Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Presentacion Normas Iso

    Cargado por

    Norma Constanza Bahamon L
    16 vistas12 páginas
    El documento habla sobre las normas ISO 27000, 27001, 27002 y 27003 relacionadas con los sistemas de gestión de seguridad de la información. Explica que la ISO 27000 proporciona una visión general de los SGSI, la 27001 especifica los requisitos para implementarlos, la 27002 ofrece recomendaciones de mejores prácticas y la 27003 guía sobre el diseño e implementación de los SGSI.

    Descripción original:

    Título original

    presentacion normas iso

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento habla sobre las normas ISO 27000, 27001, 27002 y 27003 relacionadas con los sistemas de gestión de seguridad de la información. Explica que la ISO 27000 proporciona una visión general de los SGSI, la 27001 especifica los requisitos para implementarlos, la 27002 ofrece recomendaciones de mejores prácticas y la 27003 guía sobre el diseño e implementación de los SGSI.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    16 vistas12 páginas

    Presentacion Normas Iso

    Cargado por

    Norma Constanza Bahamon L
    El documento habla sobre las normas ISO 27000, 27001, 27002 y 27003 relacionadas con los sistemas de gestión de seguridad de la información. Explica que la ISO 27000 proporciona una visión general de los SGSI, la 27001 especifica los requisitos para implementarlos, la 27002 ofrece recomendaciones de mejores prácticas y la 27003 guía sobre el diseño e implementación de los SGSI.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    NORMAS ISO

    PRESENTADO POR :
    KAREN YULIETH IZQUIERDO GARZÓN
    NORMATIVIDAD 27000

    • ISO/IEC 27000 ES PARTE DE UNA FAMILIA EN CRECIMIENTO DE ESTÁNDARES SOBRE SISTEMAS


    DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) DE ISO/IEC, EL ISO 27000 SERIES.
    ISO/IEC 27000 ES UN GRUPO DE ESTÁNDARES INTERNACIONALES TITULADOS: TECNOLOGÍA DE
    LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE
    LA INFORMACIÓN - VISIÓN DE CONJUNTO Y VOCABULARIO. TIENE COMO FIN AYUDAR A
    ORGANIZACIONES DE TODO TIPO Y TAMAÑO A IMPLEMENTAR Y OPERAR UN SISTEMA DE
    GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI).
    LA NORMA ISO/IEC 27000 FUE PREPARADA POR EL COMITÉ TÉCNICO CONJUNTO ISO/IEC JTC
    1 TECNOLOGÍA DE LA INFORMACIÓN, SC 27 TÉCNICAS DE SEGURIDAD.
    PROPORCIONA

    1. UNA VISIÓN GENERAL DE NORMAS SOBRE SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA


    INFORMACIÓN (SGSI)
    2. UNA INTRODUCCIÓN A LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
    3. UNA BREVE DESCRIPCIÓN DEL PROCESO PARA PLANIFICAR - HACER - VERIFICAR - ACTUAR (PLAN
    - DO - CHECK - ACT, PDCA).
    4. LOS TÉRMINOS Y LAS DEFINICIONES UTILIZADAS EN LA FAMILIA DE NORMAS SISTEMAS DE
    GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
    ESTA NORMA INTERNACIONAL ES APLICABLE A TODO TIPO DE ORGANIZACIONES DESDE EMPRESAS
    COMERCIALES HASTA ORGANIZACIONES SIN ÁNIMO DE LUCRO.
    NORMATIVIDAD 27001
    SISTEMAS DE GESTIÓN DE RIESGOS Y SEGURIDAD

    SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 ES UNA NORMA


    INTERNACIONAL QUE PERMITE EL ASEGURAMIENTO, LA CONFIDENCIALIDAD E
    INTEGRIDAD DE LOS DATOS Y DE LA INFORMACIÓN, ASÍ COMO DE LOS SISTEMAS QUE LA
    PROCESAN.
    EL ESTÁNDAR ISO 27001:2013 PARA LOS SISTEMAS GESTIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN PERMITE A LAS ORGANIZACIONES LA EVALUACIÓN DEL RIESGO Y LA
    APLICACIÓN DE LOS CONTROLES NECESARIOS PARA MITIGARLOS O ELIMINARLOS.
    LA APLICACIÓN DE ISO-27001 SIGNIFICA UNA DIFERENCIACIÓN RESPECTO AL RESTO, QUE
    MEJORA LA COMPETITIVIDAD Y LA IMAGEN DE UNA ORGANIZACIÓN.
    ESTRUCTURA DE LA NORMA ISO 27001

     OBJETO Y CAMPO DE APLICACIÓN: LA NORMA COMIENZA APORTANDO UNAS ORIENTACIONES SOBRE EL USO,
    FINALIDAD Y MODO DE APLICACIÓN DE ESTE ESTÁNDAR.

     REFERENCIAS NORMATIVAS: RECOMIENDA LA CONSULTA DE CIERTOS DOCUMENTOS INDISPENSABLES PARA LA


    APLICACIÓN DE ISO27001.

     TÉRMINOS Y DEFINICIONES: DESCRIBE LA TERMINOLOGÍA APLICABLE A ESTE ESTÁNDAR.

     CONTEXTO DE LA ORGANIZACIÓN: ESTE ES EL PRIMER REQUISITO DE LA NORMA, EL CUAL RECOGE INDICACIONES


    SOBRE EL CONOCIMIENTO DE LA ORGANIZACIÓN Y SU CONTEXTO, LA COMPRENSIÓN DE LAS NECESIDADES Y
    EXPECTATIVAS DE LAS PARTES INTERESADAS Y LA DETERMINACIÓN DEL ALCANCE DEL SGSI.

     LIDERAZGO: ESTE APARTADO DESTACA LA NECESIDAD DE QUE TODOS LOS EMPLEADOS DE LA ORGANIZACIÓN HAN DE
    CONTRIBUIR AL ESTABLECIMIENTO DE LA NORMA. PARA ELLO LA ALTA DIRECCIÓN HA DE DEMOSTRAR SU LIDERAZGO
    Y COMPROMISO, HA DE ELABORAR UNA POLÍTICA DE SEGURIDAD QUE CONOZCA TODA LA ORGANIZACIÓN Y HA DE
    ASIGNAR ROLES, RESPONSABILIDADES Y AUTORIDADES DENTRO DE LA MISMA.
     PLANIFICACIÓN: ESTA ES UNA SECCIÓN QUE PONE DE MANIFIESTO LA IMPORTANCIA DE LA DETERMINACIÓN DE RIESGOS
    Y OPORTUNIDADES A LA HORA DE PLANIFICAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, ASÍ
    COMO DE ESTABLECER OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y EL MODO DE LOGRARLOS.
     SOPORTE: EN ESTA CLÁUSULA LA NORMA SEÑALA QUE PARA EL BUEN FUNCIONAMIENTO DEL SGSI LA ORGANIZACIÓN
    DEBE CONTAR CON LOS RECURSOS, COMPETENCIAS, CONCIENCIA, COMUNICACIÓN E INFORMACIÓN DOCUMENTADA
    PERTINENTE EN CADA CASO.
     OPERACIÓN: PARA CUMPLIR CON LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN, ESTA PARTE DE LA NORMA
    INDICA QUE SE DEBE PLANIFICAR, IMPLEMENTAR Y CONTROLAR LOS PROCESOS DE LA ORGANIZACIÓN, HACER UNA
    VALORACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN Y UN TRATAMIENTO DE ELLOS.
     EVALUACIÓN DEL DESEMPEÑO: EN ESTE PUNTO SE ESTABLECE LA NECESIDAD Y FORMA DE LLEVAR A CABO EL
    SEGUIMIENTO, LA MEDICIÓN, EL ANÁLISIS, LA EVALUACIÓN, LA AUDITORÍA INTERNA Y LA REVISIÓN POR LA DIRECCIÓN
    DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PARA ASEGURAR QUE FUNCIONA SEGÚN LO
    PLANIFICADO.
     MEJORA: POR ÚLTIMO, EN LA SECCIÓN DÉCIMA VAMOS A ENCONTRAR LAS OBLIGACIONES QUE TENDRÁ UNA
    ORGANIZACIÓN CUANDO ENCUENTRE UNA NO CONFORMIDAD Y LA IMPORTANCIA DE MEJORAR CONTINUAMENTE LA
    CONVENIENCIA, ADECUACIÓN Y EFICACIA DEL SGSI.
    NOVEDADES DE LA ISO 27001:2013

    ESTA NORMA FUE PUBLICADA RECIENTEMENTE, APORTÓ UNA SERIE DE CAMBIOS CON RESPECTO A SU
    ANTECESORA QUE LOS USUARIOS DE LOS SGSI TIENEN QUE ASIMILAR PARA CONTINUAR GESTIONANDO DE
    FORMA EFICAZ LA SEGURIDAD DE LA INFORMACIÓN. LAS NOVEDADES QUE MANIFIESTA SON:
    • NO APARECE LA SECCIÓN “ENFOQUE A PROCESOS” CON SU RESPECTIVA METODOLOGÍA BASADA EN EL
    CICLO PHVA, AHORA OFRECE MAYOR FLEXIBILIDAD.
    • SE ELIMINA LA OBLIGATORIEDAD DE ALGUNOS DOCUMENTOS, CONSERVANDO ÚNICAMENTE LA
    DECLARACIÓN DE APLICABILIDAD.
    • SE HAN REVISADO LOS REQUISITOS Y CONTROLES.
    • SE APUESTA POR UN ENFOQUE DEL ANÁLISIS DEL RIESGO EN LA FASE DE PLANIFICACIÓN Y OPERACIÓN.
    NORMATIVIDAD 27002

    • PROPORCIONA RECOMENDACIONES DE LAS MEJORES PRÁCTICAS EN LA GESTIÓN DE


    LA SEGURIDAD DE LA INFORMACIÓN A TODOS LOS INTERESADOS Y RESPONSABLES EN
    INICIAR, IMPLANTAR O MANTENER SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN. LA SEGURIDAD DE LA INFORMACIÓN SE DEFINE EN EL ESTÁNDAR
    COMO "LA PRESERVACIÓN DE LA CONFIDENCIALIDAD (ASEGURANDO QUE SÓLO QUIENES
    ESTÉN AUTORIZADOS PUEDEN ACCEDER A LA INFORMACIÓN), INTEGRIDAD (ASEGURANDO
    QUE LA INFORMACIÓN Y SUS MÉTODOS DE PROCESO SON EXACTOS Y COMPLETOS) Y
    DISPONIBILIDAD (ASEGURANDO QUE LOS USUARIOS AUTORIZADOS TIENEN ACCESO A LA
    INFORMACIÓN Y A SUS ACTIVOS ASOCIADOS CUANDO LO REQUIERAN)".
    DESCRIBE LOS SIGUIENTES CATORCE DOMINIOS PRINCIPALES

    1. POLÍTICAS DE SEGURIDAD: SOBRE LAS DIRECTRICES Y CONJUNTO DE POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN.
    REVISIÓN DE LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN.
    1. GESTIÓN DIRECTIVA EN SEGURIDAD

    2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: TRATA SOBRE LA ORGANIZACIÓN INTERNA: ASIGNACIÓN DE


    RESPONSABILIDADES RELACIONADAS A LA SEGURIDAD DE LA INFORMACIÓN, SEGREGACIÓN DE FUNCIONES, CONTACTO CON LAS
    AUTORIDADES, CONTACTO CON GRUPOS DE INTERÉS ESPECIAL Y SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS.
    1. ORGANIZACIÓN INTERNA
    2. DISPOSITIVOS MÓVILES Y TELETRABAJO

