P. 1
NTC-ISO IEC 27001

NTC-ISO IEC 27001

|Views: 5|Likes:

More info:

Published by: Eduardo Perez Garcia on Jun 14, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/04/2015

pdf

text

original

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

AGENDA
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS ¿QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC 27001:2005? CONTENIDO NORMA ISO/IEC 27001:2005 METODOLOGÍA Y CICLO DE IMPLEMENTACIÓN DOMINIOS DE SEGURIDAD

procesos y recursos necesarios para implantar la gestión de la seguridad de la información. INTEGRIDAD Y DISPONIBILIDAD. Un SGSI se implanta de acuerdo a estándares de seguridad como el ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799.SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Es un sistema de gestión que comprende la política. procedimientos. . el cual se centra en la preservación de las características de CONFIDENCIALIDAD. estructura organizativa.

Confidencialidad Acceso a la información por parte únicamente de quienes mmmm mmm estén autorizados. Disponibilidad Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.CONCEPTOS BÁSICOS Activo Se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Integridad Mantenimiento de la exactitud y completitud de la mmmmmmmm información y sus métodos de proceso. .

. métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones.Information Technology Security techniques”. es la evolución certificable del código de buenas prácticas ISO 17799.¿QUÉ ES LA NORMA ISO/IEC 27001? La norma “ISO/IEC 27001:2005. ¿QUÉ APORTA LA CERTIFICACIÓN ISO/IEC 27001? Avala la adecuada implantación. gestión y operación de todo lo relacionado con la implantación de un SGSI. siendo la norma más completa que existe en la implantación de controles.

. Las auditorias externas e internas permiten identificar posibles debilidades del sistema.BENEFICIOS PARA LA CRA Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. Continuidad en las operaciones del negocio tras incidentes de gravedad. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. Reducción de riesgos de pérdida. Los riesgos y sus respectivos controles son revisados constantemente. Los usuarios tienen acceso a la información de manera segura. lo que se traduce en confianza. robo o corrupción de la información. Proporciona confianza y reglas claras al personal de la empresa.

ORIGEN NORMA ISO/IEC 27001? .

Revisión del SGSI por la dirección 8. Resumen de controles Anexo B. Términos y definiciones 4. Mejora de SGSI Anexo A. Auditorias internas del SGSI 7. Objeto 2.CONTENIDO NORMA ISO/IEC 27001:2005 • • • • • • • • • • • • • 0. Referencias normativas 3. Correspondencia con otras normas Bibliografía . Introducción 1. Relación con los Principios de la OCDE Anexo C. Responsabilidades de la Dirección 6. Sistema de gestión de la seguridad de la información 5.

• Definición de Política y objetivos • Determinación del Alcance • Valoración de Activos • Análisis de riesgos • Gestionar de riesgos •Seleccionar los controles ISO 17799:2005 • Implantar las mejoras • Adoptar acciones preventivas y correctivas • Comunicar acciones y resultados • Verificar que las mejoras cumplen su objetivo P A V H • Definir e implantar plan de gestión de riesgos • Implantar controles seleccionados y sus indicadores • Implantar el Sistema de Gestión • Revisión Gerencial • Desarrollar procesos de monitorización • Revisar regularmente el SGSI • Revisar los niveles de riesgo • Auditar internamente el SGSI .

DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Confidencialidad GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO CUMPLIMIENTO DE POLÍTICAS Y NORMATIVIDAD LEGAL .POLÍTICA DE SEGURIDAD ORGANIZACIÓN DE SEGURIDAD Integridad GESTIÓN DE ACTIVOS SEGURIDAD DE LOS RECURSOS HUMANOS SEGURIDAD FÍSICA Y DEL ENTORNO Disponibilidad INFORMACIÓN GESTIÓN DE COMUNICACIONES Y OPERACIONES CONTROL DE ACCESO ADQUISICIÓN.

POLÍTICA DE SEGURIDAD Objetivo: • Política de seguridad de la información: brindar apoyo y orientación a la dirección con respecto a la seguridad de la información. de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. .

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: • Organización Interna: gestionar la seguridad de la información dentro de la organización. . comunicados o dirigidos por éstas. • Partes Externas: mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso partes externas o que son procesados.

GESTIÓN DE ACTIVOS Objetivo: • Responsabilidad por los activos: lograr y mantener la protección adecuada de los activos organizacionales. •Clasificación de la información: asegurar que la información recibe el nivel de protección adecuado. .

contratistas y usuarios de terceras partes estén consientes de las amenazas y preocupaciones respecto a la seguridad de la información. •Terminación o cambio de contratación laboral: asegurar que los empleados. . los contratistas y los usuarios de terceras partes salen de la organización o cambian su contrato laboral de forma ordenada. y reducir el riesgo de robo. contratistas.SEGURIDAD DE LOS RECURSOS HUMANOS Objetivo: • Antes de la contratación laboral: asegurar que los empleados. sus responsabilidades y sus deberes y que estén equipados para apoyar la política de seguridad de la organización en transcurso de su trabajo normal. al igual que reducir el riesgo de error humano. •Durante la vigencia de la contratación laboral: asegurar que todos los empleados. y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera. fraude o uso inadecuado de las instalaciones.

SEGURIDAD FÍSICA Y DEL ENTORNO Objetivo: • Áreas seguras: evitar el acceso físico no autorizado. robo o puesta en peligro de los activos y la interrupción de las actividades de la organización. daño. . el daño e interferencia a las instalaciones y a la información de la organización. • Seguridad de los equipos: evitar pérdida.

• Planificación y aceptación del Sistema: minimizar el riesgo de fallas de los sistemas. • Procedimientos operacionales y responsabilidades: la • Gestión de la prestación del servicio por terceras partes: implementar y mantener un grado adecuado de seguridad de la información y de la prestación del servicio. de conformidad con los acuerdos de prestación del servicio por terceras partes. .GESTIÓN DE COMUNICACIONES Y OPERACIONES Objetivo: asegurar operación correcta y segura de los servicios de procesamiento de información.

GESTIÓN DE COMUNICACIONES Y OPERACIONES Objetivo: • Protección contra códigos maliciosos y móviles: proteger la integridad del software y de la información. modificación. • Respaldo: mantener la disponibilidad de la información y de los servicios de procesamiento de información. y la interrupción en las actividades del negocio. . • Manejo de los medios: evitar la divulgación. retiro o destrucción de activos no autorizada. • Gestión de la seguridad de las redes: asegurar la protección de la información en las redes y la protección de la infraestructura de soporte.

• Servicios de comercio electrónico: garantizar la seguridad de los servicios de comercio electrónico. • Monitoreo: detectar actividades de procesamiento de la información no autorizadas.GESTIÓN DE COMUNICACIONES Y OPERACIONES Objetivo: • Intercambio de la Información: mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa. y su utilización segura. .

el robo o la puesta en peligro de la información y de los servicios de procesamiento de información. • Gestión del acceso de usuarios: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información.CONTROL DE ACCESO Objetivo: • Requisito del negocio para el control de acceso: controlar el acceso a la información. • Responsabilidades de los usuarios: evitar el acceso de usuarios no autorizados. . •Control de acceso a las redes: evitar el acceso no autorizado a servicios en red.

• Computación móvil y trabajo remoto: garantizar la seguridad de la información cuando se utilizan dispositivos de computación móviles y de trabajo remoto.CONTROL DE ACCESO Objetivo: • Control de acceso al sistema operativo: evitar el acceso no autorizado a los sistemas operativos. . • Control de acceso a las aplicaciones y a la información: evitar el acceso no autorizado a la información contenida en los sistemas de información.

• Procesamiento correcto en las aplicaciones: evitar errores. por medios criptográficos. modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones. DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Objetivo: • Requisitos de seguridad de los sistemas de información: garantizar que la seguridad es parte integral de los sistemas de información.ADQUISICIÓN. . autenticidad o integridad de la información. • Controles criptográficos: proteger la confidencialidad. pérdidas.

.ADQUISICIÓN. DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Objetivo: • Seguridad de los archivos del sistema: garantizar la seguridad de los archivos del Sistema. • Gestión de la vulnerabilidad técnica: reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. • Seguridad en los procesos de desarrollo y soporte: mantener la seguridad del software y de la información del sistema de aplicaciones.

GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: • Reporte sobre los eventos y las debilidades de la seguridad de la información: asegurar que los eventos y las debilidades de la seguridad de la información asociados con los sistemas de información se comunican de forma tal que permiten tomar las acciones correctivas oportunamente. • Gestión de los incidentes y las mejoras en la seguridad de la información: asegurar que se aplica un enfoque consistente y eficaz para la gestión de los incidentes de seguridad de la información. .

de la gestión de la continuidad del negocio: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres. .GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Objetivo: • Aspectos de seguridad de la información. y asegurar su recuperación oportuna.

CUMPLIMIENTO Objetivo: • Cumplimiento de los requisitos legales: evitar el incumplimiento de cualquier ley de obligaciones estatutarias. • Consideraciones de la auditoria de los sistemas de información: maximizar la eficacia de los procesos de auditoria de los sistemas de información y minimizar su interferencia. . reglamentarias o contractuales y de cualquier requisito de seguridad. • Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico: asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.

en su condición de entidad adscrita al Ministerio de Ambiente. OBJETIVOS Identificar. Vivienda y Desarrollo Territorial. mediante la aplicación del Sistema de Administración de Riesgos conocido por toda la Entidad. los cuales le proporcionan a la misma. Implementar controles para fortalecer las estrategias de seguridad de la Información. donde el compromiso y la participación de sus integrantes es trascendental. . Lograr que todos los servidores de la CRA se concienticen de la importancia de la implementación del SGI. Analizar y determinar el nivel de riesgo existente en los procesos y objetivos de la Entidad. el flujo y generación de información hacia las partes interesadas. por esta razón la Dirección Ejecutiva ha resuelto cumplir los requerimientos de la norma ISO 27001:2005.PROPUESTA POLÍTICA DE SEGURIDAD La Comisión de Regulación de Agua Potable y Saneamiento Básico – CRA. integridad y disponibilidad de la información que gestiona y almacena. a fin de garantizar la mejora continua en el Sistema Integrado de Gestión y Control. la preservación de la confidencialidad. clasificar y valorar los activos de Información dentro de la Entidad. en su calidad de entidad pública. tiene como base para el cumplimiento de sus funciones regulatorias.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->