SlideShare una empresa de Scribd logo

Iso 27000

Descargar como ODP, PDF
K
krn kdna cadena

Todo lo que necesitas saber sobre ISO 27000

Educación
1 de 37
UNIVERSIDAD VERACRUZANA Catedrático: M.C. e ING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
¿QUE ES ISO? ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
Introduccion. • Algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
Definición ● Es un conjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
Origen. ● Desde 1901, y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
Desarrollo. • A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
• Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
Beneficios. • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
● Confianza de clientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
Desventajas. • Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
• Las normas en español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
Planificación • Definir el alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
¿Como adaptarse?
Aspectos clave. ● Compromiso y apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
Fundamentos de Seguridad Informática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
La serie ISO 27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
Familia ISO 27000
Objetivo de la familia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
DEFINICION DE LA FAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
● ISO/IEC 27003: No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
CERTIFICACION DE ISO 27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
¿Quién certifica a mi empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
En México quien certifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
DGN en México ● El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
CERTIFICACION DE EMPRESAS MEXICANAS, (quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
Empresas certificadas en México
¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
¿Cómo es el proceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
6) Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
¿Qué es un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ● Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com

Recomendados

ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 

Recomendados

ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptxcirodussan
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaPedro Cobarrubias
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 

Más contenido relacionado

La actualidad más candente

Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptxcirodussan
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 

La actualidad más candente (20)

Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
ISO 27002(1).pptx
ISO 27002(1).pptxISO 27002(1).pptx
ISO 27002(1).pptx
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 

Similar a Iso 27000

Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaPedro Cobarrubias
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasZurielVillanueva
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 

Similar a Iso 27000 (20)

Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales Mexicanas
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
ii
iiii
ii
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas iso
Normas isoNormas iso
Normas iso
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
 

Último

Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024IES Vicent Andres Estelles
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxFernando Solis
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONALMiNeyi1
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdfMiNeyi1
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfpatriciaines1993
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfValeriaCorrea29
 

Último (20)

Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 

Iso 27000

  • 1. UNIVERSIDAD VERACRUZANA Catedrático: M.C. e ING. Mauricio Cruz Cervantes. Materia: Tecnologías para Redes Móviles. Integrantes: Perla del Carmen Bautista Rivera. Karen Guadalupe Cadena Palacios. Julio Cesar Morales Velázquez. FACULTAD DE CONTADURIA REGION POZA RICA – TUXPAN.
  • 2. ¿QUE ES ISO? ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores.) acerca de productos, tecnologías, métodos de gestión, etc.
  • 3. ¿Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. Estos ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).
  • 4. ¿Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad.
  • 5. Introduccion. • Algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación. Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles.
  • 6. Definición ● Es un conjunto de estándares desarrollados o en fase desarrollo por ISO e IEC, que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada, grande o pequeña.
  • 7. Origen. ● Desde 1901, y como primera entidad de normalización a nivel mundial, BSI es responsable de la publicacion de importantes normas como: ● 1979 publicacion de BS 5750 - ahora ISO 9001 ● 1992 publicacion de BS 7750 - ahora 14001 ● 1996 publicacion de BS 8800 - ahora OHSAS 18001 BSI, instituto britanico de estandares.
  • 8. Desarrollo. • A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 9. • Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. En ese apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.
  • 10. Beneficios. • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de perdida, robo o corrupción de información. • Los clientes tienen acceso a la información atraves de medidas de seguridad. • Los riesgos y sus controles son continuamente revisados.
  • 11. ● Confianza de clientes y socios estratégicos por la garantía de calidad y las áreas de mejora. • Posibilidad de adaptarse con otros sistemas de gestión (ISO 9001, ISO 14001, etc.). • Contonuidad de las operaciones necesarias de negocios tras incidentes de gravedad.
  • 12. Desventajas. • Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. • Para los originales en inglés, puede hacerlo online EN LA ORGANIZACION: iso.org • Adicionalmente existe la opción de una previsualización del índice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch
  • 13. • Las normas en español pueden adquirirse en España en AENOR, así como en otras entidades de normalización nacionales y responsables de la publicación traducida de los estándares internacionales de mayor interés a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y según el país. • Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo"Acreditación y Normalización".
  • 14.
  • 15. Planificación • Definir el alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los limites de SGSI. • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos del negocio, legales y contracturales.
  • 16.
  • 18. Aspectos clave. ● Compromiso y apoyo de la dirección de la organización. ● Definición clara de un alcance apropiado. ● Concienticiacion y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimientos de políticas y normas. ● Organización y comunicación.
  • 19. Fundamentos de Seguridad Informática Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Se clasifican en: ● Confidencialidad. ● Autenticacion. ● Integridad. ● No repudio. ● Control de acceso.
  • 20. La serie ISO 27000 ● ISO 27000.- La aplicación de cualquier estandar que contendra terminos y deficiniciones especificas. ● ISO 27001.- Se explica el obejto, la aplicación y el tratamiento de exclusiones. ● ISO 27002.- Conceptos generales de seguridad de la informacion y SGSI. ● ISO 27005.- Establece las directices para la gestion de riesgo en la seguridad de la informacion. ● ISO 27006.- Presentacion de las organizaciones ISO y sus activiades.
  • 22. Objetivo de la familia ISO 27000 ● Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
  • 23. DEFINICION DE LA FAMILIA 27000. ● ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información. ● ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ● ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
  • 24. ● ISO/IEC 27003: No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI. ● ISO/IEC 27005: No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
  • 25. CERTIFICACION DE ISO 27000 ● La norma ISO 27000 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
  • 26. ¿Quién certifica a mi empresa en ISO? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. ¿Por qué crece el número de empresas certificadas? Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.
  • 27. En México quien certifica en ISO 27000? ● DGN en Mexico es la encarga de otorgar las certificaciones atraves México ha implementado el Sistema Nacional de Normalización, Metrología y Sistema de evaluación de la conformidad, que es coordinado por la Dirección General de Normas (DGN, por sus siglas en español) del Ministerio de Economía. DGN: - participa en las organizaciones internacionales y otros foros pertinentes para representar los intereses de nuestros sectores nacionales; - coordina el desarrollo de normas y estándares nacionales de su competencia y registra organismos nacionales de normalización para emitir normas;
  • 28. DGN en México ● El objetivo general del sistema es coordinar el desarrollo de normas y los reglamentos y promover su uso. El sistema consta de tres actividades fundamentales: nacional de normalización (incluidas las reglamentaciones) e internacional, metrología y acreditación y evaluación de la conformidad. Para maximizar la eficiencia y la eficacia de estas funciones, autoriza a la Entidad de Acreditación y supervisa su trabajo, así como el cumplimiento de los reglamentos bajo la responsabilidad de DGN; - cuestiones de reglamentación sobre metrológicas Instrumentos y aprueba prototipos y modelos de cumplimiento, y también participa en los foros de metrología pertinentes.
  • 29. CERTIFICACION DE EMPRESAS MEXICANAS, (quienes lo realizan) Existe un registro internacional de referencia de organizaciones certificadoras en ISO 27001 a nivel mundial en iso27001certificates.com y otro registro mexicano en www.iso9000.com.mx/certificadas.html.
  • 31. ¿Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera.
  • 32. ¿Cómo es el proceso de certificación? 1) Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. 2) Respuesta en forma de oferta por parte de la entidad certificadora. 3) Compromiso. 4) Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. 5) Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • 33. 6) Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. 7) Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. 8) Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. 9) Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.
  • 34. ¿Qué es un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentra (correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. Implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel.
  • 35. Si la seguridad total no existe, ¿qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
  • 36. ¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados. Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.
  • 37. BIBLIOGRAFIA. ● Www.iso.org ● Www.webstore.iec.ch ● Www.iso/iec27000.org ● Www.iso27000.es/ ● www.iso27000.es/download/doc_iso27000_all.pdf ● www.iso27000.es/iso27000.html ● www.redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php ● www.iso9000.com.mx/certificadas.html. ● iso27001certificates.com