La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Nombre: Claudia Grandi Bustillos. Introducción La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una.

Presentaciones similares


Presentación del tema: "Nombre: Claudia Grandi Bustillos. Introducción La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una."— Transcripción de la presentación:

1 Nombre: Claudia Grandi Bustillos

2 Introducción La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad que a su vez haga una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC es un conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. A continuación se resumen las características del estándar ISO/IEC y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO

3 ISO/IEC El estándar para la seguridad de la información ISO/IEC fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC). Esta norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido PDCA - (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC (actual ISO/IEC 27002) y tiene su origen en la norma BS :2002, desarrollada por la entidad de normalización británica, la British Standarsds Institution (BSI).

4 Implantación La implantación de ISO/IEC en una organización es un proyecto que suele tener una duración entre 6 y 12 meses. Aquellas organizaciones que hayan aplicado las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI.

5 Este equipo debe estar liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información.

6 La Serie 2700 La seguridad de la información tiene asignada la serie 2700 dentro de los estándares ISO/IEC: ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie UNE-ISO/IEC 27001: Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. ISO 27002: Anteriormente denominada ISO ISO :En fase de desarrollo; probable publicación en ISO 27004: En fase de desarrollo; probable publicación en ISO 27005: Publicada en Junio de ISO 27006: Publicada en Febrero de 2007.

7 Beneficios de la Norma ISO/IEC Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. Reducción de Riesgos, perdidas, corrupción o robo de la información. Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. Los riesgos y sus respectivos controles son revisados constantemente. Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia de gestión de la información. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. Proporciona confianza y reglas clara al personal de la empresa.

8 Comparación con la norma ISO La ISO no es certificable, ni fue diseñada para esto. La norma que si es certificable es ISO como también lo fue su antecesora BS ISO contiene un anexo A, que considera los controles de la norma ISO para su posible aplicación en el SGSI que implanta cada organización. ISO es como un complemento para la ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información. ISO especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO lo hace para certificar ISMS (Information Security Management System).

9 Preguntas ¿ Qué tiene que ver ISO con ISO (anteriormente denominada 17799)? De acuerdo a los beneficios que aporta esta norma ¿ Es considerable el retorno de la inversión que se realiza para tener una certificación ISO en la empresa?


Descargar ppt "Nombre: Claudia Grandi Bustillos. Introducción La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una."

Presentaciones similares


Anuncios Google