ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Por: Alejandro Corletti Estrada
acorletti@hotmail.com
Temario
PRIMERA PARTE
Temario:
Introduccin e historia de la norma.
Su verdadero significado internacional.
El SGSI (Sistema de Gestin de la Seguridad de la Informacin).
La definicin del mbito a implementar la norma.
El anlisis de riesgo.
Los cursos de accin posibles.
La declaracin de intenciones de la Direccin.
Temario
SEGUNDA PARTE
Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de accin.
Inicio del rodaje.
Definicin de los controles a aplicar.
Avance grupo a grupo.
Relacin documental.
Auditora interna.
Soluciones y mejoras.
Reintegracin/reingeniera inicial del SGSI.
Solicitud y preparacin de la Auditora y/o preauditora.
Solucin de Observaciones y no conformidades.
Introduccin e Historia de la Norma
Tiene sus orgenes desde los 90`en el BS7799.
Se transforma en ISO17799.
En el 2004 AENOR UNE 71502 Especificaciones para los SGSI.
Octubre 2005 ISO27001:2005.
Septiembre 2007 AENOR ISO/UNE27001.
Situacin Actual (Familia 27000):
Publicadas:
2005 ISO27001 (Certificable).
2007 ISO 27006 (regula los organismos de certificacin, alineada con 17021).
2007 ISO27002 (gua de controles, Ex 17799).
2008 - 27005 (Anlisis de Riesgos).
Sin Publicar An:
27003 (Ayuda para la implantacin SGSI).
27004 (Mtricas).
27007 (requisitos de auditora de un SGSI).
27011 (Sector TICs).
27031 (Plan de Continuidad de Negocio).
27032 (Ciberseguridad).
27033 (seguridad en redes, sobre la base de 18028).
27034 (Seguridad en las aplicaciones).
Introduccin e Historia (a nivel AAPP)
Resolucin de 26 de mayo de 2003, de la Secretara de Estado para la AAPP
Expresa textualmente Se insta a los Estados miembros de la UE a fomentar el uso de mejores
prcticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799.
Reglamento (CE) No 885/2006 de la Comisin (junio de 2006) - FEAGA (Fondo
Europeo Agrcola de Garanta) y del FEADER (Fondo Europeo Agrcola de Desarrollo Rural):
La seguridad de los sistemas de informacin estar basada en los criterios fijados en una
versin aplicable en el ejercicio financiero considerado de una de las siguientes normas
aceptadas internacionalmente: i) ISO/IEC 17799).
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los
Organismos Pagadores que exige garantizar la seguridad de la informacin.
la Consejera de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones,
apost por la ISO27001 y acaba de ser la primera Entidad Pblica Espaoola en certificarse
Ley 11 (junio de 2007) Acceso electrnico de los ciudadanos a los Servicios Pblicos,
Seguridad: se menciona cuarenta y dos veces.
El punto 2. Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservacin de los datos......... ACIDA ??
MAP (Julio de 2007) Normalizacin en seguridad de las TIC
Criterios SNC (seguridad, normalizacin y conservacin): UNE ISO/IEC 17799:2002, Tecnologas
de la informacin Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
Introduccin e Historia (Proyectos Oficiales)
Existen otras iniciativas para fomentar la seguridad en Espaa a travs de la
norma ISO27001, como el proyecto PYMETICA en Andaluca, el CAMERSEC
en Mlaga, la reciente Subvencin del Ministerio de Industria del Plan AVANZA
PyME (19.000 para certificacin ISO27001) y el prximo proyecto de INTECO
que abarcar varias Comunidades Espaolas.
RENFE, en un pliego de licitacin de septiembre de 2007, haca mencin al
estndar ISO27001 (Esto corrobora el hecho del Lobby que pueden hacer las
empresas certificadas, tal cual mencionamos en artculos anteriores).
La Consejera de Agricultura y Pesca (Andaluca) ha obtuvo la certificacin ISO
27001 del denominado Sistema de Localizacin y Seguimiento de Embarcaciones
Pesqueras Andaluzas.
Consejera de Economa y AP del Principado de Asturias (N exp: 58/06).
Descripcin del objeto: Certificacin ISO27001 del SGSI, para el CPD de la
Administracin del Principado de Asturias (ao 2007).
Junta de Castilla La Mancha: Certificado ISO27001 para sus servicios de
Internet.
Exportar Comercio Exterior Calidad
Congreso ICEX: La constante fue: Gestin
Introduccin e Historia (Certificaciones)
En el discurso Internacional, el mensaje es sumamente sencillo:
Informe ISO (Dic 2007)
ISO 9001 Lugar de Espaa: 4 mundial con 57552 certificados.
ISO 14001 Lugar de Espaa: 3 mundial con 11125 certificados.
ISO 27001 Total mundial: 5797 certificados.
Lugar de Espaa: No aparece en el Top 10 (23 certificados).
Espaa es un Pas de calidad, pues as lo demuestra el ranking

Internacional de ISO9000.
Espaa, es un Pas que se preocupa por su medioambiente, segn su
creciente volumen en certificaciones ISO14000.
No hay pautas claras que siten a Espaa como un Pas confiable
para intercambiar informacin On Line, para abrir y compartir bases
de datos privadas y pblicas, para confiar el bien ms preciado, para
comunicarse de forma segura, etc..........
Porqu ISO27001?
Por primera vez ISO, homogeneiza sus familias (GESTIN).
La Seguridad deja de ser slo una cuestin tcnica.
Implica a todos los niveles de la organizacin.
Introduce el Anlisis de Riesgo y el SGSI.
El conjunto de controles (133), no deja nada librado al azar.
Ha tenido acogida y apoyo internacional (1 vez en seguridad).
Pone/demuestra Calidad en la seguridad de la Informacin.
Aparece en un momento clave de la industria.
RECUERDEN: Marca un antes y un despus.

Breves Conceptos
Los detalles que conforman el cuerpo de

esta norma, se podran agrupar en tres
grandes lneas:
Anlisis de Riegos (AR).

