ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información



Documentos relacionados
OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Certificación según OHSAS 18001

Norma ISO 9001: Sistema de Gestión de la Calidad

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Norma ISO 14001: 2004

Norma ISO 14001: 2015

Estándares de Seguridad

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

CAS-CHILE S.A. DE I. 2013

1. Seguridad de la Información Servicios... 4

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Gestión de Seguridad Informática

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

SEGURIDAD DE LA INFORMACIÓN

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN Y MEJORA DE LA EFICIENCIA ENERGÉTICA SEGÚN LA NORMA UNE-EN 16001

SEGURIDAD GESTIONADA

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

Mejora de la Seguridad de la Información para las Pymes Españolas

Gestión del Servicio de Tecnología de la información

Estándares y Normas de Seguridad

eficiencia energética certificación Cómo beneficia a mi empresa la eficiencia energética? y su

SISTEMAS Y MANUALES DE LA CALIDAD

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales

PROPUESTA DE CERTIFICACION

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

RESUMEN Y CONCLUSIONES DE OHSAS

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

Sistemas de Gestión de Calidad. Control documental

Crecimiento Y Desarrollo EXPERTOS EN SISTEMAS DE GESTIÓN. Página 1 de 10

Sistemas de Gestión de la I+D+i: UNE :2014

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Basado en la ISO 27001:2013. Seguridad de la Información

2.2 Política y objetivos de prevención de riesgos laborales de una organización

Cómo aprovechar mejor el Webinar

Introducción a los Sistemas de Gestión

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

ISO 9001:2015 Cuestionario de autoevaluación

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

ÁREA DE CALIDAD UALITY & ASSOCIATS ECONOMICS

Crecimiento Y Desarrollo EXPERTOS EN SISTEMAS DE GESTIÓN. Página 1 de 9

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

Sanidad e Higiene Industrial. Docente: Msc. Abel Rosado Ruiz-Apodaca

NTE INEN-ISO XX

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

Diapositiva 1. Control de Calidad. La Calidad en los procesos productivos: Conceptos Generales

Introducción. La certificación bajo la norma ISO garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.

ÍNDICE. Índice 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO OBJETO INTRODUCCIÓN AL ESTANDAR OHSAS... 4

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Directrices para la auto- evaluación A.l Introducción

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

"La Gestión Integral del Transporte Urbano de Viajeros en Autobús"

Sistema de Administración del Riesgos Empresariales

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Master en Gestion de la Calidad

Alimentación Medio Ambiente y Energía Prevención de Riesgos Laborales. Bilbao Donostia Vitoria-Gasteiz

SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD LABORAL PEC- GESTIÓN MUTUAL DE SEGURIDAD C.Ch.C

Capítulo IV. Manejo de Problemas

PRESENTACIÓN Y ORGANIZACIÓN. POLÍTICA DE CALIDAD Y AMBIENTAL.

Principales Cambios de la ISO 9001:2015

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

CUESTIONARIO AUDITORIAS ISO

Estamos CERCA de ti, para que llegues LEJOS

LAS FAMILIA DE NORMAS ISO DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000

ESTRATEGIA DE LA AUTORIDAD DE SALUD Y SEGURIDAD

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

NTP - ISO/IEC 27001:2008

Inicio. Nivel 5. El Marco de la Buena Enseñanza. Definiciones preliminares. Dominios del Marco de la Buena Enseñanza

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

Improving performance, reducing risk. Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO de Medio Ambiente

Qué es SPIRO? Características

Qué es la Auditoria en Sistemas de Información?

TEMA 1: INTRODUCCIÓN A SERVICIOS TI

Sistema de Gestión de Seguridad de la Información

servicios públicos establecer un plan director de almacenamiento

Eficiencia Energética con ISO 50001

0. Introducción Antecedentes

Política General de Control y Gestión de Riesgos

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

ISO Gestión de Seguridad de la Información. Versión 1

SISTEMA DE GESTIÓN DE PREVENCIÓN DE RIESGOS SEGÚN MODELO OHSAS 18001

Guía y herramientas básicas para implementar un SGC

Documento técnico ISO 9001

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

Transcripción:

Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de sistemas de TI complejos y rápidos. La tecnología de la información facilita muchos de los procesos, pero también entraña riesgos. Por tanto, una protección integral de datos e información confidencial es especialmente importante. La fiabilidad y seguridad de la tecnología de la información se convertirá en el factor decisivo para el éxito de una empresa. ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información TÜV SÜD Iberia, S.L.U.

Por qué la norma ISO / IEC 27001? La seguridad de la información es cada vez más importante. Así pues, la información es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad, administrar y proteger la información. Los datos que se procesan electrónicamente especialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentan las exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la protección de los sistemas de información y comunicación frente a las ofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo y los daños causados por acciones externas, o la minimización de las consecuencias provocadas por el comportamiento negligente del ser humano. Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y técnicas no son suficientes Un comportamiento consciente de todos los trabajadores sobre la seguridad de la información es un requisito previo para conseguir una protección integral de datos. La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresas en la identificación sistemática y el análisis de riesgos, que surgen con el uso de la información, hasta la implementación y el mantenimiento de mecanismos adecuados de vigilancia y control. Qué se consigue con un Sistema de Gestión de Seguridad de la Información (SGSI)? Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicación estructurada de todos los aspectos básicos de seguridad. Gracias al mismo puede identificar y analizar sus posibles riesgos, identificar sus necesidades de actuación y realizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad. El ciclo PDCA PLAN (PLANIFICAR) Proteja el conocimiento y, así, los valores de su empresa. Aproveche las excelentes ventajas de un SGSI según la ISO / IEC 27001: ACT (ACTUAR) CHECK (VERIFICAR) DO (HACER) Mejor comprensión de las exigencias del negocio Protección de la información ante las amenazas Fácil identificación de las debilidades Disponibilidad continua de la información y así garantizar una continua actividad comercial Alto nivel de confianza con sus colaboradores Disminución del riesgo de dañar la imagen corporativa 2

Cuáles son los fundamentos de la Seguridad de la Información? La norma ISO / IEC 27 001 considera como las tres principales características de la información: la disponibilidad, la confidencialidad y la integridad. Estas características son fundamentales en todos los requisitos externos que tiene que cumplir la empresa. Disponibilidad de la información crítica para la empresa Disponibilidad Sólo personas autorizadas pueden acceder a la información Confidencialidad Información Fiabilidad y exhaustividad de la información crítica para la empresa Integridad La información no sólo debe cumplir con los requisitos formales, sino que también deben corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la responsabilidad, la constancia y la confianza. Requisitos Disponibilidad Integridad Confidencialidad Información Datos TI Expectativas Credibilidad Responsabilidad Constancia Confianza El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todos los enfoques de la información y no se centra sólo en su uso electrónico: La información es más que simplemente almacenar y procesar La seguridad de la información no sólo abarca la seguridad TI Seguridad significa confidencialidad, integridad y disponibilidad La gestión no es únicamente sistemas técnicos y herramientas 3

Qué requiere la Seguridad de la Información? El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por la seguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestión de todos los procesos relacionados. Existe pues una reflexión esencial de conjunto; únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar una protección fiable se necesita más bien una planificación estructurada, así como un control de todas las medidas de seguridad. Tecnología Sistemas, herramientas, estructura etc. 20 % Gestión Política y responsabilidad de la seguridad de la información, conocimiento y formación, reporting, continuidad empresarial, procesos etc. 80 % Qué contiene la ISO / IEC 27001? La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas (controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es un esquema del contenido de ambas partes. Resumen del contenido ISO/IEC 27001 Sistema de gestión Ciclo PDCA Sistema de gestión basado en la ISO 9001 Determinación de controles de seguridad por medio de: Gestión y responsabilidad Documentación Formación Revisión por parte de la dirección Auditorías internas Gestión de riesgos Identificación Valoración Implementación de controles Definición de valores Los controles (controls) afectan a los siguientes aspectos: Seguridad física y del entorno Seguridad ligada a los RRHH Seguridad de comunicaciones y operaciones Control de accesos Seguridad en la fase de diseño y desarrollo Gestión de incidentes en la Seguridad de la Información Procedimientos de emergencia Cumplimiento 4

