Norma Iso 27001

7,415 views

Published on

Published in: Technology, Business
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
7,415
On SlideShare
0
From Embeds
0
Number of Embeds
30
Actions
Shares
0
Downloads
162
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Norma Iso 27001

  1. 1. Universidad Veracruzana<br />Sistemas Computacionales Administrativos<br />Catedrático:<br />Carlos Arturo Torres Gastelu<br />Experiencia educativa:<br />Administración de la tecnología de la información<br />Tema:<br />Normas ISO 27001<br />Alumno:<br />Bravo López Ignacio<br />Grupo C001<br />
  2. 2. Normas<br /> Son especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al publico, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria.<br /> Las normas nacen en un marco de la voluntariedad, aunque en muchas ocasiones son los propios usuarios las que las hacen obligatorias de cara a garantizar su cumplimiento a terceros como diferencial frente a la competencia.<br />INTRODUCCION<br />
  3. 3. ORIGENES DE ISO/IEC 27001<br />Primera versión Norma ISO/IEC 1799 “Tecnologías de la información. Código de buenas practicas de la gestión de la seguridad de la información”.<br />Coexistieron la norma inglesa BS 7799-2 cuya parte 1 fue el origen de la norma ISO/IEC 1799 y la norma española UNE 71502 “Especificaciones de los sistemas de gestión de la seguridad de la información”.<br />Se publica el uso de las siglas SGSI y se propone el modelo conocido como ciclo PDCA.<br />
  4. 4. En el 2004 se inicia el comité internacional de normalización denominado MODELO 27001, que enmarca las normas aplicables a la gestión de los sistemas de información.<br />Se decide elaborar una norma internacional a partir del código de buenas practicas, que desarrolle el sistema de gestión de seguridad de la información y se publica la norma ISO/IEC 27001 SGSI. <br />
  5. 5. Los sistemas de gestión han aportado a las organizaciones comenzando su implantación como herramienta para proporcionar productos y servicios con un alto nivel de calidad.<br />A partir de la experiencia en la implantación de otros sistemas de gestión que comenzaron ante su aceptación por la industria aportan los siguientes beneficios.<br />APORTACION DE LOS SISTEMAS DE GESTION <br />
  6. 6. ANTE EL MERCADO:<br />Favorece su desarrollo.<br />Afianza la posición de la organización.<br />Potencia la imagen de marca.<br />Constituye un factor competitivo respecto a la competencia.<br />Permite superar barreras técnicas.<br />
  7. 7. ANTE EL CLIENTE:<br />Fidelidad y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas.<br />Se mejora la comunicación con el cliente.<br />Mayor confianza al cliente.<br />Aumento de la satisfacción del cliente.<br />
  8. 8. ANTE LA GESTION DE LA ORGANIZACIÓN:<br />Conocimiento y depuración de la procesos internos.<br />Mejora de los procesos y de los servicios prestados .<br />Ahorro del tiempo y de los recursos necesarios.<br />Mejor gestión de los recursos .<br />Estímulo para entrar en un proceso de mejora continua.<br />
  9. 9. Esta norma internacional especifica los requisitos para establecer , implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar SGSI documentado dentro del contexto global de los riesgos de negocio de la organización.<br />Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de la misma.<br />NORMA ISO/IEC 27001<br />
  10. 10. La primera cuestión a tener presente a la hora de utilizar e implantar esta norma es que su utilización esta ligada a los controles y objetivos de control de la norma ISO/IEC 17799: 2005, los cueles deben ser seleccionados como parte del proceso de gestión.<br />Se utiliza una serie de términos de la guía internacional ISO 73, en este caso al termino relativos al “riesgo”.<br />Otro términos son trasladados de la serie internacional ISO/IEC 13335 que son los conceptos relativos cuando se habla de “Activos”.<br />
  11. 11. La norma deje claro que el concepto de gestión de sistema cubre comenzando por el establecimiento, la implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de dicho sistema.<br />La norma proporciona información acerca del enfoque de procesos que se refiere a la identificación de estos procesos dentro de la organización, así como su interacción, para una vez identificados llevar acabo la gestión de los mismos de una manera global.<br />
  12. 12. Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do-Check-Act”<br />
  13. 13. ESTABLECIMIENTO Y GESTION<br />Cuando una organización quiere establecer el SGSI debe comenzar por definir el alcance del sistema de gestión, quiere decir, a que partes del negocio de la organización aplica, derivando de esta definición los emplazamientos a los que incluye, los activos, la tecnología, las áreas, el personal, así como las exclusiones que admite.<br />
  14. 14. Una vez definido el alcance, hay que elaborar y definir la política del SGSI que será el marco para establecer los objetivos de la dirección de la organización y los principios de actuación para proteger la información.<br />Luego se define la metodología para la elaboración del riesgo conforma al alcance y política del SGSI, la que será utilizada para establecer el nivel aceptable del riesgo.<br />La fase siguiente es la identificación de los riesgos donde se elabora un análisis y evaluación de dichos riesgos, que desembocara en la identificación de los diferentes tratamientos de riesgos para llegar al objetivo de la primera etapa de selección de los controles.<br />
  15. 15. Se requiere preparar un plan de tratamiento del riesgo, e implantarlo, a través de la implantación de los controles que se haya seleccionado.<br />Se debe llevar acabo medir la eficiencia de dichos controles para obtener unos resultados comparables y reproducibles.<br />Es vital crear programas de formación concienciación en todas estas acciones para el personal de la organización, posibilitando la integración de la cultura de la seguridad.<br />IMPLANTACION Y PUESTA EN MARCHA DEL SGSI<br />
  16. 16. CONTROL Y EVALUACION DEL SGSI<br />Al tener cerrado la 2 fases anteriores, ya cuenta con el núcleo del SGSI, pero no podrán aprovechar los beneficios de este sistema al menos que implanten una serie de procedimientos para el control y la revisión de lo hecho hasta ahora.<br />Esta derivara en la puesta en marcha de una serie de revisiones sobre eficacia del SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones.<br />
  17. 17. Se deberá ir revisando los análisis del riesgo a intervalos planificados y periódicos, junto con los niveles de aceptación del riesgo.<br />De esto se descubre una serie de defectos y mejoras del SGSI, para lo que se tomara las medidas correctivas y preventivas.<br />Todo paso que se de debe estar sustentado por un procedimiento documentado, se documento, se implanta y se mantiene, junto con un sistemas de registro.<br />Los documentos que acompañan al SGSI deben estar protegidos y controlados de tal manera que es necesario establecer un procedimiento de control de documentos.<br />
  18. 18. El primero, de carácter normativo, contiene una tabla en las que se identifican los controles y objetivos del control de la versión del año 2005 de la norma ISO/IEC 17799.<br />El segundo, de carácter informativo, proporciona una correlación entre cada principio de la OCDE con un proceso del SGSI y una fase del PDCA.<br />El tercero que incluye la correspondencia entre los capítulos de la norma ISO/IEC 27001 y las normas ISO 9001 e ISO 14001.<br />ANEXOS DE LA NORMA ISO/IEC 27001<br />

×