Toni Martín-Avila ISO 27001 LEAD AUDITOR CISA
CERTIFICACIÓN ISO 27001 Jornada Informativa, Bellaterra 11/11/2009
Fuente: RED.es B2C 2008 La seguridad genera confianza y …
 
Certificación ISO 27001 Implantación  del SGSI Auditoría de certificación Procedimiento por el cual una tercera parte aseg...
 
 
A creditación ENAC ISO 27001 Entidad de acreditación Entidad de certificación Planificador Auditor Jefe auditor Equipo Aud...
Estamos en el g10 DATOS enero 2008 Previsión finales 2009 España..300 certificados
Proceso de certificación acción objetivo Estudio documental (fase 1) Medir el cumplimiento del SGSI sobre la norma y aport...
<ul><li>Fase 1 Revision documental </li></ul><ul><ul><li>Alcance de la certificación </li></ul></ul><ul><ul><li>Análisis y...
<ul><li>Fase 2 Auditoría in-situ </li></ul><ul><ul><li>Reunión de apertura (objeto, alcance, explicación del proceso, pers...
 
Auditoría técnica
Auditoría técnica El alcance del sistema y sus controles puede abarcar a otras normas
<ul><li>ISO 27002 Tipos de controles </li></ul><ul><ul><li>Jurídicos .......   27% </li></ul></ul><ul><ul><li>Gestión .......
Auditoría técnica Ejemplos de auditoría de controles según  audit method
Auditoría técnica
<ul><li>System Testing: </li></ul><ul><ul><li>Front-end app </li></ul></ul><ul><ul><li>Con perfil de usuario </li></ul></u...
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
<tu organización> F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
F actores de éxito en certificación ISO 27001
Slides de la ponencia: tonimartinavila.wordpress.com
Upcoming SlideShare
Loading in …5
×

IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila

6,925 views

Published on

Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.

Published in: Education, Technology, Business
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,925
On SlideShare
0
From Embeds
0
Number of Embeds
705
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide
  • 1
  • 1
  • IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila

    1. 1. Toni Martín-Avila ISO 27001 LEAD AUDITOR CISA
    2. 2. CERTIFICACIÓN ISO 27001 Jornada Informativa, Bellaterra 11/11/2009
    3. 3. Fuente: RED.es B2C 2008 La seguridad genera confianza y …
    4. 5. Certificación ISO 27001 Implantación del SGSI Auditoría de certificación Procedimiento por el cual una tercera parte asegura por escrito que un producto, proceso o servicio es conforme con los requisitos especificados en la norma de referencia ISO 27001 (UNE 71502) Certificación del SGSI ISO 27001
    5. 8. A creditación ENAC ISO 27001 Entidad de acreditación Entidad de certificación Planificador Auditor Jefe auditor Equipo Auditor Cualificación de auditores Comisión de certificación y departamento técnico
    6. 9. Estamos en el g10 DATOS enero 2008 Previsión finales 2009 España..300 certificados
    7. 10. Proceso de certificación acción objetivo Estudio documental (fase 1) Medir el cumplimiento del SGSI sobre la norma y aportar el feedback de la organización Auditoría in-situ (fase 2) Revisar y confirmar la correcta implantación del SGSI sobre ISO 27001 Auditoría técnica Reunión de cierre, entrega informe (No conformidades mayores/menores) (medidas correctoras por la empresa) Propuesta de certificación Comisión certificación Evaluación por parte de la Comisión de Certificación Decisión y notificación Emisión del certificado Visitas de seguimiento cada doce meses Asegurar el cumplimiento continuado del SGSI y ayudar a prevenir cualquier tipo de desviación significativa de la organización Auditoría de renovación Combinada con la tercera auditoría de seguimiento del sistema
    8. 11. <ul><li>Fase 1 Revision documental </li></ul><ul><ul><li>Alcance de la certificación </li></ul></ul><ul><ul><li>Análisis y gestión de riesgos </li></ul></ul><ul><ul><li>Inventario activos </li></ul></ul><ul><ul><li>Declaración aplicabilidad (SoA, DdA) </li></ul></ul><ul><ul><li>Manual, políticas de seguridad </li></ul></ul><ul><ul><li>Procedimientos de soporte al SGSI </li></ul></ul><ul><ul><li>Procedimientos de seguridad que se consideren oportunos </li></ul></ul><ul><ul><li>Evaluar localizaciones </li></ul></ul><ul><ul><li>Evaluar grado de compresión del sistema de calidad,, conocimiento del personal </li></ul></ul><ul><ul><li>Auditorías internas y revisión por parte de la dirección </li></ul></ul><ul><ul><li>Revisión de aspectos legales </li></ul></ul><ul><ul><li>Elaboración informe documentación (destacando posibles incumplimientos de la norma a verificar durante la fase 2) </li></ul></ul><ul><ul><li>Envío del informe y del Plan de auditoria fase 2 </li></ul></ul><ul><ul><li>Periodo máximo entre fases 1 y 2 de 6 meses </li></ul></ul>Proceso de certificación
    9. 12. <ul><li>Fase 2 Auditoría in-situ </li></ul><ul><ul><li>Reunión de apertura (objeto, alcance, explicación del proceso, personal, instalaciones y recursos) </li></ul></ul><ul><ul><li>Análisis y gestión de riesgos. Revisión exclusiones SoA y hallazgos de la revisión documental de la fase 1 </li></ul></ul><ul><ul><li>Desarrollo de la auditoría según el plan </li></ul></ul><ul><ul><li>Se evaluarán solamente evidencias objetivas basadas en documentos, observaciones, medidas o ensayos que puedan ser verificados, evitando las impresiones subjetivas y la obtención de conclusiones en base a informaciones no contrastadas </li></ul></ul>Proceso de certificación
    10. 14. Auditoría técnica
    11. 15. Auditoría técnica El alcance del sistema y sus controles puede abarcar a otras normas
    12. 16. <ul><li>ISO 27002 Tipos de controles </li></ul><ul><ul><li>Jurídicos ....... 27% </li></ul></ul><ul><ul><li>Gestión ......... 72% </li></ul></ul><ul><ul><li>Técnicos ....... 42% </li></ul></ul><ul><ul><li>Preventivos ... 80% </li></ul></ul><ul><ul><li>Detección.... 13% </li></ul></ul><ul><ul><li>Monitorización. 9% </li></ul></ul><ul><ul><li>Recuperación.. 7% </li></ul></ul><ul><ul><li>Revisión......... 10% </li></ul></ul>Auditoría técnica
    13. 17. Auditoría técnica Ejemplos de auditoría de controles según audit method
    14. 18. Auditoría técnica
    15. 19. <ul><li>System Testing: </li></ul><ul><ul><li>Front-end app </li></ul></ul><ul><ul><li>Con perfil de usuario </li></ul></ul><ul><ul><li>Directo a la BBDD (Ms Acess, Oracle, SQL Server) </li></ul></ul><ul><ul><li>“ SELECT OBSERVACIONES FROM CLIENTES” </li></ul></ul><ul><li>Riesgos de confidencialidad </li></ul><ul><ul><li>VISA...teléfonos móviles, información de impagados, información de familiares </li></ul></ul><ul><li>Riesgos de incumplimiento LOPD </li></ul><ul><ul><li>Calidad, nivel de seguridad mayor que el definido </li></ul></ul>Ejemplo <clientes.observaciones>
    16. 20. F actores de éxito en certificación ISO 27001
    17. 21. F actores de éxito en certificación ISO 27001
    18. 22. F actores de éxito en certificación ISO 27001
    19. 23. F actores de éxito en certificación ISO 27001
    20. 24. F actores de éxito en certificación ISO 27001
    21. 25. F actores de éxito en certificación ISO 27001
    22. 26. F actores de éxito en certificación ISO 27001
    23. 27. F actores de éxito en certificación ISO 27001
    24. 28. <tu organización> F actores de éxito en certificación ISO 27001
    25. 29. F actores de éxito en certificación ISO 27001
    26. 30. F actores de éxito en certificación ISO 27001
    27. 31. Slides de la ponencia: tonimartinavila.wordpress.com

    ×