UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

CONTABILIDAD Y AUDITORIA

AUDITORIA DE SISTEMAS I

INTEGRANTES : Arcos Stephany Lucia Curso: AC9-1

Chipantasig Carolina Elizabeth
Cudco Lady Carolina
Morales Patricia Susana
Uvidia Jadira Alexandra

MANUAL NORMA 27001 SEGURIDAD DE LA INFORMACIÓN

ISOS NOMBRE DEFINICIÓN A/N UTILIDAD

La seguridad de la información, como la mayoría de los

temas técnicos, utiliza una compleja red de terminología
Sistemas de gestión de
que está evolucionando continuamente. Contiene las Crea un vocabulario estandard para el SGSI que se
27000 la seguridad de la A
mejores prácticas recomendadas en seguridad de la encuentra en desarrollo actualmente).
información
información para desarrollar,implementar y mantener
especificaciones para los SGSI.
 Especifica formalmente un Sistema de Gestión de la
Seguridad de la Información (SGSI), una serie de
actividades relacionadas con la gestión de los riesgos de la
Sistemas de gestión de Establecimiento de una metodología de gestión de la
información, es un marco general de gestión mediante el
la seguridad de la seguridad clara y estructurada.
cual la organización identifica, analiza y aborda sus riesgos A
información - Confianza de clientes y socios estratégicos por la
de información. esta norma consiste en la preservación de
Requisitos garantía de calidad y confidencialidad comercial.
la confidencialidad, integridad y disponibilidad, y de los
sistemas implicados en su tratamiento, dentro de una
organización.

27001

La seguridad de la información, y por lo tanto la ISO / CEI
Código de prácticas 27002, es relevante para todas las organizaciones,
para los controles de proporciona recomendaciones de las mejores prácticas en
27002
seguridad de la la gestión de la seguridad de la información a todos los
información interesados y responsables en iniciar, implantar o mantener
sistemas de gestión de la seguridad de la información
Esta establece políticas de Seguridad Sobre las
directrices y conjunto de políticas ;para, la seguridad
de la información y Organiza la Seguridad de la
A
Información.
 ISO / IEC 27003 guía el diseño de un ISMS conforme
ISO / IEC 27001, que conduce al inicio de un proyecto de
Guía de implementación
implementación del SGSI. Describe el proceso de Focaliza su atención en los aspectos requeridos para
del sistema de gestión
27003 especificación y diseño del SGSI desde el inicio hasta la A un diseño exitoso y una buena implementación del
de la seguridad de la Sistema de Gestión de Seguridad de la Información 
producción de planes de proyectos de implementación,
información
cubriendo las actividades de preparación y planificación
antes de la implementación real

Se refiere a las mediciones o medidas necesarias para la

gestión de la seguridad de la información: son comúnmente
Gestión de la seguridad conocidas como "métricas de seguridad" en la profesión,
de la información - tiene por objeto ayudar a las organizaciones a evaluar la
27004 A
Seguimiento, medición, eficacia y la eficiencia de sus sistemas de gestión de la
análisis y evaluación seguridad de la información ISO27, proporcionando la
información necesaria para gestionar y mejorar
sistemáticamente el SGSI.
Permite:
• Selección de datos
• Desarrollo de un sistema de medición
• Interpretación de los valores medidos
• Notificación de los valores de medición

Directrices para la gestión de riesgo en (SGSI). El riesgo

se define como una amenaza que explota la vulnerabilidad
Gestion de riesgos en la Se compromete a preservar la confidencialidad,
de un activo pudiendo causar daños. El riesgo se encuentra
27005 seguridad de la A disponibilidad e integridad, de sus activos de
relacionado con el uso, propiedad, operación, distribución y
informacion información
la adopción de las tecnologías de la información de la
empresa.
 Especifica los requisitos y suministrar una guía para la
auditoría y la certificación del sistema. Los auditores de Sirve para la acreditación de las organizaciones
certificación solo tienen interés pasajero en los controles que proporcionan la certificación de
Tecnologia de la
27006 reales de seguridad de información que están siendo N los sistemas de gestión de la
Información
administrados por el sistema de gestión. seguridad de la información.

Comprobar que las obligaciones contractuales de los

proveedores son satisfactorias. Auditorías Internas del Sistema Integrado de
Sistema de Gestion de
Realizar una revisión y control por la dirección. Gestión SIG, que define las responsabilidades y
Seguridad de la
27007 Operaciones rutinarias del SGSI de una organización A requisitos para la planificación y realización de las
Infomacion (Guia para
para garantizar la buena marcha de la organización. mismas, la presentación de resultados y
poder auditar
Auditar después de producirse incidentes en la seguridad mantenimiento de los registros
de la información como parte del análisis.
 Implementación y operación de los controles, es aplicable a
cualquier tipo y tamaño de empresa, tanto pública como
privada que lleve a cabo revisiones relativas a la seguridad
de la información y los controles de seguridad de la
información. Estos controles ISO 27008 ayudarán
Controles de la Identificar los impactos: los que podría suponer una
a la organización a:
27008 Seguridad de la A pérdida de la confidencialidad, la integridad o la
Comprender el alcance de los problemas o deficiencias
Informacion. disponibilidad de cada uno de los activos
en la aplicación y puesta en marcha de los controles de
seguridad de la información, normas de seguridad de la
información y controles de la información técnica.

La Norma ISO 27009 está pensada para ayudar a aplicar en

Guia sobre el uso y sectores específicos con características propias los
27009 N Direcionada a la ISO 27001
aplicacion requisitos en materia de seguridad de la información de la
Norma ISO 27001.
 Permite una orientación sobre del funcionamiento interno
de la empresa, seguridad y comunicación entre el propio
sector, entre sectores y con los gobiernos.
Con esto se consigue proteger la
Gestión de seguridad de
infraestructura crítica, reconocer las circunstancias
la información para las
normales para satisfacer los requisitos jurídicos,
27010 comunicaciones inter- N
reglamentarios y otras obligaciones contractuales.
sectoriales e inter-
aporta una guía sobre los métodos,
organizacionales
modelos, procesos, controles y demás mecanismos para
realizar el intercambio de información de una manera
segura, garantizando la confianza y el entendimiento,
respetando los principios de seguridad de la información.

Guía de interpretación
de la implementación y
gestión de la seguridad Facilita modernos controles, además de una orientación
de la información en para la implementación en las empresas de
27011 organizaciones del telecomunicaciones. A
sector de Consolida la privacidad, disponibilidad e integridad de las
telecomunicaciones infraestructuras y servicios de estas empresas.
basada en ISO/IEC
27002:2005
 Guía de implementación
Ayuda a las organizaciones interesadas, por ejemplo, a:
integrada de ISO/IEC
Implementar el estándar ISO 27001 cuando ya trabajan con
27001:2005 (gestión de
la norma ISO 20000, o al contrario.
seguridad de la
27013 Implementar las normas ISO 27001 e ISO 20000 A
información) y de
conjuntamente desde cero .
ISO/IEC 20000-1
Alinear y coordinar los sistemas relativos a ambos
(gestión de servicios
estándares, tanto el SGSI como el SGS.
TI).

Es una norma de seguridad de la información, la cual

facilita orientación sobre los principios y conceptos para
gobernar la seguridad de la información.
Guía de gobierno
A través de esta, las organizaciones podrán dirigir,
corporativo de la
27014 comunicar, evaluar y controlar la seguridad de la A
seguridad de la
información que está relacionada con las actividades de la
información.
organización.
Su ámbito de aplicación es para todas las clases y tamaños
de organizaciones.
 Esta es una guía destinada a ayudar a las organizaciones de
Guía de SGSI orientada
servicios financieros (bancos, compañías de seguros,
a organizaciones del
compañías de tarjetas de crédito, etc ). Sirve para entender las consecuencias económicas
sector financiero y de
27015 A que puede tener mantener la información protegida
seguros y como
Las empresas del sector financiero se enfrentan a retos en una organización.
complemento a ISO/IEC
nuevos sobre las amenazas de seguridad de la información
27002:2005.
como el malware, ataques cibernéticos y phising.

Proporciona directrices sobre cómo una organización puede

tomar decisiones para proteger la información y
Guía de valoración de comprender las consecuencias económicas de estas
los aspectos financieros decisiones en el contexto de los requisitos de competencia
27016 A
de la seguridad de la para los recursos.
información. Sirve para entender las consecuencias económicas que
puede tener mantener la información protegida en una
organización.
 Proporciona directrices para los controles de seguridad de
la información aplicables a la provisión y uso de servicios
en la nube al proporcionar:
Guía de seguridad para - Directrices de aplicación adicionales para los controles
27017
Cloud Computing. pertinentes especificados en ISO / IEC 27002;
- Controles adicionales con directrices de implementación
que se refieran específicamente a los servicios en la nube.
Proporciona controles e instrucciones de
implementación tanto para los proveedores de
A
servicios en la nube como para los clientes de
servicios en la nube.

Requisitos para la
Proporciona orientación destinada a garantizar que los
protección de la
proveedores de servicios en la nube puedan ofrecer
27018 información de N
controles adecuados de seguridad de información con el
identificación personal
objetivo de proteger la privacidad de los clientes
(PII) en sistemas cloud 
 Gestión de seguridad de
Que la industria de la energía pueda poner en práctica un
la información y
sistema de gestión de información de seguridad
aplicada a sistemas de
27019 normalizado (SGSI) en conformidad con la norma ISO/IEC N
control de procesos en
27001 que se extienda desde la empresa hasta el nivel de
entornos industriales de
control de procesos.
suministro de la energía

Cartografía de las
ediciones revisadas de El documento mapea o compara las ediciones más recientes de
27023 ISO / IEC 2700 e ISO / IEC 27002 con las ediciones anteriores, A
ISO / IEC 27001 e ISO / indicando dónde terminaron las secciones originales.
IEC 27002

Directrices para la La norma abarca todos los eventos e incidentes (no sólo
preparación de la relacionados con la seguridad de la información) que podrían
tecnología de la tener un impacto en la infraestructura y los sistemas de TIC. Por Consistirá en una guía de continuidad de negocio en
27031 A
información y las lo tanto, amplía las prácticas de gestión y manejo de incidentes cuanto a tecnologías de la Información y Comunicación
comunicaciones para la de seguridad de la información, planificación y servicios de
continuidad del negocio preparación para las TIC.

Aborda la "seguridad cibernética" o "seguridad del

Directrices para la ciberespacio", definida como la "preservación de la
27032 A
seguridad cibernética confidencialidad, integridad y disponibilidad de la
información en el ciberespacio".
 Proporciona una guía detallada sobre la implementación de
los controles de seguridad de la red que se introducen en
ISO / IEC 27002 . Se aplica a la seguridad de los
27033 Seguridad de la red dispositivos en red y la gestión de su seguridad, las A
aplicaciones / servicios de red y los usuarios de la red,
además de la seguridad de la información que se transfiere
a través de enlaces de comunicaciones.

Ofrece orientación sobre la seguridad de la información a

aquellos que especifican, diseñan y programan o procuran,
Seguridad de las implementan y usan sistemas de aplicación, en otras
27034 A
aplicaciones palabras Empresarios y responsables de TI, desarrolladores
y auditores y, en última instancia, los usuarios finales de las
TIC.

Explica un enfoque de mejores prácticas destinado a la

gestión de la información de incidentes de la seguridad.
Gestión de incidentes Los controles de seguridad de la información son
27035 de seguridad de la imperfectos de varias maneras: los controles pueden ser A
información abrumados o socavados ( por ejemplo , hackers
competentes, fraudes o malware), fallar en el servicio ( por
ejemplo, fallos de autenticación).
 Ofrece orientación sobre la evaluación y el tratamiento de
Seguridad de la los riesgos de información involucrados en la adquisición
información para las de bienes y servicios de los proveedores por ejemplo ,( una
27036 A
relaciones con los parte de una organización o grupo puede adquirir productos
proveedores de otra parte como una transferencia interna sin pagar por
ellos).

Directrices para la La norma norma 27037 proporciona orientación sobre la

identificación, identificación, recolección / adquisición, manipulación y
recopilación, protección / conservación de pruebas forenses digitales, es
27037 A
adquisición y decir, "datos digitales que pueden ser de valor probatorio"
conservación de pruebas para su uso en los tribunales.
digitales

La norma 27038 especifica las características de las

técnicas para realizar la redacción digital en los
Especificación para la documentos digitales y requisitos para las herramientas de
27038 A
redacción digital redacción de software y los métodos de prueba de que la
redacción digital se ha completado de forma segura pero no
Incluyen la redacción de información de bases de datos

Selección, despliegue y La norma 27039 proporciona directrices de ayuda a las

funcionamiento de organizaciones en la implantacion de sistemas de
Deberian implantar procedimientos y controles de
27039 sistemas de detección y prevención y detección de intrusiones (IDPS), N
detección y respuesta a incidentes de seguridad.
prevención de específicamente, en las actividades de su selección,
intrusiones (IDPS) implementación y operativa.
 Tecnología de la
Proporciona orientación técnica detallada sobre cómo
información- Técnicas
gestionar eficazmente todos los aspectos de seguridad de
27040 de seguridad- la A
almacenamiento de datos, desde la planificación y el diseño
seguridad de
hasta la implementación y documentación.
almacenamiento

Orientación en asegurar
la idoneidad y Proporciona orientación sobre los mecanismos para
adecuación de los garantizar que los métodos y procesos utilizados en la
27041 A
métodos de investigación de los incidentes de seguridad de información
investigación de son aptos para el propósito
incidentes

Directrices para el
Ofrece orientación sobre el proceso de análisis e
análisis y la
27042 interpretación de las pruebas digitales, que por supuesto es A
interpretación de la
sólo una parte del proceso de análisis forense.
evidencia digital

Proporciona directrices que incluye modelos idealizados de

Principios de
los procesos de investigación de incidentes común a través
27043 investigación de A
de diversos escenarios de investigación de incidentes que
incidentes y procesos
involucran evidencia digital.

Se refiere a la fase de descubrimiento, específicamente el

descubrimiento de información electrónicamente
27050 Detección Electrónica A
almacenado (ESI), la evidencia forense en forma de datos
informáticos y el descubrimiento electrónico (eDiscovery).