Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ongei Sgsi PDF
Ongei Sgsi PDF
ONGEI2016
Ing. CIP Miguel Del Carpio Wong
Oficina Nacional de Gobierno Electrónico e Informática
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
• Parte 1 : NORMATIVA
• Parte 2 : IMPLEMENTACIÓN
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
NORMATIVA
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Norma Anterior
✔
Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A)
“NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad del a Información. Requisitos”.
✔
¿Quiénes? 71 Entidades. ¿Y las demás? Sólo Cronograma Fase 1.
✔
Controles deben ser implementados de acuerdo a la NTP-ISO/IEC
17799:2007 (Agosto 2007 – RM N.° 244-2007-PCM)
“NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la
gestión de la Seguridad de la Información. 2da. Edición”
✔
Deja sin efecto la RM N.° 197-2011-PCM
(Ponía fecha límite [31Dic2012] para
implementar NTP-ISO/IEC 17799:2007)
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Norma VIGENTE
✔
Aprueba uso obligatorio NTP-ISO/IEC 27001:2014.
“NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad del a Información. Requisitos. 2Da Edición”.
✔
¿Quiénes? Todas las Entidades Integrantes del Sistema Nacional de
Informática
✔
Presentar Cronograma: 60 días. ¿Lo Han Presentado?
✔
Implementación y/o Adecuación : 2 años. ¿Lo están trabajando?
Definir bien el Alcance en base a los recursos.
Actas, documentos, notas,...
✔
Pueden Certificar si lo desean con recursos propios. ¿Es bueno?
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Norma VIGENTE
✔
El Comité de Gestión de Seguridad de la Información
✔
Titular de Entidad,
✔
Administración,
✔
Planificación,
✔
Informática,
✔
Legal,
✔
Oficial de Seguridad de la Información.
✔
Deja sin efecto la RM N.° 129-2012-PCM.
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
IMPLEMENTACIÓN
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
NTP-ISO/IEC 27001:2014
• Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.
• Capítulo 05 : LIDERAZGO.
• Capítulo 06 : PLANIFICACIÓN.
• Capítulo 07 : SOPORTE.
• Capítulo 08 : OPERACIÓN.
• Capítulo 09 : EVALUACIÓN DE DESEMPEÑO.
• Capítulo 10 : MEJORAS.
ALCANCE
Requerimiento de la
Sección Estado Evidencia: ¿Cómo lo cumple?
ISO/IEC 27001:2013
ALCANCE (si se desea certificar, también tener el alcance en inglés, la auditora lo pedirá.)
¿Qué hacer?
✔ Definir bien el alcance (procesos o sub procesos).
✔ Puede ser cambiado siempre y cuando existan las actas de reunión del
comité y por qué se cambió.
¿Cómo?
✔ Preguntarse:
✔ ¿Por qué implementas el SGSI?
✔ ¿Qué área debe ser cubierta por el SGSI?
✔ NO definir un Alcance MUY AMPLIO, pues tu análisis de riesgos
será mayor y puedes demorar mucho: presupuesto, tiempo,...
✔ Se debe comprender los problemas externos e internos de la Entidad.
Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA
ENTIDAD GUBERNAMENTAL.
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Capítulo 05 : LIDERAZGO.
Capítulo 05 : LIDERAZGO.
Capítulo 05 : LIDERAZGO.
Capítulo 05 : LIDERAZGO.
Capítulo 06 : PLANIFICACIÓN.
Capítulo 06 : PLANIFICACIÓN.
¿Qué hacer?
✔ Procedimiento para la gestión de riesgos de seguridad de la
información.
¿Cómo?
✔ Elegir tu metodología de gestión de riesgos,
✔ Usa ISO 31000,
✔ Usa ISO 27002,
✔ Usa ITIL, COBIT, COSO,
✔ Usa MAGERIT (española – 3 libros)
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Capítulo 06 : PLANIFICACIÓN.
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.1 Requisitos de la empresa para el control de acceso.
Objetivo: Limitar el acceso a la información y a las instalaciones de
procesamiento de la información
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.4 Control de acceso a sistema y aplicación.
Objetivo: Prevenir el acceso no autorizado a los sistemas y
aplicaciones.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?
Control: El acceso al
código fuente de los NO APLICA
programas debe ser
restringido.
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna.
Objetivo: Establecer un marco de referencia de gestión para iniciar y
controlar la implementación y operación de la seguridad de la
información dentro de la organización.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?
A.6.1.3 Contacto
autoridades.
con las Se cuenta con una lista para
establecer contacto rápido con las
partes involucradas y se evidencia
Control: Contactos con que se ha comunicado a todos.
autoridades relevantes IMPLEMENTADO
deben ser mantenidos.
Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna.
Objetivo: Establecer un marco de referencia de gestión para iniciar y
controlar la implementación y operación de la seguridad de la
información dentro de la organización.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?
ISO 27003
Muchas Gracias...!!!
http://www.ongei.gob.pe
mdelcarpio@pcm.gob.pe
migueldelcarpiowong@gmail.com
+51 1 219 7000 Anexo 5111
+51 997 401 747