SlideShare une entreprise Scribd logo

Iso 27000 estandar

Maria Villalba
Maria Villalba
1  sur  41
ESTÁNDARES Y NORMAS DE SEGURIDAD ISO 27000 WILSON CASTAÑO GALVIZ ELIZABETH DANIELA MERCHAN CARDOZA MARÍA ALEJANDRA MERCHAN VILLALBA UNIVERSIDAD POPULAR DEL CESAR SECCIONAL AGUACHICA 2013
Contenido de la presentación ISO 27000 ¿ Porque normas y estándares de seguridad? Herramientas. Que incluye un SGSI Como se implementa un SGSI. Origen de ISO 27000. La serie 27000. Beneficios. Cibergrafía.
La información es un activo vital para cualquier organización, y su resguardo se ha convertido en su objetivo de primer nivel. El manejo adecuado de la información debe seguir una serie de parámetros los cuales deben abordar de manera metódica y documentada los pasos a seguir ante cualquier eventualidad. INTRODUCCIÓN
¿ PORQUE NORMAS Y ESTÁNDARES DE SEGURIDAD? ISO 27000
Las organizaciones necesitan demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Confidencialidad, integridad y disponibilidad. ¿ Porque normas y estándares de seguridad?
HERRAMIENTAS ISO 27000
HERRAMIENTAS Proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. Es el concepto central sobre el que se construye ISO 27001. SGSI (Sistema de Gestión de la Seguridad de la Información).
QUE INCLUYE UN SGSI ISO 27000
QUE INCLUYE UN SGSI
COMO SE IMPLEMENTA UN SGSI. Funciones de Bessel
Como se implementa un SGSI Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.
ORIGEN DE ISO 27000. Funciones de Bessel
ISO27000
ISO/IEC 27000 • “ISO/IEC 27000 es un conjunto de estándares desarrollados en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña”.
LA SERIE 27000. ISO 27000
LA SERIE 27000. • Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos. • La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
LA SERIE 27000.
ISO/IEC 27001 ISO 27000
ISO/IEC 27001 Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799- 2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
ISO/IEC 27001 Objetivo: Mejora continua Se adopta el modelo Plan-Do-Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización, se basa en un ciclo de mejora continua, en consecuencia con lo que se haya detectado al efectuar las comprobaciones.
Anexo A, es de carácter normativo, contiene una tabla en las que se identifican los controles y objetivos del control de la versión del año 1005 de la ISO/IEC 17799 Anexo B, es de carácter informativo, proporciona una correlación entre cada principio de la OCDE con el proceso del SGSI y una fase del PDCA. Anexo C, incluye la correspondencia entre los capitulos de la norma ISO/IEC 27001 y las normas ISO 9001 e ISO 14001. A. 5 Política de seguridad A. 6 Organización de la seguridad de la información A. 7 Gestión de activos A. 8 Seguridad relacionada con el personal A. 9 Seguridad física y del entorno A. 10 Gestión de comunicaciones y operaciones A. 11 Control de acceso A. 12 Adquisición, desarrollo y mantenimiento de los sistemas de la información A. 13 Gestión de los incidentes de seguridad de la información A. 14 Gestión de la continuidad del negocio A. 15 Cumplimiento
ISO/IEC 27001/ Ley orgánica de protección de datos La Ley Orgánica de Protección de Datos (LOPD) tiene como principal finalidad proteger derechos fundamentales de las personas, como son el derecho al honor, la intimida d personal y la propia imagen de todas las personas físicas.
ISO/IEC 27001/Beneficios • Una Auditoria de seguridad es una fuente clave de información para el conocimiento de seguridad de una empresa. • Demuestra un compromiso inequívoco de los órganos de dirección de la empresa con el sistema de gestión de la seguridad de la información, además del cumplimiento de los requisitos legales, reglamentarios y contractuales.
ISO/IEC 27001/ Implantación • La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido.
• La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. ISO/IEC 27001/ Certificación
ISO/IEC 27002 ISO 27000
ISO/IEC 27002 código de buenas prácticas para la gestión de la seguridad Dentro de su contenido podemos encontrar: • Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización • Describe los objetivos de control y especifica los controles recomendables a implantar.
ISO/IEC 27002/Historia (anteriormente denominada como ISO 17799) estándar creado por primera vez como 17799:2000 por la ISO y por la CEI en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005.
ISO/IEC 27002/Objetivos de la norma - Servir de punto de información de la serie de normas ISO 27000 y de la gestión de seguridad de la información mediante la aplicación de controles óptimos a las necesidades de las organizaciones en cada momento. - establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.
ISO/IEC 27000 Y SUS DEMÁS DERIVACIONES ISO 27000
• ISO/IEC 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do- Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) • ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad). • ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación
• ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000. • ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) . • ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo).
• ISO/IEC 27032: guía relativa a la ciber seguridad (en desarrollo) • ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo) • ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
BENEFICIOS ISO 27000
BENEFICIOS • Reduce los riesgos de seguridad de la información. • Reduce la probabilidad y el impacto de los incidentes • de seguridad • La certificación de un estándar internacional. • Ventajas de marketing, etc. • Enfoque coherente, estructurado. Evaluación integral de riesgos • Focaliza el gasto en seguridad de la información donde produce mayor ventaja. • Gobernanza demostrable
CIBERGRAFÍA ISO 27000
CIBERGRAFÍA • "CONFEDERACIÓN DE EMPRESARIOS DE NAVARRA", España,2013. Disponible: http://www.varios.cen7dias.es/documentos/documentos/ 90/iso.pdf • “ISO 27000”, España, 2013. Disponible: http://www.iso27000.es/iso27000.html • "ISO 27002",Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/5-1-Pol%C3%ADtica-de- seguridad-de-la-informaci%C3%B3n.html
CIBERGRAFÍA • "ISO 27002", Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/Objetivos.html • "PORTAL DE SEGURIDAD CLM", España,2013. Disponible: http://protegete.jccm.es/protegete/opencms/Administr acion/Seguridad/Estandares/ISO27000.html • “UNIVERSIDAD DE VIGO”, España, 2013. Disponible: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Por su atencion Gracias

Recommandé

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 

Recommandé

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromMart Rovers
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 

Contenu connexe

Tendances

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromMart Rovers
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 

Tendances (20)

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptx
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgos
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 

En vedette

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 

En vedette (9)

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
NORMA ISO 90003
NORMA ISO 90003NORMA ISO 90003
NORMA ISO 90003
 
MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD
 
Ciclo de deming
Ciclo de demingCiclo de deming
Ciclo de deming
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgos
 

Similaire à Iso 27000 estandar

Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 

Similaire à Iso 27000 estandar (20)

Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso Iso27001
Curso Iso27001Curso Iso27001
Curso Iso27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Is
IsIs
Is
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 

Plus de Maria Villalba

Exposicion valores eticos
Exposicion valores eticosExposicion valores eticos
Exposicion valores eticosMaria Villalba
 

Plus de Maria Villalba (6)

Ethernet
EthernetEthernet
Ethernet
 
Criptologia
CriptologiaCriptologia
Criptologia
 
OSS TMM
OSS TMMOSS TMM
OSS TMM
 
ISACA
ISACAISACA
ISACA
 
Joomla y no-ip
Joomla y no-ipJoomla y no-ip
Joomla y no-ip
 
Exposicion valores eticos
Exposicion valores eticosExposicion valores eticos
Exposicion valores eticos
 

Iso 27000 estandar

  • 1. ESTÁNDARES Y NORMAS DE SEGURIDAD ISO 27000 WILSON CASTAÑO GALVIZ ELIZABETH DANIELA MERCHAN CARDOZA MARÍA ALEJANDRA MERCHAN VILLALBA UNIVERSIDAD POPULAR DEL CESAR SECCIONAL AGUACHICA 2013
  • 2. Contenido de la presentación ISO 27000 ¿ Porque normas y estándares de seguridad? Herramientas. Que incluye un SGSI Como se implementa un SGSI. Origen de ISO 27000. La serie 27000. Beneficios. Cibergrafía.
  • 3. La información es un activo vital para cualquier organización, y su resguardo se ha convertido en su objetivo de primer nivel. El manejo adecuado de la información debe seguir una serie de parámetros los cuales deben abordar de manera metódica y documentada los pasos a seguir ante cualquier eventualidad. INTRODUCCIÓN
  • 4. ¿ PORQUE NORMAS Y ESTÁNDARES DE SEGURIDAD? ISO 27000
  • 5. Las organizaciones necesitan demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. − Confidencialidad, integridad y disponibilidad. ¿ Porque normas y estándares de seguridad?
  • 7. HERRAMIENTAS Proceso sistemático, documentado y conocido por toda la organización para garantizar que la seguridad de la información es gestionada correctamente. Es el concepto central sobre el que se construye ISO 27001. SGSI (Sistema de Gestión de la Seguridad de la Información).
  • 8. QUE INCLUYE UN SGSI ISO 27000
  • 10. COMO SE IMPLEMENTA UN SGSI. Funciones de Bessel
  • 11. Como se implementa un SGSI Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.
  • 12. ORIGEN DE ISO 27000. Funciones de Bessel
  • 14. ISO/IEC 27000 • “ISO/IEC 27000 es un conjunto de estándares desarrollados en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña”.
  • 16. LA SERIE 27000. • Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos. • La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:
  • 19. ISO/IEC 27001 Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799- 2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
  • 20. ISO/IEC 27001 Objetivo: Mejora continua Se adopta el modelo Plan-Do-Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización, se basa en un ciclo de mejora continua, en consecuencia con lo que se haya detectado al efectuar las comprobaciones.
  • 21. Anexo A, es de carácter normativo, contiene una tabla en las que se identifican los controles y objetivos del control de la versión del año 1005 de la ISO/IEC 17799 Anexo B, es de carácter informativo, proporciona una correlación entre cada principio de la OCDE con el proceso del SGSI y una fase del PDCA. Anexo C, incluye la correspondencia entre los capitulos de la norma ISO/IEC 27001 y las normas ISO 9001 e ISO 14001. A. 5 Política de seguridad A. 6 Organización de la seguridad de la información A. 7 Gestión de activos A. 8 Seguridad relacionada con el personal A. 9 Seguridad física y del entorno A. 10 Gestión de comunicaciones y operaciones A. 11 Control de acceso A. 12 Adquisición, desarrollo y mantenimiento de los sistemas de la información A. 13 Gestión de los incidentes de seguridad de la información A. 14 Gestión de la continuidad del negocio A. 15 Cumplimiento
  • 22. ISO/IEC 27001/ Ley orgánica de protección de datos La Ley Orgánica de Protección de Datos (LOPD) tiene como principal finalidad proteger derechos fundamentales de las personas, como son el derecho al honor, la intimida d personal y la propia imagen de todas las personas físicas.
  • 23. ISO/IEC 27001/Beneficios • Una Auditoria de seguridad es una fuente clave de información para el conocimiento de seguridad de una empresa. • Demuestra un compromiso inequívoco de los órganos de dirección de la empresa con el sistema de gestión de la seguridad de la información, además del cumplimiento de los requisitos legales, reglamentarios y contractuales.
  • 24. ISO/IEC 27001/ Implantación • La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido.
  • 25. • La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. ISO/IEC 27001/ Certificación
  • 27. ISO/IEC 27002 código de buenas prácticas para la gestión de la seguridad Dentro de su contenido podemos encontrar: • Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización • Describe los objetivos de control y especifica los controles recomendables a implantar.
  • 28. ISO/IEC 27002/Historia (anteriormente denominada como ISO 17799) estándar creado por primera vez como 17799:2000 por la ISO y por la CEI en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005.
  • 29. ISO/IEC 27002/Objetivos de la norma - Servir de punto de información de la serie de normas ISO 27000 y de la gestión de seguridad de la información mediante la aplicación de controles óptimos a las necesidades de las organizaciones en cada momento. - establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.
  • 30.
  • 31. ISO/IEC 27000 Y SUS DEMÁS DERIVACIONES ISO 27000
  • 32. • ISO/IEC 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do- Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) • ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
  • 33. • ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad). • ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación
  • 34. • ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000. • ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) . • ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo).
  • 35. • ISO/IEC 27032: guía relativa a la ciber seguridad (en desarrollo) • ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo) • ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos
  • 37. BENEFICIOS • Reduce los riesgos de seguridad de la información. • Reduce la probabilidad y el impacto de los incidentes • de seguridad • La certificación de un estándar internacional. • Ventajas de marketing, etc. • Enfoque coherente, estructurado. Evaluación integral de riesgos • Focaliza el gasto en seguridad de la información donde produce mayor ventaja. • Gobernanza demostrable
  • 39. CIBERGRAFÍA • "CONFEDERACIÓN DE EMPRESARIOS DE NAVARRA", España,2013. Disponible: http://www.varios.cen7dias.es/documentos/documentos/ 90/iso.pdf • “ISO 27000”, España, 2013. Disponible: http://www.iso27000.es/iso27000.html • "ISO 27002",Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/5-1-Pol%C3%ADtica-de- seguridad-de-la-informaci%C3%B3n.html
  • 40. CIBERGRAFÍA • "ISO 27002", Vista en Colombia,2013. Disponible: https://iso27002.wiki.zoho.com/Objetivos.html • "PORTAL DE SEGURIDAD CLM", España,2013. Disponible: http://protegete.jccm.es/protegete/opencms/Administr acion/Seguridad/Estandares/ISO27000.html • “UNIVERSIDAD DE VIGO”, España, 2013. Disponible: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

Notes de l'éditeur

  1. Este Esta presentación, que se recomienda ver en modo de presentación, muestra las nuevas funciones de PowerPoint. Estas diapositivas están diseñadas para ofrecerle excelentes ideas para las presentaciones que creará en PowerPoint 2010.Para obtener más plantillas de muestra, haga clic en la pestaña Archivo y después, en la ficha Nuevo, haga clic en Plantillas de muestra.