SlideShare une entreprise Scribd logo

ISO 27001 cambios 2005 a 2013

J
Jaime Andrés Bello Vieda

Capacitación impartida a equipo de auditoría de una organización Bancaria.

Business
1  sur  26
NORMA ISO/IEC 27001 GENERALIDADES Y CAMBIOS 2005 A 2013 JAIME ANDRÉS BELLO VIEDA  ABRIL 2015
Algunos conceptos  ISO/IEC 27001:2013 es un estándar internacional publicado el 25 de septiembre de 2013. Es la evolución de su homologa liberada en 2005.  ISO/IEC: ISO (Organización Internacional de Estándares), IEC (Comisión Internacional de Electrotecnia).  Icontec tomó el estándar y lo publicó el 11 de diciembre de 2013 como Norma técnica Colombiana NTC-ISO-IEC 27001 cuyo nombre completo es Tecnología de la información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.
La ISO y sus principios de gestión  Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación). Trabaja en función a 8 principios de gestión:  1. Orientación al cliente.  2. Liderazgo.  3. Participación del personal.  4. Enfoque de procesos.  5. Enfoque de sistemas de gestión.  6. Mejora Continua.  7. Enfoque de mejora continua.  8. Relación mutuamente beneficiosa con el proveedor.
¿Qué es un SGSI? Sistema de Gestión de Seguridad de la Información  Es el diseño, implantación y mantenimiento de un conjunto de procesos que gestionan y brindan protección a los elementos que garantizan la confidencialidad, integridad y disponibilidad de la información.  La salvaguarda de la información es responsabilidad de la cadena que forman los procesos, la tecnología y las personas en una organización. Procesos PersonasTecnología La seguridad no es un producto, es un proceso. La seguridad de la información es un asunto de personas, procesos y tecnología. Bruce Schneier
La familia ISO 27000 Los estándares ISO más destacados relacionados a seguridad de la información son: • ISO/IEC 27000:2009 — Overview and vocabulary. • ISO/IEC 27001:2005 — Requirements. (Currently 2013 version). • ISO/IEC 27002:2005 — Code of practice for information security management (Currently 2013 version). • ISO/IEC 27003:2010 — Information security management system implementation guidance. • ISO/IEC 27004:2009 — Information security management — Measurement. • ISO/IEC 27005:2011 — Information security risk management. • ISO/IEC 27006:2011 — Requirements for bodies providing audit and certification of information security management systems. • ISO/IEC 27007:2011 — Guidelines for information security management systems auditing.. • ISO/IEC TR 27008:2011 — Guidelines for auditors on information security management systems controls.
Evolución del Modelo ISO 27001-2005/2013 ISO/IEC 27001:2005 ISO/IEC 27001:2013 NUMERO DE CONTROLES 133 114 94 Se Mantienen 39 Eliminados 20 Nuevos DOMINIOS DE SEGURIDAD 11 14 3 DOMINIOS NUEVOS REQUISITOS DE GESTION 102 130 18 REQ-GEST NUEVOS
Diferencias contenido ISO 27001:2005 – ISO 27001:2013
1. Objeto y campo de aplicación  En la norma se especifican los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI.  Incluye los requisitos para la valoración y tratamiento de riesgos los cuales son genéricos y aplicables a cualquier tipo de organización.  Para la empresa u organización que declara conformidad con la norma, no es aceptable excluir cualquiera de los requisitos especificados en los numerales 4 a 10.
2. Referencias normativas  Toma como única referencia normativa la ISO/IEC 27000 (Generalidades y vocabulario). Todas las definiciones fueron removidas. Las definiciones se encuentran en el Vocabulario de Terminos ISO/IEC 27000. 3. Términos y definiciones