SGSI.
Controles.
Breves Conceptos (Anlisis de Riesgos)
Puede ser desarrollado con cualquier tipo de metodologa (pblica o
particular), siempre y cuando sea completa y metdica.
El resultado final de un anlisis de riesgo, es:
Clara identificacin, definicin y descripcin de los activos.
El impacto que podra ocasionar un problema sobre cada uno.
Conjunto de acciones que pueden realizarse (agrupadas).
Propuesta varios cursos de accin posibles (Mx, intermedios, mn).
Finalmente: Eleccin y Aprobacin de un curso de accin por parte de la
Direccin. Es decir, el compromiso que asume en virtud de su propia estrategia
(Coste/beneficio/Negocio), para tratar las acciones de ese curso de accin y ASUMIR
el riesgo residual que quedar con lo que no est dispuesto a abordar (..o en
definitiva a pagar..).
Breves Conceptos (SGSI)
En el punto cuatro de la norma, se establecen los conceptos rectores
del SGSI.
Punto 4.1. Requerimientos generales:
La organizacin, establecer, implementar, operar, monitorizar, revisar,

mantendr y mejorar un documentado SGSI en su contexto para las
actividades globales de su negocio y de cara a los riesgos. Para este
propsito, el proceso est basado en el modelo PDCA.
PUNTOS DE LA NORMA (Relativos al SGSI)

4. Sistema de Gestin de la Seguridad de la Informacin (SGSI).
5. Responsabilidades de la Direccin (Compromiso, gestin y provisin
recursos, concienciacin y formacin).
6 Auditora Interna del SGSI (Documentos, planificacin, metodologa,
acciones).
7. Revisin de SGSI por parte de la Direccin.
8. Mejora de SGSI (Continua, correctiva y preventiva).
Breves Conceptos (Los Controles)
El anexo A los numera tal cual se presentan a
continuacin:
A.5 Poltica de Seguridad.

A.6 Organizacin de la Informacin de Seguridad.
A.7 Administracin de Recursos.
A.8 Seguridad de los Recursos Humanos.
A.9 Seguridad fsica y del entorno.
A.10 Administracin de las Comunicaciones y Operaciones.
A.11 Control de Accesos.
A.12 Adquisicin de Sistemas de Informacin, Desarrollo y
Mantenimiento.
A.13 Administracin de los Incidentes de Seguridad.
A.14 Administracin de la Continuidad de Negocio.
A.15 Marco Legal y Buenas Prcticas.
El SGSI (Sistema de Gestin de la Seguridad de la Informacin)
4.2 de la Norma
Organizacin: (Para NCS: PRO01 Organizacin de la Seguridad de la
Informacin).
Poltica de Seguridad: (Para NCS: POL01 Poltica de Seguridad de la
Informacin) Breve documento rector y descriptivo de lneas generales y
estratgicas.
Definir, Identificar, Analizar y Valorar Riesgos: (Para NCS: DOC0
AGR: Anlisis y gestin de riesgos). De este documento se descuelgan:
PLA06 Valoracin de activos.
PLA07 Inventario.
PLA12 Declaracin de intenciones de la Direccin.
LA DIRECCIN DEBER REVISAR ESTE PASO, APROBARLO Y

AVALARLO
Definicin del mbito a Implementar
Hay que acotar el alcance del SGSI:

Centros de procesamiento de datos (CPDs).
Aplicaciones crticas para el negocio de la empresa.
Procesos de inters para la empresa.
Metodologas de control de accesos y/o autenticacin.
Procesos de gestin de informacin (Almacenamiento,
resguardo, mantenimiento, etc).
Servicios de inters hacia terceros (Hosting, backup,
aplicaciones, soporte, etc).
Productos y/o herramientas que comercializa la empresa.
Edificios y/o instalaciones.
Infraestructuras de redes de transmisin de informacin.
Call Center.
Definicin del mbito a Implementar
Empresa mbito Certificado
Sistema de Gestin de Seguridad de la Informacin asociado al control y
Acens
mantenimiento de las infraestructuras fsicas del Centro de Proceso de
Technologies
Datos de Acens Technologies, ubicado en Madrid (Espaa).
Identificacin Autenticacin Firma de operaciones y sus evidencias electrnicas a
Bankinter
travs del canal Internet.
Costumer and corporate information managed during consultancy projects
development; organizational, technical and judical advice; computing and
Belt multimedia applications training and development on corporative security and asset
protection, public security and civil defense, information security and data protection,
in accordance with SOA.
Bureau Veritas certify that the management system if the above organisation
Camerfirma has been assessed and found to be in accordance with the requirements of the
standards detailed dellow ISO 27001:2005.
Junta de Castilla
Servicios que ofrece a travs de Internet.
La Mancha
Operaciones de negocio en sus delegaciones de Sevilla y de Barcelona, as
GMV como en sus oficinas centrales de Madrid.
AENOR Certifica que la empresa NCS dispone de un SGSI conforme a la norma
NCS ISO/IEC 27001 y/o UNE 71502:2004 PARA TODOS SUS SISTEMAS DE
INFORMACIN.
Anlisis de Riesgos (A.R.)
A.R. Diferentes Metodologas
MAGERIT v2.0 (Metodologa de Anlisis y Gestin de Riesgos
en Sistemas de Informacin):
Utilizado por el Ministerio de las Administraciones Pblicas.
Herramientas automatizadas (PILAR, EAR).
3 Libros (Mtodo, Catlogo de Elementos, Guas Tcnicas).
CRAMM (CCTA Risk Analysis and Management Method):
Recopila las mejores Prcticas de Seguridad para el Gobierno
Britnico.
Herramienta automatizada muy comercial (y muy costosa).
Muy completa.
The Risk Security Management Guide (Microsoft):
Elaborada por Microsoft en base a Mejores Prcticas en la empresa y
en sus clientes.
Revisada por partners, clientes y tcnicos.
A.R. MAGERIT
Se divide en 3 procesos:
P1: Planificacin.
P2: Anlisis de Riesgos.
P3: Gestin de Riesgos.
MAGERIT: P1 Planificacin
Actividad A1.1: Estudio de Oportunidad:
Tarea T1.1.1: Determinar la oportunidad.
Actividad A1.2: Determinacin del Alcance del Proyecto:
Tarea T1.2.1: Objetivos y restricciones generales.
Tarea T1.2.2: Determinacin del dominio y lmites.
Tarea T1.2.3: Identificacin del entorno.
Tarea T1.2.4: Estimacin de dimensiones y coste.
Actividad A1.3: Planificacin del Proyecto:
Tarea T1.3.1: Evaluar cargas y planificar entrevistas.
Tarea T1.3.2: Organizar a los participantes.
Tarea T1.3.3: Planificar el trabajo.
Actividad A1.4: Lanzamiento del Proyecto:
Tarea T1.4.1: Adaptar los cuestionarios.
Tarea T1.4.2: Criterios de evaluacin.
Tarea T1.4.3: Recursos Necesarios.
Tarea T1.4.4: Sensibilizacin.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.1: Caracterizacin de los Activos:
Tarea T2.1.1: Identificacin de los activos.
Tarea T2.1.2: Dependencias entre los activos.
Tarea T2.1.3: Valoracin de los activos.
Actividad A2.2: Caracterizacin de las Amenazas:
Tarea T2.2.1: Identificacin de las amenazas.
Tarea T2.2.2: Valoracin de las amenazas.
Actividad A2.3: Caracterizacin de las Salvaguardas:
Tarea T2.3.1: Identificacin de las salvaguardas existentes.
Tarea T2.3.2: Valoracin de las salvaguardas existentes.
Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto.
Tarea T2.4.2: Estimacin del riesgo.
Tarea T2.4.3: Interpretacin de los resultados.
Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto.
Tarea T2.4.2: Estimacin del riesgo.
Tarea T2.4.3: Interpretacin de los resultados.
MAGERIT: P3 Gestin de Riesgos
Actividad A3.1: Toma de Decisiones:
Tarea T3.1.1: Calificacin de los riesgos.
Actividad A3.2: Plan de Seguridad:
Tarea T3.2.1: Programas de seguridad.
Tarea T3.2.2: Plan de ejecucin.
Actividad A3.3: Ejecucin del Plan:
Tarea T3.3.1: Ejecucin de cada programa de seguridad.
Cursos de Accin Posibles
Se proponen ente 3 y 5 Cursos de Accin de entre los cuales, la Direccin
escoge el que le parezca oportuno.
Declaracin de Intenciones de la Direccin
En relacin al Anlisis de Riesgos realizado en MES de AO donde se
propusieron una serie de cursos de accin propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Direccin
se compromete a llevar a cabo uno de los Cursos de Accin
propuestos en un periodo no superior a X aos.
Declaracin de Intenciones de la Direccin
En relacin al Anlisis de Riesgos realizado en MES de AO donde se
propusieron una serie de cursos de accin propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Direccin
se compromete a llevar a cabo uno de los cursos de accin
propuestos en un periodo no superior a X aos.
Cumple con 8
puntos del CURSO
DE ACCIN 3.
Cumple con 12
puntos del CURSO
DE ACCIN 3.
Cumple con 22
puntos del CURSO
DE ACCIN 3.
Ciclo PDCA
En la implementacin de esta norma es donde se presenta el
conjunto de pasos a seguir para implantar un SGSI, el cual es un
ciclo permanente definido como PDCA, y cada uno de estas
actividades quedar regulada, normalizada y auditada mediante los
correspondientes Controles.
Plan (Establecer el SGSI): Poltica SGSI, objetivos, procesos,
procedimientos para la Administracin de Riesgos y mejoras en la
Seguridad Informtica y resultados acordes a las polticas y objetivos de
la organizacin.
Do (Implementar y Operar el SGSI): Forma en que se opera e
implementa la poltica, controles, procesos y procedimientos.
Check (Monitorizar y Revisar el SGSI): Analizar y medir los
procesos relacionados al SGSI, evaluar objetivos, experiencias e
informar los resultados a la administracin para su revisin.
Act (Mantener y Mejorar el SGSI): Acciones preventivas y
correctivas, basadas en auditoras internas y revisiones del SGSI.
Plan de Accin
Acciones a desarrollar para alcanzar
la certificacin:
Inicio del Rodaje
Definicin de los Controles
Los controles que sean excluidos debern ser justificados.
JUSTIFICACIN DE LA
ISO OBJETIVO CONTROL SI/NO
EXCLUSIN
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1.1 Funciones y Responsabilidades. SI
8.1 Previo a la Contratacin. 8.1.2 Investigacin de Antecedentes. SI
8.1.3 Trminos y Condiciones de Contratacin. SI
8.2.1 Gestin de Responsabilidades. SI
8.2 Durante la Contratacin. 8.2.2 Concienciacin, Educacin y Formacin en Seguridad de la Informacin. SI
8.2.3 Proceso Disciplinario. SI
8.3.1 Finalizacin de Responsabilidades. SI
Finalizacin o Cambio de
8.3 8.3.2 Retorno de Activos. SI
Puesto de Trabajo.
8.3.3 Retirada de los Derechos de Acceso. SI
9 SEGURIDAD FSICA Y DEL ENTORNO

