Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas de gestión de
seguridad de la información
Publicada el 25-09-2013
Reemplaza a ISO 27001: 2005
Cambia su estructura
Nuevos requisitos y requisitos eliminados
Nuevos controles y controles eliminados
Cambios en la estructura de la norma
ISO27001
Por qué cambia la estructura?
http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype
Resumen de cambios
Comprensión Seguimiento, No
Acciones para Planificación
de la Liderazgo y medición, conformidades
tratar riesgos y Recursos y control
organización y compromiso análisis y y acciones
oportunidades operativo
el contexto evaluación correctivas
Análisis de
Expectativas de Objetivos de SI
riesgos de
las partes Política y planes para Competencia Auditoría interna Mejora continua
seguridad de la
interesadas alcanzarlos
información
Tratamiento de
Alcance del Funciones,
riesgos de Revisión por
sistema de responsabilidad Concientización
seguridad de la la Dirección
gestión es y autoridades
información
ISMS Comunicación
Información
documentada
PLAN DO CHECK ACT
Comparación entre estructuras
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
0. Introducción 0. Introducción
1. Alcance 1. Alcance
Cuerpo de la norma
ISO27001
Nuevos requisitos | Punto 4
Nuevos requisitos incorporados en la versión 2013
4.2 Entender las La organización debe determinar:
necesidades y a) las partes interesadas relevantes para el SGSI; y
expectativas de las
partes interesadas
4.3 Determinar el c) las interfaces y dependencias entre las actividades realizadas por la
alcance del SGSI organización, y aquellas realizadas por otras organizaciones.
Nuevos requisitos | Punto 5
Nuevos requisitos incorporados en la versión 2013
5.1 Liderazgo y b) asegurando la integración de los requisitos del SGSI en los procesos de
compromiso la organización;
Nuevos requisitos | Punto 6
Nuevos requisitos incorporados en la versión 2013
6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s);
b) cuándo comunicarlo;
c) a quién comunicarlo;
d) quién lo comunicará; y
Cuerpo de la norma
ISO27001
Requisitos eliminados
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso
conforme sea apropiado para cubrir estos requerimientos.
4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI.
4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento;
4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos;
4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de
indicadores; y
4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad.
4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI.
4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan
ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles.
Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados
del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y
objetivos del SGSI.
4.3.1.c) Procedimientos y controles de soporte del SGSI;
Requisitos eliminados
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias …
4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje,
protección, recuperación, tiempo de retención y disposición de los registros.
4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI.
5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales;
5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados;
6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el
reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado.
8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para…
8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para…
8.3.d) registrar los resultados de la acción tomada;
8.3.e) revisar la acción preventiva tomada.
8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del
riesgo.
Nuevos controles
Anexo A
ISO27001
Nuevos controles | A.6
Nuevos requisitos incorporados en la versión 2013
A.6.1.5 Seguridad de la Se abordará la seguridad de la información en la gestión de proyectos,
información en gestión independientemente del tipo de proyecto.
de proyectos
Nuevos controles | A.12
Nuevos requisitos incorporados en la versión 2013
A.12.6.2 Restricciones a Deben establecerse e implementarse reglas para gobernar la instalación de
la instalación de software por parte de los usuarios.
software
Nuevos controles | A.14
Nuevos requisitos incorporados en la versión 2013
A.14.2.1 Política de Deben establecerse y aplicase reglas para el desarrollo de software y
desarrollo seguro sistemas a los desarrollos en la organización.
A.14.2.5 Principios de Deben establecerse, documentarse, mantenerse y aplicarse principios de
ingeniería segura de ingeniería segura de sistemas a cualquier esfuerzo de implementación de
sistemas sistemas de información.
A.14.2.6 Entorno de Las organizaciones deben establecer y proteger apropiadamente los
desarrollo seguro entornos seguros de desarrollo para el desarrollo de sistemas y los
esfuerzos de integración que cubran todo el ciclo completo de desarrollo.
Anexo A
ISO27001
Controles eliminados
Controles ISO 27001: 2005 eliminados en la versión 2013
A.6.1.1 Compromiso de la dirección con la seguridad de la información
https://ar.linkedin.com/in/majobuigues
majobuigues@gmail.com
justmajo