CICLO PHVA ISO 27001:2013 El ciclo PHVA significa actuar sobre el proceso, resolviendo continuamente las desviaciones a los resultados esperados. El Mantenimiento y la mejora continua de la capacidad del proceso pueden lograrse aplicando este ciclo en cualquier nivel de la organización y en cualquier tipo de proceso, ya que se encuentra asociado con la planificación, implementación, control y mejora del desempeño de los procesos. • Planear: establecer los objetivos para obtener resultados. • Hacer: implementar procesos para alcanzar resultados. • Verificar: realizar seguimiento y medir los procesos. • Actuar: realizar acciones para promover la mejora del desempeño. CONTEXTO DE LA ORGANIZACIÓN LIDERAZGO PLANIFICACIÓN SOPORTE OPERACIÓN HACER EVALUACIÓN DE DESEMPEÑO VERIFICAR MEJORA ACTUAR P L A N E A C I Ó N
4.CONTEXTODELAORGANIZACION 4.1CONOCIMIENTO DE LA ORGANIZACIÓN Y SU CONTEXTO 4.2 COMPRENSIÓN DE LAS NESECIDADES Y EXPECTATIVAS DE LAS PARTES INTEREZADAS 4.3 DETERMINACIÓN DEL ALCANCE SGSI 4.4 SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN Determinar cuestiones internas y externas que afectan al SGSI (ISO 31000 5,3) Partes interesadas en el SGSI Requisitos de las partes (Legales, normas internas, contractuales. Establecer los límites y aplicabilidad del SGSI para tener un alcance. Tener en cuenta 4,1, 4,2 Comunicación y dependencia de las actividades que realiza la organización y otras. El alcance debe estar disponible como información documentada. Establecer, implementar, mantener y mejorar el SGSI con los requisitos de ISO 27001. PLANEACIÓN - ISO 27001:2013
PLANEACIÓN - ISO 27001:20135.LIDERAZGO 5.1 LIDERAZGO Y COMPROMISO 5.2 POLÍTICA 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN Compromiso de la alta dirección: - Establecer política (alineada obj. Estratégicos. - Asegurar la integración del SGSI con los procesos de la organización - Recursos disponibles. - Comunicación - Apoyo a la mejora continua. Alta dirección debe asegurarse que las responsabilidades para los roles pertinentes en SI se asignen y comuniquen. Deben asignarse responsables que: - Garanticen que el SGSI está acorde a los requisitos de la norma. - Retroalimenten a la alta dirección del desempeño del SGSI.
PLANEACIÓN - ISO 27001:2013 6.PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGO Y OPORTUNIDADES 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS 6.1.2 VALORACIÓN RIESGO 6.1.3TRATAMIENTO DEL RIESGO 6.1.1GENERALIDAES Objetivos deben ser: Coherentes con la política de SI. Ser medibles (si es posible). Ser comunicados Ser actualizados Qué se va a hacer Responsables Recursos Cómo se finalizará y evaluarán resultados
PLANEACIÓN - ISO 27001:20137.SOPORTE 7.1 RECURSOS 7.2 COMPETENCIA 7.3 TOMA DE CONCIENCIA 7.4 COMUNICACIÓN 7.5 INFORMACIÓN DOCUMENTADA La organización debe garantizar que se encuentren disponibles para el SGSI Se debe garantizar que los responsables y lideres de SI sean personas capaces, competentes e idóneas en los roles asignados. Las personas que realizan el control de la organización deben analizar su contribución a la eficacia del SGSI Estrategia de comunicación a nivel interno como externo. Información requerida por el estándar La adicional que se determine necesaria para el SGSI.
HACER -ISO 27001:2013 8.OPERACION 8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL 8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN 8.3 TRATAMIENTO DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN Implementación de los procesos necesarios y de mejora para asegurar con el cumplimiento de nuevos requisitos regulatorios y demás que afecten al SGSI Se debe establecer una periodicidad de evaluación de riesgos. Debe conservar documentada las valoraciones, las conclusiones y resultados. Se debe implementar un plan de tratamiento de riesgos. Debe conservar documentado los resultados