9.1.1 Permetro de Seguridad Fsica. SI
9.1.2 Controles Fsicos de Entrada. SI
9.1.3 Seguridad de Oficinas, Despachos y Recursos. SI
9.1.4 Proteccin Contra las Amenazas Externas y del Entorno. SI
9.1 reas Seguras.
9.1.5 Trabajando en reas Seguras. NO NCS no necesita reas de este tipo.
NCS no recibe volumen ni cantidad
suficiente para disponer de una
9.1.6 reas de Acceso Pblico, de Carga y Descarga. NO
sala aislada para su carga y
descarga.
9.2.1 Instalacin y Proteccin de Equipos. SI
9.2.2 Instalaciones de Suministro. SI
Cubierto por las medidas de
9.2.3 Seguridad del Cableado. NO seguridad de control de acceso y
personal.
9.2 Seguridad de los Equipos.
9.2.4 Mantenimiento de Equipos. SI
No se saca ningn equipo fuera de
9.2.5 Seguridad de los Equipos Fuera los Locales de la Organizacin. NO
la oficina de NCS.
9.2.6 Seguridad en la Reutilizacin o Eliminacin de Equipos. SI
9.2.7 Extraccin de Pertenencias. SI
Resumen:
Historia.
Piezas: ARSGSIControles.
Declaracin de Intenciones.
Primeros pasos.
Fin de la 1 parte
Temario
SEGUNDA PARTE
Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de accin.
Inicio del rodaje.
Definicin de los controles a aplicar.
Avance grupo a grupo.
Relacin documental.
Auditora interna.
Soluciones y mejoras.
Reintegracin/reingeniera inicial del SGSI.
Solicitud y preparacin de la Auditora y/o preauditora.
Solucin de Observaciones y no conformidades.
Avance Grupo a Grupo
5. Poltica de Seguridad
Pto. Objetivo Control Documento
5.1.1 Documento de Poltica de
Documento de Seguridad de NCS.
Poltica de Seguridad de la Informacin.
5.1 Seguridad de Documento de Seguridad de NCS.
5.1.2 Revisin de la Poltica de
la Informacin
Seguridad de la Informacin. Documento de Control y Gestin de Cambios.
6. Organizacin de la Seguridad de la Informacin

6.1.1 Compromiso de la Direccin con la Procedimiento de Organizacin de la
Seguridad de la Informacin. Seguridad de la informacin.
6.1.2 Coordinacin de la Seguridad de la Procedimiento de Organizacin de la
Informacin. Seguridad de la informacin.
6.1.3 Asignacin de Responsabilidades Procedimiento de Organizacin de la
sobre Seguridad de la Informacin. Seguridad de la informacin.
6.1.4 Proceso de Autorizacin de
Procedimiento de Control y gestin de
Organizacin Recursos para el Tratamiento de la
6.1 Cambios.
Interna Informacin.
Documento de Acuerdo de
6.1.5 Acuerdos de Confidencialidad
Confidencialidad Empresa/Trabajador.
6.1.6 Contactos con las Autoridades
6.1.7 Contacto con Grupos de Especial Procedimiento de Organizacin de la
Inters. Seguridad de la informacin.
6.1.8 Revisin Independiente de la
Documento de Lista de Verificacin.
Seguridad de la Informacin
6. Organizacin de la Seguridad de la Informacin

6.2.1 Identificacin de Riesgos relativos a Terceros.
6.2.2 Tratamiento de la Seguridad en la Relacin con los Documento de Acuerdo

Partes
6.2 Clientes. de Confidencialidad
Externas Empresa/Trabajador.
6.2.3 Tratamiento de la Seguridad en Contratos con Terceros.
Relacin Documental
Punto 4.3.2. Control de Documentos:
Todos los documentos requeridos por el SGSI sern protegidos y
controlados. Un Procedimiento Documentado deber establecer
las acciones de administracin necesarias para:
Aprobar documentos y prioridades o clasificacin de empleo.
Revisiones, actualizaciones y reaprobaciones de documentos.
Asegurar que los cambios y las revisiones sean identificadas.
Asegurar que las ltimas versiones estn disponibles.
Asegurar que los documentos permanezcan legibles e identificables.
Asegurar que los documentos estn disponibles para quien los
necesite y sean transferidos, guardados y finalmente clasificados.
Asegurar que los documentos de origen externo sean identificados.
Asegurar el control de la distribucin de documentos.
Prevenir el empleo no deseado de documentos obsoletos.
Relacin Documental
Organizacin de la Seguridad de la Informacin
Herramienta para organizar, gestionar y supervisar la
Seguridad.
Organizacin de la Seguridad de la Informacin
7. Gestin de Activos
7.1.1 Inventario de Activos Procedimiento de Inventario de Activos.
Responsabilidad 7.1.2 Propiedad de los Activos. Plantilla de Relacin de Roles.
7.1
Sobre los Activos 7.1.3 Uso Aceptable de los Procedimiento de Obligaciones del
Activos. Personal.
Procedimiento de Clasificacin y
7.2.1 Guas de Clasificacin.
Tratamiento de la Informacin.
Clasificacin de
7.2 Procedimiento de Clasificacin y
la Informacin 7.2.2 Etiquetado y Tratamiento Tratamiento de la Informacin.
de la Informacin.
Plantilla de Relacin de Roles.
8. Seguridad Ligada a los Recursos Humanos
Procedimiento de Obligaciones del Personal.
8.1.1 Funciones y Responsabilidades. Documento de Acuerdo de Confidencialidad
Empresas/Trabajador.
Previo a la
8.1 8.1.2 Investigacin de Antecedentes. Procedimiento de Gestin de empleados.
Contratacin
8.1.3 Trminos y Condiciones de
Contratacin. Documento de Acuerdo de Confidencialidad
Proceso de Contratacin:
Procedimiento de Organizacin de la
8.2.1 Gestin de Responsabilidades.
Seguridad de la informacin.
Durante la 8.2.2 Concienciacin, Formacin y Procedimiento de Obligaciones del Personal.

8.2
Contratacin Capacitacin en la seguridad de la Documento de Plan de Formacin y
Informacin. Concienciacin.
8.2.3 Proceso Disciplinario. Procedimiento de Obligaciones del Personal.
Planes de Formacin y Concienciacin.

Evaluacin de los empleados.
Vacaciones.
Personal imprescindible.
Segregacin de funciones.
Documento de Acuerdo de Confidencialidad
8.3.1 Finalizacin de
Finalizacin o Responsabilidades. Procedimiento de Obligaciones del Personal.
Cambio del Procedimiento de Gestin de Empleados.
8.3
Puesto de Procedimiento de Obligaciones del Personal.
Trabajo 8.3.2 Devolucin de Activos.
Procedimiento de Gestin de Empleados.
8.3.3 Retirada de los Derechos de
Acceso.
9. Seguridad Fsica y Ambiental
9.1.1 Permetro de Seguridad Fsica.
9.1.2 Controles Fsicos de Entrada.
9.1.3 Seguridad de Oficinas, Despachos e
reas Instalaciones. Procedimiento de Gestin de
9.1 Empleados.
Seguras 9.1.4 Proteccin Contra las Amenazas Externas y de
Origen Ambiental.
9.1.5 Trabajo en reas Seguras.
9.1.6 reas de Acceso Pblico y de Carga y Descarga.
Procedimiento de Puesto de Trabajo y
9.2.1 Instalacin y proteccin de Equipos. Servidores.
Procedimiento de Red Corporativa.
9.2.2 Instalaciones de Suministro. Procedimiento de Seguridad Fsica.
Procedimiento de Puesto de trabajo y
9.2.3 Seguridad del Cableado.
Servidores.
Seguridad de Procedimiento de Puesto de trabajo y
9.2 9.2.4 Mantenimiento de Equipos.
los Equipos Servidores.
9.2.5 Seguridad de los Equipos Fuera de los Locales
de la Organizacin.
Procedimiento de Gestin y Distribucin
9.2.6 Reutilizacin o Retirada Segura de los equipos.
de Soportes.
Procedimiento de Gestin y Distribucin
9.2.7 Retirada de Materiales Propiedad de la Empresa.
de Soportes.
10. Gestin de Comunicaciones y Operaciones
10.1.1 Documentacin de los Procedimiento de Control y Gestin
Procedimientos de Operacin. de Cambios.
10.1.2 Gestin del Cambios. Procedimiento de Control y Gestin

Responsabilidades y de Cambios.
10.1 Procedimientos de Procedimiento de Organizacin de
Operacin 10.1.3 Segregacin de Tareas.
la Seguridad de la Informacin.
Procedimiento de Desarrollo,
10.1.4 Separacin de los Recursos de Pruebas, Produccin y Control y
Desarrollo, Prueba y Operacin. gestin del software.
10.2.1 Entrega del Servicio.
Gestin de Entrega 10.2.2 Control y Revisin de los
10.2 del Servicio por Servicios Prestados por Terceras Partes.
Tercera parte 10.2.3 Gestin de cambios en los
servicios por terceras partes.
10.3.1 Gestin de la Capacidad.
Sistema de
10.3 Planificacin y Procedimiento de Desarrollo,
10.3.2 Aceptacin del Sistema. Pruebas, Produccin y Control y
aceptacin
Gestin del Software.
Procedimiento de Medidas y Controles Contra
Proteccin Contra 10.4.1 Controles Contra el
el Cdigo Malicioso y Ambulante.
el Cdigo Cdigo Malicioso.
10.4 Procedimiento de Plan de Formacin y
Malicioso y
Concienciacin.
Ambulante.
10.4.2 Controles Contra el Procedimiento de Medidas y Controles Contra
Cdigo Ambulante. el Cdigo Malicioso y Ambulante.
Copias de 10.5.1 Copias de Seguridad Procedimiento de Copias de Respaldo y
10.5 Restauracin.
Seguridad de la Informacin.
Gestin de la 10.6.1 Controles de Red. Procedimiento de Red Corporativa.

10.6 Seguridad de las 10.6.2 Seguridad de los
Procedimiento de Red Corporativa.
Redes Servicios de Red.
10.7.1 Gestin de los Soportes Procedimiento de Gestin y Distribucin de
Extrables. Soportes.
Procedimiento de Gestin y Distribucin de
10.7.2 Retirada de los Soportes.
Soportes.
Manipulacin Procedimiento de Inventario de Activos.
10.7 de los Procedimiento de Clasificacin y Tratamiento
10.7.3 Procedimientos de
Soportes de la Informacin.
Manipulacin de la Informacin.
Soportes.
10.7.4 Seguridad de la Procedimiento de Clasificacin y Tratamiento
Documentacin del Sistema. de la Informacin.
Procedimiento de Clasificacin y Tratamiento
10.8.1 Polticas y Procedimientos de la Informacin.
de Intercambio de Informacin.
Intercambio Procedimiento de Obligaciones del Personal.
de Procedimiento de Inventario de Activos.
10.8 Informacin Procedimiento de Clasificacin y Tratamiento
10.8.2 Acuerdos de Intercambio.
de la Informacin.

10.8.3 Soportes Fsicos en Trnsito.
Soportes.
Procedimiento de Obligaciones del
Personal.
10.8.4 Correo Electrnico.
Procedimiento de Seguridad en el Correo
Intercambio de Electrnico.
10.8
Informacin
Personal.
10.8.5 Sistema de Informacin de
Procedimiento de Seguridad Fsica.
Negocio.
Procedimiento de Seguridad en el Correo
Electrnico.
Servicios de 10.9.1 Comercio Electrnico.

10.9 Comercio 10.9.2 Transacciones OnLine.
Electrnico 10.9.3 Informacin Pblica Disponible.
Procedimiento de Auditora de los Sistemas de Informacin.
10.10.1 Registros de Auditoria.
Procedimiento de Control de los Registros.
10.10.2 Supervisin del Uso del Procedimiento de Auditora de los Sistemas de Informacin.
Sistema. Procedimiento de Control de los Registros.
10.10.3 Proteccin de la Informacin Procedimiento de Auditora de los Sistemas de Informacin.

de los Registros. Procedimiento de Control de los Registros.
10.10 Seguimiento
10.10.4 Registros de Administracin Procedimiento de Auditora de los Sistemas de Informacin.
y Operacin. Procedimiento de Control de los Registros.
10.10.5 Registro de Fallos.
10.10.6 Sincronizacin del Reloj.
11. Control de Acceso
Requisitos de
11.1.1 Poltica de Control de
11.1 Negocio para el Acceso.
Control de Acceso
11.2.1 Registro de Usuarios. Procedimiento de Seguridad Fsica.
Procedimiento de Control de Registros.
11.2.2 Gestin de Privilegios.
Gestin de Acceso Procedimiento de Control de Registros.
11.2
de Usuario
11.2.3 Gestin de Contraseas de
Procedimiento de Control de Registros.
Usuario.
Plantilla de Cambio de Contrasea.
11.2.4 Revisin de los Derechos de
Acceso de Usuario.
Documento de Plan de Formacin y Concienciacin.
11.3.1 Uso de Contrasea.
11.3.2 Equipo de usuario
Desatendido.
Responsabilidad Procedimiento de Clasificacin y Tratamiento de la
11.3
es de Usuario Informacin.
11.3.3 Poltica de Puesto de
Trabajo Despejado y Pantalla Procedimiento de Obligaciones de Personal.
Limpia. Procedimiento de Puesto de Trabajo y Servidores.
Documento de Plan de Formacin y Concienciacin.
11.4.1 Poltica de Uso de los Procedimiento de Auditora del Sistema de
Servicios de Red. Informacin.
Control de 11.4.2 Autenticacin de Procedimiento de Seguridad Fsica.
11.4
Acceso a la Red Usuario para Conexiones
Externas. Procedimiento de Control de los Registros.
11.4.3 Identificacin de
Procedimiento de Puesto de Trabajo y Servidores.
Equipos en las Redes.
11.4.4 Diagnstico Remoto y Proteccin de
los Puertos de Configuracin.
11.4.5 Segregacin de las Redes.
Control de
11.4 Acceso a la 11.4.6 Control de la Conexin a la Red.
Red Procedimiento de Control de los Registros.
11.4.7 Control del Encaminamiento de Red
11.5.1 Procedimientos Seguros de Inicio de Procedimiento de Seguridad Fsica.

Sesin. Procedimiento de Control de los Registros.
11.5.2 Identificacin y Autenticacin de Procedimiento de Seguridad Fsica.

Control de Usuarios. Procedimiento de Control de los Registros.
Acceso al
11.5 11.5.3 Sistema de Gestin de Contraseas. Procedimiento de Seguridad Fsica.
Sistema
Operativo Procedimiento de Seguridad Fsica.
11.5.4 Uso de los Recursos del Sistema.
11.5.5 Desconexin Automtica de Sesin. Procedimiento de Seguridad Fsica.
11.5.6 Limitacin del Tiempo de Conexin.
Procedimiento de Clasificacin y Tratamiento
11.6.1 Restriccin del Acceso de la Informacin.
a la Informacin. Documento de Acuerdo de Confidencialidad
Control de Acceso a
11.6 las Aplicaciones y a
la Informacin Procedimiento de Desarrollo, Pruebas,
11.6.2 Aislamiento de Produccin , Control y Gestin del Software.
Sistemas Sensible.
11.7.1 Ordenadores y Procedimiento de Seguridad Fsica.

Ordenadores Comunicaciones Mviles. Procedimiento de Control de los Registros.
11.7 Porttiles y
Teletrabajo 11.7.2 Teletrabajo.
12. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin

Requisitos de Documento de Anlisis y Gestin de Riesgos.
12.1.1 Anlisis y
Seguridad de los
12.1 Especificacin de los Procedimiento de Desarrollo, Pruebas,
Sistemas de Requisitos de Seguridad. Produccin, Control y Gestin del Software.
Informacin
Procedimiento de Desarrollo, Pruebas,
12.2.1 Validacin de los Datos Produccin, Control y Gestin del Software.
de Entrada
12.2.2 Control del Procedimiento de Auditora de los Sistemas de
Procesamiento Interno. Informacin.
Tratamiento Documento de Anlisis y Gestin de Riesgos.
12.2.3 Integridad de los
12.2 Correcto de las Mensajes. Procedimiento de Desarrollo, Pruebas,
Aplicaciones Produccin, Control y Gestin del Software.
Produccin, Control y Gestin del Software.
12.2.4 Validacin de los Datos
Procedimiento de Auditora de los Sistemas de
de Salida.
Informacin.

12.3.1 Poltica de Uso de los
Controles Procedimiento de Controles Criptogrficos.
12.3 Controles Criptogrficos.
Criptogrficos 12.3.2 Gestin de Claves. Procedimiento de Controles Criptogrficos.
12.4.1 Control del Software Procedimiento de Desarrollo, Pruebas,
en Explotacin. Produccin, Control y Gestin del Software.
12.4.2 Proteccin de los Procedimiento de Control y Gestin de Cambios.

Seguridad de los Datos de Prueba del Procedimiento de Desarrollo, Pruebas,
12.4 Archivos del Sistema. Produccin, Control y Gestin del Software.
Sistema
12.4.3 Control de Acceso al Procedimiento de Control y Gestin de Cambios.
Cdigo Fuente de los Procedimiento de Desarrollo, Pruebas,
Programas. Produccin, Control y Gestin del Software.
Procedimiento de Control y Gestin de Cambios.
Seguridad en los
Procesos de 12.5.1 Procedimientos de
12.5 Produccin, Control y Gestin del Software.
Desarrollo y Control de Cambios.
Soporte Procedimiento de Auditora de los Sistemas de
Informacin.

Procedimiento de Control y Gestin de Cambios.
12.5.1 Procedimientos de Control
Produccin, Control y Gestin del Software.
de Cambios.
Procedimientos de Auditora de los Sistemas de
Informacin.
12.5.2 Revisin Tcnica de Procedimiento de Control y Gestin de Cambios.
Aplicaciones tras Efectuar Cambios
en el Sistema Operativo. Procedimientos de Control de los Registros.
Seguridad en
12.5.3 Restricciones a los Cambios Procedimiento de Control y Gestin de Cambios.
los Procesos
12.5 en los Paquetes de Software. Documento de Plan de Continuidad de Negocio.
de Desarrollo y
Soporte Procedimiento de Obligaciones de Personal.
12.5.4 Fugas de Informacin. Procedimiento de Gestin y Distribucin de

Soportes.
Procedimiento de Medidas y Controles Contra el
Cdigo Malicioso y Ambulante.
12.5.5 Externalizacin del
Desarrollo del Software.

Procedimiento de Inventario de Activos.
Gestin de la
12.5.1 Procedimientos de Control Procedimiento de Control y Gestin de Cambios.
12.6 Vulnerabilidad de Cambios.
Tcnica Procedimiento de Auditora de los Sistemas de
Informacin.
13. Gestin de Incidentes en la Seguridad de la Informacin

Notificacin de 13.1.1 Notificacin de los Procedimiento de Obligaciones de Personal.
Eventos y Puntos Eventos de Seguridad de la Documento de Gestin de Incidencias de la
13.1 Dbiles de la Informacin. Seguridad.
Seguridad de la 13.1.2 Comunicacin de Puntos
Informacin Procedimiento de Obligaciones de Personal.
Dbiles de Seguridad.
Procedimiento de Obligaciones de Personal.
13.2.1 Responsabilidades y
Procedimientos. Documento de Gestin de Incidencias de la
Seguridad.
Procedimiento de Auditora de los Sistemas
de Informacin.
Gestin de 13.2.2 Aprendizaje de los
Procedimiento de Gestin de Incidencias de
Incidentes de Incidentes de Seguridad de la
la Seguridad.
13.2 Seguridad de la Informacin.
Documento de Plan de Formacin y
Informacin y
Concienciacin.
Mejoras
Procedimiento de Obligaciones de Personal.
Procedimiento de Auditora de los Sistemas
12.2.3 Recopilacin de
de Informacin.
Evidencias.
Procedimiento de Gestin de Incidencias de
la Seguridad.
14. Gestin de la Continuidad del Negocio
14.1.1 Inclusin de la Seguridad de la
Informacin en el Proceso de Gestin de la Documento de Plan de Continuidad del Negocio.
Aspectos de Continuidad del Negocio.
Seguridad 14.1.2 Continuidad del Negocio y Evaluacin Documento de Anlisis y Gestin de Riesgos.
de la de Riesgos. Documento de Plan de Continuidad del Negocio.
Informacin 14.1.3 Desarrollo e Implantacin de Planes
14.1
en la Gestin de Continuidad que Incluyan la Seguridad de Documento de Plan de Continuidad del Negocio.
de la la Informacin.
14.1.4 Marco de Referencia para la
Continuidad Planificacin de la Continuidad del Negocio.
Documento de Plan de Continuidad del Negocio.
del Negocio 15.1.5 Pruebas, Mantenimiento y
Reevaluacin de los Planes de Continuidad Documento de Plan de Continuidad del Negocio.
del Negocio.
GESTIN DE CONTINUIDAD DEL NEGOCIO

Mtodo Clave Anlisis de impacto sobre el negocio.
Parmetros Clave Impacto y tiempo.
Tipo de Incidente Acontecimientos causantes de trastornos serios para el negocio.
Magnitud del Incidente Para la planificacin estratgica: slo los incidentes que afectan a la supervivencia del negocio.
Se enfoca sobre todo en gestin de incidentes en su mayor parte externos a los aspectos
Alcance
fundamentales del negocio.
Acontecimientos sbitos o de rpida evolucin (aunque tambin resulte apropiada si un incidente
Intensidad
persistente se transforma en severo).
PDCA de la Continuidad del Negocio
Interrelaciones: Relaciones entre la Continuidad del Negocio y otros procesos de
TI para:
Que los planes de prevencin y recuperacin sean conocidos por el resto de la
organizacin.
Que los planes se adecuen a las necesidades del Negocio.
Monitorizacin para asegurar: Implementacin:

Que los planes de prevencin y Organizar la implantacin del proceso.
recuperacin estn actualizados Elaborar los planes de prevencin y
Que la organizacin est capacitada para su recuperacin del servicio.
implantacin Establecer los protocolos de actuacin
Que los procedimientos son adecuados a en situacin de crisis.
las capacidades del negocio.
Supervisin:
Evaluar regularmente los
planes de prevencin y
recuperacin
Asegurar el conocimiento y
formacin del personal
respecto a los procesos
asociados
Polticas: Coherente sobre la Garantizar que los planes se
continuidad de los encuentran
servicios. convenientemente
Que se establezca el actualizados.
alcance de la misma.
Que se asigne los recursos
necesarios. Recuperacin: Cuando la prevencin ha sido
Que se establezcan las insuficiente o el desastre ha sido inevitable, la
bases para la organizacin gestin de Continuidad de Negocio e la
del proceso. responsable de:
Evaluar el impacto de la interrupcin del Servicio.
Poner en marcha si corresponde los planes de
recuperacin.
Supervisar todo el proceso.
Plan de Escalado
Variables
Tiempo /Magnitud
ALTA PRD PRD PRD
MEDIA Incidente PRD PRD
BAJA Incidente Incidente PRD

BCP Ej. Plan de Continuidad de Negocio
Activacin
Escenario A Solucin
DPR?
Se han visto afectadas varias mquinas
del CPD, aunque la estructura de este no Comprar las mquinas afectadas lo
No es necesario.
se ha visto afectada y sigue antes posible.
completamente operativo.
Activacin
Escenario B Solucin DPR
DPR?
El CPD ha quedado completamente Habilitar lo antes posible una sala
destruido, aunque las oficinas de nuestra dentro de las oficinas para la
SI.
organizacin estn completamente recuperacin de la conexiones y de
operativas. los servicios Crticos.
Activacin
Escenario C Solucin DPR
DPR?
El edificio en donde se encuentra nuestra
organizacin o la oficina se declara no
operativo a todos los efectos. No existe SI. Centros de Recuperacin.
red interna y es imposible el trabajo en la
oficina o en todo el edificio.
15. Cumplimiento
15.1.1 Identificacin de la Legislacin
Procedimiento de Requisitos Legales.
Aplicable.
15.1.2 Derechos de la Propiedad Procedimiento de Obligaciones del
Intelectual (DPI). Personal.
Procedimiento de Control de
15.1.3 Proteccin de los Documentos de Registros.
la Organizacin.
Cumplimiento de Procedimiento de Clasificacin y
15.1 los Requisitos 15.1.4 Proteccin de Datos y Privacidad Tratamiento de la Informacin.
Legales de la Informacin Personal.
15.1.5 Prevencin del Uso Indebido de los
Recursos de Tratamiento de la
Personal.
Informacin.
Procedimiento de Controles
15.1.6 Regulacin de los Controles Criptogrficos.
Criptogrficos.
15. Cumplimiento
Procedimiento de Control de los
Cumplimiento de 15.2.1 Cumplimiento de las Polticas y Registros.
Normas de Seguridad.
las Polticas y Plantilla de Plan de Revisin.
Normas de
15.2 Procedimiento de Auditora de los
Seguridad y Sistemas de Informacin.
Cumplimiento 15.2.2 Comprobacin del Cumplimiento
Tcnico. Procedimiento de Requisitos Legales.
Tcnico
Plantilla de Plan de Revisin.
Procedimiento de Auditora de los
15.3.1 Controles de Auditora de los Sistemas de Informacin.
Consideraciones Sistemas de Informacin.
de las Auditoras Procedimiento de Requisitos Legales.
15.3
de los Sistemas Procedimiento de Auditora de los
de Informacin 15.3.2 Proteccin de las Herramientas de Sistemas de Informacin.
Auditora de los Sistemas de Informacin.
Conformidades Legales ISO 27001
Leyes Especficas Aplicadas a la Informtica:

LOPD: Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal.
RLOPD: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de Carcter Personal.
LGT: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
LSSI-CE: Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la

Informacin y Comercio Electrnico.
LPI: Ley de Propiedad Intelectual.
Leyes que afectan a tratamientos especficos.

NIVEL
ARTCULO CONTROL DE LA ISO 27002
FICH.
BSICO
Doc. de Seguridad 5.1.1 Documento de Poltica de Seguridad de la Informacin.
MEDIO
(ART. 88) 10.7.2 Retirada de Soportes.
ALTO
Responsable de 6.1.2 Coordinacin de la Seguridad de la Informacin.
MEDIO
Seguridad 6.1.3 Asignacin de Responsabilidades Relativas a la Seguridad de la
ALTO
(ART. 95) Informacin.
Funciones y 8.1.1 Funciones y Responsabilidades.
BSICO
Obligaciones del 8.2.2 Concienciacin, Formacin y Capacitacin en Seguridad de la
MEDIO
Personal Informacin.
ALTO
(ART. 89) 8.2.3 Proceso Disciplinario.
12.6.1 Control de las Vulnerabilidades Tcnicas.

Registro de 13.1.1 Notificacin de los Eventos de Seguridad de la Informacin. BSICO
Incidencias 13.2.1 Responsabilidades y Procedimientos. MEDIO
(ART. 90) 13.2.2 Aprendizaje de los Incidentes de Seguridad. ALTO
13.2.3 Recopilacin de Evidencias.
13.1.1 Notificacin de los Eventos de Seguridad de la Informacin.

Registro de
13.2.1 Responsabilidades y Procedimientos. MEDIO
Incidencias
13.2.2 Aprendizaje de los Incidentes de Seguridad. ALTO
(ART. 100)
13.2.3 Recopilacin de Evidencias.
Adecuacin Administrativa de los Sistemas a
las leyes vigentes:
Optimizacin empresarial de tratamientos.
Sencillez en la generacin de soluciones.
Adecuacin legal de todos los recursos empresariales con datos personales.
Generacin de documentacin administrativa, empresarial y de relaciones con
terceros.
Gestin de inscripciones en la AEPD.
Realizacin del proyecto en nuestras oficinas, excepto trabajos de campo.
Mnimo consumo de tiempo y recursos del cliente durante el proyecto.
Auditores y consultores con alta experiencia en diversos campos empresariales.
Propuestas informticas y jurdicas de adecuacin legal.
Aportacin de soluciones viables a la tecnologa y recursos ya implantados en la
empresa.
Auditoras de Seguridad y de Tratamientos
de Datos de Carcter Personal:
En esta segunda lnea de actuacin, NCS est capacitada para actuar
frente a proyectos de Auditoras de Seguridad y de Auditoras
Obligatorias respecto a los Datos de Carcter Personal.
Consiste en realizar una serie de sesiones en cliente donde se obtiene
toda la informacin necesaria y, posteriormente se analiza para realizar
un informe previo de auditora de la situacin actual.
Posteriormente, se redacta el Informe Final con todos los detalles del
anlisis desarrollado e indicando las mejoras necesarias para solucionar
las situaciones no convenientes o anmalas en el cumplimiento de los
preceptos legales.
Auditora Interna
Bien, para empezar la norma ISO 27001 en su punto 6 nos dice que: "La organizacin deber
realizar auditoras internas del SGSI a intervalos planificados ...". Para ello debemos:
1 Elaborar el Programa Anual de Auditora Interna teniendo en
cuenta a los auditores, tipo de auditora, y categora.
2 Elaborar un Plan de Auditora

