IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila

Toni Martín-Avila ISO 27001 LEAD AUDITOR CISA

CERTIFICACIÓN ISO 27001 Jornada Informativa, Bellaterra 11/11/2009

Fuente: RED.es B2C 2008 La seguridad genera confianza y …

Certificación ISO 27001 Implantación del SGSI Auditoría de certificación Procedimiento por el cual una tercera parte asegura por escrito que un producto, proceso o servicio es conforme con los requisitos especificados en la norma de referencia ISO 27001 (UNE 71502) Certificación del SGSI ISO 27001

A creditación ENAC ISO 27001 Entidad de acreditación Entidad de certificación Planificador Auditor Jefe auditor Equipo Auditor Cualificación de auditores Comisión de certificación y departamento técnico

Estamos en el g10 DATOS enero 2008 Previsión finales 2009 España..300 certificados

Proceso de certificación acción objetivo Estudio documental (fase 1) Medir el cumplimiento del SGSI sobre la norma y aportar el feedback de la organización Auditoría in-situ (fase 2) Revisar y confirmar la correcta implantación del SGSI sobre ISO 27001 Auditoría técnica Reunión de cierre, entrega informe (No conformidades mayores/menores) (medidas correctoras por la empresa) Propuesta de certificación Comisión certificación Evaluación por parte de la Comisión de Certificación Decisión y notificación Emisión del certificado Visitas de seguimiento cada doce meses Asegurar el cumplimiento continuado del SGSI y ayudar a prevenir cualquier tipo de desviación significativa de la organización Auditoría de renovación Combinada con la tercera auditoría de seguimiento del sistema

Fase 1 Revision documental
Alcance de la certificación
Análisis y gestión de riesgos
Inventario activos
Declaración aplicabilidad (SoA, DdA)
Manual, políticas de seguridad
Procedimientos de soporte al SGSI
Procedimientos de seguridad que se consideren oportunos
Evaluar localizaciones
Evaluar grado de compresión del sistema de calidad,, conocimiento del personal
Auditorías internas y revisión por parte de la dirección
Revisión de aspectos legales
Elaboración informe documentación (destacando posibles incumplimientos de la norma a verificar durante la fase 2)
Envío del informe y del Plan de auditoria fase 2
Periodo máximo entre fases 1 y 2 de 6 meses
Proceso de certificación

Fase 2 Auditoría in-situ
Reunión de apertura (objeto, alcance, explicación del proceso, personal, instalaciones y recursos)
Análisis y gestión de riesgos. Revisión exclusiones SoA y hallazgos de la revisión documental de la fase 1
Desarrollo de la auditoría según el plan
Se evaluarán solamente evidencias objetivas basadas en documentos, observaciones, medidas o ensayos que puedan ser verificados, evitando las impresiones subjetivas y la obtención de conclusiones en base a informaciones no contrastadas
Proceso de certificación

Auditoría técnica

Auditoría técnica El alcance del sistema y sus controles puede abarcar a otras normas

ISO 27002 Tipos de controles
Jurídicos ....... 27%
Gestión ......... 72%
Técnicos ....... 42%
Preventivos ... 80%
Detección.... 13%
Monitorización. 9%
Recuperación.. 7%
Revisión......... 10%
Auditoría técnica

Auditoría técnica Ejemplos de auditoría de controles según audit method

Auditoría técnica

System Testing:
Front-end app
Con perfil de usuario
Directo a la BBDD (Ms Acess, Oracle, SQL Server)
“ SELECT OBSERVACIONES FROM CLIENTES”
Riesgos de confidencialidad
VISA...teléfonos móviles, información de impagados, información de familiares
Riesgos de incumplimiento LOPD
Calidad, nivel de seguridad mayor que el definido
Ejemplo <clientes.observaciones>

F actores de éxito en certificación ISO 27001

<tu organización> F actores de éxito en certificación ISO 27001

F actores de éxito en certificación ISO 27001

Slides de la ponencia: tonimartinavila.wordpress.com

http://tonimartinavila.com	134
http://www.it360.es	86
http://tonimartinavila.wordpress.com	46
http://www.slideshare.net	42
http://localhost:8888	2
http://webcache.googleusercontent.com	2
http://it360.es	1

IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila

by Toni Martin Avila on Nov 11, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

7 Embeds 313

Statistics

IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila — Presentation Transcript