Taller de transición de la norma ISO/IEC

27001:2005 a la ISO/IEC 27001:2013

Ing. CIP Maurice Frayssinet Delgado

mfrayssinet@gmail.com
www.ongei.gob.pe

Oficina Nacional de Gobierno Electrónico e Informática

 Agenda

• Sección 1. Introducción a la norma ISO/IEC 27001:2013.

• Sección 2. Estructura de la nueva norma.
• Sección 3. Principales cambios y mejoras.
• Sección 4. Modelo de transición.

2
 Sección 1

Introducción a la norma
ISO/IEC 27001:2013.

3
 ISO 27001:2013

• ISO IEC 27001 2013 es un estándar de gestión

de seguridad de la información.
• Se define un conjunto de requisitos de gestión
de seguridad de la información.
• El nombre oficial completo de la norma ISO /
IEC 27001:2013 Tecnología de la información -
Técnicas de seguridad – Sistema de gestión de
Seguridad de la información - Requisitos

4
Historia de la Norma
ISO 27001

5
 Anexo SL

• El Anexo SL sugiere una estructura única para

todas las normas en Sistemas de Gestión,
consiguiendo con ello mayor coherencia,
efectividad y eficiencia en su implementación,
integración, mantenimiento y proceso de
auditoría para la posterior certificación.
• Esta estructura, a la que se le ha dado el
nombre de estructura de Alto Nivel, consta de
10 apartados.

6
 Anexo SL - Estructura común

1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación
10. Mejora

7
 Los Sistemas de Gestión se Integran

SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001

8
 Estructura de la ISO
27001:2013
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación
10. Mejora
Anexo A – Lista de Controles
9
 PNTP ISO/IEC 27001:2014

• Para el Perú será la

futura norma NTP
ISO/IEC 27001:2014.
• Actualmente ya se
culmino su traducción
encontrándose en fase
de consulta y revisión
final del borrador

10
 Sección 2

Estructura de la
nueva norma

11
 ¿Qué es ISO?

Fuente: http://www.pmg-ssi.com/
12
 Contexto de la organización

• Se definen los requerimientos para definir el

contexto del SGSI sin importar el tipo de
organización y su alcance.
• Nuevo concepto de la partes
interesadas como un elemento
primordial para el alcance del SGSI.
• Se alienan las partes interesadas con relación
a la seguridad de la información y sus
requisitos

13
 Liderazgo

• Los objetivos del SGSI y “La política de

seguridad de la información deben estar
alineados con los objetivos del negocio.
• Garantizar disponibilidad de los recursos
• Garantizar que se asignen los roles y
responsabilidades

14
 Planeación

• Se elimina el término “Propietario del activo” y se

adopta el término “Propietario del riesgo”.
• La evaluación de riesgos ya no está enfocado en los
activos, las vulnerabilidades y las amenazas.
• El objetivo es identificar los riesgos asociados con la
pérdida de la confidencialidad, integridad y
disponibilidad de la información.
• El nivel de riesgo esta en base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas
(impacto), si el riesgo se materializa.
• Los requerimientos del SOA no sufrieron
transformaciones significativas.

15
 Soporte

• La definición “información documentada” sustituye a

los términos “documentos” y “registros”
• Se enfoca en el contenido de los documentos y no en
la existencia de un determinado conjunto de estos.
• Requerimientos de soporte: Recursos, Personal
competente, y comunicación de las partes
interesadas

16
 Operación

• Los activos, vulnerabilidades y amenazas ya no

son la base de la evaluación de riesgos.
• Solo se requiere para identificar los riesgos
asociados con la confidencialidad, integridad y
disponibilidad.
• Establece los requerimientos para medir el
funcionamiento del SGSI.
• La organización debe planear y controlar las
operaciones y requerimientos de seguridad
17
 Evaluación del desempeño

• Revisiones del estado de los planes de acción

para atender no conformidades.
• Identificar, medir la efectividad y desempeño
del SGSI mediante auditorías internas y las
revisiones.

18
 Mejora

• Las no-conformidades identificadas, tienen

que contabilizarse y compararse con las
acciones correctivas para asegurar que no se
repitan y sean efectivas.
• Las medidas preventivas se fusionarán con la
evaluación y tratamiento el riesgo.

19
 Anexos

• El “Anexo A – Referencia de objetivos y

controles” continúa formando parte de este
estándar.
• Los anexos “B” y “C” se han eliminado.
• El número de dominios del anexo A aumenta
de 11 a 14.
• El numero de controles del anexo A paso de
133 a 114.

20
 Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización

Clausula 5
Planificación

Clausula 10 Clausula 8
Mejora Funcionamiento

Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo

21
Ciclo PDCA en ISO/IEC
27001:2013

22
 Sección 3

Principales cambios
y mejoras.

23
 ISO 27001

• Especifica los requisitos de gestión

de un SGSI (Cláusula 4 a 10)

• Los requisitos (cláusulas) son

escritos utilizando el verbo
"deberán" en imperativo

• Anexo A: 14 cláusulas que

contienen 35 objetivos de control y
114 controles

• La organización puede ser

certificada en esta norma

24
 ISO 27002

• Guía para el código de prácticas para los

controles de la seguridad de la
información (Documento de referencia)

• Cláusulas escritas utilizando el verbo

"debería"

• Compuesto de 14 cláusulas, 35 objetivos

de control y 114 controles

• Una organización no puede ser certificada

en esta norma

25
Cambios

26
Cambios

27
Documentos

28
Documentos

29
 Cambios

ISO 27001:2005 ISO 27001:2013

30
 Sección 3

Modelo de
transición.

31
 Transición

Realizar un análisis de brecha entre la norma

ISO/IEC 27001:2005 y la ISO/IEC 27001:2013

Se debe iniciar un “Proyecto de Transición”

32
 Información documentada

• La 'Información documentada' es el un
nuevo término que se aplica a lo que la
versión 2005 denominaba documentos
y Registros.
• En la transición a la norma ISO / IEC
27001: 2013, sólo tiene que sustituir el
términos documentos y registros con el
término documentos de información
• Si desea realizar una distinción se
entiende que los documentos son
declaraciones de intenciones y los
registros son evidencias

33
 Política

• Política de Seguridad de la Información

en lugar de política del SGSI
• Criterios para la realización de las
evaluaciones de riesgos de seguridad
de información (véase el numeral 6.1.2
a) 2))
• La política de la organización hacia la
liberación de su información, la política
de seguridad a las partes interesadas
(véase el numeral 5.2 g))
• La política de la organización con
respecto a las comunicaciones externas
(ver Cláusula 7.4).

34
 Evaluación de riesgos

• En contraste con la norma ISO /

IEC 27001: 2005, ISO / IEC 27001:
2013 no exige explícitamente la
identificación de activos,
amenazas y vulnerabilidades,
como requisito previo a la
identificación de riesgos.
• Utiliza el vocabulario de 31000
(Gestión de riesgos ISO –
principios y directrices) y, por
tanto, la norma ISO / IEC 27001:
2013 se refiere a consecuencias
en lugar de impactos

35
 Evaluación de riesgos

• La estructura general de los

requisitos (identificar los
riesgos, evaluar
consecuencias y
probabilidades) es el mismo
que ISO / IEC 27001: 2005.
• Esto significa que poco o
ningún cambio se debe
realizar en la evaluación del
riesgo / metodología de
tratamiento riesgo o su
implementación.

36
 Términos de referencia para la
alta dirección

Un cambio debe ser necesario

para acomodar la especificación
de responsabilidades dadas en
las Cláusulas 5.1 a) a h).

37
5.1 Liderazgo y compromiso

a) asegurando que la política de

seguridad de la información y
los objetivos de seguridad de la
información son establecidos y
compatibles con la dirección
estratégica de la organización;
b) asegurando la integración de
los requisitos del sistema de
gestión de seguridad de la
información en los procesos de
la organización;
c) asegurando que los recursos
necesarios para el sistema de
gestión de seguridad de la
información estén disponibles;

38
 5.1 Liderazgo y compromiso

a) comunicando la importancia de una

efectiva gestión de seguridad de la
información y en conformidad con los
requisitos del sistema de gestión de
seguridad de la información;
b) asegurando que el sistema de gestión de
seguridad de la información logre su(s)
resultado(s) previsto(s);
c) dirigiendo y apoyando a las personas
para que contribuyan con la efectividad
del sistema de gestión de seguridad de la
información;
d) promoviendo la mejora continua; y
e) apoyando a otros roles relevantes de
gestión para demostrar su liderazgo tal
como se aplica a sus áreas de
responsabilidad.

39
 Responsabilidades

Se debe acomodar la
especificación
responsabilidades dadas en
las Cláusulas 5.3 a) y b).

40
 5.3. Roles, autoridad y
responsabilidades organizacionales

a) asegurar que el sistema de

gestión de seguridad de la
información esté conforme a
los requisitos de este Proyecto
de Norma Técnica Peruana; y

a) reportar sobre el desempeño

del sistema de gestión de
seguridad de la información a
la alta dirección.

41
 Concientización

Los requisitos de Cláusula 7.4 como

el proceso de creación de
conciencia puede considerarse
como una forma de comunicación.

42
 7.4. Comunicación

La organización debe determinar la

necesidad de comunicaciones
internas y externas relevantes al
sistema de gestión de seguridad de la
información incluyendo:

a) qué comunicar;
b) cuándo comunicar;
c) a quién comunicar;
d) quién debe comunicar; y
e) Los procesos por los cuales la
comunicación debe ser efectuada

43
Preguntas

44
 Contacto

Soporte SGSI: Maurice Frayssinet Delgado

Correo Electrónico: mfrayssinet@gmail.com
Teléfonos: Rpm #963-985-125
6346000 anexo 118
2197000 anexo 5118

45
 ONGEI
Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe