SlideShare une entreprise Scribd logo

Admon publicaypolitcasinfo

Télécharger en tant que PPTX, PDF
A
Adalinda Turcios

Normas UNE-ISO/IEC 27001

Technologie
1  sur  14
Norma UNE-ISO/IEC 27001 En Sistemas de Seguridad de la Información Ing. Guillermo Brand Elaborado por: Mercedes Adalinda Turcios 20112006072 11/Junio/2017
Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001 es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
Requisitos generales del sistema de gestión de la seguridad Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorias internas del SGSI. Revisión del SGSI por la dirección. Mejora del SGSI. El sistema constara de una documentación en varios niveles. Políticas, que proporcionan las guías generales de actuación en cada caso. Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
Establecimiento y Gestión del SGSI Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la de establecer objetivos y líneas de actuación. Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración. Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. Las decisiones de la dirección: respecto a los riesgos identificados, así como la de los riesgos residuales. Documento de aplicabilidad: con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
Metodología del análisis de riesgos: Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable. Selección de controles: Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE-ISO/IEC 27002. Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas. Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades.
Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
Requisitos de documentación El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de Registros son el libro de visitas, los informes de auditorías y los de los sistemas. Compromiso de la dirección Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
Gestión de los recursos La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente). Auditorias Internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. Entradas a la Revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora.
Salida de la Revisión La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora del sistema. Mejora Continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Acción Correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información.
Acción Preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. Pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.

Recommandé

Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 

Recommandé

Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
Control Interno
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
Virtualización Distancia Empresas
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
marco Eufragio
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
Anders Castellanos
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020 Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020
Primala Sistema de Gestion
 
Presentación meci actualizada
Presentación meci actualizadaPresentación meci actualizada
Presentación meci actualizada
gonzalo2017
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17
MARIA DEL CARMEN MARADIAGA SUAZO
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
Mitcheel Matute
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
jAzMi_N
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 

Contenu connexe

Tendances

Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Presentación meci actualizada
Presentación meci actualizadaPresentación meci actualizada
Presentación meci actualizada
gonzalo2017
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
jAzMi_N
 

Tendances (19)

Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
 
Iso27001
Iso27001Iso27001
Iso27001
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020 Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020
 
Presentación meci actualizada
Presentación meci actualizadaPresentación meci actualizada
Presentación meci actualizada
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
 

Similaire à Admon publicaypolitcasinfo

Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
Gladisichau
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 

Similaire à Admon publicaypolitcasinfo (20)

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
As9100
As9100 As9100
As9100
 
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsasSistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
 

Dernier

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Dernier (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Admon publicaypolitcasinfo

  • 1. Norma UNE-ISO/IEC 27001 En Sistemas de Seguridad de la Información Ing. Guillermo Brand Elaborado por: Mercedes Adalinda Turcios 20112006072 11/Junio/2017
  • 2. Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001 es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
  • 3.
  • 4.
  • 5. Requisitos generales del sistema de gestión de la seguridad Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorias internas del SGSI. Revisión del SGSI por la dirección. Mejora del SGSI. El sistema constara de una documentación en varios niveles. Políticas, que proporcionan las guías generales de actuación en cada caso. Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
  • 6. Establecimiento y Gestión del SGSI Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la de establecer objetivos y líneas de actuación. Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración. Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. Las decisiones de la dirección: respecto a los riesgos identificados, así como la de los riesgos residuales. Documento de aplicabilidad: con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 7. Metodología del análisis de riesgos: Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable. Selección de controles: Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE-ISO/IEC 27002. Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas. Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades.
  • 8. Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
  • 9. Requisitos de documentación El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
  • 10. Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de Registros son el libro de visitas, los informes de auditorías y los de los sistemas. Compromiso de la dirección Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
  • 11. Gestión de los recursos La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente). Auditorias Internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
  • 12. Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. Entradas a la Revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora.
  • 13. Salida de la Revisión La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora del sistema. Mejora Continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Acción Correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información.
  • 14. Acción Preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. Pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.