Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 27001
Iso 27001
ISO/EIC 27000-series
La serie ofrece recomendaciones de mejores prcticas
en gestin de seguridad de la informacin, los riesgos y
los controles en el marco global del sistema de
gestin de seguridad de la informacin (SGSI).
La serie es deliberadamente amplio alcance, que abarca
mucho ms que la privacidad, la confidencialidad y de
TI o cuestiones tcnicas de seguridad.
SGSI:
SGSI:
ISO/EIC 27001
es un estndar para la seguridad de la informacin
aprobado y publicado como estndar internacional en
octubre de 2005 por Organizacin Internacional de
Estandarizacin(ISO)
y
por
la
Comisin
Internacional de Electrnica(EIC).
De acuerdo con su documentacin, fue desarrollada
para proporcionar un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI.
Implementacin
La versin 2002 de la norma BS 7799-2(BSI) present
el ciclo Planificar-Hacer-Verificar-Actuar (PDCA) (ciclo de
Deming), alinendola con las normas de calidad como
ISO 9000. Da nacimiento a 27001: 2005.
Ciclo PDCA
1. Plan (Planificar)
2. Do (Hacer)
3. Check (Verificar)
4. Act (Actuar)
1. Planificar
Establecer el SGSI
Consta:
Establecer la poltica
SGSI objetivos
Procesos y procedimientos relacionados con la gestin de
riesgos
La mejora de la seguridad de la informacin que
proporcionan los resultados en lnea con las polticas
Los objetivos globales de la organizacin.
2. Hacer
Implementacin y Funcionamiento del SGSI
Implementar y explotar los SGSI
I. Polticas
II. Controles
III. Procesos
IV. Procedimientos
3. Verificar
Seguimiento y Revisin del SGSI
Evaluar y medir el rendimiento de los procesos en
contra de la poltica, los objetivos y la experiencia
prctica e informar los resultados a la gerencia para
su revisin.
4. Actuar
Actualizacin y Mejora del SGSI
Llevar a cabo las acciones correctivas y preventivas,
sobre la base de los resultados de los SGSI auditora
interna y revisin por la direccin, u otra informacin
relevante para mejorar continuamente el mencionado
sistema.
Beneficio
Demuestra la garanta de los controles internos y cumple los requisitos de
gestin corporativa y de continuidad de la actividad comercial.
Demuestra que se respetan las leyes y normativas.
Proporciona una ventaja competitiva al cumplir los requisitos
contractuales y demostrar a los clientes que la seguridad de su
informacin es primordial.
Verifica que los riesgos de la organizacin estn correctamente
identificados, evaluados y gestionados al tiempo que formaliza unos
procesos, procedimientos y documentacin de proteccin de la
informacin.
Controles
Controles (cont.)
A.12: La seguridad de Operaciones (14 controles)
A.13: Seguridad de las Comunicaciones (7 controles)
A.14: adquisicin de sistemas, desarrollo y mantenimiento (13
controles)
A.15: Relaciones con los proveedores (5 controles)
A.16: gestin de incidentes de seguridad de la informacin (7
controles)
A.17: aspectos de seguridad de informacin de la gestin de la
continuidad del negocio (4 controles)
A.18: Cumplimiento; con los requisitos internos, como las polticas, y
con los requisitos externos, como las leyes (8 controles)
Certificacin
Es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita
el sistema
Tiene una duracin de 6 a 12 meses, dependiendo del
grado de madurez en seguridad de la informacin y el
alcance.
Su grado de implantacin real y su eficacia y, en caso
positivo, emite el correspondiente certificado.