Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Documentos relacionados
Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad

Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

El sistema de gestión de documentos y su relación con otros sistemas de gestión

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

LA AUDITORÍA DE SEGURIDAD DEL ENS

Norma ISO 14001: 2004

ANEXO 1 DEL PROCEDIMIENTO GENERAL DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

ANEXO 1 DEL PROCEDIMIENTO GENERAL DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Norma ISO 9001: Sistema de Gestión de la Calidad

Hacia el Esquema Nacional de Seguridad

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

Estándares de Seguridad

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo


VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

Norma ISO 14001: 2015

Mejora de la Seguridad de la Información para las Pymes Españolas

NORMALIZACIÓN Y CERTIFICACIÓN. Francisco Javier Miranda González

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Estándares y Normas de Seguridad

Cómo hacer coexistir el ENS con otras normas ya

SISTEMAS DE GESTIÓN MEDIOAMBIENTAL

FUNDAMENTOS SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2005

Basado en la ISO 27001:2013. Seguridad de la Información

PUNTO NORMA: ASPECTOS AMBIENTALES

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

PROGRAMA DEL CURSO OHSAS OHSAS SISTEMA INTEGRADO DE SEGURIDAD Y SALUD, CALIDAD Y MEDIO AMBIENTE

Una Inversión en Protección de Activos

Sistema de Gestión de Seguridad de la Información

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN ISO Y REGLAMENTO EMAS II

Diseño e implantación de un sistema de gestión de la seguridad de la información

CUESTIONARIO AUDITORIAS ISO

1. Seguridad de la Información Servicios... 4

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

AUDITORES DE SISTEMAS DE CALIDAD (PROFUNDIZACIÓN) Fernando Criado García-Legaz Almería, 12 a 14 de mayo de 2003

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

SEGURIDAD DE LA INFORMACIÓN

Sistemas de Gestión: Objetivo y estructura. Jornada: Claves de las ISO para profesionales de la gestión de documentos.

2. La norma UNE : Certificación de Sistemas de Gestión de la I+D+i

Nueva ISO 9001 Una norma que se adapta a su tiempo

SERVICIO DE CONSULTORÍA DE CALIDAD PARA CLÍNICAS DENTALES

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

ISO/IEC Sistema de Gestión de Seguridad de la Información

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN Y MEJORA DE LA EFICIENCIA ENERGÉTICA SEGÚN LA NORMA UNE-EN 16001

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Colaboración entre Ericsson y EOI Escuela de Negocios

ISO Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

2.- REQUISITOS DE LA NORMA UNE-EN ISO 14001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

ISO IMPLEMENTADOR LÍDER CERTIFICADO

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

LAS FAMILIA DE NORMAS ISO DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS

ISO-LOPD - Integración LOPD en Sistemas de Gestión

TEMARIO SISTEMAS DE GESTION DE LA CALIDAD EN EMPRESAS DE SERVICIOS

SISTEMA DE GESTIÓN DE CALIDAD BASADO EN ISO 9001: 2015 EQUIPO TÉCNICO NÚMERO 5

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Aspectos Básicos en Gestión Documental,

RP-CSG Fecha de aprobación

Auditorías de calidad

Sistemas de Gestión Ambiental según la Norma UNE en ISO GUÍA DEL TALLER

Gestión y mejora de la calidad:

Informe final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN TURISMO ESERP UNIVERSIDAD REY JUAN CARLOS

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

Diseño e implantación de un sistema de gestión de la seguridad de la información

REGLAMENTO PARTICULAR GESTIÓN DE LA CALIDAD PARA PRODUCTOS SANITARIOS RP-CSG DE CERTIFICACIÓN DE SISTEMAS DE. Reglamento aprobado el

Experto en auditoría PROGRAMA FORMATIVO. Código: COME027. Duración: 200 Horas. Objetivos: Contenidos: Auditoría de la lopd

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

INFORME DE ACTUALIZACIÓN DE LAS NORMAS ISO 9000

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tema 3. Gestión de la calidad. cómo se gestiona una organización con CALIDAD?

Subdirección General de Tecnologías de la Información y las Comunicaciones. Pedro Ángel Merino Calvo Jefe del Servicio de Auditoría y Seguridad

Gestión de la Prevención de Riesgos Laborales. 1

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Catálogo Cursos División Alimentaria

GESTIÓN DE LAS AUDITORÍAS DE CALIDAD DE LAS UNIDADES DE GESTIÓN UPV

2.2 Política y objetivos de prevención de riesgos laborales de una organización

[ Especialista en. Seguridad de la Información + ]

Auditorías Energéticas obligatorias antes del 5 de diciembre de 2015

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN

PORTADA. Normas ISO Normas ISO

ISO 9001:2000. Acreditación Servicios de Farmacia Hospitalaria. Alicia Herrero. Alicia Herrero Hospital la Paz

Transcripción:

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte) José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR

Índice 1. El Esquema Nacional de Seguridad 2. Establecer el Sistema de Gestión de SI 3. Conclusiones 2

1 - El Esquema Nacional de Seguridad Instrumento para el desarrollo de la administración electrónica, mediante las garantías de seguridad que aporta a ciudadanos y AAPP. Está definido Regulación legal. Generar confianza Para quienes, para qué y exclusiones. Plazos, para los nuevos SI y para los existentes. Medidas de seguridad, y requisitos mínimos. Agentes implicados, guías de aplicación. y basado en la experiencia En Seguridad. En implantación de SGSI ISO 27001. En auditoría y certificación de SGSI - ISO 27006 / Acreditación ENAC. 3

1 El Esquema Nacional de Seguridad No es lo mismo ENS y SGSI ISO 27001 pero muy parecido en cuanto a requisitos ENS ISO 27001 Obligatorio, según plazos definidos Voluntario. Basado en la normalización internacional y nacional Ámbito nacional Relación con LOPD, pero independiente Administración, entidades de derecho público Alcance fijo / establecido Auditoría, según requisitos y Guía de seguridad Requisitos e inventario de medidas de seguridad. Específico, y con requisitos mínimos. Enfoque más a operación y tecnología, basado en el análisis y gestión de riesgos Con agentes implicados (CCN, INTECO) Internacional Correspondencia / integración con otros SG. Requisitos legales. Cualquier organización Alcance adecuado para la organización Auditoría de certificación, según protocolos ISO y acreditación ENAC Requisitos, y lista de objetivos de control y controles Orientado a gestión, y soportado en la evaluación de riesgos, los requisitos legales y voluntarios. Entidades de acreditación y certificación. (Ley 21/1992, de Industria, y RD 2200/95) 4

2 El Sistema de Gestión de SI Gestionando la Seguridad de los Sistemas de Información Enfoque ISO 27001: SGSI Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. (ENS / UNE EN-ISO 27001) Ventajas: Integrable con otros SG. Enfoque a procesos y orientado a la mejora contínua. Toma de decisiones basada en la evaluación de riesgos, la legislación y los resultados. Integra el cumplimiento de la legislación. Alcance ampliable. Certificable, con control por la Entidad Nacional de Acreditación ENAC (reconocimiento). 5

2 El Sistema de Gestión de SI. Implantación Establecer alcance y los límites Definir política de seguridad Organización y responsabilidades Realizar análisis y evaluación de riesgos Evaluar opciones para su tratamiento Seleccionar objetivos de control y controles Aprobación de la Dirección del Riesgo residual Autorización para implantar el SGSI Declaración de Aplicabilidad A 1 Política de SI 2 Estructura organizativa de la SI 3 Clasificación y control de activos 4 Seguridad ligada al personal 5 Seguridad física y del entorno Adoptar las acciones correctivas y preventivas Implantar mejoras identificadas C P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Objetivos de control y controles (ISO 27001-27002) Medidas de seguridad (ENS) 6 Gestión de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestión de Incidentes de Seguridad 10. Gestión Continuidad de Negocio 11 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI 6

2 El Sistema de Gestión de SI Medidas de seguridad, según categoría del SI (nivel de seguridad en cada dimensión), y un mínimo a implantar. ENS (CCN-STIC-804) Marco organizativo (4) Marco operacional (31) Medidas de protección (40) Declaración de aplicabilidad 7

2 El Sistema de Gestión de SI Auditoría del ENS (art 34, Anexo III) Bienal, y ante modificaciones sustanciales (autoevaluación a sistemas de categoría básica). Metodología según criterios, métodos de trabajo y conducta reconocidos, y la normalización aplicable. Informe de auditoría: dictaminará sobre el grado de cumplimiento, identifica no conformidades y deficiencias, propone medidas correctoras y recomendaciones. Comunicación del informe al Responsable del sistema y al Responsable de seguridad. El Responsable del sistema puede retirar de la operación el sistema o servicio (Cat. A). CCN-STIC-802 Guía de Auditoría: Equipo auditor cualificado, e independiente (de actividad de consultoría o similares, no recomendará productos concretos). CCN-STIC-804 Guía de Implantación (Medidas de seguridad, y lo que se considera evidencia suficiente de su cumplimiento) 8

2 - El Sistema de Gestión de SI Declaración de conformidad con el ENS, y distintivos de seguridad: Publicados en las sedes electrónicas, y fácilmente accesibles. Contenido a publicar: Identificar al declarante. El sistema o sistemas, y servicios a los que se refiere. El mecanismo de control del cumplimiento del ENS. Fecha y lugar de emisión, y firma del titular del organismo emisor. Y otros distintivos como: certificaciones en accesibilidad, interoperabilidad o calidad. Indicando datos de la entidad emisora y ámbito al que se aplica. 30 Enero 2011: Publicar Declaración o Plan de adecuación CCN-STIC-809 art. 41 del ENS 9

3 El Sistema de Gestión de SI Certificación: Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. Comprobación de que un SGSI cumplen con una serie de requisitos especificados en ISO 27001 Certificación acreditada 10

3 El Sistema de Gestión de SI CUESTIONARIO PREVIO Y SOLICITUD PLANIFICACIÓN DE LA AUDITORÍA ANÁLISIS DE LA DOCUMENTACIÓN FASE I INFORME / S VISITA PREVIA FASE I AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO (Anuales) CONCESIÓN DEL CERTIFICADO PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA 11

4 Datos ISO 27001 Datos de implantación (Dec 2008) 12

2 Datos ISO 27001 13

Fin de la presentación Muchas gracias 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback