Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Iso 27001

    Cargado por

    Luisdaocho
    48 vistas5 páginas
    Norma ISO 27001, artículo auditoriasistemasucb.pbworks.com/f/ISO+27001.doc

    Título original

    ISO 27001

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Norma ISO 27001, artículo auditoriasistemasucb.pbworks.com/f/ISO+27001.doc

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    48 vistas5 páginas

    Iso 27001

    Cargado por

    Luisdaocho
    Norma ISO 27001, artículo auditoriasistemasucb.pbworks.com/f/ISO+27001.doc

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    INTRODUCCIN

    La informacin tiene una importancia fundamental para el funcionamiento y quiz


    incluso sea decisiva para la supervivencia de una organizacin. El hecho de disponer de
    la certificacin segn ISO/IEC 27001 le ayuda a gestionar y proteger sus activos de
    informacin.
    ISO 27001
    El estndar para la seguridad de la informacin ISO/IEC 27001 (Information
    technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en Octubre de
    2005 por International Organization for Standardization y por la comisin International
    Electrotechnical Commission.
    Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
    Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo
    de Deming: PDCA - acrnimo de Plan, Do, Check, Act.

    Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de


    riesgos de seguridad de la informacin y la seleccin de controles adecuados.

    Do (hacer): es una fase que envuelve la implantacin y operacin de los


    controles.

    Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
    desempeo (eficiencia y eficacia) del SGSI.

    Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar
    de vuelta el SGSI a mximo rendimiento.

    La ISO/IEC 27001:2005 est compuesta para ser adecuada a diferentes tipos de usos,
    incluidos, entre otros, los siguientes:

    Uso dentro de las organizaciones para formular requerimientos y objetivos de


    seguridad.
    Uso dentro de las organizaciones como una forma de asegurar que los riesgos de
    seguridad estn gestionados efectivamente.
    Uso de las organizaciones para proveer a los clientes informacin relevante
    acerca de la seguridad de informacin.
    Uso de parte de la gerencia de la organizacin para determinar el estado de las
    actividades de la administracin de la seguridad de la informacin.

    SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

    Un Sistema de Gestin de la seguridad de la Informacin (SGSI) es, como el nombre lo


    sugiere, un conjunto de polticas de administracin de la informacin. El trmino es
    utilizado principalmente por la ISO/IEC 27001.
    El trmino se denomina en ingls "Information Security Management System" (ISMS).
    El concepto clave de un SGSI es para una organizacin el diseo, implantacin,
    mantenimiento de un conjunto de procesos para gestionar eficientemente la
    accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y
    disponibilidad de los activos de informacin minimizando a la vez los riesgos de
    seguridad de la informacin.
    Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante un largo
    tiempo adaptndose a los cambios internos de la organizacin as como los externos del
    entorno.
    Ello ayuda a proteger los activos de informacin y otorga confianza a cualquiera de las
    partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos
    para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
    ISO/IEC 27001 es la nica norma internacional auditable que define los requisitos para
    un sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha
    concebido para garantizar la seleccin de controles de seguridad adecuados y
    proporcionales.
    CONTROLES

    Un Control es lo que permite garantizar que cada aspecto, que se valor


    con un cierto riesgo, queda cubierto y auditable.

    Control abarca todo el conjunto de acciones, documentos, medidas a adoptar,


    procedimientos, medidas tcnicas, etc.

    Poltica de seguridad.
    - Poltica de seguridad (Nivel poltico o estratgico de la organizacin): Define las
    grandes lneas a seguir y el nivel de compromiso de la direccin con ellas.
    - Plan de Seguridad (Nivel de planeamiento o tctico): Define el Cmo. Es decir, baja
    a un nivel ms de detalle, para dar inicio al conjunto de acciones o lneas rectoras que se
    debern cumplir.
    Organizacin de la informacin de seguridad.

    - Organizacin Interna: Compromiso de la Direccin, coordinaciones,


    responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con
    autoridades y grupos de inters en temas de seguridad, revisiones independientes.
    - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a
    clientes y socios de negocio.
    Administracin de recursos
    - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo
    aceptable de los mismos.
    - Clasificacin de la informacin: Guas de clasificacin y Denominacin, identificacin
    y tratamiento de la informacin.
    Seguridad de los recursos humanos.
    - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, trminos y
    condiciones de empleo.
    - Durante el empleo: Administracin de responsabilidades, preparacin, educacin y
    entrenamiento en seguridad de la informacin, medidas disciplinarias.
    - Finalizacin o cambio de empleo: Finalizacin de responsabilidades, devolucin de
    recursos, revocacin de derechos.
    Seguridad fsica y del entorno
    - reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas, seguridad
    de locales edificios y recursos, proteccin contra amenazas externas y del entorno, el
    trabajo en reas e seguridad, accesos pblicos, reas de entrega y carga.
    - Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de soporte a
    los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el
    equipamiento fuera de la organizacin, seguridad en la redistribucin o reutilizacin de
    equipamiento, borrado de informacin y/o software.
    QUINES LA UTILIZAN?
    ISO/IEC 27001 es una norma adecuada para cualquier organizacin, grande o pequea,
    de cualquier sector o parte del mundo. La norma es particularmente interesante si la
    proteccin de la informacin es crtica, como en finanzas, sanidad sector pblico y
    tecnologa de la informacin (TI).
    ISO/IEC 27001 tambin es muy eficaz para organizaciones que gestionan la
    informacin por encargo de otros, por ejemplo, empresas de subcontratacin de TI.
    Puede utilizarse para garantizar a los clientes que su informacin est protegida

    BENEFICIOS
    Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
    Reduccin del riesgo de prdida, robo o corrupcin de informacin.

    Los clientes tienen acceso a la informacin a travs medidas de seguridad.


    Los riesgos y sus controles son continuamente revisados.
    Confianza de clientes y socios estratgicos por la garanta de calidad y
    confidencialidad comercial.
    Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y
    las reas a mejorar.
    Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001,
    OHSAS 18001).
    Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
    Conformidad con la legislacin vigente sobre informacin personal, propiedad
    intelectual y otras.
    Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
    Confianza y reglas claras para las personas de la organizacin.
    Reduccin de costes y mejora de los procesos y servicio.
    Aumento de la motivacin y satisfaccin del personal.
    Aumento de la seguridad en base a la gestin de procesos en vez de en la compra
    sistemtica de productos y tecnologas.

    IMPLEMENTACIN
    La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener
    una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
    informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a
    estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En
    general, es recomendable la ayuda de consultores externos. El equipo de proyecto de
    implantacin debe estar formado por representantes de todas las reas de la
    organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado
    por consultores externos especializados en seguridad informtica, derecho de las nuevas
    tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin
    (que hayan realizado un curso de implantador de SGSI).

    REFERENCIAS
    ISO/IEC 27001 Seguridad de la informacin.(s.f.). Recuperado el 18/02/2010, de
    http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/ISOIEC-27001
    ISO/IEC 27001:2005.(s.f.). Recuperado el 18/02/2010, de
    http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?
    csnumber=42103
    La serie 27000.(s.f.). Recuperado el 18/02/2010, de
    http://www.iso27000.es/iso27000.html

    También podría gustarte