Resumen Norma ISO-27001.



Documentos relacionados
La seguridad según Batman

ISO/IEC CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO27002.es PATROCINADO POR:

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

iso27002.es - El Anexo de ISO en español

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (Online) (Titulación Oficial)

Norma Técnica Peruana:

Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Guía: Controles de Seguridad y Privacidad de la Información

Implantación de un SGSI

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO e ISO 27001

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Estándares de Seguridad

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

En el artículo del mes pasado,

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

ESCUELA POLITECNICA NACIONAL

Políticas de Seguridad

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO e ISO 27001

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Cómo hacer coexistir el ENS con otras normas ya

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

FUNDAMENTOS SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2005

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

Ley Federal sobre Protección de Datos Personales en Posesión de Par4culares

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Dominio 2. Organización de la Seguridad

ISO Un sistema de gestión de la Seguridad de la Información

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

ISO/IEC Normativa de seguridad IT. Hechos. Numero 2013/02

ISO Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

Principales Novedades de la ISO 27001/ISO 27002

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC (Tecnología de la Información Técnicas de Seguridad)

Diseño e implantación de un sistema de gestión de la seguridad de la información

Certificación ISO Preparación

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

6 - Aspectos Organizativos para la Seguridad

ISO (SAM), por dónde empezamos?


NTP - ISO/IEC 27001:2008

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Sistema de Gestión de protección del Patrimonio Histórico - SGPPH

Basado en la ISO 27001:2013. Seguridad de la Información

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Javier Bastarrica Lacalle Auditoria Informática.

Servicios de Seguridad de la Información

Gestión de Seguridad Informática

Mejora de la Seguridad de la Información para las Pymes Españolas

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

ISO-LOPD - Integración LOPD en Sistemas de Gestión

140 Horas académicas

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Resumen General del Manual de Organización y Funciones

Seguridad de la Información & Norma ISO27001

Sistema de Gestión de Seguridad de la Información

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Marco normativo para el establecimiento de las medidas de seguridad

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Máster Europeo en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO e ISO 27001

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Cómo aprovechar mejor el Webinar

Sistemas y tecnologías acceso seguro a datos

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

mope SEGURIDAD INFORMÁTICA

Diseño e implantación de un sistema de gestión de la seguridad de la información

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN

CUESTIONARIO AUDITORIAS ISO

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

ISO 9001:2015 vs. ISO 9001:2008

Requisitos de control de proveedores externos

Políticas de Seguridad de la información

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Transcripción:

Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta: otras normas que sirven de referencia. Términos y definiciones: breve descripción de los términos más usados en la norma. Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento. Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección. Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001. Bibliografía: normas y publicaciones de referencia. 1

Resumen Norma ISO-27001. Introducción: conceptos generales de seguridad de la información y SGSI. Campo de aplicación: se especifica el objetivo de la norma. Términos y definiciones: breve descripción de los términos más usados en la norma. Estructura del estándar: descripción de la estructura de la norma. Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. Política de seguridad: documento de política de seguridad y su gestión. Aspectos organizativos de la seguridad de la información: organización interna; terceros. Gestión de activos: responsabilidad sobre los activos; clasificación de la información. Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo. Seguridad física y ambiental: áreas seguras; seguridad de los equipos. Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión. Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo. Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica. Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras. Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio. Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información. Bibliografía: normas y publicaciones de referencia. 2