3 Establecer una
estructura y lista de
verificacin para registrar
la informacin o hallazgos
encontrados en la
auditoria.
5 Se comunica al departamento a auditar con 10 das

4 El Auditor Jefe comunica con un correo al
hbiles de anticipacin el inicio de la auditoria. El documento
jefe del Dpto. Auditado el documento
PLA-16 Aviso de Auditoria debe ser firmado por el auditor
jefe y por el auditado
6 Se presentan los documentos PLA-15 Plan de Auditoria y

PLA-17 Reunin de Apertura-Cierre
Se lleva a cabo la auditoria.
Auditora Interna
Soluciones y Mejoras I.
7 Se realiza el Informe de 8 Dividiremos la auditoria en 3
auditoria, y se distribuye a todas las partes, en la primera buscaremos
reas implicadas. que el SGSI cumpla con lo
establecido en la ISO 27001 e
indicaremos las No conformidades
encontradas con el punto
correspondiente a la Norma.
Seguiremos los mismos pasos con

la ISO 27002.
Y con los Procedimientos de

Seguridad.
9 Por ltimo el Jefe Auditor realizar un

informe final destinado a la Direccin en el que
expondr las observaciones o sugerencias que
considere para mejorar el Sistema y sus
conclusiones finales.
Auditora Interna
Soluciones y Mejoras II.
10. En el caso de Existir No Conformidades, el 11. Se Comprueba si las acciones correctivas
jefe auditor o la persona elegida realizarn el tomadas fueron eficaces.
seguimiento de las acciones correctivas y evala
la eficacia
La auditoria interna NO debe ser concebida como un

acto dedicado a la inspeccin con tareas a veces incluso
policiacas en la cual debamos encubrir los delitos ( a
ver si no nos pillan), sino, como una oportunidad de
mejora continua con el asesoramiento de los posibles
puntos dbiles en los cuales se deba hacer hincapi para
mejorar la organizacin.
Auditora
Reintegracin/Reingeniera del SGSI.

Ciclo de Gestin de un
programa de Auditoria segn
ISO 19011
Auditora de Certificacin
Solicitud y Preparacin Auditora y/o Preauditora.
1 Contactar con la Empresa 3 Informe de Preauditora.
Certificadora y acordar las fechas de

las visitas a la Organizacin.
2 1 Visita:
Presentar la informacin desarrollada.
4 2 Visita:
Auditora e Informe de Auditora.
Auditora de Certificacin
Solucin de Observaciones y No Conformidades.

Si las no conformidades encontradas son de tipo menor,
bastar con realizar un
plan de acciones correctivas PAC con la solucin a adoptar para corregirla y
enviarla por email al Jefe Auditor.
Y si todo es correcto
NUESTRO ESFUERZO TENDR SU RECOMPENSA !!!.

Fin
MUCHAS GRACIAS POR VUESTRA ASISTENCIA

Alejandro Corletti Estrada
acorletti@hotmail.com

ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Cargado por

Copyright:

Formatos disponibles

Por: Alejandro Corletti Estrada

Espaa es un Pas de calidad, pues as lo demuestra el ranking

La Seguridad deja de ser slo una cuestin tcnica.

Implica a todos los niveles de la organizacin.

Introduce el Anlisis de Riesgo y el SGSI.

El conjunto de controles (133), no deja nada librado al azar.

Ha tenido acogida y apoyo internacional (1 vez en seguridad).

Pone/demuestra Calidad en la seguridad de la Informacin.

Aparece en un momento clave de la industria.

RECUERDEN: Marca un antes y un despus.

Los detalles que conforman el cuerpo de

Anlisis de Riegos (AR).

La organizacin, establecer, implementar, operar, monitorizar, revisar,

PUNTOS DE LA NORMA (Relativos al SGSI)

A.5 Poltica de Seguridad.

LA DIRECCIN DEBER REVISAR ESTE PASO, APROBARLO Y

Hay que acotar el alcance del SGSI:

9 SEGURIDAD FSICA Y DEL ENTORNO

6. Organizacin de la Seguridad de la Informacin

Pto. Objetivo Control Documento

6. Organizacin de la Seguridad de la Informacin

6.2.1 Identificacin de Riesgos relativos a Terceros.

6.2.2 Tratamiento de la Seguridad en la Relacin con los Documento de Acuerdo

Durante la 8.2.2 Concienciacin, Formacin y Procedimiento de Obligaciones del Personal.

Planes de Formacin y Concienciacin.

10.1.2 Gestin del Cambios. Procedimiento de Control y Gestin

Gestin de la 10.6.1 Controles de Red. Procedimiento de Red Corporativa.

Pto. Objetivo Control Documento

Servicios de 10.9.1 Comercio Electrnico.

10.10.3 Proteccin de la Informacin Procedimiento de Auditora de los Sistemas de Informacin.

11.5.1 Procedimientos Seguros de Inicio de Procedimiento de Seguridad Fsica.

11.5.2 Identificacin y Autenticacin de Procedimiento de Seguridad Fsica.

11.7.1 Ordenadores y Procedimiento de Seguridad Fsica.

Pto. Objetivo Control Documento

Pto. Objetivo Control Documento

12.4.2 Proteccin de los Procedimiento de Control y Gestin de Cambios.

Pto. Objetivo Control Documento

12.5.4 Fugas de Informacin. Procedimiento de Gestin y Distribucin de

Pto. Objetivo Control Documento

Pto. Objetivo Control Documento

GESTIN DE CONTINUIDAD DEL NEGOCIO

Monitorizacin para asegurar: Implementacin:

BAJA Incidente Incidente PRD

Leyes Especficas Aplicadas a la Informtica:

RLOPD: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

LGT: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

LSSI-CE: Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la

LPI: Ley de Propiedad Intelectual.

Leyes que afectan a tratamientos especficos.

12.6.1 Control de las Vulnerabilidades Tcnicas.

13.1.1 Notificacin de los Eventos de Seguridad de la Informacin.

1 Elaborar el Programa Anual de Auditora Interna teniendo en

cuenta a los auditores, tipo de auditora, y categora.

2 Elaborar un Plan de Auditora

5 Se comunica al departamento a auditar con 10 das

6 Se presentan los documentos PLA-15 Plan de Auditoria y

Seguiremos los mismos pasos con

Y con los Procedimientos de

9 Por ltimo el Jefe Auditor realizar un

La auditoria interna NO debe ser concebida como un

Reintegracin/Reingeniera del SGSI.

1 Contactar con la Empresa 3 Informe de Preauditora.

Certificadora y acordar las fechas de