VERIFICAR - ISO 27001:2013 9.EVALUACIÓNDELDESEMPEÑO 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACIÓN 9.2 AUDITORÍA INTERNA 9.3 REVISIÓN POR LA DIRECCIÓN Determinar: Qué es necesario medir. Métodos de medición, análisis y evaluación. Periodicidad de las mediciones. Quién debe medirlo Quién debe analizar y evaluar los resultados. Se deben realizar auditorías internas a intervalos planificados para asegurar que el SGSI: - Es conforme con los requisitos de la norma. - Está implementado y mantenido eficazmente. Los trabajos deben tener un alcance específico. Deben informarse a la alta dirección. Debe existir la documentación de las auditorías y los resultados.
ACTUAR - ISO 27001:2013 10MEJORA 10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS 10.2 MEJORA CONTINUA Reacciones frente a No conformidades y acciones correctivas: Acciones para controlarla y corregirla. Evaluar las causas de la no conformidad a fin de eliminarla. Realizar cambios al SGSI de ser necesario. Se debe conservar la información de las no conformidades y resultados de acciones correctivas. Mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
Dominios ISO 27001:2013 (Controles Anexo A) ISO/IEC 27001:2005 ISO/IEC 27001:2013 DOMINIOS DE SEGURIDAD 11 14 3 DOMINIOS NUEVOS 2 Controles 4 Controles 6 Controles 10 Controles 14 Controles 2 Controles 15 Controles 14 Controles 7 Controles 13 Controles 5 Controles 7 Controles 8 Controles 7 Controles
Comparación dominios de la norma (Anexo A) en versiones 2005 y 2013 Criptografía, se separó del dominio Adquisición, desarrollo y mantenimiento de la información El dominio Gestión de Comunicaciones y Operaciones fue dividido para dar lugar a Operaciones de Seguridad y Seguridad de las comunicaciones. En el dominio Organización de la seguridad de la versión 2005 se ha incluido toda la relación , acceso y tratamiento de la información con terceros en el dominio Relaciones con proveedores.
Principales diferencias Controles que ya no forman parte del estándar
ISO/IEC 27001:2005 ISO/IEC 27001:2013 DOMINIOS DE SEGURIDAD 133 114 94 Se Mantienen 39 Eliminados 20 Nuevos Principales diferencias Nuevos controles propuestos
Tiempo de transición  De acuerdo con lo especificado por el foro Internacional de Acreditación IAF, todas las certificaciones vigentes bajo ISO/IEC 27001:2005 deberán ser actualizados con los nuevos requisitos de la norma en máximo 2 años, que finaliza el 21/10/2015.
Usos prácticos del estándar  Tomar del Universo de elementos y revisar elementos dependiendo del objetivo y alcance del trabajo… y el criterio del auditor http://www.zenshifu.com/iso27001-annex-a-controls/iso27001_annex_a_controls/
 Apoyarse con la visión de otros marcos de trabajo que poseen elementos en común con el estándar de Seguridad de la Información y los controles (ISO 27002). Usos prácticos del estándar
Conclusiones • La ISO 27001:2013 es un estándar internacional el cual específica los requisitos necesarios para establecer, implantar, mantener y mejorar el Sistema de Seguridad de la Información SGSI de una organización. • Permite la libre escogencia de una metodología de mejora continúa sin exigirse el ciclo de Deming (PHVA). • El Anexo A incluye información relevante sobre lo que no debe olvidarse para gestionar la seguridad de la información, conocer y entender las mejores prácticas. Este apartado se desarrolla en él código de prácticas para la gestión de la Seguridad de la Información (ISO 27002). • La nueva estructura del Anexo, agrega 3 dominios de control, y pasa de 133 controles en versión 2005, a 114 en 2013. • Dentro de los nuevos dominios de control aparece Criptografía, Relación con proveedores; el tercero es resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios: Operaciones de seguridad y Seguridad de las comunicaciones.
GRACIAS POR SU ATENCIÓN