    3. SEGURIDAD DE LOS RECURSOS HUMANOS: COMPRENDE ASPECTOS A TOMAR EN CUENTA ANTES, DURANTE Y PARA EL CESE O
    CAMBIO DE TRABAJO. PARA ANTES DE LA CONTRATACIÓN SE SUGIERE INVESTIGAR LOS ANTECEDENTES DE LOS POSTULANTES Y LA
    REVISIÓN DE LOS TÉRMINOS Y CONDICIONES DE LOS CONTRATOS. DURANTE LA CONTRATACIÓN SE PROPONE SE TRATEN LOS TEMAS
    DE RESPONSABILIDAD DE GESTIÓN, CONCIENCIACIÓN, EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN. PARA EL
    CASO DE DESPIDO O CAMBIO DE PUESTO DE TRABAJO TAMBIÉN DEBEN TOMARSE MEDIDAS DE SEGURIDAD, COMO LO ES DES
    HABILITACIÓN O ACTUALIZACIÓN DE PRIVILEGIOS O ACCESOS.
    NORMATIVIDAD 27003

    ES PARTE DE UNA FAMILIA EN CRECIMIENTO DE ESTÁNDARES SOBRE SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
    (SGSI) DE ISO/IEC, EL ISO 27000 SERIES (PARA MÁS INFORMACIÓN CONSULTAR ISO/IEC 27000). ESTE ESTÁNDAR SE CENTRA EN LOS ASPECTOS
    CRÍTICOS NECESARIOS PARA DISEÑOS E IMPLEMENTACIONES EXITOSAS DE LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN (SGSI) SEGÚN LA NORMA ISO/IEC 27001:2015. DESCRIBE LA ESPECIFICACIÓN Y DISEÑO DE UN SGSI DESDE EL ORIGEN HASTA
    LA REALIZACIÓN DEL MISMO Y EL PROCESO DE OBTENCIÓN DEL VISTO BUENO PARA LA IMPLEMENTACIÓN DE ESTE. TAMBIÉN DEFINE UN
    PROYECTO PARA IMPLEMENTAR EL SGSI Y PROPORCIONA UNA GUÍA A PARTIR DE LA CUAL PLANEAR DICHO PROYECTO SGSI, LO QUE DA
    LUGAR AL PLAN DE IMPLEMENTACIÓN DEL MISMO. LA NORMA ISO/IEC 27003 FUE PUBLICADA EL 1 DE FEBRERO DE 2010, AUNQUE FUE
    ACTUALIZADA EL 12 DE ABRIL DE 2017. ACTUALMENTE NO ES CERTIFICABLE.

    ISO/IEC 27003:2017 ES UN DOCUMENTO GENERAL QUE ESTÁ DESTINADO A CUALQUIER TIPO DE ORGANIZACIÓN. NO OBSTANTE, DICHA
    ORGANIZACIÓN DEBERÁ INDICAR QUE PARTES DE LA GUÍA SON APLICABLES A SU CONTEXTO EMPRESARIAL.
    ESTRUCTURA PARA IMPLEMENTAR UN SGSI

    EL PROCESO DE PLANIFICACIÓN PARA LA IMPLEMENTACIÓN FINAL DEL SGSI CONSTA DE CINCO


    FASES Y CADA UNA DE ESTAS ESTÁ REPRESENTADA POR UN CAPÍTULO INDEPENDIENTE. TODOS LOS
    CAPÍTULOS TIENEN UNA ESTRUCTURA SIMILAR, LAS CINCO FASES SON:

    1. OBTENER LA APROBACIÓN GERENCIAL PARA INICIAR UN PROYECTO SGSI.

    2. DEFINIR EL ALCANCE DEL SGSI Y LA POLÍTICA DEL SGSI.

    3. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN.

    4. VALORAR LOS REQUISITOS DE SEGURIDAD PARA LA INFORMACIÓN.

    5. RIESGO Y PLANIFICAR EL TRATAMIENTO DEL RIESGO.

    6. DISEÑAR EL SGSI.

    También podría gustarte