El documento describe una subvención del Plan Avanza 2011 para la implantación y certificación de sistemas de gestión de seguridad de la información (ISO 27001) y gestión de servicios de TI (ISO 20000) en PYMES. Incluye información sobre los requisitos, procesos de implantación y certificación, y costes elegibles para la subvención.

1. 26/04/20111Subvenciones PLAN AVANZA 2011- Implantación y Certificación Gestión de servicios de TI(Norma ISO/IEC 20000)- Implantación y Certificación de Sistemas de Gestión de la Seguridad de la Información.(Norma ISO/IEC 27001)

2. PLAN AVANZA 2011El Plan Avanza es el plan del gobierno orientado a conseguir la adecuada utilización de las TIC, contribuyendo así al éxito de un modelo de crecimiento económico basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional y la mejora del bienestar y la calidad de vida de los ciudadanos. Se pretende alcanzar la media europea en los indicadores de la Sociedad de la Información. El Plan Avanza está diseñado y promovido por el Ministerio de Industria, Turismo y Comercio (Mityc). Su ejecución se articula mediante objetivos específicos para cada Comunidad Autónoma, sin cuya coordinación y cooperación no sería posible alcanzar los objetivos marcados. Ayudas para apoyar a las empresas PYMES del sector TIC.26/04/20112

3. Se van a presentar dos proyectos al Ministerio de Industria Comercio y Turismo en la convocatoria del Plan Avanza para la obtención de las Certificación de las normas UNE-ISO/IEC 27001:2007 y UNE-ISO/IEC 20000-1:2007. ITsencial e IDN, ofrecen la posibilidad de participar de esta iniciativa, asegurando el proceso de elaboración de proyecto, presentación, gestión, ejecución y posterior justificación.Ámbito de interés Normativo:ISO -27001 : Sistema de Gestión de la Seguridad de la Información (SGSI) ISO -20000 : Gestión de servicios TI 26/04/20113PLAN AVANZA 2011

4. Las subvenciones disponibles reconocidas por el Programa, cubrirán prácticamente todos los costes de todo el proceso:Consultoría de Implantación del Sistema de Gestión. (Consultora) Auditoría interna previa a la certificación (Consultora) Certificación y obtención del Sello (Entidad Certificadora) 26/04/20114PLAN AVANZA 2011

5. 26/04/20115PLAN AVANZA 2011Participantes del ProyectoAPETIAsociación Provincial de empresas de tecnologías de la informaciónCertificadoraPendiente de Seleccionar.Entidad Certificadora reconocida por ENAC.ITsencial / IDNConsultoras para la implantación de la Norma.PYMES sector TIC.

6. PYME sector TIC menor de 250 trabajadores y que el volumen de negocio anual no exceda de 50 millones de euros, o su balance general anual no exceda de 43 millones de euros.26/04/20116REQUISITOS

7. 26/04/20117NORMA ISO 27001Estándar internacional que certifica y proporciona el aseguramiento de la confidencialidad, integridad y disponibilidad de la información de las empresas. Para garantizar que la seguridad de la información se gestione correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización. Este proceso es lo que establece un SGSI. Para cualquier tipo de organización, ya sea pública o privada, pyme o gran corporación, la información es uno de los activos más importantes. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

8. 26/04/20118NORMA ISO 20000Proporciona al las organizaciones un planteamiento estructurado , para desarrollar servicios de tecnología de la información fiables y mejorar la satisfacción global de los clientes/empleados, así como mejorar continuamente la imagen como empresa. La norma internacional y su metodología puede ser aplicable a la propia organización y a los proveedores TI. Los factores de éxito de la implantación de la norma se basan en un enfoque de negocio, una visión práctica y ágil basada en la implantación por procesos y fases, para así hacer casi transparente la puesta en marcha de la metodología.

9. 26/04/201191 FASE:PROCESO DE CONSULTORIA DE IMPLANTACIÓN

10. BENEFICIOS ISO 27001BENEFICIOS ISO 20000A - La implantación de un SGSI según la Norma ISO/IEC 27001 proporciona a las organizaciones, independientemente de su tamaño o sector económico en el que realicen su actividad, los siguientes beneficios: Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos, en su SGSI. El cumplimiento de la legislación vigente sobre protección de datos de carácter personal (LOPD), comercio electrónico (LSSI), etc.… La garantía de continuidad del negocio. El incremento de los niveles de confianza de clientes y Partners, así como su diferenciación frente a la competencia, que mejorará nuestro posicionamiento. El aumento del valor comercial y mejora de la imagen corporativa de marca de la organización. Una mejora continua de la gestión de la seguridad y la organización. B - La implantación de la ISO 20000 Gestión de Servicios TI genera estos y otros beneficios en la empresa que la implanta:La provisión de un marco de comparación con las mejores prácticas, mejora de los servicios actualmente en desarrollo y sencillez en la identificación de la estrategia de negocio a futuro. La creación de una ventaja competitiva por medio de la prestación de servicios consistentes y económicamente eficaces. La reducción de los riesgos y, por lo tanto, reducción de los costos en términos de la recepción externa de los servicios. La mejora en la reputación y percepción. La mejora en las relaciones inter-departamentales por medio de una mejor definición de responsabilidades y objetivos. La creación de un marco robusto para la formación de recursos humanos y para la automatización de la gestión de los servicios. 26/04/201110