Recommandé

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 

Recommandé

Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
ISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoPrevencionar
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosPrimala Sistema de Gestion
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Iso 12207
Iso 12207Iso 12207
Iso 12207Yabizyta
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Manuel Garcia Ramos
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 

Contenu connexe

Tendances

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
ISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoPrevencionar
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosPrimala Sistema de Gestion
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 

Tendances (20)

Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
ISO 31000 Gestión del Riesgo
ISO 31000 Gestión del RiesgoISO 31000 Gestión del Riesgo
ISO 31000 Gestión del Riesgo
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgo
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
I la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgosI la nueva norma ISO 31000 2018 y la gestion de riesgos
I la nueva norma ISO 31000 2018 y la gestion de riesgos
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Iso 12207
Iso 12207Iso 12207
Iso 12207
 

Similaire à ISO 27001 cambios 2005 a 2013

9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000martincillo1234321
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosSergio Pinzón Amaya
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidadOmar Hernandez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidadAnnie Mrtx
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 

Similaire à ISO 27001 cambios 2005 a 2013 (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datos
 
Normas iso andrea
Normas iso andreaNormas iso andrea
Normas iso andrea
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidad
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 

Plus de Jaime Andrés Bello Vieda

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Jaime Andrés Bello Vieda
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasJaime Andrés Bello Vieda
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroJaime Andrés Bello Vieda
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIJaime Andrés Bello Vieda
 

Plus de Jaime Andrés Bello Vieda (8)

Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023Introducing Telegram-hitbackscammer | BSides Colombia 2023
Introducing Telegram-hitbackscammer | BSides Colombia 2023
 
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus AmenazasNuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
Nuevas Tendencias de Negocios Virtuales en la Banca y sus Amenazas
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
Primera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - GolismeroPrimera reunión Capitulo OWASP Bogota - Golismero
Primera reunión Capitulo OWASP Bogota - Golismero
 
Entendiendo el ransomware
Entendiendo el ransomwareEntendiendo el ransomware
Entendiendo el ransomware
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Introducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMIIntroducción a la Gerencia de Proyectos del PMI
Introducción a la Gerencia de Proyectos del PMI
 

Dernier

CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABACAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABAJuan Luis Menares, Arquitecto
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREdianayarelii17
 
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxCORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxJOHUANYQUISPESAEZ
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxmarlonrea6
 
GUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docxGUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docxAmyKleisinger
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADAgordonruizsteffy
 
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdfCONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdfTeresa Rc
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralmaria diaz
 
Reporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfReporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfjosephtena
 
Correcion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxCorrecion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxHARLYJHANSELCHAVEZVE
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgdostorosmg
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edxEvafabi
 
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)KwNacional
 
Manual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesManual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesElizabeth152261
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxWILIANREATEGUI
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...BaleriaMaldonado1
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptxi7ingenieria
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableThairyAndreinaLira1
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxgeuster2
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfaldonaim115
 

Dernier (20)

CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABACAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
CAMBIO DE USO DE SUELO LO BARNECHEA - VITACURA - HUECHURABA
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxCORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
GUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docxGUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docx
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
 
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdfCONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
Reporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdfReporte Tributario para Entidades Financieras.pdf
Reporte Tributario para Entidades Financieras.pdf
 
Correcion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxCorrecion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptx
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmg
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
Ficha de datos de seguridad MSDS Ethanol (Alcohol etílico)
 
Manual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformesManual de Imagen Personal y uso de uniformes
Manual de Imagen Personal y uso de uniformes
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
 
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
260813887-diagrama-de-flujo-de-proceso-de-esparrago-fresco-verde.pptx
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contable
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 

ISO 27001 cambios 2005 a 2013

  • 1. NORMA ISO/IEC 27001 GENERALIDADES Y CAMBIOS 2005 A 2013 JAIME ANDRÉS BELLO VIEDA  ABRIL 2015
  • 2. Algunos conceptos  ISO/IEC 27001:2013 es un estándar internacional publicado el 25 de septiembre de 2013. Es la evolución de su homologa liberada en 2005.  ISO/IEC: ISO (Organización Internacional de Estándares), IEC (Comisión Internacional de Electrotecnia).  Icontec tomó el estándar y lo publicó el 11 de diciembre de 2013 como Norma técnica Colombiana NTC-ISO-IEC 27001 cuyo nombre completo es Tecnología de la información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.
  • 3. La ISO y sus principios de gestión  Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación). Trabaja en función a 8 principios de gestión:  1. Orientación al cliente.  2. Liderazgo.  3. Participación del personal.  4. Enfoque de procesos.  5. Enfoque de sistemas de gestión.  6. Mejora Continua.  7. Enfoque de mejora continua.  8. Relación mutuamente beneficiosa con el proveedor.
  • 4. ¿Qué es un SGSI? Sistema de Gestión de Seguridad de la Información  Es el diseño, implantación y mantenimiento de un conjunto de procesos que gestionan y brindan protección a los elementos que garantizan la confidencialidad, integridad y disponibilidad de la información.  La salvaguarda de la información es responsabilidad de la cadena que forman los procesos, la tecnología y las personas en una organización. Procesos PersonasTecnología La seguridad no es un producto, es un proceso. La seguridad de la información es un asunto de personas, procesos y tecnología. Bruce Schneier
  • 5. La familia ISO 27000 Los estándares ISO más destacados relacionados a seguridad de la información son: • ISO/IEC 27000:2009 — Overview and vocabulary. • ISO/IEC 27001:2005 — Requirements. (Currently 2013 version). • ISO/IEC 27002:2005 — Code of practice for information security management (Currently 2013 version). • ISO/IEC 27003:2010 — Information security management system implementation guidance. • ISO/IEC 27004:2009 — Information security management — Measurement. • ISO/IEC 27005:2011 — Information security risk management. • ISO/IEC 27006:2011 — Requirements for bodies providing audit and certification of information security management systems. • ISO/IEC 27007:2011 — Guidelines for information security management systems auditing.. • ISO/IEC TR 27008:2011 — Guidelines for auditors on information security management systems controls.
  • 6. Evolución del Modelo ISO 27001-2005/2013 ISO/IEC 27001:2005 ISO/IEC 27001:2013 NUMERO DE CONTROLES 133 114 94 Se Mantienen 39 Eliminados 20 Nuevos DOMINIOS DE SEGURIDAD 11 14 3 DOMINIOS NUEVOS REQUISITOS DE GESTION 102 130 18 REQ-GEST NUEVOS
  • 8. 1. Objeto y campo de aplicación  En la norma se especifican los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI.  Incluye los requisitos para la valoración y tratamiento de riesgos los cuales son genéricos y aplicables a cualquier tipo de organización.  Para la empresa u organización que declara conformidad con la norma, no es aceptable excluir cualquiera de los requisitos especificados en los numerales 4 a 10.
  • 9. 2. Referencias normativas  Toma como única referencia normativa la ISO/IEC 27000 (Generalidades y vocabulario). Todas las definiciones fueron removidas. Las definiciones se encuentran en el Vocabulario de Terminos ISO/IEC 27000. 3. Términos y definiciones
