Principales Novedades de la ISO 27001/ISO · PDF fileEl nuevo enfoque de la ISO/IEC 27001:...

Principales Novedades de la ISO 27001/ISO 27002

Jornadas Técnicas 2013 Dibujando el nuevo escenario normativo en el siglo XXI

Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización [email protected]

AEN

OR

Co

pyr

igh

t®

https://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=ypKAA6UpvlNQ6M&tbnid=irGb0nNmv7DctM:&ved=0CAUQjRw&url=https%3A%2F%2Fwww.asemaco.es%2Fes%2Fnoticias%2Fasemaco%2F782_aenor-oferta-2013&ei=VlaDUumWIsOr0gW1rYH4CQ&bvm=bv.56343320,d.d2k&psig=AFQjCNEYPWfRS1sGTbWLuh9j6oCjWQMSCA&ust=1384425425834832

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=kQ1YVorajAXOhM&tbnid=t3dT6ezegwOKQM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.hecatepro.com%2Fnoticia.php%3Fidnoticia%3D31&ei=-FWDUoL6O46o0wXK6IHoDA&bvm=bv.56343320,d.d2k&psig=AFQjCNGXwQKWo-6sP2X7O3t_JXpwkd-PnA&ust=1384425314109244

LAS NORMAS INTERNACIONALES GARANTIZAN

CAMBIOS POSITIVOS

AEN

OR

Co

pyr

igh

t®

La evolución del Modelo ISO 27000

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=C0aD6_O7pq3cuM&tbnid=wMHDyxjc-xvhzM:&ved=0CAUQjRw&url=http://www.fondonorma.org.ve/&ei=7gNdUrCsI6nN0QW7t4CQBg&bvm=bv.53899372,d.Yms&psig=AFQjCNE-PUaKnGZJ9FxqWiBIsa8R7AVDow&ust=1381913947062170

JTC1/SC 27

AEN/CTN71/SC27

“Tecnologías de la Información. Técnicas

de seguridad”

AEN

OR

Co

pyr

igh

t®


El sistema de normalización


ISO/IEC 27001: 2005 ISO/IEC 27001: 2013

- Nº CONTROLES

133 114 94 se mantienen 39 eliminados 20 nuevos

+ DOMINIOS DE SEGURIDAD

11 14

+ REQUISITOS DE GESTIÓN

102 130

Cloud

Análisis de

riesgos

Avances tecnológicos

Cultura de seguridad

Externalización

Clientes

Nuevos modelos

de negocio

Entorno

Liderazgo

AEN

OR

Co

pyr

igh

t®

ISO/IEC 27001: 2013

ALINEACION CON

SISTEMAS DE

GESTION

ANÁLISIS DE

RIESGOS ISO/IEC 31000

UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices

UNE-ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del riesgo

UN

E-IS

O 3

1000

:201

0

UN

E-IS

O 3

1010

:201

0

UN

E-IS

O G

uía

73:

201

0

UNE-ISO GUIA 73:2010 IN Gestión del riesgo. Vocabulario

El nuevo enfoque de la ISO/IEC 27001: 2013

AEN

OR

Co

pyr

igh

t®


Anexo SL de las Directivas del Organismo Internacional de Normalización (ISO)

Estructura y contenidos de las normas que contienen un sistema de gestión

UNE-EN ISO 19011 “Directrices para la auditoría de los sistemas de gestión”

capítulo de competencias y evaluación de auditores común a cualquier disciplina

apartado A.7 con ejemplo de conocimientos y habilidades recomendados para los auditores en la disciplina específica de gestión de la seguridad de la información:

evaluación del riesgo (identificación, análisis y evaluación) y tendencias en tecnología, amenazas y vulnerabilidades métodos y prácticas para los controles físicos y electrónicos de la seguridad de la información leyes y reglamentos aplicables (por ejemplo, propiedad intelectual, protección y retención de registros de la organización, reglamentos de controles criptográficos, interceptación de telecomunicaciones, recopilación de evidencias electrónicas, ensayos de vulnerabilidad..)

AEN

OR

Co

pyr

igh

t®


“La adopción de un SGSI es

una decisión estratégica de la Organización”

ALINEACION CON

SISTEMAS DE

GESTION AEN

OR

Co

pyr

igh

t®

ISO/IEC 27001: 2013

ALINEACION CON

SISTEMAS DE

GESTION

ANÁLISIS DE

RIESGOS ISO/IEC 31000

Gestión de riesgos y oportunidades Contexto de la organización

Liderazgo Planificación

Acciones de soporte Operación

Evaluación del comportamiento Mejora


AEN

OR

Co

pyr

igh

t®


ISO/IEC 27001: 2005

ISO/IEC 27001: 2013

+ DOMINIOS DE SEGURIDAD

11 14

AEN

OR

Co

pyr

igh

t®

Referencia Control

A.6.1.5 Seguridad de la información en la gestión de proyectos

A.12.6.2 Restricciones en la instalación de software

A.14.2.1 Política de desarrollo seguro

A.14.2.5 Desarrollo de principios de ingeniería de sistemas seguros

A.14.2.6 Entorno de desarrollo seguro

A.14.2.8 Pruebas de la seguridad del sistema

A.15.1.1 Política de seguridad de la información para las relaciones de proveedores

A.15.1.3 Cadena de suministro de TIC

A.16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información

A.16.1.5 Respuesta a incidentes de seguridad de la información

A.17.1.2 Implantación de la continuidad en la seguridad de la información

A.17.2.1 Disponibilidad de las instalaciones para el tratamiento de la información.


ISO/IEC 27001: 2005 ISO/IEC 27001: 2013

- Nº CONTROLES

133 114 94 se mantienen 39 eliminados 20 nuevos

AEN

OR

Co

pyr

igh

t®

Periodo de transición a 27001:2013

de ISO/IEC 27001:2013 a UNE-ISO/IEC 27001 de ISO/IEC 27002:2013 a UNE-ISO/IEC 27002

6-10 meses (IP en BOE)

27001: 2013 YA !!! 27001: 2005 24 MESES 27001:2005 en marcha 12 MESES

2013

2005

AEN

OR

Co

pyr

igh

t®

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=byu2VSkcewqKaM&tbnid=MapggOsrjJw3nM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.isyc.com%2Fblog&ei=u3mDUrizIamW0QXbwYCgCw&bvm=bv.56343320,d.d2k&psig=AFQjCNFNoty-Y_ZVhNB3d1wS1SrwQJGb-g&ust=1384434478082681

Muchas gracias

Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización [email protected]

AEN

OR

Co

pyr

igh

t®

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=C0aD6_O7pq3cuM&tbnid=wMHDyxjc-xvhzM:&ved=0CAUQjRw&url=http://www.fondonorma.org.ve/&ei=7gNdUrCsI6nN0QW7t4CQBg&bvm=bv.53899372,d.Yms&psig=AFQjCNE-PUaKnGZJ9FxqWiBIsa8R7AVDow&ust=1381913947062170

Principales Novedades de la ISO 27001/ISO · PDF fileEl nuevo enfoque de la ISO/IEC 27001:...

Documents

Transcript of Principales Novedades de la ISO 27001/ISO · PDF fileEl nuevo enfoque de la ISO/IEC 27001:...