SlideShare une entreprise Scribd logo
1  sur  14
Télécharger pour lire hors ligne
Norma iso 27001
Integrantes :
¡Que es norma ISO 27001?
Es una norma internacional emitida por la organización internacional de normalización ( ISO ) y describe como
gestionar la seguridad de la información en una empresa.
La revisión mas reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/27001 , 2013.
Tambien puede ser implementada en cualquier tipo de organización , con o sin fines de lucro , privadas o publica ,
pequeña o grande.
Esta redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
¿Como funciona la ISO 27001 ?
• El eje central del ISO 27001 es proteger la confidencialidad , integridad y disponibilidad de la
información es una empresa .
• Esto lo hace investigando cuales son los potenciales problemas que podrían afectar la información
( es decir , la evaluación de riesgos ) y luego definiendo lo que es necesario hacer para evitar que
estos problemas se produzcan 8 es decir , mitigación o tratamiento del riesgo).
• Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.
• Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general,
bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y
equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y
software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación
de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo,
redacción de documentos) necesarias para prevenir violaciones de la seguridad.
¿ Por que ISO 27001 es importante para una
empresa?
• Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la
seguridad de la información:
• Cumplir con los requerimientos legales – cada vez hay más y más leyes, normativas y requerimientos contractuales
relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver
implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
• Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted
obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su
información.
• Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada
incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y
lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
• Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y
definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que
hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que
alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo
que les permite reducir el tiempo perdido de sus empleados.
¿Cómo es realmente ISO 27001 ?
• ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación),
mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir
con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.
• De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO
27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente
estas normas.
• Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
• Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
• Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
• Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.
• Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del
ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también
define las partes interesadas, sus requisitos y el alcance del SGSI.
• Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define
las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el
contenido de la política de alto nivel sobre seguridad de la información.
• Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y
define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración
de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad
de la información.
• Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los
requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y
control de documentos y registros.
• Sección 8 – Funcionamiento – esta sección es parte de la fase de
Planificación del ciclo PDCA y define la implementación de la evaluación y
el tratamiento de riesgos, como también los controles y demás procesos
necesarios para cumplir los objetivos de seguridad de la información.
• Sección 9 – Evaluación del desempeño – esta sección forma parte de la
fase de Revisión del ciclo PDCA y define los requerimientos para
monitoreo, medición, análisis, evaluación, auditoría interna y revisión por
parte de la dirección.
• Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del
ciclo PDCA y define los requerimientos para el tratamiento de no
conformidades, correcciones, medidas correctivas y mejora continua.
• Annexo A – este anexo proporciona un catálogo de 114 controles
(medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a
A.18).
¿Como implementar ISO 27001?
• Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
• 1) Obtener el apoyo de la dirección
• 2) Utilizar una metodología para gestión de proyectos
• 3) Definir el alcance del SGSI
• 4) Redactar una política de alto nivel sobre seguridad de la información
• 5) Definir la metodología de evaluación de riesgos
• 6) Realizar la evaluación y el tratamiento de riesgos
• 7) Redactar la Declaración de aplicabilidad
• 8) Redactar el Plan de tratamiento de riesgos
• 9) Definir la forma de medir la efectividad de sus controles y de su SGSI
• 10) Implementar todos los controles y procedimientos necesarios
• 11) Implementar programas de capacitación y concienciación
• 12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
• 13) Monitorear y medir su SGSI
• 14) Realizar la auditoría interna
• 15) Realizar la revisión por parte de la dirección
• 16) Implementar medidas correctivas
INTEGRAR LAS NORMAS Y TERMINOS COMUNES
•ISO 30301:2011, Información y documentación - Sistemas de gestión de documentos -
Requisitos (armonizado con el anexo SL)
•ISO 22301:2012, la seguridad societaria - Los sistemas de gestión de continuidad de
negocio - Requisitos (armonizado con el anexo SL)
•ISO 20121:2012,sistemas de gestión de la sostenibilidad de eventos - Requisitos con
orientación para su uso (armonizado con el anexo SL
•ISO 27001:2013, sistemas de gestión de la seguridad de la información.
VENTAJAS
• Facilita la integración de los sistemas de gestión, debido a que es una estructura de alto
nivel, donde los términos y definiciones ayudan a implementar.
• Todas las definiciones vienen del estándar ISO 27000 y las inconsistencias se han
removido.
• Los riesgos en la seguridad de la información en su conjunto deben ser abordados.
• Los documentos requeridos están claramente establecidos, hace referencia al tamaño y
complejidad.
• Menciona que las acciones preventivas no van.
DESVENTAJAS
• Es una abstracción y es un nivel alto, no es tan detallado.
• Los requisitos son un tanto mas difícil para interpretar, debido a los nuevos conceptos.
• No se menciona el enfoque PDCA.
• No se menciona las políticas del SGSI.
• No hay una descripción detallada de la identificación del riesgo
NUEVOS REQUERIMIENTOS
4.2 Entendiendo las necesidades y expectativas de las partes interesadas.
4.3 Determinar los objetivos del SGSI.
5.1 Liderazgo y compromiso.
6.1 Acciones para direccionar los riesgos y las oportunidades.
6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos.
7.3 Sensibilización.
7.4 Comunicación.
7.5 Información documentada.
8.1 Planificación y control operativo.
9.1 Seguimiento, medición, análisis y evaluación.
9.3 Revisión de la Dirección.
10.1 No-conformidades y acciones correctivas.
Norma iso 27001
Norma iso 27001
Norma iso 27001

Contenu connexe

Tendances

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?Global Manager Group
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
ISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTGaffri Johnson
 
ISO 27001 Training | ISMS Awareness Training
ISO 27001 Training | ISMS Awareness TrainingISO 27001 Training | ISMS Awareness Training
ISO 27001 Training | ISMS Awareness Traininghimalya sharma
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Guidelines_for_auditing_management_syste.pdf
Guidelines_for_auditing_management_syste.pdfGuidelines_for_auditing_management_syste.pdf
Guidelines_for_auditing_management_syste.pdfQazizia2
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en ciscochulver
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000Ramana K V
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 

Tendances (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
ISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENT
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
ISO 27001 Training | ISMS Awareness Training
ISO 27001 Training | ISMS Awareness TrainingISO 27001 Training | ISMS Awareness Training
ISO 27001 Training | ISMS Awareness Training
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptx
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Guidelines_for_auditing_management_syste.pdf
Guidelines_for_auditing_management_syste.pdfGuidelines_for_auditing_management_syste.pdf
Guidelines_for_auditing_management_syste.pdf
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en cisco
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000
 
Iso 27000 nueva copia
Iso 27000 nueva   copiaIso 27000 nueva   copia
Iso 27000 nueva copia
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
 

En vedette

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
Sesion general 09 mario ureña iso22301
Sesion general 09   mario ureña iso22301Sesion general 09   mario ureña iso22301
Sesion general 09 mario ureña iso22301Mario Ureña
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Bryghtpath LLC
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña   gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña   gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioCesar Espinoza
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133   Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133   Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
 
Indicadores gestion
Indicadores gestionIndicadores gestion
Indicadores gestiondelosaga72
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301  Maricarmen García de UreñaAuditando un SGCN en ISO 22301  Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioMaricarmen García de Ureña
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...Ricardo Cañizares Sales
 
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña   ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...BSI Mario Ureña   ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...Mario Ureña
 

En vedette (20)

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Sesion general 09 mario ureña iso22301
Sesion general 09   mario ureña iso22301Sesion general 09   mario ureña iso22301
Sesion general 09 mario ureña iso22301
 
La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña   gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña   gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
Iso 27k abril 2013
Iso 27k   abril 2013Iso 27k   abril 2013
Iso 27k abril 2013
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133   Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133   Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
 
Indicadores gestion
Indicadores gestionIndicadores gestion
Indicadores gestion
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301  Maricarmen García de UreñaAuditando un SGCN en ISO 22301  Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 
Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocio
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
 
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
 
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña   ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...BSI Mario Ureña   ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
 

Similaire à Norma iso 27001

Similaire à Norma iso 27001 (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
 
ii
iiii
ii
 
Electiva cpc iso 270001
Electiva cpc   iso 270001Electiva cpc   iso 270001
Electiva cpc iso 270001
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 

Dernier

Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmm
Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmmTarea de Tecnología.docxmmmmmmmmmmmmmmmmmm
Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmmjoseangelmontano76
 
CLASE UTP 2023 S10.s1 - Material de clases .pdf
CLASE UTP 2023 S10.s1 - Material de clases .pdfCLASE UTP 2023 S10.s1 - Material de clases .pdf
CLASE UTP 2023 S10.s1 - Material de clases .pdfAnglicaArauzoF
 
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdf
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdfEspejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdf
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdfaespejos
 
Practica de Evaluacion de tarea crisis de liderazgo
Practica de Evaluacion de tarea crisis de liderazgoPractica de Evaluacion de tarea crisis de liderazgo
Practica de Evaluacion de tarea crisis de liderazgooscramcon
 
Diapositiva de Administración de Empresas.
Diapositiva de Administración de Empresas.Diapositiva de Administración de Empresas.
Diapositiva de Administración de Empresas.gersonruiz0101
 
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓN
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓNAnálisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓN
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓNlacosaensi982
 
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptx
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptxTEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptx
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptxCristianCambranis
 
3-5-usac-manuales-administrativos-2017.ppt
3-5-usac-manuales-administrativos-2017.ppt3-5-usac-manuales-administrativos-2017.ppt
3-5-usac-manuales-administrativos-2017.pptConsultorSinergia
 
Técnicas de Planeación y control 2.pptx
Técnicas de  Planeación y control 2.pptxTécnicas de  Planeación y control 2.pptx
Técnicas de Planeación y control 2.pptxkarlapatriciagaona
 
Mentoría para Empresarios Oxford Group L.pdf
Mentoría para Empresarios Oxford Group L.pdfMentoría para Empresarios Oxford Group L.pdf
Mentoría para Empresarios Oxford Group L.pdfOxford Group
 
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCG
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCGNIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCG
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCGeprac1
 

Dernier (11)

Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmm
Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmmTarea de Tecnología.docxmmmmmmmmmmmmmmmmmm
Tarea de Tecnología.docxmmmmmmmmmmmmmmmmmm
 
CLASE UTP 2023 S10.s1 - Material de clases .pdf
CLASE UTP 2023 S10.s1 - Material de clases .pdfCLASE UTP 2023 S10.s1 - Material de clases .pdf
CLASE UTP 2023 S10.s1 - Material de clases .pdf
 
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdf
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdfEspejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdf
Espejo Salamanca Cuadro Sinoptico Decreto 2649 1993.pdf
 
Practica de Evaluacion de tarea crisis de liderazgo
Practica de Evaluacion de tarea crisis de liderazgoPractica de Evaluacion de tarea crisis de liderazgo
Practica de Evaluacion de tarea crisis de liderazgo
 
Diapositiva de Administración de Empresas.
Diapositiva de Administración de Empresas.Diapositiva de Administración de Empresas.
Diapositiva de Administración de Empresas.
 
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓN
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓNAnálisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓN
Análisis y evaluación de proyectos / ESTUDIO DE MERCADO Y COMERCIALIZACIÓN
 
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptx
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptxTEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptx
TEORÍAS CONTEMPORÁNEAS DE LA ADMINISTRACIÓN.pptx
 
3-5-usac-manuales-administrativos-2017.ppt
3-5-usac-manuales-administrativos-2017.ppt3-5-usac-manuales-administrativos-2017.ppt
3-5-usac-manuales-administrativos-2017.ppt
 
Técnicas de Planeación y control 2.pptx
Técnicas de  Planeación y control 2.pptxTécnicas de  Planeación y control 2.pptx
Técnicas de Planeación y control 2.pptx
 
Mentoría para Empresarios Oxford Group L.pdf
Mentoría para Empresarios Oxford Group L.pdfMentoría para Empresarios Oxford Group L.pdf
Mentoría para Empresarios Oxford Group L.pdf
 