Norma ISO-27001: 11 Dominios, 39 Objetivos de Control y 133 Controles. 5. POLÍTICA DE SEGURIDAD. 5.1 Política de SI. 5.1.1 Documento de política de SI. 5.1.2 Revisión de la política de SI. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN. 6.1 Organización interna. 6.1.1 Compromiso de la Dirección con la SI. 6.1.2 Coordinación de la SI. 6.1.3 Asignación de responsabilidades relativas a la SI. 6.1.4 Proceso de autorización de recursos para el tratamiento de la información. 6.1.5 Acuerdos de confidencialidad. 6.1.6 Contacto con las autoridades. 6.1.7 Contacto con grupos de especial interés. 6.1.8 Revisión independiente de la SI. 6.2 Terceros. 6.2.1 Identificación de los riesgos derivados del acceso de terceros. 6.2.2 Tratamiento de la seguridad en la relación con los clientes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 7. GESTIÓN DE ACTIVOS. 7.1 Responsabilidad sobre los activos. 7.1.1 Inventario de activos. 7.1.2 Propiedad de los activos. 7.1.3 Uso aceptable de los activos. 7.2 Clasificación de la información. 7.2.1 Directrices de clasificación. 7.2.2 Etiquetado y manipulado de la información. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 8.1 Antes del empleo. 8.1.1 Funciones y responsabilidades. 8.1.2 Investigación de antecedentes. 8.1.3 Términos y condiciones de contratación. 8.2 Durante el empleo. 8.2.1 Responsabilidades de la Dirección. 8.2.2 Concienciación, formación y capacitación en SI. 8.2.3 Proceso disciplinario. 8.3 Cese del empleo o cambio de puesto de trabajo. 8.3.1 Responsabilidad del cese o cambio. 8.3.2 Devolución de activos. 8.3.3 Retirada de los derechos de acceso. 9. SEGURIDAD FÍSICA Y DEL ENTORNO. 9.1 Áreas seguras. 9.1.1 Perímetro de seguridad física. 3

9.1.2 Controles físicos de entrada. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 9.1.4 Protección contra las amenazas externas y de origen ambiental. 9.1.5 Trabajo en áreas seguras. 9.1.6 Áreas de acceso público y de carga y descarga. 9.2 Seguridad de los equipos. 9.2.1 Emplazamiento y protección de equipos. 9.2.2 Instalaciones de suministro. 9.2.3 Seguridad del cableado. 9.2.4 Mantenimiento de los equipos. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 9.2.6 Reutilización o retirada segura de equipos. 9.2.7 Retirada de materiales propiedad de la empresa 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 10.1 Responsabilidades y procedimientos de operación. 10.1.1 Documentación de los procedimientos de operación. 10.1.2 Gestión de cambios. 10.1.3 Segregación de tareas. 10.1.4 Separación de los recursos de desarrollo, prueba y operación. 10.2 Gestión de la provisión de servicios por terceros. 10.2.1 Provisión de servicios. 10.2.2 Supervisión y revisión de los servicios prestados por terceros. 10.2.3 Gestión del cambio en los servicios prestados por terceros. 10.3 Planificación y aceptación del sistema. 10.3.1 Gestión de capacidades. 10.3.2 Aceptación del sistema. 10.4 Protección contra el código malicioso y descargable. 10.4.1 Controles contra el código malicioso. 10.4.2 Controles contra el código descargado en el cliente. 10.5 Copias de seguridad. 10.5.1 Copias de SI. 10.6 Gestión de la seguridad de las redes. 10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. 10.7 Manipulación de los soportes. 10.7.1 Gestión de soportes extraíbles. 10.7.2 Retirada de soportes. 10.7.3 Procedimientos de manipulación de la información. 10.7.4 Seguridad de la documentación del sistema. 10.8 Intercambio de información. 10.8.1 Políticas y procedimientos de intercambio de información. 10.8.2 Acuerdos de intercambio. 10.8.3 Soportes físicos en tránsito. 10.8.4 Mensajería electrónica. 10.8.5 Sistemas de información empresariales. 10.9 Servicios de comercio electrónico. 10.9.1 Comercio electrónico. 10.9.2 Transacciones en línea. 4

10.9.3 Información públicamente disponible. 10.10 Supervisión. 10.10.1 Registros de auditoría. 10.10.2 Supervisión del uso del sistema. 10.10.3 Protección de la información de los registros. 10.10.4 Registros de administración y operación. 10.10.5 Registro de fallos. 10.10.6 Sincronización del reloj. 11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso. 11.1.1 Política de control de acceso. 11.2 Gestión de acceso de usuario. 11.2.1 Registro de usuario. 11.2.2 Gestión de privilegios. 11.2.3 Gestión de contraseñas de usuario. 11.2.4 Revisión de los derechos de acceso de usuario. 11.3 Responsabilidades de usuario. 11.3.1 Uso de contraseñas. 11.3.2 Equipo de usuario desatendido. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 11.4 Control de acceso a la red. 11.4.1 Política de uso de los servicios en red. 11.4.2 Autenticación de usuario para conexiones externas. 11.4.3 Identificación de los equipos en las redes. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 11.4.5 Segregación de las redes. 11.4.6 Control de la conexión a la red. 11.4.7 Control de encaminamiento (routing) de red. 11.5 Control de acceso al Sistema Operativo (S.O.). 11.5.1 Procedimientos seguros de inicio de sesión. 11.5.2 Identificación y autenticación de usuario. 11.5.3 Sistema de gestión de contraseñas. 11.5.4 Uso de los recursos del sistema. 11.5.5 Desconexión automática de sesión. 11.5.6 Limitación del tiempo de conexión. 11.6 Control de acceso a las aplicaciones y a la información. 11.6.1 Restricción del acceso a la información. 11.6.2 Aislamiento de sistemas sensibles. 11.7 Ordenadores portátiles y teletrabajo. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 11.7.2 Teletrabajo. 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN. 12.1 Requisitos de seguridad de los sistemas de información. 12.1.1 Análisis y especificación de los requisitos de seguridad. 12.2 Tratamiento correcto de las aplicaciones. 12.2.1 Validación de los datos de entrada. 12.2.2 Control del procesamiento interno. 5

12.2.3 Integridad de los mensajes. 12.2.4 Validación de los datos de salida. 12.3 Controles criptográficos. 12.3.1 Política de uso de los controles criptográficos. 12.3.2 Gestión de claves. 12.4 Seguridad de los archivos de sistema. 12.4.1 Control del software en explotación. 12.4.2 Protección de los datos de prueba del sistema. 12.4.3 Control de acceso al código fuente de los programas. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5.1 Procedimientos de control de cambios. 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el S.O. 12.5.3 Restricciones a los cambios en los paquetes de software. 12.5.4 Fugas de información. 12.5.5 Externalización del desarrollo de software. 12.6 Gestión de la vulnerabilidad técnica. 12.6.1 Control de las vulnerabilidades técnicas. 13. GESTIÓN DE INCIDENTES EN LA SI. 13.1 Notificación de eventos y puntos débiles de SI. 13.1.1 Notificación de los eventos de SI. 13.1.2 Notificación de puntos débiles de seguridad. 13.2 Gestión de incidentes y mejoras de SI. 13.2.1 Responsabilidades y procedimientos. 13.2.2 Aprendizaje de los incidentes de SI. 13.2.3 Recopilación de evidencias. 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. 14.1 Aspectos de SI en la gestión de la continuidad del negocio. 14.1.1 Inclusión de la SI en el proceso de gestión de la continuidad del negocio. 14.1.2 Continuidad del negocio y evaluación de riesgos. 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la SI. 14.1.4 Marco de referencia para la planificación de la cont. del negocio. 14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. 15. CUMPLIMIENTO. 15.1 Cumplimiento de los requisitos legales. 15.1.1 Identificación de la legislación aplicable. 15.1.2 Derechos de propiedad intelectual (DPI). 15.1.3 Protección de los documentos de la organización. 15.1.4 Protección de datos y privacidad de la información de carácter personal. 15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. 15.1.6 Regulación de los controles criptográficos. 15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico. 15.2.1 Cumplimiento de las políticas y normas de seguridad. 15.2.2 Comprobación del cumplimiento técnico. 15.3 Consideraciones sobre las auditorías de los sistemas de información. 15.3.1 Controles de auditoría de los sistemas de información. 15.3.2 Protección de las herramientas de auditoría de los sistemas de información. 6

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback