implementar, mantener
y mejorar un Sistema de
Gestión de Seguridad de
la Información (SGSI).
Estos requisitos
describen cuál es el
comportamiento
esperado del Sistema de
Gestión una vez que esté
en pleno
funcionamiento.
14. La nueva ISO 27001:2013
Nueva
ISO27001:2013
Desaparece
Enfoque a
procesos
Cambio de
estructura
que facilita la
integración
Nuevo
modelo de
estructura
documental
Enfoque del
análisis
del riesgo en la
fase
de planificación y
operación.
Se reducen
los
controles
15. Cambios principales secciones
0. Introducción
El cambio más significativo en todo el apartado
fue la eliminación de la sección “Enfoque por
procesos” que contenía la versión 2005, en
donde se describía el modelo PDCA, corazón del
Sistema de Gestión de Seguridad de la
Información (SGSI).
16. Cambios principales secciones
• 1. Alcance
• En esta sección se establece la obligatoriedad de
cumplir con los requisitos especificados en los
capítulos 4 a 10 del documento, para poder
obtener la conformidad de cumplimiento y
certificarse.
17. Cambios principales secciones
• 2. Referencias normativas
• El estándar ISO-27002 ya no es una referencia
normativa para ISO-27001:2013, aunque
continúa considerándose necesario en el
desarrollo de la declaración de aplicabilidad
(SOA, por sus siglas en inglés).
• El estándar ISO 27000:2013 se convierte en una
referencia normativa obligatoria y única, ya que
contiene todos los nuevos términos y
definiciones.
18. Cambios principales secciones
3. Términos y definiciones
Los términos y definiciones que se manejaban en
27001:2005 los trasladaron y agruparon en la
sección 3 de ISO 27000:2013 “Fundamentos y
vocabulario” (lo cual se llevará a cabo en todos
los documentos que forman parte de esta
familia), con el objetivo de contar con una sola
guía de términos y definiciones que sea
consistente.
19. Cambios principales secciones
4. Contexto de la organización
• Esta cláusula hace hincapié en identificar los problemas
externos e internos que rodean a la organización.
• Instituye los requerimientos para definir el contexto del SGSI
sin importar el tipo de organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un
elemento primordial para la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las
necesidades de las partes interesadas con relación a la
seguridad de la información y sus expectativas con relación al
SGSI, pues esto determinará las políticas de seguridad de la
información y los objetivos a seguir para el proceso de gestión
de riesgos.
20. Cambios principales secciones
5. Liderazgo
Ajusta la relación y responsabilidades de la Alta Dirección
respecto al SGSI, destacando de manera puntual cómo debe
demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y “La política de
seguridad de la información”,anteriormente definida
como “Política del SGSI”, estén alineados con los objetivos del
negocio.
• Garantizando la disponibilidad de los recursos para la
implementación del SGSI (económicos, tecnológicos,
etcétera).
• Garantizando que los roles y responsabilidades claves para la
seguridad de la información se asignen y se comuniquen
adecuadamente.
21. Cambios principales secciones
6. Planeación
Esta es una nueva sección enfocada en la definición de los objetivos
de seguridad como un todo, los cuales deben ser claros y se debe
contar con planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de
riesgos:
• El proceso para la evaluación de riesgos ya no está enfocado en los
activos, las vulnerabilidades y las amenazas.
• Esta metodología se enfoca en el objetivo de identificar los
riesgos asociados con la pérdida de la confidencialidad,
integridad y disponibilidad de la información.
• El nivel de riesgo se determina con base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el
término “Propietario del riesgo”.
• Los requerimientos del SOA no sufrieron transformaciones
significativas.
22. Cambios principales secciones
7. Soporte
Marca los requerimientos de soporte para el establecimiento,
implementación y mejora del SGSI, que incluye:
• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información
documentada” que sustituye a los
términos “documentos” y “registros”; abarca el
proceso de documentar, controlar, mantener y
conservar la documentación correspondiente al
SGSI.
El proceso de revisión se enfoca en el contenido de los
documentos y no en la existencia de un determinado conjunto
de estos.
23. Cambios principales secciones
8. Operación
Establece los requerimientos para medir el
funcionamiento del SGSI, las expectativas de la
Alta Dirección y su realimentación sobre estas,
así como el cumplimiento con el del estándar.
Además, plantea que la organización debe planear y
controlar las operaciones y requerimientos de seguridad,
erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información
de manera periódica por medio de un programa
previamente elegido.
Los activos, vulnerabilidades y amenazas ya no
son la base de la evaluación de riesgos. Solo se
requiere para identificar los riesgos asociados
con la confidencialidad, integridad y
disponibilidad.
24. Cambios principales secciones
9. Evaluación del desempeño
La base para identificar y medir la efectividad y
desempeño del SGSI continúan siendo las
auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el
estado de los planes de acción para atender no
conformidades anteriores y se establece la
necesidad de definir quién y cuándo se deben
realizar estas evaluaciones así como quién debe
analizar la información recolectada.
25. Cambios principales secciones
10. Mejora
El principal elemento del proceso de mejora son las
no-conformidades identificadas, las cuales tienen
que contabilizarse y compararse con las acciones
correctivas para asegurar que no se repitan y que las
acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más
importantes porque las medidas preventivas se
fusionarán con la evaluación y tratamiento del
riesgo, algo más natural e intuitivo que permite
enfrentar los riesgos y las oportunidades con base en
cuándo estos se identifican y cómo se tratan.
26. 1 - Cambios en los ANEXOS: nueva
estructura del Anexo
Agrega 3 dominios de control, los cuales incluyen un
total de 113 controles, 20 menos que en la versión
anterior. Dentro de los nuevos dominios de control
aparece
• Criptografía, siendo separada del dominio
Adquisición, desarrollo y mantenimiento de la
información.
• Relación con proveedores
• Operaciones de seguridad y Seguridad de
las comunicaciones: resultado de la división del
dominio Gestión de comunicaciones y operaciones
en dos nuevos dominios
27. Valor agregado del cambio
• Las empresas que quieran certificarse con esta
norma ya no están obligados a
implementar todos los controles de este
anexo. Por lo que este se convierte en una guía
para evitar que se omitan controles
importantes por parte de la organización
al momento de implementar su sistema
de gestión (SGSI). Brindando mayor
flexibilidad a las empresas para implementar
de la manera más adecuada el sistema de
gestión.
28. 2- Cambio: anexo SL
• adopción del Anexo SL (lo que era antes la
Guía ISO 83) dentro del SGSI. Es importante
mencionar que este anexo describe los
lineamientos para un sistema de gestión
genérico; ayudando a las empresas que por
alguna razón deben certificar múltiples normas
de sistemas de gestión. De esta forma ISO
27001 cumple con los requisitos comunes
a todo sistema de gestión, facilitando la
implementación y auditoria de varios sistemas
en la misma organización.
35. Garantizar la confidencialidad, integridad y disponibilidad de
información sensible.
Disminuir el riesgo, con la consiguiente reducción de gastos
asociados.
Reducir la incertidumbre por el conocimiento de los riesgos e
impactos asociados.
Mejorar continuamente la gestión de la seguridad de la
información.
Garantizar la continuidad del negocio.
Aumento de la competitividad por mejora de la imagen
corporativa.
Incremento de la confianza de las partes interesadas.
Ventajas de implantar un SGSI basado en la ISO 27001
36. Aumento de la rentabilidad, derivado de un control de los riesgos.
Cumplir la legislación vigente referente a seguridad de la
información.
Aumentar las oportunidades de negocio.
Reducir los costos asociados a los incidentes.
Mejorar la implicación y participación del personal en la gestión de
la seguridad.
Posibilidad de integración con otros sistemas de gestión como ISO
9001, ISO14001, OHSAS 18001, entre otros.
Mejorar los procesos y servicios prestados.
Aumentar de la competitividad por mejora de la imagen
corporativa.
38. El software eGAM Seguridad de la información automatiza los
procedimientos requeridos por la Norma ISO/IEC 27001 de
manera que cuando se necesita ejecutar un proceso, el
procedimiento correspondiente se carga instantáneamente en el
sistema, distribuyendo automáticamente tareas, instrucciones a
responsables y plazos, de forma que la propia ejecución de las
tareas autogenera las evidencias necesarias del sistema de
gestión.
39.
40. Desarrollada en entorno Web con el objetivo de cumplir los
requisitos de las normas ISO y de modelos de Acreditación y
Excelencia, ISOTools resulta una herramienta ideal para
implementar, mantener y mejorar continuamente los Sistemas de
Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la
Información, Seguridad Alimentaria, Modelos de Acreditación,
Modelos de Excelencia como EFQM, Modelos de Planificación
Estratégica – BSC, entre otros.
Compuesta de diferentes módulos, es una herramienta escalable,
flexible y adaptable a las necesidades de cada empresa u
organización independientemente del tamaño y del sector en el
que opere. Es una solución que favorece la agilización y la mejora
de los procesos, así como la accesibilidad y búsqueda rápida y
fácil de la información.
41.
42. GesConsultor GRC ofrece una plataforma que integra todos los
elementos necesarios para la implantación y gestión completa
del ciclo de vida de un SGSI, así como otros requisitos de
cumplimiento de aspectos legales, normativos, contractuales y
con terceras partes que sean de aplicación al Alcance del Sistema
de Gestión.
GesConsultor GRC proporciona, adicionalmente, unas
capacidades diferenciadoras en su motor de cumplimiento para
incorporar las nuevas versiones de las Normas y, con ello,
asegurar el mantenimiento y evolución de los proyectos basados
en las mismas. Este es el caso de la familia ISO 27000:2012, con
publicación esperada en el año 2013.
43.
44.
45. Top 10 de países con más
organizaciones certificadas en ISO
27001
47. MEJORES PRÁCTICAS Y OTRAS
NORMAS
Anexo:
http://www.bitcompany.biz/que-es-itil-
cursos/#.UzcVAKh5PYE
http://www.bitcompany.biz/que-es-
cobit/#.UzcSoKh5PYE
48. Conclusiones
Más allá de los cambios
en el estándar, lo más
importante es tener en
cuenta que todas las
organizaciones son
diferentes y los
requerimientos
impuestos por la
norma deben ser
interpretados de
acuerdo al contexto
de cada empresa.
49. La implantación de un SGSI basado en ISO 27001, supone el conocimiento,
de la organización en su conjunto, de los riesgos a los que se encuentra
expuesta. De manera que se asuman y se trabaje en su minimización y
control de manera sistemática, para mejorar continuamente.
La ISO 27001 es perfectamente integrable con otros sistemas de gestión
como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace
más sencilla con esta nueva versión ISO 27001:2013
Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la
anterior ISO 27001:2005.
La ISO 27001 permite una operativa basada en la seguridad y la excelencia
en el tratamiento de la información en la organización, que se traducen en
un mejor servicio con una menor inversión.
Conclusiones