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCG
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCGNIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCG
NIKE, EMPRESA NIKE Y SU ESTUDIO EN BASE A LA MATRIZ BCG
 

Norma iso 27001

  • 2. ¡Que es norma ISO 27001? Es una norma internacional emitida por la organización internacional de normalización ( ISO ) y describe como gestionar la seguridad de la información en una empresa. La revisión mas reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/27001 , 2013. Tambien puede ser implementada en cualquier tipo de organización , con o sin fines de lucro , privadas o publica , pequeña o grande. Esta redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.
  • 3. ¿Como funciona la ISO 27001 ? • El eje central del ISO 27001 es proteger la confidencialidad , integridad y disponibilidad de la información es una empresa . • Esto lo hace investigando cuales son los potenciales problemas que podrían afectar la información ( es decir , la evaluación de riesgos ) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan 8 es decir , mitigación o tratamiento del riesgo). • Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente. • Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
  • 4. ¿ Por que ISO 27001 es importante para una empresa? • Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información: • Cumplir con los requerimientos legales – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos. • Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información. • Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá. • Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
  • 5. ¿Cómo es realmente ISO 27001 ? • ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad. • De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas. • Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión. • Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización. • Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
  • 6. • Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000. • Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI. • Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información. • Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información. • Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.
  • 7. • Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información. • Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección. • Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua. • Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
  • 8. ¿Como implementar ISO 27001? • Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos: • 1) Obtener el apoyo de la dirección • 2) Utilizar una metodología para gestión de proyectos • 3) Definir el alcance del SGSI • 4) Redactar una política de alto nivel sobre seguridad de la información • 5) Definir la metodología de evaluación de riesgos • 6) Realizar la evaluación y el tratamiento de riesgos • 7) Redactar la Declaración de aplicabilidad • 8) Redactar el Plan de tratamiento de riesgos • 9) Definir la forma de medir la efectividad de sus controles y de su SGSI • 10) Implementar todos los controles y procedimientos necesarios • 11) Implementar programas de capacitación y concienciación • 12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI • 13) Monitorear y medir su SGSI • 14) Realizar la auditoría interna • 15) Realizar la revisión por parte de la dirección • 16) Implementar medidas correctivas
  • 9. INTEGRAR LAS NORMAS Y TERMINOS COMUNES •ISO 30301:2011, Información y documentación - Sistemas de gestión de documentos - Requisitos (armonizado con el anexo SL) •ISO 22301:2012, la seguridad societaria - Los sistemas de gestión de continuidad de negocio - Requisitos (armonizado con el anexo SL) •ISO 20121:2012,sistemas de gestión de la sostenibilidad de eventos - Requisitos con orientación para su uso (armonizado con el anexo SL •ISO 27001:2013, sistemas de gestión de la seguridad de la información.
  • 10. VENTAJAS • Facilita la integración de los sistemas de gestión, debido a que es una estructura de alto nivel, donde los términos y definiciones ayudan a implementar. • Todas las definiciones vienen del estándar ISO 27000 y las inconsistencias se han removido. • Los riesgos en la seguridad de la información en su conjunto deben ser abordados. • Los documentos requeridos están claramente establecidos, hace referencia al tamaño y complejidad. • Menciona que las acciones preventivas no van. DESVENTAJAS • Es una abstracción y es un nivel alto, no es tan detallado. • Los requisitos son un tanto mas difícil para interpretar, debido a los nuevos conceptos. • No se menciona el enfoque PDCA. • No se menciona las políticas del SGSI. • No hay una descripción detallada de la identificación del riesgo
  • 11. NUEVOS REQUERIMIENTOS 4.2 Entendiendo las necesidades y expectativas de las partes interesadas. 4.3 Determinar los objetivos del SGSI. 5.1 Liderazgo y compromiso. 6.1 Acciones para direccionar los riesgos y las oportunidades. 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos. 7.3 Sensibilización. 7.4 Comunicación. 7.5 Información documentada. 8.1 Planificación y control operativo. 9.1 Seguimiento, medición, análisis y evaluación. 9.3 Revisión de la Dirección. 10.1 No-conformidades y acciones correctivas.