SlideShare una empresa de Scribd logo

Presentación Norma UNE-ISO/IEC 27001

Descargar como PPTX, PDF
O
Orlin Jose Reyes

ISO/IEC 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información. La norma requiere que una organización documente su sistema, incluyendo políticas, procedimientos, análisis de riesgos e inventario de activos. También requiere auditorías internas, compromiso de la dirección y mejora continua del sistema.

Tecnología
1 de 13
ORLIN JOSE REYES DERAS 20142000833 Presentacion sobre 1
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema.
El sistema constará de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
Establecimiento y gestión del SGSI
1.Establecimiento del SGSI: La norma establece una serie de requisitos: Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. 2. Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. 3. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. 4. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización.
5. Definición del enfoque del análisis de riesgos: El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados. 6. Cómo escoger la metodología del análisis de riesgos: Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuáles son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con más recursos y esfuerzos en los temas que más lo necesitan. 7. Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. • Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.
8. Selección de controles: La selección de controles es un punto crítico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta qué punto ese control va a ayudar sobre seguridad en sistemas de información para pymes a reducir el riesgo que hay y cuál va a ser el coste de su implementación y mantenimiento. 9. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo. 10. Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. 11. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
12. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13. Mantenimiento y mejora del SGSI: Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
Requisitos de documentación
1.Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
2. Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). 3. Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes de auditorías y los logs de los sistemas. 4. Compromiso de la dirección: Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
5. Gestión de los recursos: Ela dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. 6. Formación: Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. 7. Auditorías internas: Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías.
8. Revisión por la dirección: La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Entre estas revisiones tenemos : Entradas a la revisión y Salidas de la revisión 9. Mejora continua: La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Realizando: Acción correctiva y Acción preventiva 10. El anexo A: El anexo A contiene los 133 controles considerados como las mejores prácticas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles.

Recomendados

Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 

Recomendados

Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
Jennyfer Cribas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
Mitcheel Matute
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : ResumenDavid Herrero
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Diego Cueva Córdova
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
ISOTools Chile
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 

Más contenido relacionado

La actualidad más candente

SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
Jennyfer Cribas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
Mitcheel Matute
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
ISOTools Chile
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 

La actualidad más candente (20)

SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Iso27001
Iso27001Iso27001
Iso27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 

Similar a Presentación Norma UNE-ISO/IEC 27001

SGSI
SGSISGSI
SGSI
Angelica Lopez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
ssuserd8dfec
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemasgrangurusv
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
Hansel Rodriguez
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
Omar Hernandez
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
Juan Fernando Jaramillo
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
Alfredo Silva
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIA
p8078c
 
Trabajo Final
Trabajo FinalTrabajo Final
Trabajo Final
Maria de Jesus Reyes Betancourt
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Planificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iPlanificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iAndres Anibal Nuñez Cuello
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nAnadolore Tejada
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
lizbasile
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
Alexzander Rivas Huerto
 

Similar a Presentación Norma UNE-ISO/IEC 27001 (20)

SGSI
SGSISGSI
SGSI
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
 
A
AA
A
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIA
 
Trabajo Final
Trabajo FinalTrabajo Final
Trabajo Final
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Planificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iPlanificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria i
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3n
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 

Último

EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
durangense277
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
espinozaernesto427
 

Último (20)

EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
 

Presentación Norma UNE-ISO/IEC 27001

  • 1. ORLIN JOSE REYES DERAS 20142000833 Presentacion sobre 1
  • 2. ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema.
  • 3. El sistema constará de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
  • 5. 1.Establecimiento del SGSI: La norma establece una serie de requisitos: Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. 2. Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. 3. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. 4. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización.
  • 6. 5. Definición del enfoque del análisis de riesgos: El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados. 6. Cómo escoger la metodología del análisis de riesgos: Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuáles son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con más recursos y esfuerzos en los temas que más lo necesitan. 7. Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. • Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.
  • 7. 8. Selección de controles: La selección de controles es un punto crítico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta qué punto ese control va a ayudar sobre seguridad en sistemas de información para pymes a reducir el riesgo que hay y cuál va a ser el coste de su implementación y mantenimiento. 9. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo. 10. Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. 11. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
  • 8. 12. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13. Mantenimiento y mejora del SGSI: Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
  • 10. 1.Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
  • 11. 2. Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). 3. Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes de auditorías y los logs de los sistemas. 4. Compromiso de la dirección: Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
  • 12. 5. Gestión de los recursos: Ela dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. 6. Formación: Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. 7. Auditorías internas: Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías.
  • 13. 8. Revisión por la dirección: La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Entre estas revisiones tenemos : Entradas a la revisión y Salidas de la revisión 9. Mejora continua: La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Realizando: Acción correctiva y Acción preventiva 10. El anexo A: El anexo A contiene los 133 controles considerados como las mejores prácticas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles.