Post on 14-Apr-2015
La Auditoria La Auditoria Alejandro García RuizAlejandro García Ruiz
Madrid, 13 de noviembre de 2007Madrid, 13 de noviembre de 2007
CONTENIDOCONTENIDO Auditores (Calificación – Experiencia).Auditores (Calificación – Experiencia). Planificación.Planificación. Pre-auditoria.Pre-auditoria. Auditoria de Certificación (Fase 1+ Fase 2).Auditoria de Certificación (Fase 1+ Fase 2). Auditorias de seguimiento.Auditorias de seguimiento. Esquema de Acreditación.Esquema de Acreditación. Situación de la auditoria de certificación de Situación de la auditoria de certificación de
Sistema de Seguridad de la información a Sistema de Seguridad de la información a nivel mundialnivel mundial..
Auditores (Calificación –
Experiencia)
Auditores Auditores (Calificación – Experiencia).(Calificación – Experiencia).
5 Años de experiencia (3 5 Años de experiencia (3 específicos en el sector TI).específicos en el sector TI).
Curso ISO 27001 Lead Auditor Curso ISO 27001 Lead Auditor aprobado.aprobado.
20 días cómo observador en 20 días cómo observador en auditoria de Entidad de auditoria de Entidad de Certificación + 4 días cómo Certificación + 4 días cómo Auditor Jefe supervisado.Auditor Jefe supervisado.
Planificación.Planificación.
Planificación.Planificación.
Asignación de equipo auditor.Asignación de equipo auditor. Asignación de días de auditoria Asignación de días de auditoria
(según tablas de la Entidad de (según tablas de la Entidad de Acreditación- UKAS / ENAC).Acreditación- UKAS / ENAC).
Proceso de auditoria de Proceso de auditoria de certificacióncertificación
Proceso de auditoria de Proceso de auditoria de certificacióncertificación
Pre-auditoria (Opcional)
Auditoria de Certificación
Fase 1
Fase 2
Pre - auditoriaPre - auditoria
Auditoria de análisis con el fin de establecer el estado de cumplimiento con la norma con vistas a la auditoria.
Pre-auditoria (Opcional)
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Revisión del alcance, Revisión de la dirección, Análisis del método de la Gestión de Riesgos y resultados,Establecimiento de aplicabilidad, Política SI y Procedimientos.
Auditoria de Certificación
Fase 1
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Impreso o escrito en papel.Impreso o escrito en papel. Almacenado electrónicamente.Almacenado electrónicamente. Enviado por correo ordinario o por e-mail.Enviado por correo ordinario o por e-mail. Videos corporativos.Videos corporativos. Verbal - en conversacionesVerbal - en conversaciones “……“……cualquier tipo de cualquier tipo de
información, o significado que se información, o significado que se encuentre medido o almacenado, encuentre medido o almacenado, deberá encontrarse siempre deberá encontrarse siempre protegido.”protegido.”
(ISO/IEC 27001: (ISO/IEC 27001: 2005) 2005)
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Salvaguardar la confidencialidad, Salvaguardar la confidencialidad, integridad y disponibilidad de la integridad y disponibilidad de la información escrita, hablada e información escrita, hablada e
información existente en soporte información existente en soporte informático.informático.
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
ISO/ IEC 27001:2005 ISO/ IEC 27001:2005
Especificación para la certificación Especificación para la certificación de Sistemas de gestión de de Sistemas de gestión de seguridad de la información.seguridad de la información.
Definición de Política
Definir alcance del SGSI
Auditoria de riesgos
Gestión del riesgo
Definir objetivos y controles para implantarlos
Preparar un establecimiento de
aplicabilidad
Fase1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Amenazas, vulnerabilidades, impactos
Las organizaciones aprovechan la gestión del riesgoGrado de aseguramiento requerido
Sección 3 de esta parte de la BS 7799, objetivos y controles
Controles adicionales no incluidos en la BS 7799
Política documentada
Alcance del Sistema
Information assets
Auditoria de riesgos
Resultados y conclusiones
Seleccionar controles y opciones
Seleccionar objetivos y controles
Establecimiento de aplicabilidad
Figura 1 – Estableciendo una herramienta de trabajo
Chequeo del alcance y de la Política del SGSI
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Definición del alcanceDefinición del alcance
Alcance de la certificación
Cubre las partes de su negocio que van a ser auditadas bajo la ISO 27001
Definición del alcanceDefinición del alcance
SGCDirección GeneralDirección General
OperacionesOperaciones
Dtpto. FinancieroDtpto. Financiero Dtpto. Comercial
Dtpto. ComercialDtpto. RR.HH
Dtpto. RR.HH
Recepción de datosRecepción de datos
EscaneadoEscaneado
Almacenamiento de datosAlmacenamiento de datos
Establecimiento del Establecimiento del AlcanceAlcance
Provision de Sistemas de Gestión de Provision de Sistemas de Gestión de datos, recepción de dichos datos, datos, recepción de dichos datos, escaneado y almacenamiento de los escaneado y almacenamiento de los datos en cuestión. datos en cuestión.
De acuerdo con el establecimiento De acuerdo con el establecimiento de aplicabilidad emitido el de aplicabilidad emitido el 01/10/2006.01/10/2006.
Establecimiento de la Establecimiento de la PolíticaPolítica
La Dirección General, junto con los La Dirección General, junto con los empleados de los departamentos empleados de los departamentos afectados en la implantación, tienen la afectados en la implantación, tienen la obligación de desarrollar una Política de obligación de desarrollar una Política de Seguridad dentro de la empresa Seguridad dentro de la empresa relacionada con la información interna y relacionada con la información interna y externa que la empresa maneja. externa que la empresa maneja.
Establecimiento de la Establecimiento de la PolíticaPolítica
Política dePolítica del SGl SGSISI Es un documento que identifica:Es un documento que identifica:
Establecimiento del compromiso de la Establecimiento del compromiso de la dirección.dirección.
Definición de la seguridad de la información Definición de la seguridad de la información dentro de su organización.dentro de su organización.
Explica los principios del Sistema. Explica los principios del Sistema. Definición de responsabilidades.Definición de responsabilidades. Referencia Referencia alal soporte documental. soporte documental. Cumplimiento con los requisitos legales.Cumplimiento con los requisitos legales.
Entrevistas con Comité, Responsable del Sistema y partes implicadas
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Comité de SeguridadComité de SeguridadEl Comité:.El Comité:. Revisará y modificará la Política..Revisará y modificará la Política.. Realizará inpecciones sobre la Realizará inpecciones sobre la
exposición a los cambios de los exposición a los cambios de los activos frente a grandes amenazas. activos frente a grandes amenazas.
Revisará e inspeccionará amenazas Revisará e inspeccionará amenazas en materia de seguridad de la en materia de seguridad de la información.información.
Actas de las reuniones.Actas de las reuniones.
Responsable del SGSIResponsable del SGSI
Apoyar al Comité de Seguridad.Apoyar al Comité de Seguridad. Dirigir y mantener el SGSI.Dirigir y mantener el SGSI. Realizar auditorias internas.Realizar auditorias internas. Información.Información. Trabajar con los procesos Trabajar con los procesos
implicados.implicados.
Procesos implicadosProcesos implicados
Procesos implicados:Procesos implicados: Responsables de los activos Responsables de los activos
registrados en su área y de implantar el registrados en su área y de implantar el Sistema en su proceso.Sistema en su proceso.
Registro de activos y gestión de riesgos
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Registro de ActivosRegistro de Activos
ISO 27001 requisitos:ISO 27001 requisitos: Identificar los activos con el alcance del Identificar los activos con el alcance del
SGSI y los responsables de gestionar SGSI y los responsables de gestionar dichos activos.dichos activos.
Registro de ActivosRegistro de ActivosACTIVO ACTIVO Nº RESPONS LOCALIZACIÓNRouter 13579 J Black Ordenador Despacho No.1Switch 22134 J Black Ordenador Despacho No.1Backup Unidad 12323 J Black Ordenador Despacho No.1
Desktop PC 45645 B White Sala de OperacionesLaptop PC 33454 B White Sala de Operaciones
Teléfono movil 78906 K Pink VentasLaptop PC 47578 K Pink Ventas
Teléfono fijo 77685 C Brown Help DeskOperador 99000 C Brown Help Desk
Directo de Network Responsable de networksProgramador Windows Responsable del Sistema Window SystemOperador Help Desk Responsable de Clientes
Identificación de riesgosIdentificación de riesgos
Las vulnerabilidades son debilidades asociadas a los activos identificados. Estas debilidades quizás son tratadas cómo una amenaza, causando una brecha en materia de seguridad con el resultado de pérdida y daño de estos activos.
AmenazasAmenazas
Una amenaza tiene el potencial Una amenaza tiene el potencial para causar un incidente no para causar un incidente no deseado, el cual, quizás dañe a deseado, el cual, quizás dañe a los activos o a todos el Sistema.los activos o a todos el Sistema.
VulnerabilidadesVulnerabilidades
Una vulnerabilidad por si misma Una vulnerabilidad por si misma no causa daños, es meramente no causa daños, es meramente una condición o grupo de una condición o grupo de condiciones que quizás permitan condiciones que quizás permitan a una amenaza afectar un activo.a una amenaza afectar un activo.
Niveles de RiesgoNiveles de Riesgo
Niveles de Vulnerabilidad Ratios
Niveles de amenaza Ratios
Bajo 1 Bajo 12 2
Medio 3 Medio 34 4
Alto 5 Alto 5
AmenazasAmenazas
Amenaza Activo Router Switch Movil TelefonoDesktop LaptopFijo PC PC
Robo 1 1 3 2 2 5Fuego 2 2 2 3 3 3Sangre 3 3 1 2 2 1Virus 2 2 1 1 4 4Ataque de bomba 1 1 1 1 1 1Error de mantenimiento 3 3 1 2 2 2etcetcetc
VulnerabilidadesVulnerabilidades
Vulnerabilidades Activos Router Switch Movil Fijo Desktop LaptopPC PC
Staff no supervisado 2 2 2 1 3 3Activos no localizados 1 1 4 2 2 4Huecos en el mantenimiento 4 4 2 2 3 3Pobres conexiones de cable 4 4 1 3 3 1Huecos en la protección de virus 5 5 1 1 4 4Huecos en la gestión de incidencias 1 1 1 1 3 3Huecos en la formación 1 1 1 1 1 1etcetc
Probabilidad / ImpactoProbabilidad / Impacto
Activos Amenazas ProbabilidadImpactoRouter Robo 1 2
Fuego 2 1Sangre 3 1Virus 2 5Ataque de bomba 1 1Error de mantenimiento 3 4
Movil Robo 3 4Fuego 2 1Sangre 1 1Virus 1 1Ataque de bomba 1 1Error de mantenimiento 1 2
Telefono Robo 2 2Fijo Fuego 3 2
Sangre 2 2Virus 1 1Ataque de bomba 1 2Error de mantenimiento 2 3
Laptop Robo 5 4PC Fuego 3 1
Sangre 1 1Virus 4 4Ataque de bomba 1 1Error de mantenimiento 2 3
Activos Amenaza Probabilidad ImpactoDirector Abandono 2 5de la red Enfermedad 5 5de trabajo Filtraciones 2 4
Programador Abandono 3 3de Windows Enfermedad 2 4
Filtraciones 2 4
Operador Abandono 3 1de Help Enfermedad 4 1Desk Filtraciones 3 5
Probabilidad / ImpactoProbabilidad / Impacto
Factor de riesgo y ranking
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Factor de riesgos Factor de riesgos
Un documento o documentos, los cuales identifican cómo todos los componentes del negocio,son parte de la Política de la empresa, evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de medidas de seguridad supletorias tomadas.
Niveles de Factor de Niveles de Factor de RiesgoRiesgo
Niveles factor/riesgo RatiosMuy bajo 1 a 4
bajo 5 a 9
Medio 11 a 15
Alto 15 a 20
Muy alto 21 a 25
Factor de riesgo y Factor de riesgo y rankingranking
Activos Amenaza ProbabilidadImpacto Factor de riesgoRankingRouter Robo 1 2 2 8
Fuego 2 1 2 8Sangre 3 1 3 7Virus 2 5 10 4Ataque de bomba 1 1 1 9Error de mantenimiento 3 4 12 3
Movil Robo 3 4 12 3Fuego 2 1 2 8Sangre 1 1 1 9Virus 1 1 1 9Ataque de bomba 1 1 1 9Error de mantenimiento 1 2 2 8
Telefono Robo 2 2 4 6Fijo Fuego 3 2 6 5
Sangre 2 2 4 6Virus 1 1 1 9Ataque de bomba 1 2 2 8Error de mantenimiento 2 3 6 5
Laptop Robo 5 4 20 1PC Fuego 3 1 3 7
Sangre 1 1 1 9Virus 4 4 16 2Ataque de bomba 1 1 1 9Error de mantenimiento 2 3 6 5
Activo Amenaza Probabilidad Impacto Factor de riesgoRankingDirector de la Abandono 2 5 10 3red de trabajo Enfermedad 5 5 25 1
Filtraciones 2 4 8 5
Programador Abandono 3 3 9 4de Windows Enfermedad 2 4 8 5
Filtraciones 2 4 8 5
Operador Abandono 3 1 3 7de Help Desk Enfermedad 4 1 4 6
Filtraciones 3 5 15 2
Factor de riesgo y Factor de riesgo y rankingranking
Establecimiento de aplicabilidad
Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1
Establecimiento de Establecimiento de aplicabilidad aplicabilidad
Un documento el cual indica cada una de las cláusulas en ISO 27001 que son aplicables.
–Dónde sea aplicable se identificará procedimiento.
–Dónde no sea aplicable se identificará por qué no.
Establecimiento de Establecimiento de aplicabilidad aplicabilidad Establecimiento de aplicabilidad contra controles identificados en Anexo A de la BS 7799-2:2002
Clausula Aplicabilidad Documentación de proceso ComentariosA.3.1.1 Sí Doc xxxA.3.1.2 Sí Doc xxx
A .6.2.1 Sí Formación Doc 3.3 versión 2 fecha 09/09/02
A.6.3.1 Sí Informes de incidentes de seguridad Doc 1.2 versión 3
A.7.1.2 Sí Controles de entrada físicos Doc 1.4 versión 1 fecha 04/09/02
A.7.1.4 Sí Trabajo en áreas de seguridad Doc 1.3 versión 1 fecha 04/09/02
A.10.3 No aplicable La compañía no usa interfases con información encriptada.
A.11.1.1 Sí Procesos de gestión de negocios Doc 4.2 versión 2 fecha 22/10/02
A.12.1.6 No aplicable
Proceso de certificación
Fase 2
Revisión de las políticas contra las que se están trabajando. Auditoria de la implantación de los controles de seguridad y sistema de control operacional.
Auditoria de Certificación
Seleccionar controles
Auditoria de Certificación – Auditoria de Certificación – Fase 2Fase 2
Selección de controlesSelección de controles
Sangre 3 1 3 7 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2Virus 2 5 10 4 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 4Ataque de bomba 1 1 1 9 BCP Doc 4.2 Iss 2 22/10/02. A.11.1.1 1Error mantenimiento 3 4 12 3 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.45
Movil Robo 3 4 12 3 Telefono Doc 2.1 Iss 3 10/10/09. A.9.8.2 6Fuego 2 1 2 8 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Sangre 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Virus 1 1 1 9 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 1Ataque de bomba 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Error mantenimiento 1 2 2 8 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42
TelefonoRobo 2 2 4 6 Acceso Doc 1.4 Iss 1 04/09/02. A.7.1.2 2Fijo Fuego 3 2 6 5 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2
Sangre 2 2 4 6 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2Virus 1 1 1 9 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 1Ataque de bomba 1 2 2 8 BCP Doc 4.2 Iss 2 22/10/02. A.11.1.1 1Error mantenimiento 2 3 6 5 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42
Laptop Robo 5 4 20 1 Telefono Doc 2.1 Iss 3 10/10/09. A.9.8.2 5PC Fuego 3 1 3 7 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1
Sangre 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Virus 4 4 16 2 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 5Ataque de bomba 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Error mantenimiento 2 3 6 5 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42
Selección de controlesSelección de controles
Activos Amenaza L'd Impacto RF R'k Control RRFDirector de Abandono 2 5 10 3 Apoyar las necesidades requeridas 10red de trabajo Enfermedad 5 5 25 1 Controles sanitarios 5
Filtración 2 4 8 5 Gestión de operaciones Doc 5.6 Iss 1 10/10/02. A.8.1.34
Programador Abandono 3 3 9 4 Concienciación de construcción de equipo 9Windows Enfermedad 2 4 8 5 Controles sanitarios 8
Filtración 2 4 8 5 Incidente Doc 1.2 Iss 3 03/09/02. A.6.3.1 3
Operador Abandono 3 1 3 7 Cubrir la plaza 3Help Desk Enfermedad 4 1 4 6 Cubrir la plaza 4
Filtración 3 5 15 2 Incidente Doc 1.2 Iss 3 03/09/02. A.6.3.1 5
Sistema de control operacional
Auditoria de Certificación – Auditoria de Certificación – Fase 2Fase 2
Auditoria interna Auditoria interna
Auditoria internaAuditoria interna
La auditorias internas son La auditorias internas son planificadas y se generan informes planificadas y se generan informes de auditoria dónde se identifica que de auditoria dónde se identifica que el SGSI se encuentra correctamente el SGSI se encuentra correctamente implantado.implantado.
Revisión por la DirecciónRevisión por la Dirección
El Comité de Seguridad se reune El Comité de Seguridad se reune periodicamente con el fin de periodicamente con el fin de analizar:analizar: Resultados de la auditoria internaResultados de la auditoria interna Cambios en el SGSICambios en el SGSI Informes de incidentesInformes de incidentes
Plan de Continuidad de Plan de Continuidad de NegocioNegocio
Documentado.Documentado. Identificando roles y responsabilidades.Identificando roles y responsabilidades. SimulacroSimulacro BIA (Business Interruption Analysis).BIA (Business Interruption Analysis).
Proceso de certificación ISO 27001 ISO 27001
CertificaciónAcciones correctivas, revisión y emisión
de certificados
El Sistema puede estar integrado con otro tipo de Sistemas (ISO 9001, ISO 14001,
OHSAS 18001, ISO 20000, BS 25999)
Auditorias de seguimiento ISO 27001 ISO 27001
Fase 7
Auditoria de seguimiento
Auditoria anual
Tri-anualmente auditoria de recertificación
Principales deficiencias Principales deficiencias detectadas en auditoriasdetectadas en auditorias
Principales deficiencias Principales deficiencias detectadas en auditoriasdetectadas en auditorias
No existen evidencias que los planes No existen evidencias que los planes de continuidad de negocio han sido de continuidad de negocio han sido revisados. revisados.
No existe mecanismo para actualizar No existe mecanismo para actualizar los cambios referentes a la los cambios referentes a la legislación o regulaciones aplicables legislación o regulaciones aplicables a la empresa en materia de a la empresa en materia de Seguridad.Seguridad.
Principales deficiencias Principales deficiencias detectadas en auditoriasdetectadas en auditorias
•Los planes de continuidad de negocio Los planes de continuidad de negocio se encuentran realizados pero no se encuentran realizados pero no revisados.revisados.•No se encuentran claramente definidos No se encuentran claramente definidos los responsables de los activos de la los responsables de los activos de la información.información.•Inadecuadas auditorias internasInadecuadas auditorias internas
Pobre control de las contraseñas en Pobre control de las contraseñas en el Sistema y niveles de uso. el Sistema y niveles de uso.
Limitados controles de acceso físico Limitados controles de acceso físico en relación a visitas de clientes y en relación a visitas de clientes y proveedores.proveedores.
Principales deficiencias Principales deficiencias detectadas en auditoriasdetectadas en auditorias
Resumen de puntos a revisar en auditoria
Política de Seguridad.Política de Seguridad. Seguridad organizativa.Seguridad organizativa. Clasificación de activos y controles.Clasificación de activos y controles. Seguridad contra / y del personal.Seguridad contra / y del personal. Seguridad física y medioambientalSeguridad física y medioambiental..
Resumen de puntos a revisar en auditoria
Comunicaciones y operaciones de gestión.Comunicaciones y operaciones de gestión. Control de acceso.Control de acceso. Desarrollo de Sistemas y mantenimiento.Desarrollo de Sistemas y mantenimiento. Planificación continua del negocio.Planificación continua del negocio. Cumplimiento legal.Cumplimiento legal.
Resumen de puntos a revisar en auditoria
Esquema de AcreditaciónEsquema de Acreditación
ProductosEN 45011
Em presasEN 45012
PersonasEN 45004
Entidades de Certificación
Labs. Ensayo Labs. Calibración
LaboratoriosEN 45001
Entidades de InspecciónEN 45004
Entidades de AcreditaciónENAC, COFRAC, IPQ, UKAS, DAR, BELCER, SAS, SINCERT
EAEuropean co-operation for Acreditation
IAFInternational Forum of Accreditation
Esquema de AcreditaciónEsquema de Acreditación
ISO 27001 – Entidades ISO 27001 – Entidades CertificadorasCertificadoras
BM TRADA Certification LimitedBM TRADA Certification Limited KPMG SAKPMG SA BSIBSI LRQALRQA BVQI (Bureau Veritas Quality International)BVQI (Bureau Veritas Quality International) National Quality AssuranceNational Quality Assurance Certification EuropeCertification Europe Nemko (Norway)Nemko (Norway) CIS (Austria)CIS (Austria) PSB Certification (Singapore)PSB Certification (Singapore) DNV (Det Norske Veritas)DNV (Det Norske Veritas) RINA S.p.A. (Italy)RINA S.p.A. (Italy) DQS GmbH (Germany)DQS GmbH (Germany) RWTUEV Systems GmbH (Germany)RWTUEV Systems GmbH (Germany) DS Certification DS Certification SAI Global Limited (Australia)SAI Global Limited (Australia) JACO-IS (Japanese Audit and Certification Organisation)JACO-IS (Japanese Audit and Certification Organisation)
ISO 27001 – Entidades ISO 27001 – Entidades CertificadorasCertificadoras SEMKO-DEKRA Certification ABSEMKO-DEKRA Certification AB
JICQAJICQA SFS-Inspecta Certification (Finland)SFS-Inspecta Certification (Finland) JMAQA JMAQA SGS ICS LimitedSGS ICS Limited JQA (Japanese Quality Assurance)JQA (Japanese Quality Assurance) SQS (Swiss Quality System)SQS (Swiss Quality System) JSAJSA STQC IT Certification Services (India)STQC IT Certification Services (India) JUSE-ISO CenterJUSE-ISO Center Teknologisk institutt Sertifisering AS (Norway)Teknologisk institutt Sertifisering AS (Norway) KEMA Quality BVKEMA Quality BV TÜV Rheinland Group (Germany)TÜV Rheinland Group (Germany) KPMG Audit plcKPMG Audit plc TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany)TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) KPMG CertificationKPMG Certification UIMCert (Germany)UIMCert (Germany) KPMG RJKPMG RJ United Registrar of Systems LimitedUnited Registrar of Systems Limited ApplusApplus
ISO 27001 Entidades de ISO 27001 Entidades de AcreditaciónAcreditación
Reino Unido – UKAS.Reino Unido – UKAS. España- ENACEspaña- ENAC Alemania– TGA.Alemania– TGA. Noruega – NA.Noruega – NA. Suiza– SWEDACSuiza– SWEDAC Holanda- RvAHolanda- RvA Irlanada– NABIrlanada– NAB Finlandia – FinasFinlandia – Finas
Situación de la auditoria de Situación de la auditoria de certificación de Sistema de certificación de Sistema de
Seguridad de la información a Seguridad de la información a nivel mundial.nivel mundial.
Japan 2317* Switzerland 12 Lithuania 2
UK 363 Turkey 12 Oman 2
India 347 Saudi Arabia 10 Peru 2
Taiwan 149 UAE 9 Portugal 2
Germany 87 Slovenia 8 Qatar 2
China 74 Sweden 8 Slovak Republic 2
Hungary 58 Iceland 7 Sri Lanka 2
USA 54 Kuwait 6 Vietnam 2
Australia 53 Pakistan 6 Armenia 1
Korea 51 Russian Federation 6 Bulgaria 1
Italy 45 France 5 Chile 1
Netherlands 32 Greece 5 Egypt 1
Hong Kong 30 Thailand 5 Gibraltar 1
Czech Republic 28 Bahrain 4 Lebanon 1
Singapore 28 Canada 4 Luxemburg 1
Malaysia 21 Indonesia 4 Macedonia 1
Brazil 20 Argentina 3 Moldova 1
Austria 17 Colombia 3 Morocco 1
Ireland 17 Isle of Man 3 New Zealand 1
Poland 16 Macau 3 Ukraine 1
Finland 14 Romania 3 Uruguay 1
Norway 14 South Africa 3 Yugoslavia 1
Mexico 12 Belgium 2
Philippines 12 Croatia 2 Relative Total 4047
Spain 12 Denmark 2 Absolute Total 4036*
ISO 27001 en EspañaISO 27001 en España
Nota: Las compañías COLT TELECOM y HP se encuentran certificadas por BSI en España mediante multisite. La ONCE se encuentra certificada por BSI en España bajo el esquema WLA.
Name of the Organization Country Certificate Number Certification BodyStandard BS 7799-2:2002 or ISO/IEC 27001:2005
AXALTO Barcelona Spain LSTI/SMSI/02 LSTI SAS RCS BS 7799-2:2002
BANKINTER, S.A. Spain IS 508474 BSI ISO/IEC 27001:2005
Belt Ibérica, S.A. Spain GB06/70388 SGS United Kingdom Limited
ISO/IEC 27001:2005
Caja Madrid Spain IS 92805 BSI ISO/IEC 27001:2005
e-la Caixa Spain IS 511593 BSI ISO/IEC 27001:2005
ESA SECURITY, S.A. Spain GB07/72167 SGS United Kingdom Limited
ISO/IEC 27001:2005
IZENPE, S.A. Spain IS 504989 BSI ISO/IEC 27001:2005
Nextel S.A Spain IS 80383 BSI ISO/IEC 27001:2005
Oficina De Armonizacion Del Mercado Interior Spain IS 80620 BSI ISO/IEC 27001:2005
Segurservi S.A Spain 560224 Bureau Veritas Certification
ISO/IEC 27001:2005
Verio Europe Spain LRQ4001385 LRQA ISO/IEC 27001:2005
Situación de la auditoria de Situación de la auditoria de certificación de Sistema de certificación de Sistema de
Seguridad de la información a Seguridad de la información a nivel mundialnivel mundial
Lider mundial: BSI con 43% cuota de mercado.
Lider en España: BSI con 55% de la cuota de mercado.
Ejemplos de compañías Ejemplos de compañías auditadas y certificadas a nivel auditadas y certificadas a nivel
mundialmundial
- SYMANTEC JAPAN - ACCENTURE - ATOS ORIGIN
- AXA - BECHTEL
- BMW ASIA (technology centre). - CAMELOT
- CHINA TELECOM GROUP - CHINESE PETROLUM
- FEDERAL RESERVE BANK OF NEW YORK & SAN FRANCISCO - FUJITSU
- IBM JAPAN - JAPAN TELECOM
- KIA MOTOR
- LG
- ORACLE CORPORATION - PCWW
- SAMSUNG ELECTRONICD - RICOH
- SAP JAPAN - SONY MUSIC
- THE BANK OF TOKYO - THE WORLD BANK
- UNYSIS - ONU
- WARNER - XEROX CORPORATION
- YAHOO JAPAN CORPORATION
Ejemplos de compañías Ejemplos de compañías auditadas y certificadas a nivel auditadas y certificadas a nivel
mundialmundial