Principales Novedades de la ISO 27001/ISO 27002

Transcripción

1 Jornadas Técnicas 2013 Dibujando el nuevo escenario normativo en el siglo XXI Principales Novedades de la ISO 27001/ISO Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización

2 La evolución del Modelo ISO LAS NORMAS INTERNACIONALES GARANTIZAN CAMBIOS POSITIVOS

3 La evolución del Modelo ISO El sistema de normalización JTC1/SC 27 AEN/CTN71/SC27 Tecnologías de la Información. Técnicas de seguridad

4 La evolución del Modelo ISO Nuevos modelos de negocio Clientes Externalización Cloud ISO/IEC 27001: 2005 ISO/IEC 27001: Nº CONTROLES Liderazgo se mantienen 39 eliminados 20 nuevos + DOMINIOS DE SEGURIDAD REQUISITOS DE GESTIÓN Análisis de riesgos Avances tecnológicos Cultura de seguridad Entorno

5 El nuevo enfoque de la ISO/IEC 27001: 2013 UNE-ISO 31000:2010 UNE-ISO 31010:2010 UNE-ISO Guía 73: 2010 ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION ANÁLISIS DE RIESGOS ISO/IEC UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices UNE-ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del riesgo UNE-ISO GUIA 73:2010 IN Gestión del riesgo. Vocabulario

6 El nuevo enfoque de la ISO/IEC 27001: 2013 Anexo SL de las Directivas del Organismo Internacional de Normalización (ISO) Estructura y contenidos de las normas que contienen un sistema de gestión UNE-EN ISO Directrices para la auditoría de los sistemas de gestión capítulo de competencias y evaluación de auditores común a cualquier disciplina apartado A.7 con ejemplo de conocimientos y habilidades recomendados para los auditores en la disciplina específica de gestión de la seguridad de la información: evaluación del riesgo (identificación, análisis y evaluación) y tendencias en tecnología, amenazas y vulnerabilidades métodos y prácticas para los controles físicos y electrónicos de la seguridad de la información leyes y reglamentos aplicables (por ejemplo, propiedad intelectual, protección y retención de registros de la organización, reglamentos de controles criptográficos, interceptación de telecomunicaciones, recopilación de evidencias electrónicas, ensayos de vulnerabilidad..)

7 El nuevo enfoque de la ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION La adopción de un SGSI es una decisión estratégica de la Organización

8 El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION Gestión de riesgos y oportunidades Contexto de la organización Liderazgo Planificación Acciones de soporte Operación Evaluación del comportamiento Mejora ANÁLISIS DE RIESGOS ISO/IEC 31000

9 El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2005 ISO/IEC 27001: DOMINIOS DE SEGURIDAD 11 14

10 El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2005 ISO/IEC 27001: Nº CONTROLES se mantienen 39 eliminados 20 nuevos Referencia A A A A A A A A A A A A Control Seguridad de la información en la gestión de proyectos Restricciones en la instalación de software Política de desarrollo seguro Desarrollo de principios de ingeniería de sistemas seguros Entorno de desarrollo seguro Pruebas de la seguridad del sistema Política de seguridad de la información para las relaciones de proveedores Cadena de suministro de TIC Evaluación y decisión sobre los eventos de seguridad de la información Respuesta a incidentes de seguridad de la información Implantación de la continuidad en la seguridad de la información Disponibilidad de las instalaciones para el tratamiento de la información.

11 Periodo de transición a 27001:2013 de ISO/IEC 27001:2013 a UNE-ISO/IEC de ISO/IEC 27002:2013 a UNE-ISO/IEC meses (IP en BOE) 27001: 2013 YA!!! 27001: MESES 27001:2005 en marcha 12 MESES

12 Muchas gracias Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización