El documento describe una subvención del Plan Avanza 2011 para la implantación y certificación de sistemas de gestión de seguridad de la información (ISO 27001) y gestión de servicios de TI (ISO 20000) en PYMES. Incluye información sobre los requisitos, procesos de implantación y certificación, y costes elegibles para la subvención.

1. 26/04/2011 1 Subvenciones PLAN AVANZA 2011 - Implantación y Certificación Gestión de servicios de TI (Norma ISO/IEC 20000) - Implantación y Certificación de Sistemas de Gestión de la Seguridad de la Información. (Norma ISO/IEC 27001)

2. PLAN AVANZA 2011 El Plan Avanza es el plan del gobierno orientado a conseguir la adecuada utilización de las TIC, contribuyendo así al éxito de un modelo de crecimiento económico basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional y la mejora del bienestar y la calidad de vida de los ciudadanos. Se pretende alcanzar la media europea en los indicadores de la Sociedad de la Información. El Plan Avanza está diseñado y promovido por el Ministerio de Industria, Turismo y Comercio (Mityc). Su ejecución se articula mediante objetivos específicos para cada Comunidad Autónoma, sin cuya coordinación y cooperación no sería posible alcanzar los objetivos marcados. Ayudas para apoyar a las empresas PYMES del sector TIC. 26/04/2011 2

3. Se van a presentar dos proyectos al Ministerio de Industria Comercio y Turismo en la convocatoria del Plan Avanza para la obtención de las Certificación de las normas UNE-ISO/IEC 27001:2007 y UNE-ISO/IEC 20000-1:2007. ITsencial e IDN, ofrecen la posibilidad de participar de esta iniciativa, asegurando el proceso de elaboración de proyecto, presentación, gestión, ejecución y posterior justificación. Ámbito de interés Normativo: ISO -27001 : Sistema de Gestión de la Seguridad de la Información (SGSI) ISO -20000 : Gestión de servicios TI 26/04/2011 3 PLAN AVANZA 2011

4. Las subvenciones disponibles reconocidas por el Programa, cubrirán prácticamente todos los costes de todo el proceso: Consultoría de Implantación del Sistema de Gestión. (Consultora) Auditoría interna previa a la certificación (Consultora) Certificación y obtención del Sello (Entidad Certificadora) 26/04/2011 4 PLAN AVANZA 2011

6. PYME sector TIC menor de 250 trabajadores y que el volumen de negocio anual no exceda de 50 millones de euros, o su balance general anual no exceda de 43 millones de euros. 26/04/2011 6 REQUISITOS

7. 26/04/2011 7 NORMA ISO 27001 Estándar internacional que certifica y proporciona el aseguramiento de la confidencialidad, integridad y disponibilidad de la información de las empresas. Para garantizar que la seguridad de la información se gestione correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización. Este proceso es lo que establece un SGSI. Para cualquier tipo de organización, ya sea pública o privada, pyme o gran corporación, la información es uno de los activos más importantes. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

8. 26/04/2011 8 NORMA ISO 20000 Proporciona al las organizaciones un planteamiento estructurado , para desarrollar servicios de tecnología de la información fiables y mejorar la satisfacción global de los clientes/empleados, así como mejorar continuamente la imagen como empresa. La norma internacional y su metodología puede ser aplicable a la propia organización y a los proveedores TI. Los factores de éxito de la implantación de la norma se basan en un enfoque de negocio, una visión práctica y ágil basada en la implantación por procesos y fases, para así hacer casi transparente la puesta en marcha de la metodología.

9. 26/04/2011 9 1 FASE: PROCESO DE CONSULTORIA DE IMPLANTACIÓN

10. BENEFICIOS ISO 27001 BENEFICIOS ISO 20000 A - La implantación de un SGSI según la Norma ISO/IEC 27001 proporciona a las organizaciones, independientemente de su tamaño o sector económico en el que realicen su actividad, los siguientes beneficios: Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos, en su SGSI. El cumplimiento de la legislación vigente sobre protección de datos de carácter personal (LOPD), comercio electrónico (LSSI), etc.… La garantía de continuidad del negocio. El incremento de los niveles de confianza de clientes y Partners, así como su diferenciación frente a la competencia, que mejorará nuestro posicionamiento. El aumento del valor comercial y mejora de la imagen corporativa de marca de la organización. Una mejora continua de la gestión de la seguridad y la organización. B - La implantación de la ISO 20000 Gestión de Servicios TI genera estos y otros beneficios en la empresa que la implanta: La provisión de un marco de comparación con las mejores prácticas, mejora de los servicios actualmente en desarrollo y sencillez en la identificación de la estrategia de negocio a futuro. La creación de una ventaja competitiva por medio de la prestación de servicios consistentes y económicamente eficaces. La reducción de los riesgos y, por lo tanto, reducción de los costos en términos de la recepción externa de los servicios. La mejora en la reputación y percepción. La mejora en las relaciones inter-departamentales por medio de una mejor definición de responsabilidades y objetivos. La creación de un marco robusto para la formación de recursos humanos y para la automatización de la gestión de los servicios. 26/04/2011 10

11. PROCESO IMPLANTACION ISO 20000 Alcance Políticas /Objetivos Análisis y Gestión de Riesgos Plan de Mejora Continua (PDCA) Procesos: 1. Procesos de Control y Entrega 2. Procesos de Resolución 3. Procesos de Provisión del Servicio 4. Procesos de Resolución Realización Auditoría Interna Revisión del sistema por la Dirección 26/04/2011 11 1 2 3 4 Duración 6 – 8 Meses Necesario un Responsable del Sistema por parte de la organización Dedicación aproximada 10%

12. PROCESO IMPLANTACION ISO 27001 Alcance Políticas /Objetivos Inventario de todos los activos de información Análisis y Gestión de Riesgos Plan de seguridad, Procedimientos de seguridad Cumplimiento Legal Plan de continuidad de negocio Plan de Mejora Continua (PDCA) Controles: 1.Seguridad de recursos humanos 2. Seguridad Física 3. Seguridad Lógica 4. Adquisición y desarrollo de SW Realización Auditoría Interna Revisión del sistema por la Dirección 26/04/2011 12 1 2 3 4 Duración 4– 6 Meses Necesario un Responsable del Sistema por parte de la organización Dedicación aproximada 10%

13. 26/04/2011 13 II FASE: PROCESO DE CERTIFICACIÓN

14. Recogida de Datos Comerciales. Visita Fase 1/Auditoria Documental. Visita Fase 2/Auditoria Certificación de Informe de Auditoria. En Caso de No conformidad/ Se emite a la Certificadora PAC. Evaluación por parte del Comité de Certificación. Emisión Certificado. 26/04/2011 Proceso de Certificación 14

15. 26/04/2011 15 Características de la Tramitación de Subvención Programa

16. El plazo de ejecución del proyecto es de Septiembre 2011 a Diciembre 2012. Es imprescindible rellenar los datos del cuestionario para poder participar en los mismos La subvención es adelantada en su totalidad, por lo que la empresa no tiene que hacer ningún desembolso económico. Coste mínimo para las pymes participantes (implantación y Certificación)* Los Trabajos de Consultoría se desarrollan hasta conseguir el certificado final de la empresa. 26/04/2011 16 Características de la tramitación de Subvención programa