250 likes | 787 Views
Servicio de Consultoría Implantación de la ISO/IEC 27001. ISO/IEC 27001. ISO/IEC 27001. Dominios de la norma ISO 27001. Implantación de la norma ISO 27001.
E N D
ISO/IEC 27001 ISO/IEC 27001 Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • La familia de normas ISO 27000 define que la seguridad de la información se establece mediante la implementación de una serie de controles entre los que se encuentran políticas, prácticas, procedimientos y definición de una estructura organizativa. Estos controles necesitan ser establecidos para asegurar que los objetivos de seguridad específicos, que se han fijado para una determinada organización, se cumplan. • Los objetivos de seguridad pueden variar considerablemente dependiendo del sector en el que se encuentre la organización, pero de forma general estos objetivos están directamente ligados a la seguridad de procesos organizativos, procesos de producción, al ciclo de vida de la información y obviamente, al cumplimiento de la legislación vigente. • La gestión de riesgos de infraestructura y la continuidad del negocio, son requisitos exigidos por esta norma que consiste en una de las razones de su alto grado de aceptación en el mercado mundial. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Dominios de la norma ISO 27001 Dominios de la norma ISO 27001 Política de Seguridad Implantación de la norma ISO 27001 Estratégico Aspectos organizativos para la seguridad Alcance Política Herramienta Táctico Clasificación y control de activos Control de accesos PGR Controles Conformidad Aplicabilidad Operacional Documentación Seguridad ligada al personal Seguridad física y del entorno Indicadores Monitoreo Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio PDS Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal
ISO/IEC 27001 Implantación de la norma ISO 27001 Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • El servicio incluye las siguientes actividades • Revisión Metodología Gestión de Riesgos • Elaboración de declaración de aplicabilidad • Definición de política y organización del SGSI • Elaboración de un Plan Director de Seguridad • Selección de controles para tratamiento de riesgos • Implantación de la herramienta SGSI • Definición de métricas e indicadores • Elaboración de documentación • Monitoreo y revisión periódica Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Definición del alcance y diseño del SGSI Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Donde se establecerán los límites del SGSI definiendo de forma detallada los mismos de acuerdo con las características de los sistemas de información de la corporación. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Definición de política y organización del SGSI Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Se definirá la política de seguridad y la organización asociada para la correcta puesta en marcha del SGSI. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Implantación de la herramienta SGSI Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Instalación y formación en la herramienta suministrada. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Definición de Plan de Gestión de Riesgos Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Se realiza la identificación y evaluación de las opciones o combinación de opciones para la gestión de cada riesgo: • Asumirlo • Evitarlo • Transferirlo • Reducirlo Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Selección de controles para tratamiento de riesgos Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Plan de implantación de controles. Teniendo en cuenta los requisitos de seguridad identificados (legales, de negocio, análisis de riesgos, entre otros.) se propondrá una selección de controles basada en la ISO 27002 y proporcionales a los niveles de riesgo con el objetivo de reducir los riesgos identificados. Si fuera necesario se seleccionarán controles adicionales. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Elaboración de declaración de aplicabilidad Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Describir una relación justificada de controles a aplicar: • Controles seleccionados • Objetivos del control • Razones para la elección y exclusión. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Elaboración de documentación Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Se proporcionará la documentación necesaria estableciendo los procedimientos requeridos para realizar un control y protección eficientes de la documentación, que incluya: • Desarrollo y aprobación de la documentación • Gestión de cambios • Control de versiones • Disponibilidad • Control de distribución • Control de cronología, entre otros. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Definición de métricas e indicadores Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Se establecerá un conjunto de medidas que permitan a la corporación medir la eficacia de los controles seleccionados, como son: • Métricas: datos cuantitativos que permitan evaluar la eficacia, eficiencia y madurez de un control. • Indicadores: agregaciones realizadas con las métricas para obtener información útil. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Monitoreo y revisión periódica Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 • Se debe establecer un procedimiento para la revisión y mantenimiento de todo el SGSI, y en particular, un procedimiento para la revisión y mantenimiento del análisis de riesgos. Alcance Política Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
ISO/IEC 27001 Elaboración de un Plan Director de Seguridad Dominios de la norma ISO 27001 Implantación de la norma ISO 27001 Alcance Política • Se debe instrumentar un Plan Anual detallado indicando, qué se debe hacer, quién lo hace, cuándo se hace y dónde, incluyendo las necesidades de recursos a invertir. Herramienta PGR Controles Aplicabilidad Documentación Indicadores Monitoreo PDS
Avenida Chile Carrera 7 No 71-21. Torre B. Piso 13 Teléfono +57 1 3251148Bogotá, D. C., Colombia. Jaime Rodríguez Pacheco jrpacheco@reto.com.co Celular 310 2293594 www.reto.com.co