Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Assessment27001 PDF

    Cargado por

    victor hugo rico
    6 vistas23 páginas

    Título original

    assessment27001.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas23 páginas

    Assessment27001 PDF

    Cargado por

    victor hugo rico

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 23

    SERVICIO

    GAP ASSESSMENT
    BASADO EN LA NUEVA ISO 27001:2013

    www.sigea.es
    Fases,
    Diferencias
    Descripción actividades
    con una Contacto
    del análisis y equipo de
    auditoría
    trabajo
    DESCRIPCIÓN DEL ANÁLISIS

    GAP ASSESSMENT ISO 27001:2013


    lagunas detectadas en áreas de cláusulas que
    En esta primera parte del informe se incluyen las

    componen la base principal de la gestión de la norma ISO/IEC 27001:2013 , según el ciclo

    de mejora

    plan

    act 27001 do

    check
    En esta segunda parte del informe, la más extensa, se muestran las áreas de control
    de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad

    pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva

    ISO/IEC 27001:2013
    La información acerca del estado de implantación de las áreas de control, también se
    muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una

    instantánea.
    También se incluyen en el informe, para dar una visión más
    detallada, el estado de implantación de los

    objetivos de control de la nueva


    norma ISO/IEC 27001:2013
    La parte más detallada del
    informe constituye aquella
    en la que se especifica el
    estado dei mplantación de
    cada uno de los

    controles de
    seguridad
    de la norma, indicando uno
    por uno su estado y las
    evidencias detectadas
    A modo de resumen, el
    informe también incorpora el

    estado de
    54% implantación
    general
    en forma de porcentaje
    El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado
    de las medidad de seguridad de la información

    Porcentaje de reparto de controles aplicables

    Nivel de implantación
    por cada uno de los
    TIPOS de controles
    gráficos que permiten, de un solo vistazo, hacerse una idea
    El informe contiene además una serie de

    general del estado de implantación de las medidas de seguridad de la información

    Comparativas entre el
    NIVEL de
    implantación y el TIPO
    de controles
    nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un
    También se incluye un análisis del

    nivel de implementación medio o alto para cada uno de los tipos detectados.

    24 %

    50 % 47 %
    Este nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control
    evaluados previamente.
    Se trata de uno de los mejores indicadores para decidir por dónde empezar a actuar en el caso de una
    implantación.
    ¿Y CUÁL ES LA DIFERENCIA CON UNA
    AUDITORÍA?

    GAP ASSESSMENT ISO/IEC 27001:2013


    Nuestro informe incorpora variaspropuestas de alcances certificables así como un programación gantt que
    refleja nuestra recomendación en tiempo, recursos y prioridades para la implantación.

    Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6

    GAP analysis y definición del alcance

    Fase I :Política, objetivos y


    responsabilidades

    Fase II : Análisis de Riesgos y Plan de


    Tratamiento

    Fase III : Definición de la


    documentación aplicable

    Fase IV : Implantación de controles

    Fase V : Formación, definición de


    indicadores y recogida de datos

    Auditoria interna, acompañamiento


    en AC y cierre
    La mayor parte de este tiempo es descontado de la primera fase de implantación del sistema, con lo que se
    reduce el coste de implantación.

    Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6

    GAP analysis y definición del alcance

    Fase I :Política, objetivos y


    responsabilidades

    Fase II : Análisis de Riesgos y Plan de


    Tratamiento

    Fase III : Definición de la


    documentación aplicable

    Fase IV : Implantación de controles

    Fase V : Formación, definición de


    indicadores y recogida de datos

    Auditoria interna, acompañamiento


    en AC y cierre
    Además, nuestrametodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el
    informe proponemos además varias fórmulas u opciones de implantación

    Generación de documentación Formación y concienciación


    Plan Plan Plan

    Evaluación
    inicial (GAP) Act Do Act Do Act Do

    Check Check Check

    Auditoria
    Fase I Fase II Fase III Fase IV Fase V interna y
    cierre

    OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados)

    OPCIÓN B - Acompañamiento a los consultores de la entidad

    Auditoria
    externa
    FASES, ACTIVIDADES Y EQUIPO DE TRABAJO

    GAP ASSESSMENT ISO/IEC 27001:2013


    GAP Assessment ISO/IEC 27001:2013
    Fase 1 - Análisis de madurez de los requisitos ISO 27001
     Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los
    principales interlocutores y, en la medida de lo posible, se revisará la documentación existente.

     El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las
    cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de
    implantación de la norma ISO 27001. En concreto:

     Los resultados serán presentados en


     Análisis de riesgos gráficos de procesos indicando las
     Política de seguridad desviaciones detectadas
     Objetivos e indicadores
     Aspectos organizativos
     Formación y concienciación en seguridad
     Gestión documental
     Gestión de registros
     Planes de tratamiento de riesgos
     Gestión de Auditorías Internas
     Mejora Continua
     Revisiones por Dirección
    GAP Assessment ISO 27001
    Fase 2 – Grado de implantación de medidas de
    seguridad
     Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la
    norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de
    los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada.

     El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a
    nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En
    concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en
    la nueva norma ISO 27001:2013
     Los resultados serán presentados de forma individualizada
    para cada una de las áreas de control, indicando su grado
     Política de seguridad de IMPLANTACIÓN
     Aspectos organizativos
     Se acompañará cada área con los puntos de atención que
     Gestión de activos
    sea necesario tener en cuenta para mejorar los grupos que
     Seguridad de los RRHH no se encuentren en un grado óptimo.
     Seguridad física y ambiental
     Gestión de comunicaciones y operaciones
     Control de accesos
     Adquisición, desarrollo y mantenimiento de sistemas
     Gestión de incidentes de seguridad
     Continuidad de negocio
     Conformidad
    GAP Assessment ISO 27001:2013
    Desarrollo de las actividades
     Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico,
    administrativos, etc… de la entidad
     Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros
    de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado
    de la seguridad de la información.
     Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los
    correspondientes informes.

    Recursos
    Principales actividades 1 Consultor

     Recopilación de la información necesaria, tanto a nivel físico Dedicación


    como lógico, de los sistemas, servicios, comunicaciones y + Entrevistas on-site
    medidas de seguridad. + Inspecciones on-site por cada centro
     Identificación de los sistemas críticos que requieren un adicional
    análisis detallado.
    + Redacción off-site de informes y
     Identificación de las principales actividades de negocio. presentación de resultados
     Identificación de la legislación aplicable para la seguridad.
     Investigación sobre la madurez del sistema de gestión de Entregables
    seguridad de la información. - Informe de evaluación
     Investigación sobre el grado de conformidad con los - Conclusiones
    dominios, objetivos de control y controles de la ISO 27001. - Estimación de implantación
     Grado de concienciación/formación de los empleados en - Propuesta de alcances posibles
    materia de seguridad de la información.
    GAP Assessment ISO 27001
    Equipo de trabajo
    Los trabajos podrán ser realizados, de manera individual o conjunta, por
    cualquiera de los dos consultores asignados al proyecto, que son los siguientes:

    Consultor Perfil Cualificación

    Beatriz Martínez Consultora Senior


    ISO 27001 & ISO 20000 Lead auditor
    CISA, CISM, CRISC
    Francisco Menéndez
    Consultor Senior
    Piñera
    Gracias por su atención

    Teléfono: 902 024 736


    Email: info@sigea.es
    www.sigea.es

    También podría gustarte