Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normas-Leyes ISO 27000
Normas-Leyes ISO 27000
Deben demostrar que identifican y detectan los riesgos a los que est sometida y
que adoptan medidas adecuadas y proporcionadas.
Define cmo es el SGSI, cmo se gestiona y cales son las resposabilidades de los
participantes.
Recomendaciones sobre qu medidas tomar para asegurar los sistemas de informacin de una
organizacin
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la
informacin) y especifica los controles recomendables a implantar (medidas a tomar)
Antes ISO 17799, basado en estndar BS 7799 (en Espaa norma UNE-ISO 17799)
ISO/IEC 27007: gua de actuacin para auditar los SGSI conforme a las
normas 27000
ISO/IEC 27011: gua de gestin de seguridad de la informacin
especfica para telecomunicaciones (en desarrollo)
ISO/IEC 27001
ISO/IEC 27001
Fase Planificacin (Plan) [establecer el SGSI]: Establecer la
poltica,objetivos, procesos y procedimientos relativos a la
gestin del riesgo y mejorar la seguridad de la informacin de la
organizacin para ofrecer resultados de acuerdo con las
polticas y objetivos generales de la organizacin.
Fase Ejecucin (Do) [implementar y gestionar el SGSI]:
Implementar y gestionar el SGSI de acuerdo a su poltica,
controles, procesos y procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar el SGSI]:
Medir y revisar las prestaciones de los procesos del SGSI.
Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar
acciones correctivas y preventivas basadas en auditoras y
revisiones internas en otra informacin relevante a fin de
alcanzar la mejora contnua del SGSI.
ISO/IEC 27001
PLAN: Establecimiento
y gestin del SGSI
definir el alcance del sistema
de gestin
definir la poltica del SGSI
definir la metodologa para la
valoracin del riesgo
ISO/IEC 27002
ISO/IEC 27002
Areas/secciones sobre las que actuar:
Poltica de seguridad
Aspectos organizativos para la
seguridad
Clasificacin y control de activos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y
operaciones
Control de accesos
Desarrollo y mantenimiento de
sistemas
Gestin de incidentes de seguridad de
la informacin
Gestin de continuidad de negocio
Conformidad
ISO/IEC 27002
Legislacin
Leyes aplicables en relacin con la Seguridad en los
Sistemas de Informacin
Ley Orgnica de Proteccin de Datos (LOPD)
Proteccin de Datos
Todas las organizaciones que tengan ficheros con datos personales
han de declararlos a la Agencia Espaola de Proteccin de Datos
(www.agpd.es)
Hay que implantar un documento de seguridad
Ficheros de datos personales clasificados en tres niveles:
Bsico: Ficheros con informacin personal
Medio: Ficheros con datos relativos a la comisin de infracciones administrativas,
Hacienda Pblica, Servicios financieros, as como los ficheros para la prestacin
de servicios de informacin sobre solvencia patrimonial y de crdito
Alto: Ficheros con datos sobre ideologa, religin, creencias, origen racial, salud o
vida sexual, as como los datos recabados para fines policiales sin consentimiento
del afectado
LSSI-CE
Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad
de la Informacin y del Comercio Electrnico LSSI-CE (
www.lssi.es)
Establece los criterios de servicios en Internet, cuando
sean parte de actividad econmica.
Validez y regulacin del comercio electrnico
LSSI-CE