8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
1/69
1/71
Sistemas de gestin
de seguridad de la informacinISO 27001
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
2/69
2/71
INTRODUCCIN
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
3/69
3/71
Introduccin
YourYourNetworkNetwork
FOR
MACIN
HERRAMIENTAS
AUDITORAS
SNOC
LOPD / LSSI
SISTEMA GESTION
DE LA SEGURIDAD
DE LA INFORMACION
(SGSI)
BS 7799
MANTENIMIENTO
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
4/69
4/71
Introduccin
70 %Incidentes
internos
Incidentes seguridad externos
Virus
Incidentes seguridad internos
Errores de usuario
OtrosIncidentes de seguridad: Quien es quien
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
5/69
5/71
Introduccin
Impacto de incidentes de seguridad en el negocio:
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
6/69
6/71
ISO 17799 1
TRANSPOSICIN LITERAL
BS 7799 1
CDIGO BUENAS PRCTICAS
ISO 27001 (Octubre 2005)
BS 7799 2
IMPLEMENTACION SGSI Y
CERTIFICACION
IMPLEMENTACIN
INTEGRACIN BS7799 / ISO 9000 / ISO 14000
CERTIFICACIN
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
7/69
7/71
Introduccin
ISO 27001BS 7799-2 (2005)BS 7799-2:2002BS 7799 2
ISO 27002ISO 17799 (2005)ISO 17799 (2000)BS 7799 1
Ao2007
Ao2006
(Enero)
Ao2005
(Junio)
Ao2000 2002
Ao
1999
UNE 71502
+ ISO 27004 Indicadores y Cuadros de mando (2007)
BS 7799 Evolution
BS ISO
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
8/69
8/71
Cambios / Mejoras en ISO 27001
This is possibly the biggest change inthat as well as implementing andoperating the ISMS, it is now required
to define how to measure theeffectiveness of controls or groups ofcontrols, and that it shall be specifiedhow these measurements are to be
used to assess control effectiveness toproduce comparable and reproducibleresults. This could cause somemajor problems for clients.
Item d)Define how tomeasure the
effectivenesshas beenadded
4.2.2Implementand operate
the ISMS
4.2.2Implementand operate
the ISMS
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
9/69
9/71
A.6 Mejora en las relaciones con terceras partes
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
10/69
10/71
A.8 Mejoras en el control sobre las personas
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
11/69
11/71
A.8 Mejoras en el control sobre las personas
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
12/69
12/71
A.8 Mejoras en el control sobre las personas
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
13/69
13/71
A.13 Mejoras en el registro de incidentes / debilidades
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
14/69
14/71
A.13 Mejoras en el registro de incidentes / debilidades
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
15/69
15/71
A.14 Mejoras en la gestin de continuidad de negocio
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
16/69
16/71
A.14 Mejora en la gestin de continuidad de negocio
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
17/69
17/71
Control y clasificacin de activos
Organizacin de la Seguridad
Direccin de operaciones y comunicaciones
Poltica de Seguridad
Evaluacin de riesgos Seguridad del personal
Desarrollo y mantenimiento de sistemas
Direccin de Planes de Contingencia
Cumplimiento con la legislacin
Introduccin
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
18/69
18/71
Activos de informacin SGSI:
Soportes digitalesPapelPersonas
Componentes SGSI:Anlisis+Trabajo tcnicoDocumentacinPersonas
rganos gestin SGSI:Comit de seguridadResponsable SeguridadAuditor interno
La seguridad es tan fuerte como el eslabn ms dbil de la cadena
PERSONAS
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
19/69
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
20/69
20/71
FORMACION:
Plan de formacin Para TODOS los empleados Todos aportan
DIFUSION: Herramientas existentes: News Herramientas especificas: Proteus / Cramm /
Cobra / ... Controles y evaluacin de cumplimiento
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
21/69
21/71
FORMACION + DIFUSION:Conseguir que las personas sean la base de un SGSI
Informado
Formado
Concienciado
Aceptacin
Proactivo
TIEMPO
COMPORTAMIENTO
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
22/69
22/71
REA
SEGURIDAD
PROCESO IMPLEMENTACION GLOBAL
ISO 9000 / 14000ISO 17799 / BS 7799
PROCESOS COMUNES
Revisin BS 7799-2:2002Revision BS 7799-2:2005
ISO 27001
REA CALIDAD
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
23/69
23/71
LA SEGURIDAD ES UN PROCESO = SGSI
SGSI = PROCESO SEGURIDAD + CALIDAD GLOBAL
BS 7799: ESQUEMA DE IMPLEMENTACION Y CERTIFICACIN
DE SGSI RECONOCIDO (INTERNACIONAL)(ISO 27001)
SGSI = ISO 27001, CONTINUIDAD, CONTROL y EVALUACION DE
EFECTIVIDAD DE PROCESO DE SEGURIDAD
AUNQUE NO EXISTE SEGURIDAD TOTAL, S ES UN SISTEMA CON
SEGURIDAD RAZONABLE
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
24/69
24/71
IMPLEMENTACIN
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
25/69
25/71
Definir la poltica
Definir el alcancedel SGSI
Anlisis de riesgos
Gestionar el riesgo
Seleccionarobjetos de control
y controles aimplementar
Preparar unadeclaracin deaplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,amenazas yvulnerabilidades
Gestin de riesgosdesde el punto de vistaorganizacional
Grado deaseguramientorequerido
Seccin 3 de la BS7799, objetos decontrol y controles
Controles adicionales
que no sean de BS7799
Documento de lapoltica
Alcance del SGSI
Activos de Informacion
Anlisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controlesseleccionados
Declaracin de aplicabilidad
Introduccin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
26/69
26/71
La importancia de la informacin
Cunto tiempo sobrevivira nuestra empresa sin el acceso ala informacin?
Hasta que punto estamos preparados para responder a unincidente de seguridad? Cumplimos la LOPD, LSSICE y los derechos de propiedad
intelectual?
Los SGSI certificados dan una respuesta a la creciente demandade seguridad global
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
27/69
27/71
Tipos de informacin
Impresa o escrita en papel Guardada en formato electrnico
Transmitida por correo o por va electrnica Verbal hablada en conversaciones
cualquier forma que la informacin adopte, o procesospor los cuales sea compartida o guardada, deber ser
siempre adecuadamente protegida(ISO/IEC 17799: 2000)
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
28/69
28/71
Gestin de la seguridad de la informacin
El objetivo del SGSI es salvaguardar la:
- Confidencialidad
- Integridad- Disponibilidad
de la informacin escrita, hablada o procesada por losordenadores.
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
29/69
29/71
Compromiso de la direccin
Intencin
Requisitos
Herramientas y tcnicas
Metodologa
Estndares,
normas, leyes...
Guas y modelos
Procedimientos
Polticas
EvidenciasRegistros y trazas
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
30/69
30/71
Evolucin de los sistemas de gestin
SistemasSistemas
PropietariosPropietarios
SistemasSistemas
normalizadosnormalizados
SistemasSistemascertificadoscertificados
- Sistemas nicos y personalizados
- Sistemas que tienen en cuenta
ciertas normas y que se orientan aestndares
- Sistemas auditados y certificados
que se rigen por estndaresaprobados y reconocidos
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
31/69
31/71
SistemasSistemas
PropietariosPropietarios
SistemasSistemas
normalizadosnormalizados
SistemasSistemascertificadoscertificados
Seguridad propietaria
(Principio de oscuridad)
Evolucin de los sistemas SGSI
Sistemas basados en normas:
ISO 71501, NIST 800 42, ISECOM, ISO17799-1
Sistemas auditables basados en: ISO 17799 / BS 7799 2 : 2002 UNE 71502
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
32/69
32/71
Secciones de la BS7799-1 (ISO17799)
Alcance Trminos y definiciones Poltica de seguridad Seguridad corporativa
Clasificacin y control de activos Seguridad del personal Seguridad fsica y medioambiental Gestin de las operaciones y comunicaciones
Control de accesos Mantenimiento y desarrollo de sistemas Gestin de la continuidad del negocio Cumplimiento
Implementacin
I l i
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
33/69
33/71
Secciones de BS7799-2:2002
Alcance Referencias normativas
Trminos y definiciones Sistema de gestin de la seguridad de la informacin
(SGSI) Responsabilidades de la direccin
Revisin del SGSI Mejora del SGSI
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
34/69
34/71Implantacin de un SGSI basado en la norma BS7799-2
p
Definir la poltica
Definir el alcancedel SGSI
Anlisis de riesgos
Gestionar el riesgo
Seleccionarobjetos de control
y controles aimplementar
Preparar unadeclaracin deaplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,amenazas yvulnerabilidades
Gestin de riesgosdesde el punto de vistaorganizacional
Grado deaseguramiento
requeridoSeccin 3 de la BS7799, objetos decontrol y controles
Controles adicionalesque no sean de BS7799
Documento de lapoltica
Alcance del SGSI
Activos de Informacion
Anlisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controlesseleccionados
Declaracin de aplicabilidad
I l t i
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
35/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
I l t i
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
36/69
36/71
Revisin inicial
Revisin de la seguridad de la informacin dentro del marcoestablecido por los requerimientos de la BS 7799-2 utilizando
las guas proporcionadas por el cdigo de buenas prcticasISO/IEC17799:2000 Tener la ISO 9000 ayuda (Ver tabla equiv.) Existe DML y documentacin asociada?
Es consistente con el alcance?
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
37/69
37/71
CComit de seguridad1,0Registro de incidentes de seguridad016000
GResponsable de seguridad1,0Manual bsico de seguridad015000
CComit de seguridad1,0Plan de continuidad de negocio014000
GComit de seguridad1,0Procedimiento de control de activos013000
RComit de seguridad2,0Registro de activos012000
RComit de seguridad2,0Plan de tratamiento de riesgos (PTR)011000
PComit de seguridad2,0Declaracin de aplicabilidad (DdA)010000
RComit de seguridad1,0Procedimiento de gestin de riesgos009000
RComit de seguridad1,0Procedimiento de anlisis de riesgos008000
GControlador de docs1,0Modelo de cambio de documentacin007000
GControlador de docs1,0Procedimiento de control de docs006000
RResponsable de seguridad2,5Manual de seguridad de admins005000
GResponsable de seguridad3,0Manual de seguridad de usuario004000
CResponsable de seguridad1,0Poltica de seguridad003000
PResponsable de seguridad1.0Alcance002000
RControlador de docs2,0Document Master List001000
UbicacinClasePropietarioRev.DescripcinNo.Tipo
DML
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
38/69
38/71
Compras
Dpto.
Financiero
Dpto.
produccin
Dpto
I.T.
Administracin
Marketing
RRHH
ISPs
Outsourcing
Proveedores de
suministro
elctrico
Necesidades
del Cliente
Mnto.
Satisfaccin del
Cliente
Contratos, SLAs y
MOUs
Ejemplo derevisin delalcance
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
39/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
40/69
40/71
Comit de seguridad de la informacin
Es un comit/forum de gestin.
Su actividad se basa en: Revisin y aceptacin de la poltica. Monitorizacin de los cambios y la exposicin de los activos a las
amenazas ms importantes. Revisin y monitorizacin de los riesgos de los activos deinformacin.
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
41/69
41/71
Responsable del proyecto de SGSI
Apoyar al comit de seguridad Gestionar y mantener el SGSI Planificar auditoras internas Gestin de los incidentes de seguridad Trabajo conjunto con los propietarios de los procesos
Mantener el proceso de mejora continua
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
42/69
42/71
Propietarios de los procesos
Los propietarios de los procesos son:
Responsables de registrar sus activose implementar el SGSI en sus procesos
Responsables de reportar al comit de seguridad y colaborarcon el responsable del SGSI
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
43/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Registro de activos y anlisis de riesgos
Gestin del riesgo
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
44/69
44/71
Registro de activos
Requisito de BS7799-2:2002
Identificar los activos, los propietarios, su ubicacin y su valorasociado dentro del alcance del SGSI
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
45/69
45/71
AmenazasUna amenaza tiene el potencial de poder causar incidentesindeseados que pueden derivar en daos a un sistema, unaempresa o sus activos.
VulnerabilidadesUna vulnerabilidad es una condicin o conjunto de
circunstancias que pueden permitir a una amenaza afectar aun activo. No obstante en s misma no causa el dao.
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
46/69
46/71
Identificacin de riesgos
Las vulnerabilidades son debilidades asociadas a los activosde informacin.
Estas debilidades pueden ser explotadas por una amenazacausando una ruptura en la seguridad que puede derivar en laprdida o dao de estos activos.
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
47/69
47/71
1. Identificacin de procesos2. Identificacin de activos:Papel, sw, hw, dependencias, personal, contratos, ...
3. Valor de los activos de informacin
4. Identificacin de las amenazas y las vulnerabilidades5. Identificacin de los riesgos y niveles aceptables6. Identificacin de los controles, objetivos y medidas7. Generacin de informes para el comit de seguridad
8. Monitorizacin y revisin
Procedimiento de anlisis de riesgos
Implementacin
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
48/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
49/69
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
50/69
50/71
Riesgo residual
Ningn control puede ofrecernos seguridad absoluta, ysiempre tendremos un remanente de riesgo residual.
La direccin de la empresa, una vez definido el nivel deconfianza requerido, debe de aceptar ese riesgo residual yregistrarlo.
El anlisis de riesgo debe de realizarse peridicamente y elriesgo residual tambin debe de ser revisado y validado en lamisma forma.
p
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
51/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
p
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
52/69
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
53/69
53/71
Controles de BS7799-2:2002 Anexo A
Controles obligatorios de la norma:
A.3 A.7, A.11 y A.12
Aprox. 127 controles necesarios
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
54/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
55/69
55/71
Declaracin de aplicabilidad
Se trata de un documento, aprobado por el comit de
seguridad, en el que se representan todos los controlesaplicados en el SGSI de acuerdo con la norma BS7799 comoresultado del anlisis de riesgos realizado.
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
56/69
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
57/69
57/71
Revisin de la direccin
El Security Forum o Comit de Seguridad debe reunirseperidicamente para evaluar;
Los resultados de las auditoras internas Cambios en el SGSI Reporte de incidentes y acciones derivadas
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
58/69
58/71
Gestin RRHH
- Definicin de perfiles profesionales- Anlisis previos a incorporacin
- Control durante desempeo- Controles despus de salida- Procedimiento punitivo
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
59/69
59/71
Gestin de la continuidad de negocio
- Plan de contingencias- Plan de continuidad de negocio- Prueba del plan de continuidad de negocio
Implementacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
60/69
60/71
Auditoras
Son necesarias auditoras internas/externas peridicas
planificadas y documentadas para garantizar que el SGSI estimplementado de forma efectiva.
El cumplimiento de la norma implementa un modelo de
mejora continua de procesos. (PDCA)
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
61/69
Certificacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
62/69
62/71
QuiQuin es la entidad certificadora ?n es la entidad certificadora ?
BSI (British Standards Institution) www.bsi-global.com Fundada en 1901 para coordinar las normas nacionales en el
Reino Unido. Con una plantilla integrada por un total de 4.200 personas entodo el mundo
Es la entidad de certificacin nmero uno a nivel mundial
Actualmente existen ms de 50.000 empresas certificadas.
Certificacin
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
63/69
65/71
Una auditoria de seguridad es una fuente clave deinformacin para el conocimiento de una empresa.
Demuestra un compromiso inequvoco de los rganosde Direccin de la empresa con el Sistema de Gestinde la Seguridad de la Informacin.
Promover la implicacin, participacin y motivacindel personal de la empresa en la seguridad de lainformacin de esta.
Proporciona la oportunidad de una mejora continua.
Incrementara la operatividad de la empresa.
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
64/69
66/71
Conclusiones
Conclusiones
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
65/69
67/71
Los SGSI basados en la norma BS 7799 nos hacen entender la
seguridad de la informacin como un proceso y no como unproducto.
A travs de la certificacin se obtienen garantas de que el SGSI
est correctamente implantado y de que se est gestionando elriesgo pero no se obtiene la seguridad absoluta.
Conclusiones
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
66/69
68/71
Modelo PDCA
Conclusiones
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
67/69
69/71
Documentacin relacionada
UNE 71501-3 Tcnicas para la gestin de le Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE 71501-2 Gestin y Planificacin de la Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE 71501-1 Conceptos y modelos para la Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE ISO 17799 Cdigo buenas practicasAENOR. Asociacin Espaola de Normalizacin y Certificacin
HB 231 Information Security Risk Management GuidelinesSTANDARDS AUSTRALIA
AS 4360 Risk ManagementSTANDARDS AUSTRALIA
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation
ISO 2859-4 Procedures for assessment of declared quality levelsISO. International Standard Organitation
Conclusiones
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
68/69
70/71
Documentacin relacionada (II)
PD 3005 Guide on the selection of BS 7799-2 ControlsBSI. British Standards Institution
PD 3004 Guide to the implementation and auditing of BS 7799 controlsBSI. British Standards Institution
PD 3003 Are you ready for a BS 7799-2 Audit ?BSI. British Standards Institution
PD 3002 Guide to BS 7799 Risk AssessmentBSI. British Standards Institution
PD 3001 Preparing for BS 7799-2 CertificationBSI. British Standards Institution
BS 15000-2 IT Service Management. Part. 2 Code of practice for servicemngBSI. British Standards Institution
BS 7799-2 Information Security Management Systems. SpecificationsBSI. British Standards Institution
8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)
69/69
GRACIAS
Top Related