  • 10. CICLO PHVA ISO 27001:2013 El ciclo PHVA significa actuar sobre el proceso, resolviendo continuamente las desviaciones a los resultados esperados. El Mantenimiento y la mejora continua de la capacidad del proceso pueden lograrse aplicando este ciclo en cualquier nivel de la organización y en cualquier tipo de proceso, ya que se encuentra asociado con la planificación, implementación, control y mejora del desempeño de los procesos. • Planear: establecer los objetivos para obtener resultados. • Hacer: implementar procesos para alcanzar resultados. • Verificar: realizar seguimiento y medir los procesos. • Actuar: realizar acciones para promover la mejora del desempeño. CONTEXTO DE LA ORGANIZACIÓN LIDERAZGO PLANIFICACIÓN SOPORTE OPERACIÓN HACER EVALUACIÓN DE DESEMPEÑO VERIFICAR MEJORA ACTUAR P L A N E A C I Ó N
  • 11. 4.CONTEXTODELAORGANIZACION 4.1CONOCIMIENTO DE LA ORGANIZACIÓN Y SU CONTEXTO 4.2 COMPRENSIÓN DE LAS NESECIDADES Y EXPECTATIVAS DE LAS PARTES INTEREZADAS 4.3 DETERMINACIÓN DEL ALCANCE SGSI 4.4 SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN Determinar cuestiones internas y externas que afectan al SGSI (ISO 31000 5,3) Partes interesadas en el SGSI Requisitos de las partes (Legales, normas internas, contractuales. Establecer los límites y aplicabilidad del SGSI para tener un alcance. Tener en cuenta 4,1, 4,2 Comunicación y dependencia de las actividades que realiza la organización y otras. El alcance debe estar disponible como información documentada. Establecer, implementar, mantener y mejorar el SGSI con los requisitos de ISO 27001. PLANEACIÓN - ISO 27001:2013
  • 12. PLANEACIÓN - ISO 27001:20135.LIDERAZGO 5.1 LIDERAZGO Y COMPROMISO 5.2 POLÍTICA 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN Compromiso de la alta dirección: - Establecer política (alineada obj. Estratégicos. - Asegurar la integración del SGSI con los procesos de la organización - Recursos disponibles. - Comunicación - Apoyo a la mejora continua. Alta dirección debe asegurarse que las responsabilidades para los roles pertinentes en SI se asignen y comuniquen. Deben asignarse responsables que: - Garanticen que el SGSI está acorde a los requisitos de la norma. - Retroalimenten a la alta dirección del desempeño del SGSI.
  • 13. PLANEACIÓN - ISO 27001:2013 6.PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGO Y OPORTUNIDADES 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS 6.1.2 VALORACIÓN RIESGO 6.1.3TRATAMIENTO DEL RIESGO 6.1.1GENERALIDAES Objetivos deben ser: Coherentes con la política de SI. Ser medibles (si es posible). Ser comunicados Ser actualizados Qué se va a hacer Responsables Recursos Cómo se finalizará y evaluarán resultados
  • 14. PLANEACIÓN - ISO 27001:20137.SOPORTE 7.1 RECURSOS 7.2 COMPETENCIA 7.3 TOMA DE CONCIENCIA 7.4 COMUNICACIÓN 7.5 INFORMACIÓN DOCUMENTADA La organización debe garantizar que se encuentren disponibles para el SGSI Se debe garantizar que los responsables y lideres de SI sean personas capaces, competentes e idóneas en los roles asignados. Las personas que realizan el control de la organización deben analizar su contribución a la eficacia del SGSI Estrategia de comunicación a nivel interno como externo. Información requerida por el estándar La adicional que se determine necesaria para el SGSI.
  • 15. HACER -ISO 27001:2013 8.OPERACION 8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL 8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN 8.3 TRATAMIENTO DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN Implementación de los procesos necesarios y de mejora para asegurar con el cumplimiento de nuevos requisitos regulatorios y demás que afecten al SGSI Se debe establecer una periodicidad de evaluación de riesgos. Debe conservar documentada las valoraciones, las conclusiones y resultados. Se debe implementar un plan de tratamiento de riesgos. Debe conservar documentado los resultados
  • 16. VERIFICAR - ISO 27001:2013 9.EVALUACIÓNDELDESEMPEÑO 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACIÓN 9.2 AUDITORÍA INTERNA 9.3 REVISIÓN POR LA DIRECCIÓN Determinar: Qué es necesario medir. Métodos de medición, análisis y evaluación. Periodicidad de las mediciones. Quién debe medirlo Quién debe analizar y evaluar los resultados. Se deben realizar auditorías internas a intervalos planificados para asegurar que el SGSI: - Es conforme con los requisitos de la norma. - Está implementado y mantenido eficazmente. Los trabajos deben tener un alcance específico. Deben informarse a la alta dirección. Debe existir la documentación de las auditorías y los resultados.
  • 17. ACTUAR - ISO 27001:2013 10MEJORA 10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS 10.2 MEJORA CONTINUA Reacciones frente a No conformidades y acciones correctivas: Acciones para controlarla y corregirla. Evaluar las causas de la no conformidad a fin de eliminarla. Realizar cambios al SGSI de ser necesario. Se debe conservar la información de las no conformidades y resultados de acciones correctivas. Mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
  • 18. Dominios ISO 27001:2013 (Controles Anexo A) ISO/IEC 27001:2005 ISO/IEC 27001:2013 DOMINIOS DE SEGURIDAD 11 14 3 DOMINIOS NUEVOS 2 Controles 4 Controles 6 Controles 10 Controles 14 Controles 2 Controles 15 Controles 14 Controles 7 Controles 13 Controles 5 Controles 7 Controles 8 Controles 7 Controles
  • 19. Comparación dominios de la norma (Anexo A) en versiones 2005 y 2013 Criptografía, se separó del dominio Adquisición, desarrollo y mantenimiento de la información El dominio Gestión de Comunicaciones y Operaciones fue dividido para dar lugar a Operaciones de Seguridad y Seguridad de las comunicaciones. En el dominio Organización de la seguridad de la versión 2005 se ha incluido toda la relación , acceso y tratamiento de la información con terceros en el dominio Relaciones con proveedores.
  • 20. Principales diferencias Controles que ya no forman parte del estándar
  • 21. ISO/IEC 27001:2005 ISO/IEC 27001:2013 DOMINIOS DE SEGURIDAD 133 114 94 Se Mantienen 39 Eliminados 20 Nuevos Principales diferencias Nuevos controles propuestos
  • 22. Tiempo de transición  De acuerdo con lo especificado por el foro Internacional de Acreditación IAF, todas las certificaciones vigentes bajo ISO/IEC 27001:2005 deberán ser actualizados con los nuevos requisitos de la norma en máximo 2 años, que finaliza el 21/10/2015.
  • 23. Usos prácticos del estándar  Tomar del Universo de elementos y revisar elementos dependiendo del objetivo y alcance del trabajo… y el criterio del auditor http://www.zenshifu.com/iso27001-annex-a-controls/iso27001_annex_a_controls/
  • 24.  Apoyarse con la visión de otros marcos de trabajo que poseen elementos en común con el estándar de Seguridad de la Información y los controles (ISO 27002). Usos prácticos del estándar
  • 25. Conclusiones • La ISO 27001:2013 es un estándar internacional el cual específica los requisitos necesarios para establecer, implantar, mantener y mejorar el Sistema de Seguridad de la Información SGSI de una organización. • Permite la libre escogencia de una metodología de mejora continúa sin exigirse el ciclo de Deming (PHVA). • El Anexo A incluye información relevante sobre lo que no debe olvidarse para gestionar la seguridad de la información, conocer y entender las mejores prácticas. Este apartado se desarrolla en él código de prácticas para la gestión de la Seguridad de la Información (ISO 27002). • La nueva estructura del Anexo, agrega 3 dominios de control, y pasa de 133 controles en versión 2005, a 114 en 2013. • Dentro de los nuevos dominios de control aparece Criptografía, Relación con proveedores; el tercero es resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios: Operaciones de seguridad y Seguridad de las comunicaciones.