1 PPT Clase6 Organizac SGSI CIETSI
1 PPT Clase6 Organizac SGSI CIETSI
1 PPT Clase6 Organizac SGSI CIETSI
Implementación de un
Sistema de Gestión de
Seguridad de la Información
bajo la norma ISO 27001
www.cietsiperu.com
SESIÓN 6: POLÍTICA Y ALCANCE DEL SGSI - ISO 27001
- INDICE -
I. Estructura del Sistema de Gestión de Seguridad de la Información
1. Estructura de implementación del SGSI.
2. Fases de implementación del SGSI.
Implementación Implementación
Operativa Estratégica
Operativo Estratégico
- Proyecto del SGSI - Proyecto del SGSI
- Cláusula 6-8: Gest.Riesg - Cláusula 4: Alcance
- Cláusula 9: Auditoria - Cláusula 5: Política
- Cláusula 10: Mejora - Cláusula 7: Manual
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
- Liderazgo y compromiso
Liderazgo - Política
- Roles y Responsabilidades
Gestión de Riesgos
- Recursos
- Monitoreo, medición y análisis
- Auditoría Interna
Evaluación Soporte
- Competencia
- Concientización
- Revisión por la gerencia del desempeño - Comunicación
- Información documentada
❑ En este ítem, se deben considerar factores internos y externos referidos a la organización y su contexto (cláusula 4.1). Es decir,
se deben conocer los elementos relevantes para los propósitos de la organización y que afectan su capacidad para alcanzar los
resultados deseados con relación al SGSI.
Los factores internos, son elementos considerados dentro de la Los factores externos no son controlables por las actividades que
organización y que se encuentran bajo el control de la misma, se llevan a cabo dentro de la organización, y entre otros, se
como por ejemplo: misión, visión y objetivos; gobierno y encuentran: mercado local y competencia; prácticas de la
estructura organizacional; roles y responsabilidades; políticas, industria; leyes y regulaciones; ambiente político y financiero;
objetivos y estrategias; procesos y niveles de madurez; partes condiciones culturales y sociales; partes interesadas externas,
interesadas internas, entre otros. entre otros factores.
❑ En el caso de que se vaya a certificar el sistema del SGSI en la organización, la definición del alcance tiene una importancia vital.
❑ El auditor en la etapa de certificación verificará si todos los elementos del SGSI cumplen sus requisitos y están correctamente
implantados pero solo dentro de su alcance; no comprobará los departamentos o sistemas que no están incluidos en el alcance
definidos para el SGSI.
A los auditores de certificación suele resultarles interesante encontrar una descripción detallada de las instalaciones y ubicaciones que
forman parte del alcance del SGSI.
Si es posible y aunque no sea requisito escrito de la norma, incluya en el documento de la definición del alcance algunas cosas como:
• Una descripción de la ubicación de los activos que incluya planos de planta para describir el perímetro
• Descripción de las unidades organizativas, por ejemplo mediante organigramas
Por ejemplo, si se utilizan PC portátiles que los empleados necesitan para acceder a la red local y a informaciones sensibles o a servicios que
se encuentran en la red, entonces, deben incluirse en el alcance estas PCs portátiles.
Tampoco es absolutamente necesario tener un documento exclusivo para la definición del alcance de la organización. Puede combinar o
incluir este requisito dentro del documento de definición de la política de seguridad de la información o bien tener un documento separado
donde se haga referencias a otros documentos donde se definan las partes interesadas y sus requisitos, el contexto de la organización, etc.
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
MAPA DE PROCESOS
(Esquema General)
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
MAPA DE PROCESOS
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
RESOLUCIÓN MINISTERIAL
Nº 166-2017-PCM (Junio 2017)
RESOLUCIÓN MINISTERIAL
Nº 166-2017-PCM (Junio 2017)
NIVEL DE PROCESOS
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
HERRAMIENTAS
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
1. Clientes de la Organización
Mapa de Procesos:
2. Tamaño:
Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
El alcance del plan para la implementación del SGSI se focaliza en el proceso misional más
importante de la entidad, en el cual se concentra la línea primaria del negocio y es “La Gestión
de Pruebas y Operaciones” con los siguientes subprocesos y procedimientos:
Sistema deSistema
Gestión de Seguridad
de Gestión de Seguridad de
de Iala Información
Información - ISOISO
bajo la norma 27001
27001
ESTABLECER EL CONTEXTO
DIAGRAMAR EL ALCANCE
Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
Sistema deSistema
Gestión de Seguridad
de Gestión de Seguridad de
de Iala Información
Información - ISOISO
bajo la norma 27001
27001
ESTABLECER EL CONTEXTO
Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
Sistema deSistema
Gestión de Seguridad
de Gestión de Seguridad de
de Iala Información
Información - ISOISO
bajo la norma 27001
27001
ESTABLECER EL CONTEXTO
Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
El alcance del plan para la implementación del SGSI se focaliza en el proceso misional más
importante de la entidad, en el cual se concentra la línea primaria del negocio y es “La Gestión
de Pruebas y Operaciones” con los siguientes subprocesos y procedimientos:
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
La política de Seguridad de la Información -como requisito de la ISO 27001- debe considerar en líneas generales los
objetivos de la seguridad de la información de la empresa u organización. Así que la primera pregunta a hacernos es:
❑ La Política es responsabilidad de la dirección, y tiene como misión además de establecer los objetivos, obtener una
visión sintetizada de la funcionalidad y estado del sistema de gestión de la seguridad de la información.
❑ La Política debe plasmar cómo la seguridad de la información respalda al negocio en el logro de sus objetivos.
❑ Los objetivos de una organización normalmente tenemos que verlos desde dos perspectivas:
❑ Los objetivos de Seguridad de la Información no deben ser identificados en sí mismos si no como consecuencia del
análisis de los objetivos del negocio en cuanto su necesidad para respaldar su consecución
❑ Los objetivos de seguridad de la información se ven afectados por las limitaciones comerciales y
medioambientales, y por las amenazas y vulnerabilidades.
❑ Los objetivos de Seguridad de la Información deben ser medibles. Para ello, se deben considerar métricas que
permitan la comparación entre la capacidad de seguridad actual y la capacidad requerida para cumplir con los
requisitos del negocio.
Para desarrollar su política de seguridad, debe definir claramente sus objetivos de seguridad.
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
1. Comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que
permanezcan en niveles aceptables para la organización.
2. La protección de la confidencialidad de la información relacionada con los clientes y con los planes de
desarrollo.
4. Los servicios Web de acceso público y las redes internas cumplen con las especificaciones de
disponibilidad requeridas.
Para tal efecto, se establecen las siguientes políticas agrupadas en dos niveles, así:
Nivel 1
Política del SGSI
en la organización
Nivel 2
Políticas de Seguridad
de la Información
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
❑ Debe de estar alineada con la gestión de riesgo general, establecer criterios de evaluación de riesgo y ser
aprobada por la Dirección.
PETROPERÚ
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
PETROPERÚ
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
MIGRACIONES
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001
C.I.P. (Lima)
Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001 Política de dispositivo móvil (Cl. A.6.2.1)
Se deberá establecer la presente Política de Dispositivo Móvil:
- Las características en las capacidades de los equipos deberán ser
definidos en función de la importancia de la información procesada o
Políticas de Seguridad de la Información almacenada en cada tipo de usuario que utiliza un dispositivo móvil
de la organización.
- Todos los usuarios de dispositivos móviles que contengan información
Nivel 2: Políticas Específicas de Seguridad de la Información confidencial o de uso interno deben usar la última o la más segura
versión de los productos de software. Los parches o actualizaciones
serán obtenidos de manera formal, provenientes del fabricante.
Política de escritorio y pantalla limpia (Cl. A.11.2.9) - Los usuarios que utilicen dispositivos móviles como computadores
portátiles, en su puesto de trabajo, para el cumplimiento de las
Se deberá establecer la presente Política de Escritorio y Pantalla Limpia:
funciones asignadas deberán mantener el equipo asegurado con
- Una vez finalizada la tarea diaria, los usuarios no deberán dejar hojas y papeles de trabajo
cadena.
sobre los escritorios.
- Asimismo, no deberán dejar discos, usb u otros medios magnéticos u ópticos donde se - Los usuarios de dispositivos móviles deben mantener actualizado el
pueda obtener información de la organización. software antivirus del dispositivo.
- El almacenamiento de estos elementos se deberá realizar preferiblemente en gabinetes - El Propietario del Activo de Información en coordinación con el Oficial
bajo llave. de Seguridad de la Información deberán precisar el tipo de
- Se deberá tener especial cuidado con el uso de dispositivos como fotocopias e impresoras información que se puede mantener en los computadores personales
de manera que el material con información sensible no permanezca en ellas sin atención, que son utilizados fuera de la NOMBRE DE LA EMPRESA. El acceso a
y que no se use papel reciclado que contenga información confidencial. estos dispositivos deberá estar protegido mediante controles como
La presente política debe estar soportada por procedimientos formales y responsabilidades claves de acceso de BIOS, software de protección y nunca deberá
definidas. quedar el computador desatendido sin ningún bloqueo de acceso.