Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 201 vistas

    Iso 27001

    Cargado por

    jguerra3d
    La norma ISO 27001 especifica los requisitos para establecer, implementar, operar y mejorar un sistema de gestión de seguridad de la información. El documento describe qué es ISO 27001, sus versiones, estructura y términos clave. ISO 27001 ayuda a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Iso 27001

    Cargado por

    jguerra3d
    201 vistas8 páginas
    La norma ISO 27001 especifica los requisitos para establecer, implementar, operar y mejorar un sistema de gestión de seguridad de la información. El documento describe qué es ISO 27001, sus versiones, estructura y términos clave. ISO 27001 ayuda a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información.

    Descripción original:

    Título original

    ISO 27001.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    La norma ISO 27001 especifica los requisitos para establecer, implementar, operar y mejorar un sistema de gestión de seguridad de la información. El documento describe qué es ISO 27001, sus versiones, estructura y términos clave. ISO 27001 ayuda a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    201 vistas8 páginas

    Iso 27001

    Cargado por

    jguerra3d
    La norma ISO 27001 especifica los requisitos para establecer, implementar, operar y mejorar un sistema de gestión de seguridad de la información. El documento describe qué es ISO 27001, sus versiones, estructura y términos clave. ISO 27001 ayuda a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 8

    V

    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    1
    ISO 27001
    2014















    ISO 27001




    A
    u
    t
    o
    r
    :


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    2014
    Alumnos:
    Bernilla Mio Erick
    Coronado Vidaurre Willy
    Livauqe Delgado Ketty
    Pintado Zevallos Renato


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    2
    ISO 27001
    2014
    ISO 27001

    QUE ES ISO/IEC 27001?

    Es un estandar que forma parte de la serie 27000 encargado de
    Tecnologa de la Informacin - Tcnicas de Seguridad -
    Sistemas de Gestin de Seguridad de la Informacin, siendo la
    mas importante de esta serie, en este estandar especifica
    formalmente un Sistema de Seguridad de la Informacin de
    Gestin de la Informacin (SGSI), nos proporciona requisitos para establecer,
    implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestin de
    seguridad de la informacin (SGSI).
    Esta aprobado y publicado como estndar internacional en octubre desde el 2005
    por International Organization for Standardization y por la comisin International
    Electrotechnical Commission.

    Es certificable y se puede aplicar a cualquier tipo de organizacin.

    Confidencialidad(C): cuando la informacin no se pone a disposicin ni se revela a
    individuos, entidades o procesos no autorizados.
    Integridad(I): es el mantenimiento de la exactitud y completitud de la informacin y
    sus mtodos de proceso.
    Disponibilidad(D): es el acceso y utilizacin de la informacin y los sistemas de
    tratamiento de la misma por parte de los individuos, entidades o procesos
    autorizados cuando lo requieran.


    VERSIONES ISO 27001
    1999: ISO / IEC 27001 se origin como BS 7799 parte 2.
    2002: Fue revisado por BSI
    2005: Se realiza la incorporacin explcita de Deming Planificar-Hacer-Verificar-
    Actuar concepto del proceso cclico, y fue adoptada por la ISO / CEI
    2013: En este ao esta norma se ha revisado extensamente, ponindola en una
    relacin de igualdad con las otras normas de sistemas de gestin certificados por
    ISO y soltando el concepto PDCA.
    Los cambios realizados en el 2013 con respecto a la versin anterior son:
    Desaparece la seccin "enfoque a procesos" dando mayor flexibilidad para la
    eleccin de metodologas de trabajo para el anlisis de riesgos y mejoras.
    Pasa de 102 requisitos de Gestin a 130.
    Considerables cambios en los controles establecidos en el Anexo A, incrementando
    el nmero de dominios de 11 a 14.
    Disminuye el nmero de controles de 133 a 114 donde 94 se mantienen y 39 se han
    eliminado.


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    3
    ISO 27001
    2014
    Inclusin de un nuevo dominio sobre "Relaciones con el Proveedor" por las
    relaciones entre empresa y proveedor en la nube esto permite una relacin mas
    fuerte donde el proveedor ya puede saber que hace falta en tu empresa.
    Se parte del anlisis de riesgos para determinar los controles necesarios y
    compararlos con el Anexo A, en lugar de de identificar primero los activos, las
    amenazas y sus vulnerabilidades.

    Estructura de la Norma
    ISO / IEC 27001:2013 tiene las siguientes secciones:
    0. Introduccin Describe el estndar y proporciona un enfoque basado
    en procesos.
    1. mbito de aplicacin Es aqu donde especifica los requisitos del
    SGSI genricos, es decir adecuados para las organizaciones de
    cualquier tipo, tamao o naturaleza.
    2. Referencias normativas Nos especifica que slo la norma ISO / IEC
    27002:2005 se considera absolutamente esencial para el uso de '27001
    mediante la descripcin de buenas practicas para los controles de
    seguridad.


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    4
    ISO 27001
    2014
    3. Trminos y definiciones En esta parte describe un breve glosario
    formalizado, que pronto ser reemplazada por la norma ISO / IEC
    27000.
    4. Contexto de la organizacin Esto nos ayuda a la comprensin del
    contexto, es decir todo lo que realiza al empresa, su entorno, los
    clientes y a que area de la organizacion va dirigida la norma, Ademas
    define el alcance del SGSI.
    5. Liderazgo Nos habla sobre la alta direccin y como esta debe
    demostrar su liderazgo y compromiso con el SGSI, impone
    polticas, etc.
    6. Planificacin Establece un esquema del proceso para identificar,
    analizar y planear para el tratamiento de los riesgos de seguridad de la
    informacin, y aclarar los objetivos de seguridad de la informacin.
    7. Soporte Se debe mostrar un apoyo adecuado, los recursos
    competentes deben asignarse, se debe tener la conciencia elevada, los
    procedimientos documentados y
    8. Funcionamiento Nos proporciona un poco ms de detalle sobre la
    evaluacin y el tratamiento de los riesgos de seguridad de la
    informacin.
    9. Evaluacin del desempeo Nos ofrece medidas y revisines /
    auditora lo que est pasando con el fin de mejorar de forma
    sistemtica, es decir que se ajusta a un sistema.
    10. Mejoramiento Esto se hace frente a los resultados de las auditoras
    y revisiones, para hacer mejoras continuas para el SGSI

    Anexo A:
    Los objetivos de control y controles de referencia Se describen un
    poco ms en una lista de ttulos de las secciones de control de la norma ISO /
    IEC 27002:2013. El anexo es "normativo", lo que implica que se espera que
    las organizaciones certificadas lo usen, pero son libres de apartarse de o
    complementarlo con el fin de hacer frente a los riesgos de seguridad de la
    informacin en particular.



    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    5
    ISO 27001
    2014


    Estructura de la norma:






    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    6
    ISO 27001
    2014
    TERMINOS CLAVE:

    Seguridad de la informacin
    Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como
    autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas.
    SGSI
    (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema
    global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora
    la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin
    de actividades, responsabilidades, procedimientos, procesos y recursos.)
    Servicios de tratamiento de informacin
    (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    7
    ISO 27001
    2014
    tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.
    Control
    Las polticas, los procedimientos, las prcticas y las estructuras organizativas
    concebidas para mantener los riesgos de seguridad de la informacin por debajo
    del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de
    salvaguarda o contramedida.
    Entidad de certificacin
    (Ingls: Certification body). Una empresa u organismo acreditado por una entidad
    de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO
    9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestin.
    Humphreys, Ted
    Experto en seguridad de la informacin y gestin del riesgo, considerado "padre"
    de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
    ISO 27001
    Estndar para sistemas de gestin de la seguridad de la informacin adoptado
    por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
    publicacin en 2005
    ISO 27002
    Cdigo de buenas prcticas en gestin de la seguridad de la informacin
    (transcripcin de ISO 17799). No es certificable. Cambio de oficial de
    nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007.
    No conformidad grave
    (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
    la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de
    la adecuacin de las medidas para preservar la confidencialidad, integridad o
    disponibilidad de informacin sensible, o representa un riesgo inaceptable.
    Plan de continuidad del negocio
    (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las
    principales funciones del negocio en el caso de un evento imprevisto que las
    ponga en peligro.
    Plan de tratamiento de riesgos
    (Ingls: Risk treatment plan). Documento de gestin que define las acciones para
    reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin
    inaceptables e implantar los controles necesarios para proteger la misma.
    Poltica de seguridad
    (Ingls: Security policy). Documento que establece el compromiso de la Direccin


    V
    a
    l
    o
    r

    C
    r
    e
    a
    t
    i
    v
    o

    8
    ISO 27001
    2014
    y el enfoque de la organizacin en la gestin de la seguridad de la informacin.
    Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada
    formalmente por la Direccin.
    Servicios de tratamiento de informacin
    (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier
    sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones
    fsicas utilizados para su alojamiento.


    RELACION CON CALIDAD:

    También podría gustarte