Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porBernardo Mora Sevilla Modificado hace 8 años
1
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies www.solucionesqes.com
2
QES Quality Environment & Strategies Sumario Introducción a la norma ISO 27001. Análisis y valoración de riesgos. Desarrollo del SGSI. Metodología PDCA. Áreas o dominios contemplados. Definición de control. Dominios de la ISO 27001. Cuadro de resumen de los dominios. ¿Qué aporta la ISO 27001 a la organización? ¿Qué espera de el sistema ISO 27001? 2
3
QES Quality Environment & Strategies Introducción a la norma ISO 27001 Es el nuevo estándar oficial, su título completo es: BS 7799-2:2005 (ISO/IEC 27001:2005). Tiene su origen remoto en la BS-7799 Permite homogeneizar la seguridad de los SSII, necesario, si debemos compartir información entre empresas. No está enfocado solo a grandes empresas, sino que deberá ser aplicado en las PYMES que deseen trabajar como socias de negocio de cualquier otra grande o pequeña empresa. Actualmente es el único estándar aceptado internacionalmente para la administración de la Seguridad de la Información y se aplica a todo tipo de organizaciones, independientemente de su tamaño o actividad. 3
4
QES Quality Environment & Strategies No está centrada en los aspectos tecnológicos y trata más de los aspectos organizativos de la gestión de la seguridad. Su objetivo principal es el establecimiento e implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Sus objetivos principales son: La definición clara y transmitida a toda la organización de los objetivos y directrices de seguridad. La sistematización, objetividad y consistencia a lo largo del tiempo en las actuaciones de seguridad. El análisis y prevención de los riesgos en los Sistemas de Información. La mejora de los procesos y procedimientos de gestión de la información. La motivación del personal en cuanto a valoración de la información. El cumplimiento con la legislación vigente. Una imagen de calidad frente a clientes y proveedores. Introducción a la norma ISO 27001 4
5
QES Quality Environment & Strategies Identifica, clasifica y valora en primer lugar, todos los activos relevantes de la empresa. Por cada grupo de activos, estudia las amenazas, su probabilidad de ocurrencia y el impacto que pueden causar, en función de su vulnerabilidad. Establece las medidas de salvaguarda necesarias para reducir hasta un valor aceptable con un coste asumible, el riesgo asociado a cada una de las amenazas. Se establece el riesgo residual que se está dispuesto a aceptar. Análisis y Valoración de Riesgos 5
6
QES Quality Environment & Strategies Es citado en la propia norma: “La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado SGSI en su contexto para las actividades globales de su negocio y de cara a los riesgos”. Este documento deberá de contener: La política de seguridad. Las “normas” o estandares de funcionamiento. Los procedimientos detallados. Guías y recomendaciones. Su objetivo final es asegurar la Integridad, Confidencialidad y Disponibilidad de la Información. Desarrollo del SGSI 6
7
QES Quality Environment & Strategies Para el desarrollo y mantenimiento del SGSI se adopta la metodología PDCA: Metodología PDCA 7
8
QES Quality Environment & Strategies La norma se desarrolla en 11 áreas o dominios que recogen los 133 controles a seguir. Política de seguridad Organización de la información de seguridad Administración de recursos Seguridad de los recursos humanos Seguridad física y del entorno Administración de las comunicaciones y operaciones Control de accesos Adquisición de sistemas de información, desarrollo y mantenimiento Administración de los incidentes de seguridad Administración de la continuidad de negocio Marco legal y buenas prácticas Áreas o dominios contemplados 8
9
QES Quality Environment & Strategies El concepto de “control” dentro de la norma agrupa todo el conjunto de acciones, documentos, procedimientos y medidas técnicas adoptadas para garantizar que cada amenaza, identificada y valorada con un cierto riesgo, sea minimizada. Se definen 133 controles dentro de las 11 áreas o dominios que podrían agruparse e identificarse en procesos: Organizativos Implementación de tecnologías de la seguridad. Establecimiento de relaciones contractuales Gestión de Incidencias Gestión de Recursos Humanos Cumplimiento con la normativa vigente. Definición de control 9
10
QES Quality Environment & Strategies Política de Seguridad 2 Controles Dominios de la ISO 27001 10
11
QES Quality Environment & Strategies Organización de la información de la seguridad. 11 Controles Dominios de la ISO 27001 11
12
QES Quality Environment & Strategies Administración de recursos. 5 Controles Dominios de la ISO 27001 12
13
QES Quality Environment & Strategies Seguridad de los recursos humanos. 9 Controles Dominios de la ISO 27001 13
14
QES Quality Environment & Strategies Seguridad física y del entorno. 13 Controles Dominios de la ISO 27001 14
15
QES Quality Environment & Strategies Administración de las comunicaciones y operaciones 32 Controles Dominios de la ISO 27001 15
16
QES Quality Environment & Strategies Control de accesos. 25 Controles Dominios de la ISO 27001 16
17
QES Quality Environment & Strategies Adquisición de sistemas de información, desarrollo y mantenimiento. 16 Controles Dominios de la ISO 27001 17
18
QES Quality Environment & Strategies Administración de los incidentes de seguridad y continuidad de negocio. 10 Controles Dominios de la ISO 27001 18
19
QES Quality Environment & Strategies Marco legal y buenas prácticas. 10 Controles Dominios de la ISO 27001 19
20
QES Quality Environment & Strategies Cuadro resumen de los dominios ISO 27001 20
21
QES Quality Environment & Strategies Mejor posición sobre la competencia Un ahorro en costes comparado con los ocasionados por su incumplimiento Aleja el concepto de la seguridad entendido como un producto. Reduce los riesgos hasta un valor aceptable por la organización Permite el cumplimiento con la legislación vigente Nos permitirá seguir en el mercado cuando la certificaciónsea un requisito ineludible. ¿Que aporta la ISO 27001 a la organización? 21
22
QES Quality Environment & Strategies 4.Colaborar con el Responsable de Seguridad en la identificación de posibles causas de las Incidencias o No Conformidades de seguridad. 5.Realizar las acciones de corrección que se te encomienden. ¿Qué espera de mi el Sistema ISO 27001? 22
23
QES Quality Environment & Strategies 1.Realizar todas las actividades de acuerdo a las políticas y controles de seguridad establecidos. 2.Utilizar y realizar los registros definidos para el control y trazabilidad de la información. 3.Apoyar la captura de información relacionada con el desempeño de mis procesos y actividades. 4.Identificar y comunicar al mi superior o al Responsable de Seguridad, desviaciones que puedan afectar a la seguridad de la información del proyecto o de la organización. ¿Qué espera de mi el Sistema ISO 27001? 23
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.