Iso27001

1,072 views

Published on

Auditoria

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,072
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Iso27001

  1. 1. ISO 27001 Presentado por: CRUZADO QUINTANA FRANK MARK Escuela: Ing. De Sistemas Ciclo: 8 Diciembre 2009
  2. 2. ¿Qué es ISO 27001 ? <ul><li>Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI). </li></ul><ul><ul><li>Requisitos para la especificación de sistemas de gestión de la seguridad de la información </li></ul></ul><ul><ul><li>Proceso del análisis y gestión del riesgo </li></ul></ul><ul><ul><li>Métricas y medidas de protección </li></ul></ul><ul><ul><li>Guías de implantación </li></ul></ul><ul><ul><li>Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua. </li></ul></ul>
  3. 3. ISO 27001 <ul><li>Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”. </li></ul>
  4. 4. Alcance ISO27001 <ul><li>General </li></ul><ul><li>Cubre todos los tipos de organizaciones. </li></ul><ul><li>También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio. </li></ul><ul><li>Aplicación </li></ul><ul><li>El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza. </li></ul>
  5. 5. Activos, implementos para la seguridad, vulnerabilidades e impacto
  6. 6. ISO/IEC 27001:2005 (anteriormente BS 7799) es una norma internacional que proporciona especificaciones y orientación para realizar un mantenimiento apropiado de un SGSI. Ofrece un enfoque de proceso Planificar-Hacer-Verificar-Actuar (PHVA), el cual refleja los principios de la OECD (Organization for Economic Cooperation and Development) directrices que rigen la seguridad de los sistemas y redes de información. ISO/IEC 27001:2005 consta de dos partes bajo un título general Tecnología de la Información - Técnicas de Seguridad - Sistema de Gestión de Seguridad de la Información : ISO/IEC 17799:2005 (Parte 1) es un &quot;código de práctica&quot; que describe las mejores prácticas para un Sistema de Gestión de Seguridad de la Información dentro del alcance de ISO/IEC 27001 Parte 2. ISO/IEC 27001:2005 (Parte 2) comprende un número de especificaciones para los sistemas de Gestión de Seguridad de la Información. Proporciona los medios para medir, hacer seguimiento y controlar la gestión de seguridad con un abordaje de &quot;arriba hacia abajo&quot;. Abarca gobierno, control de ingreso, evaluación de riesgo, clasificación, conformidad, planificación de continuidad y más. ISO/IEC 27001:2005 especifica el enfoque en los siguientes temas, empleando la metodología PHVA (Planificar, Hacer, Verificar, Actuar):
  7. 7. <ul><li>1.  Principios y Gestión de Seguridad: Los componentes esenciales de la gestión de riesgo, política de seguridad de la información, procedimientos, normas, directrices, líneas de base, clasificación, educación y organización de seguridad sirven como fundamento de la seguridad de la información. Los controles de seguridad están implementados y mantenidos para tratar los tres principios interdependientes que están presentes en todos los programas: Confidencialidad, Integridad y Disponibilidad, conocidos también como la &quot;tríada CID&quot;. </li></ul><ul><li>2.  Responsabilidades de Gestión de Seguridad: Incluye los recursos financieros y representación estratégica necesaria para participar en un programa de seguridad. Las responsabilidades asignadas empiezan a encaminar al SGSI y lo mantienen en crecimiento y evolucionando según los cambios en el medioambiente. El apoyo de la Dirección es uno de los factores más importantes para el éxito del programa de seguridad. </li></ul><ul><li>3. Enfoque &quot;de arriba hacia abajo&quot;: Este enfoque significa que la alta dirección proporciona soporte y conducción, la cual pasa en cascada a través de los niveles medios y finalmente a todos los miembros del personal. </li></ul>
  8. 8. <ul><li>4. Gestión de Riesgo: La gestión de riesgo es el proceso de identificación, análisis, cálculo, evaluación y reducción de riesgo hasta un nivel aceptable, además de la implementación de los mecanismos correctos de defensa para mantener un nivel de riesgo aceptable. </li></ul><ul><li>5. Toma de Conciencia de Seguridad: Para conseguir los resultados deseados para el programa de seguridad, una organización debe comunicar los &quot;qué, cómo y porqué&quot; de seguridad a sus empleados. Esta toma de conciencia debería ser exhaustiva, a medida y de toda la organización. </li></ul><ul><li>6. Continuidad de Negocio y Gestión de Siniestros: Asegura continuidad, recuperación y restauración del negocio en caso de desastre. En el caso de una emergencia, podría suponer traslado de sistemas críticos a otro ambiente mientras se reparan las instalaciones originales. </li></ul><ul><li>7. Cumplimiento Legal: incluye cumplimiento de varias leyes (reguladoras) civiles, criminales y administrativas tales como leyes de propiedad intelectual, secretos comerciales, derechos de propiedad intelectual, marcas, patentes y protección de información. </li></ul>

×