11. PROCESO IMPLANTACION ISO 20000AlcancePolíticas /ObjetivosAnálisis y Gestión de RiesgosPlan de Mejora Continua (PDCA) Procesos:1. Procesos de Control y Entrega2. Procesos de Resolución3. Procesos de Provisión del Servicio4. Procesos de Resolución Realización Auditoría InternaRevisión del sistema por la Dirección26/04/2011111234Duración 6 – 8 Meses Necesario un Responsable del Sistema por parte de la organizaciónDedicación aproximada 10%

12. PROCESO IMPLANTACION ISO 27001AlcancePolíticas /Objetivos Inventario de todos los activos de informaciónAnálisis y Gestión de RiesgosPlan de seguridad, Procedimientos de seguridad Cumplimiento Legal Plan de continuidad de negocio Plan de Mejora Continua (PDCA)Controles:1.Seguridad de recursos humanos2. Seguridad Física3. Seguridad Lógica4. Adquisición y desarrollo de SWRealización Auditoría InternaRevisión del sistema por la Dirección26/04/2011121234Duración 4– 6 Meses Necesario un Responsable del Sistema por parte de la organizaciónDedicación aproximada 10%

13. 26/04/201113II FASE:PROCESO DE CERTIFICACIÓN

14. Recogida de Datos Comerciales.Visita Fase 1/Auditoria Documental.Visita Fase 2/Auditoria Certificación de Informe de Auditoria.En Caso de No conformidad/ Se emite a la Certificadora PAC.Evaluación por parte del Comité de Certificación.Emisión Certificado.26/04/2011Proceso de Certificación14

15. 26/04/201115Características de la Tramitación de Subvención Programa

16. El plazo de ejecución del proyecto es de Septiembre 2011 a Diciembre 2012.Es imprescindible rellenar los datos del cuestionario para poder participar en los mismosLa subvención es adelantada en su totalidad, por lo que la empresa no tiene que hacer ningún desembolso económico.Coste mínimo para las pymes participantes (implantación y Certificación)*Los Trabajos de Consultoría se desarrollan hasta conseguir el certificado final de la empresa.26/04/201116Características de la tramitación de Subvención programa

17. 26/04/201117ISO 27001Certificación Gestión de Seguridad ISO 27001 Subvención PLAN AVANZA (50 % máximo)……………………… 10.000 €

18. Justificación necesaria……………………… ………………………. 20.260 €IMPLANTACIÓN Y CERTIFICACION ISO 27001 Consultoría e Implantación ……………….………….…………… 8.220 €

19. Certificación ………………………………………………………….. . 2.200 €GASTOS PERSONAL PROPIO Personal Propio + Gastos Generales Supl (20%)………………… 9.840 €LA SUBVENCIÓN TOTAL DEL PROYECTO ES DEL 95% / 90% / 80 % DELPERSONAL PROPIO JUSTIFICADO(*).*El Coste a asumir por la organización es de:< 10 Empleados 410 € >10 Empleados 820 € >25 Empleados 1.640 €Gastos que se justificaran con los costes propios del personal de la empresa Ejm: Nominas,SSGG,TCs.

20. Todas las gestiones serán realizadas por el organismo Intermedio.26/04/201118ISO 20000Certificación Gestión de Seguridad ISO 20000 Subvención PLAN AVANZA (50 % máximo)……………………… 13.000 €

21. Justificación necesaria……………………… ………………………. 26.080 €IMPLANTACIÓN Y CERTIFICACION ISO 20000 Consultoría e Implantación ……………….………….…………… 11.220 €

22. Certificación ………………………………………………………….. . 2.200 €GASTOS PERSONAL PROPIO Personal Propio + Gastos Generales Supl (20%)………………… 12.840 €LA SUBVENCIÓN TOTAL DEL PROYECTO ES DEL 95% / 90% DELPERSONAL PROPIO JUSTIFICADO(*).*El Coste a asumir por la organización es de:< 10 Empleados 560 € >10 Empleados 1.120 €Gastos que se justificaran con los costes propios del personal de la empresa Ejm: Nominas,SSGG,TCs.

23. Todas las gestiones serán realizadas por el organismo Intermedio.Muchas gracias26/04/201119