Descargar para leer sin conexión
SGSI
- 1. •Asignatura: Administracion publicay Politica Informatica •Tema: La Norma UNE-ISO/IEC 27001. •Catedratico: Ing. Guillermo Brand. •Alumno: Milton Robles. 12-Jun-17 •Asignatura: Administracion publica y Politica Informatica •Tema: La Norma UNE-ISO/IEC 27001. •Catedratico: Ing. Guillermo Brand. •Alumno: Milton Robles. 12-Jun-17
- 2. • Es unaparte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Fuente:Norma UNE-ISO/IEC 27001 • Es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Fuente:Norma UNE-ISO/IEC 27001
- 3. • Incluye laspolíticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Incluye las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan.
- 6. • Procesos porlos cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. • Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito.
- 7. • Contendrá lasdirectrices generales, la estrategia a seguir a la de establecer objetivos y líneas de actuación. • Contendrá las directrices generales, la estrategia a seguir a la de establecer objetivos y líneas de actuación.
- 8. • Detallara losactivos dentro del alcance del SGSI, así como los propietarios y la valoración. • Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración.
- 9. • Se basanen la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • respecto a los riesgos identificados, así como la de los riesgos residuales.. • respecto a los riesgos identificados, así como la de los riesgos residuales..
- 10. • Con larelación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección • Con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección • Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. • Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. • Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable • Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable
- 11. • Especifica quelos controles deben ser seleccionados de entre los listados de la propia norma UNE- ISO/IEC 27002. • Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE- ISO/IEC 27002. • Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas • Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas • Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. • Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección.
- 12. • La direccióntiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades. • La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades. • Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. • Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. • Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable. • Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
- 14. • La políticay los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
- 15. • Los documentosrequeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). • Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). • Son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de Registros son el libro de visitas, los informes de auditorías y los de los sistemas. • Son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de Registros son el libro de visitas, los informes de auditorías y los de los sistemas. • Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información. • Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
- 16. • La direcciónes la que gestiona los recursos, provee recursos al desarrollo y mantenimiento SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. • La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. • La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente) • La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente) • Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros. • Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
- 17. • Se deberevisar el SGSI de manera periódica para garantizar la adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. • Se debe revisar el SGSI de manera periódica para garantizar la adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. • Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. • Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. • Aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora del sistema. • Aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora del sistema.
- 18. • La mejoracontinua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. • La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. • Se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. • Se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. • se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. • se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos.
- 19.