Cómo se implementa la ISO/IEC 27001 Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridad de la Información conforme a la ISO/IEC 27001 son: 6 pasos para la implementación Paso 1 Definición del alcance (scope) y los límites de SGSI El ámbito de aplicación aclara y establece en qué campos aplica el Sistema de Gestión de Seguridad de la Información. Paso 2 Definición de la política de la seguridad de la información Determinación de la política de seguridad de la información para el ámbito de aplicación definido. Paso 3 Identificación de los activos de la empresa (assets) y sus riesgos asociados. Dónde están las debilidades? Qué amenazas tenemos que tener en cuenta? Identificación de activos y evaluación Identificación de las debilidades Identificación de las amenazas Valorar las consecuencias Listado de riesgos de la empresa Paso 4 Control de riesgos Qué riesgos se corren? son asumibles? Identificación del riesgo Grado de aceptación del riesgo Criterio 2 Niveles de riesgo identificado Criterio 1 Control necesario Riesgo asumible Paso 5 Fijación de controles y objetivos de control. Paso 6 Definición de la Declaración de Aplicabilidad, la conocida SOA (Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un resumen de las decisiones tomadas en relación al tratamiento del riesgo. 5

Cuáles son los factores de éxito? Para conseguir una implementación de su Sistema de Gestión de Seguridad de la Información con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración los siguientes factores: La política de Seguridad de la Información, medidas y objetivos El modelo PDCA deben estar orientados a los objetivos de la empresa debe estar de acuerdo con la estructura de la empresa Apoyo y aprobación de la dirección a todos los niveles de la organización Buena comprensión de la valoración y gestión de riesgos Formación a todos los implicados Conocimiento de la política de Seguridad de la Información Formación de directivos, empleados entre otros Preparación de presupuestos para todas las actividades de Gestión de Seguridad de la Información Crear concienciación de los problemas TI Configuración de un proceso eficaz frente a incidentes de Seguridad de la Información Planificación de costes de forma realista Introducir conceptos TI en los planes de formación Fijación de requisitos claros Garantía de eficiencia y mejora del Sistema de Gestión de Seguridad de la Información Elaboración de un sistema de indicadores 6

Cómo se desarrolla la Certificación? El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de la auditoría sirve principalmente para conocer su empresa y su importancia para la seguridad. En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma. Fase I de la auditoría Fase II de la auditoría inicial de certificación Auditoría de mantenimiento Fase I de la auditoría: Ámbito de aplicación y alcance Comprensión y documentación Definición del grado de preparación para la certificación (Fase II) Fase II de la auditoría de certificación Comprobación de cumplimiento de los requisitos de la norma y su eficacia Visita a las instalaciones, verificación in situ y elaboración del informe Vigencia: Certificado para 3 años Auditoría anual Auditoría de mantenimiento Auditoría de renovación Entrega del Certificado y del Sello de Calidad de la Información una vez superada la Certificación. Un Certificado significa una visión de futuro Anuncie su éxito a sus empleados, proveedores, colaboradores y clientes. Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el valor añadido que le ofrece en su comunicación empresarial tanto interna como externa. Por ejemplo, en el marco de campañas de marketing. Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos y artículos de papelería de su empresa. 7

www.tuev-sued.es Resumen En el mundo empresarial el tratamiento específico de la información adquiere cada vez un papel más importante. Sólo las personas autorizadas deben tener acceso siempre y en cualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomar en consideración los requisitos a exigir a las partes externas, como clientes y autoridades, para tener acceso a la información. Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de la Seguridad de la Información se cumplen todas las exigencias que afectan a una organización. Si este SGSI también lo audita y certifica un especialista externo, se abren nuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de la información. TÜV SÜD Iberia, S.L.U. C/Frederic Mompou, 4A, 1 o 4 a 08960 Sant Just Desvern (Barcelona) España Tel: +34-93 490 22 20 Fax: +34-93 490 29 04 info@tuev-sued.es www.tuev-sued.es Mayo 2012/13 ES

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback