Certificación del Sistema de Gestión

Documentos relacionados
Medellín, Abril 13 de 2016 CIRCULAR 01 DE: GERENCIA DE SISTEMAS DE GESTIÓN CIDET.

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728.

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

Certificación. Certificación ISO ISO Certification. ISO Sistemas de Inocuidad de los alimentos AVR CERTIFICACIÓN ISO 22000:2005

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

ISO 9000 es un conjunto de normas de calidad establecidas por la ISO que se pueden aplicar en cualquier tipo de organización (empresa de producción o

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

Inter American Accreditation Cooperation

LOS SISTEMAS DE GESTIÓN DE CALIDAD Y SU RELACIÓN CON LOS PROCESOS DE ARCHIVO. Inga. Melania Solano Arrieta Ing. Marco González Víquez

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

Sistema de Gestión de la Calidad SGC

FUNDACION CENTRO COLOMBIANO DE ESTUDIOS PROFESIONALES Aquí Comienzan a ser realidad tus sueños ACCIONES CORRECTIVAS

Resumen Ejecutivo. Generar ahorros a través de mejores prácticas ambientales

CONTENIDO A QUIÉN ESTÁ DIRIGIDO?... 3 JUSTIFICACIÓN... 3 OBJETIVOS GENERALES... 4 COMPETENCIAS... 4 METODOLOGÍA... 4 CONTENIDO...

ISO SERIE MANUALES DE CALIDAD GUIAS DE IMPLEMENTACION. ISO 9001:2008 Como implementar los cambios parte 1 de 6

ISO , por dónde empezamos?

LA SEGURIDAD Y SALUD EN EL TRABAJO POR NORMA

Interpretación Resultados Evaluación MECI Vigencia 2014

NMX-J-SAA ANCE-IMNC-2011

Normas Internacionales de Información Financiera NIC-NIIF Calendario adopción en Colombia

Plan Estratégico Proceso. Elaborar Plan de Acción de Funcional

PROCEDIMIENTO PARA LA INSTAURACION DEL PROCESO DE MEJORA CONTINUA

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

CALIDAD E INOCUIDAD DE ALIMENTOS,

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

Nombre de la Empresa LISTA DE COMPROBACIÓN ISO 9001:2008 FO-SGC Página 1 de 19 Revisión nº: 0 Fecha (dd/mm/aaaa):

Control Interno basado en COSO en las Entidades Municipales

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

COSO Marco de referencia para un adecuado Sistema de Control Interno

Entrenamiento en gestión empresarial. Herramientas de gestión sistemáticos y aplicados para la mejora de procesos

ITIL PRACTICES FOR SERVICE MANAGEMENT ITIL FOUNDATION v3

EQUIPO #5 GESTIÓN DE SISTEMAS DE CALIDAD. INTEGRANTES:

ISO 14001: Energía Hidráulica La gestión y equilibrio de los riesgos medio ambientales en México y en Centro America.

Bureau Veritas Ecuador S.A. ISO 9001:2015 e ISO 14001:2015 LAS REVISIONES LLEGARON ESTÁS PREPARADO?

NORMA ISO 14001:2015 Interpretación de los cambios y visión como Certificadores. Enrique Quejido Martín

PROCESO DE IMPLEMENTACIÓN DE LA NORMA TÉCNICA DE ENSAYOS ISO/IEC 17025

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Enfoque moderno de la Auditoría Interna y las Normas

Por qué conformarse con ser bueno si se puede ser mejor

ISO 9001 Auditing Practices Group Guidance on:

Curso: Mejores Prácticas de Auditoría Interna

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal.

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

Universidad, Desarrollo Sustentable

ISO 9004:2009: Gestión del éxito sostenido de una organización. Un enfoque de gestión de la calidad

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

PROCEDIMIENTO DE AUDITORÍAS INTERNAS DE CALIDAD

PROCEDIMIENTO ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Fomentamos una Cultura de Prevención de Seguridad en las Operaciones de Comercio Internacional CAPÍTULO PERÚ

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Qué es la normalización?

TRANSITION WITH CONFIDENCE ESTRUCTURA GLOBAL COMPARATIVA ENTRE OHSAS ISO 45001

Especificación de los requisitos comunes del sistema de gestión como marco para la integración. Introducción

REUNION DEL CONSEJO NACIONAL PARA ASUNTOS SUPERIOR A.C (CONPAB-IES)

ING. SANTANA LEÓN CTN DE GESTIÓN DE LA CALIDAD E INOCUIDAD ALIMENTARIA

Un Sistema de Gestión Integrado para PYME Cómo y para qué?

Formación de Auditores Internos para Organismos de Certificación de Personas

PROCESO GESTIÓN DE RECURSOS TECNOLOGICOS PROCEDIMIENTO GESTIÓN Y MONITOREO DE LA PLATAFORMA TECNOLOGICA SENADO DE LA REPÚBLICA

SISTESEG Seguridad y Continuidad para su Negocio

Desempeño Alineación Riesgo

1. PRESENTACIÓN 2. RESUMEN

- Interpretar los requisitos a cumplir de las BPM con el aporte de otros modelos que se han venido desarrollando para alcanzar la excelencia.

GESTIÓN 3e, S.L. Tfno Mail:

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

SEGURIDAD EN LA CADENA DE SUMINISTRO ISO HOTEL ESTELAR

Norma Técnica de Administración por Procesos y Prestación de Servicios. Registro Oficial Nro. 739

MANUAL DE ORGANIZACIÓN DIRECCIÓN DE CRÉDITO

MARCO DE REFERENCIA GOBIERNO DE TI PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

PROCEDIMIENTO DE GESTIÓN INTEGRADO REVISIÓN POR LA DIRECCIÓN

Para líderes y organizaciones de alto potencial.

OHSAS CURSO ONLINE 1 INFORMACIÓN GENERAL 2 PRESENTACIÓN 3 OBJETIVOS 4 DIRIGIDO A:

REQUERIMIENTOS ISO 22000:2005 LICENSED TRAINING ORGANIZATION FOR FSSC TPEC S TRAINING PROVIDER AND EXAMINER CERTIFICATION SCHEME

COBIT 4.1. Planear y Organizar PO10 Administrar Proyectos. By Juan Antonio Vásquez

1. Los flujogramas o diagramas de flujo son herramientas de: 2. Entre los beneficios del trabajo en grupo se encuentra:

Introducción a la Estrategia

Plan Estratégico DIAN Aprobado en sesión del Comité de Coordinación Estratégica del 22 de diciembre de 2010

Servicios Energéticos

NTP ISO 9001:2015 SISTEMA DE GESTIÓN DE CALIDAD REQUISITOS ING. PATRICIA INFANTE CTN DE GESTIÓN Y ASEGURAMIENTO DE LA CALIDAD

8.1 PLANIFICAR LA CALIDAD

NTE INEN-ISO/IEC Segunda edición

Antes de imprimir este documento piense en el medio ambiente!

Buenas Prácticas en Gestión Hospitalaria

Política de Seguridad de la Información de ACEPTA. Pública

PBS 8 Gestión de Riesgos y Controles Internos

Identificación, Actualización y Evaluación de Requisitos de Cumplimiento Legal

Beneficios de ITIL (Information Technology Infrastructure Library)

ANEXOS 1.- PLAN ESTRATEGICO 2.- PRESUPUESTO DE INGRESOS DEL HOSPITAL PLAN DE ACCION DE LA UCI 2011

Oscar Martínez Álvaro

Éxito Empresarial. Cambios en OHSAS 18001

ESPECIFICACIÓN DEL PUESTO DE JEFE DE LABORATORIO

ACTUALIZACIÓN DEL MODELO ESTANDAR DE CONTROL INTERNO MECI 1000:2014

Interventoría en proyectos de tecnologías de la información y la comunicación (TIC)

Título del curso. Cómo implantar un sistema de gestión de. calidad según ISO 9001:2015 ONLINE MATRÍCULA ABIERTA PRESENTACIÓN. Información general

Procedimiento de Revisión por la Dirección del Sistema de Gestión Integral

La Norma ISO 50001:2011 y la Gestión de la Energía

Para qué se creó? El objetivo del estándar es proporcionar un conjunto estandarizado de documentos para la documentación de pruebas de software.

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD Y CONTROL INTERNO 1. OBJETIVO

estudio GERENCIA DE RIESGOS Y SEGUROS Nº

Transcripción:

Certificación del Sistema de Gestión British Standards Institution América Latina Marzo, 2007 Evento en Bogotá Colombia Aspectos Estratégicos de las Normas ISO27001; ISO 20000 y ISO25999

1 2 3 4 5 El Grupo BSI BSI Management System ISO 27001 ISO 20000 BS 25999

1 El Grupo BSI Misión Historia Unidades de Negocio BSI en Números

Misión En BSI agregamos valor a través del uso de nuestro conocimiento, experiencia y tecnología en mercados que son claves para la economía global. Nosotros aportamos este conocimiento por medio de la entrega de servicios y soluciones para la industria y los negocios, con el objetivo de mejorar la calidad de vida.

Historia 1901 Creación del Comité de Ingenieros para Normalización. 1918 31,000 normas vendidas, 300 comités de normalización establecidos, cambio de nombre a British Engineering Standards Association (BESA). 1922 Registro de la Marca de Certificación de Productos 1929 Recibimiento de Royal Charter 1931 Cambio de nombre a British Standards Institution 1946 Apoyo a la creación de ISO 1953 Establecimiento de Certificación de Productos 1979 Certificación de Sistemas de Calidad a través de la norma BS 5750.

Historia 1987 Publicación de la Norma BS 5750 / ISO serie 9000 1992 Publicación de la primera Norma para Sistemas de Administración del Medio Ambiente (BS 7750) 1993 Creación de la Norma BS 7799 1996 ISO adopta la BS 7750 como ISO 14001 2000 ISO adopta la BS 7799-1 como ISO 17799 2005 ISO adopta la BS 7799-2 como ISO 27001 2005 Mas de 750 localidades certificadas en América Latina a través de las normas ISO 9001, ISO 14001, ISO TS 16949, OHSAS 18001, BS 7799 - ISO27001, AS 9100, ISO 13485, TL 9000

Unidades de Negocio El Grupo está dividido en tres Unidades de Negocios: BSI British Standards: Organismo de Normalización del Reino Unido, desarrolla normas para atender a las necesidades del negocio, de la sociedad y de la comunidad ISO. BSI Management Systems: opera en todo el mundo para proporcionar servicios de certificación de sistemas y ofrecer una amplia gama de servicios de capacitación. BSI Product Services: también conocido como Kitemark, existe para ayudar a la industria a desarrollar nuevos y mejores productos, para garantizar el cumplimiento de leyes y reglamentos actuales y futuros.

BSI en Latin America Panamá Colômbia Manaus Chile Bolívia Argentina Brasília Salvador Belo Horizonte Rio de Janeiro São Paulo Curitiba Porto Alegre Caxias do Sul Futura Oficina Oficina Casa Matriz

BSI en el Mundo

2 BSI Management System Portafolio de Servicios Metodología de Certificación Ventajas de BSI

Portafolio de Servicios Desempeño del Negocio Sustentabilidad del Negocio Continuidad del Negocio Creación de ventajas a través de la mejora del desempeño + GHG, SA 8000 + HACCP, ISO 22001 Demostración de Responsabilidad Minimización de la Interrupción del Negocio a través de la efectiva Administración del Riesgo

Portafolio de Servicios ISO 27001:2005 Sistema de Gestión de Seguridad en Información b El actual sistema de certificación para la Seguridad de Información fue desarrollado por BSI. b La norma BSI BS 7799-2:2002 es la única norma certificable con sistema de acreditación reconocido actualmente. b En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como base los requerimientos de la norma BSI. Posicionamiento BSI: bbsi tiene una participación de 45% de todo el mercado mundial de certificación en Seguridad de Información. http:// www.iso27001certificates.com

Portafolio de Servicios ISO 20000:2006 Sistema de Gestión de Servicios de TI b Debido a mayor necesidad actual y futura de la infraestructura informática y informaciones que las organizaciones proveen; b El éxito de las organizaciones depende, cada vez mas, de servicios de TI con mas calidad y menor costo; bfuerte interacción con otros aspectos de sistemas de gestión b Posicionamiento BSI: - BSI tiene una participación de 42% de todo el mercado mundial de certificación en ISO20000. http://www.isoiec20000certification.com/

Metodología de Certificación Cuestionario Perfil Oferta Contrato Pre Auditoria Auditoria Cert. * Certificado Opcional Cada 3 años Auditorias de Seguimiento * Auditoria de Recertificación * Certificado Cada 6 ó 12 meses * Procesos de acción correctiva son requeridos para no conformidades identificadas

Capacitación Entrenamientos BSI para desenvolvimiento y implementación del Sistema de Gestión de la Seguridad de la Información (SGSI ) ISO 27001:2005 y ISO 17799 Entendimiento y Interpretación de los Requisitos ISO 17779:2005 - Implementación del Sistema de Gestión de la Seguridad de la Información Formación de Auditores Internos del Sistema de Seguridad de la Información Charla ISO 27001:2005 Informaciones y inscripciones: www.bsibrasil.com.br/treinamento y www.etek.com.co/

Formación de Auditores Líderes de la Seguridad de la Información ISO 27001:2005 - IRCA El entrenamiento del BSI presenta los principios y las prácticas en Sistemas de Gestión de Seguridad de la Información y los procesos relacionados a la auditoria en conformidad con las normas ISO 27001:2005 e ISO 19011:2002. El curso tiene acreditación Internacional del IRCA (International Register of Certified Auditors). Forma de evaluación: Examen escrito para la Formación de Auditores Líderes ISO 27001:2005- IRCA. y evaluación continua (evaluación diaria del desempeño de los alumnos). Requisitos requeridos : Conocimiento previo de las normas ISO/IEC 17799:2005 y BS 7799-2:2002. Experiencia en auditoria interna y seguridad de la información. Carga horaria total: 40 horas /clase

Normas Internacionales de Tecnología de Información ISO 27001 / ISO 20000 BS 25999

3 ISO 27001 Historia Qué es Qué NO es Porqué certificar Implementando ISO 27001

ISO/IEC 27001 Information Security

ISO/IEC 27001 Evolución BS BS 7799:1995 7799:1995 BS BS ISO/IEC ISO/IEC 17799:2000 17799:2000 BS7799-1 ISO/IEC ISO/IEC 17799:2005 17799:2005 ISO/IEC 27002:2005 BS BS 7799-1:1999 7799-1:1999 Revisado en UK 1999: UK Decisión de comité de despachar a ISO Fast track Ciclo normal de revisión en ISO Decisión del Comité Internación de cambiar numeración 1995 2000 2005 2007 BS BS 7799-2:1999 7799-2:1999 Desarrollado developed to para support apoyar certification la certificación BS 7799-2 2004: decisión de UK De despachar a ISO Fast - track Decisión del Comité Internacional de cambiar la numeración ISO/IEC 27001:2005

Qué es ISO/IEC 27001? ISO/IEC 27001:2005 es una inversión en el futuro de la compañía Un sistema de gestión basado en el riesgo, para ayudar a la organización planificar e implementar un Sistema de Gestión de Seguridad de la Información (ISMS), Apoya a las organizaciones al proveer una aproximación estructurada y proactiva hacia la seguridad de la información mediante Garantizando que las personas, procedimientos, procesos y tecnología apropiados, están en su lugar para proteger informaciones bienes activos Ayuda a minimizar posibles daños a organizaciones que pueden ser causadas por acciones deliberadas o accidentales.

Qué es ISO/IEC 27001? Standard Auditable Certificación de 3ra parte Marco para administrar un Programa de Seguridad de la Información Permite considerar aspectos legales, reglamentarios y requisitos contractuales Mejora Continua (Ciclo PDCA)

PDCA Requerimientos Requerimientos del del Negocio Negocio Requerimientos Requerimientos Del Cliente Del Cliente Solicitudes Solicitudes de de Cambios de Cambios de Servicios Servicios Otros Otros procesos procesos e.j e.j negocios, clientes negocios, clientes proveedores, proveedores, Mesa Mesa de de Ayuda Ayuda Otros Otros equipos equipos e.j. e.j. Seguridad, Seguridad, Operaciones Operaciones TI TI Gestión de Servicios Responsabilidades Responsabilidades de de la la Alta Alta Dirección Dirección DO Implementar la Gestión De Servicios PLAN Planificar la Gestión de Servicios CHECK Monitorear, Medir y Verificar ACT Mejora Continua Resultados del Resultados del Negocio Negocio Satisfacción n del Satisfacción del Cliente Cliente Nuevo/cambiado Nuevo/cambiado servicio servicio Otros Otros procesos procesos e.j. e.j. negocios, clientes negocios, clientes proveedores, proveedores, Satisfacción n del Satisfacción del Equipo y Equipo personas y personas

Qué NO ES ISO/IEC 27001 ISO/IEC 27001 no es un estándar exclusivo de TI. No hay requerimientos tecnológicos en ISO/IEC 27001, tales como firewall o siquiera la necesidad de un computador. Sin embargo, existen controles relacionados con TI. El correcto posicionamiento de ISO/IEC 27001 es clave para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información

Porqué algunas Compañías podrían NO Certificarse? Mientras las organizaciones ven beneficios inmediatos en la implementación de un ISMS, no es asi en los beneficios de registro o certificación. Seguridad de la Información es vista por muchas organizaciones como un costo adicional o deuda versus ganancia. Muchas organizaciones están abrumadas por requerimientos legales y regulatorios y son reacias a implementar requerimientos voluntariamente. Seguridad de la información usualmente se visualiza como un tema tecnológico o técnico. Las organizaciones usualmente toman una aproximación reactiva hacia la seguridad, mas que proactiva; si no hay problema, no lo resuelva, o más específicamente, no gaste tiempo, dinero y recursos en algo que no es un problema aún. ISO/IEC 27001 es una aproximación relativamente amplia hacia la implementación de seguridad. El lenguaje utilizado en este estándar es una mezcla de conceptos de gestión y técnicos, especialmente en los objetivos de los controles y los controles.

Porqué las compañías deberían considerar la certificación? Es un marco que considerará todos los requerimientos legales y reglamentarios. Entrega la habilidad de demostrar e independientemente garantizar, los controles internos de la compañía (Gobierno Corporativo) Prueba el compromiso de la Alta Dirección con la seguridad de la información de la empresa y sus clientes. Ayuda a proveer de un margen de competitividad para la compañía. Reduce la cantidad de tiempo y esfuerzo cuando se realizan auditorias internas o externas. Es más fácil obtener financiamiento y recursos para el equipo de seguridad de la información y objetivos de la seguridad. Provee una meta, la que ayudará a facilitar la implementación de un ISMS y controles de seguridad. Formaliza e independientemente verifica, procesos, procedimientos y documentación de Seguridad de la información. Verifica independientemente que los riesgos de la compañía están apropiadamente identificados y gestionados. Ayuda a identificar y reunir requerimientos contractuales y reglamentarios Demuestra a los clientes que la seguridad de SU información es tomada en serio.

Alcance y Límites El estándar internacional ahora requiere que la organización defina el alcance y los limites de su ISMS [4.2.1 a], que ahora debe incluir detalles, y justificaciones para, cualquier exclusión del alcance.

Evaluando el Riesgo Ahora las organizaciones deberán definir (y documentar) como evaluarán el riesgo [4.2.1 c]. Seleccionando y documentando una metodología de evaluación de riesgo que permita que la evaluación de riesgo produzca resultados comparables y reproducibles [4.2.1 c y 4.3.1 d]. Las Evaluaciones de riesgo deben ser revisadas a intervalos planificados [4.2.3 d], y Que la Dirección revise las actualizaciones de las evaluaciones de riesgo y el plan de tratamiento de estos [7.3 b]. Debe ser completado a lo menos una vez al año como parte de la revisión de la Dirección, del sistema de gestión de la seguridad de la información (ISMS) [7.1]. Debe existir trazabilidad y relación desde el control seleccionado hacia el resultado de la evaluación de riesgo y el proceso de tratamiento de este, y subsecuentemente hasta la política del ISMS y sus objetivos [4.3.1]. Aunque implícito en el estándar actual, esto ahora se ha clarificado en el estándar internacional.

Obligaciones Contractuales Adicionalmente a requerimientos legales y reglamentarios, el estándar internacional ahora pone fuerte énfasis en las obligaciones contractuales en todas las etapas del ISMS, incluyendo: Evaluación de riesgo, Tratamiento de riesgo, Selección de controles, Control de registros, Recursos, Monitorear y evaluar el ISMS, y Requerimientos documentales.

Qué deben hacer las organizaciones certificadas? Las organizaciones actualmente certificadas bajo BS 7799-2:2002 deben considerar los cambios de la versión 2005 y actualizar su sistema de gestión de seguridad de la información. Las organizaciones certificadas bajo BS 7799-2:2002 serán transferidas a ISO/IEC 27001. El período de transición depende de las declaraciones de transición que realicen los cuerpos de Acreditación Nacional. En la práctica, se espera que las diferencias sean consideradas durante la próxima visita de seguimiento por un asesor y, si corresponde, se emita una recomendación para otorgar al cliente un certificado con la numeración ISO/IEC 27001:2005. Durante el período de transición, se espera que donde el cliente no ha realizado los cambios hacia el nuevo estándar, pero aun en el período de transición, el asesor registrará esta diferencia como un comentario/observación. Una vez terminado el período de transición, estas se convertirán en no-conformidades y el registro estará en riesgo.

Estableciendo el ISMS (Plan) Alcance y Límites Define the scope and boundaries Identificar of the el Riesgo metodología de Information Del ISMS Security Management System (ISMS) Definir una política Identificar y evaluar Las alternativas de Tratamiento del riesgo Definir la Evaluación de Riesgo Analizar y Evaluar el Riesgo Seleccionar Objetivos de controles y controles Aprobación por la Dirección de los riesgos residuales propuestos Autorización de la Dirección para implementar y operar un ISMS Declaración de Aplicabilidad

Implementando y Operando el ISMS (Do) Acciones de Administración Recursos Prioridades Plan de Tratamiento de Riesgo Para la Gestión de los Riesgos de la Seguridad de la Información Responsabilidades

Implementando y Operando el ISMS (Do) O Definición de cómo medir la Define como efectividad de medir la Objetivo: Asegurar que la información recibe un apropiado grupos de nivel de protección efectividad controles de controles 7.2 Clasificación de la Información 7.2.1 Pauta de Clasificación Control La información debe ser clasificada según su valor, requerimiento legal, sensibilidad y nivel de criticidad para la organización 7.2.2 Etiquetado y Manipulación de la Información Define como Control medir la Un conjunto de procedimientos efectividad apropiados para la identificación y manipulación de la información debe de ser controles desarrollado e implementado de acuerdo con el esquema de clasificación adoptado por la organización

Implementando y Operando el ISMS (Do) Implementando programas de capacitación y sensibilización Empleados (end users) Administradores Alta Dirección Recursos Humanos Departamento Legal Comercializadores independientes, Outsourcers, etc. Auditorias, Administradores de Cumplimiento, etc. IT Administradores de sistemas Operadores de redes Help Desk

Implementando y Operando el ISMS (Do) Gestionar operaciones y recursos del ISMS. Implementar procedimientos y otros controles para la detección de y respuesta a incidentes de seguridad.

4 ISO 20000 Definiciones Historia Objetivos Beneficios Certificación

Definiciones Gestión de Servicios TI La gestión de Servicios TI para soportar una o más áreas de negocios ISO/IEC 20000 El primer estándar global que apunta específicamente a gestión de servicios IT

ISO/IEC 20000 Parte 1 Especificación para la Gestión de Servicios. ISO/IEC 20000-1: 2005 Parte 2 Código de práctica para la Gestión de Servicios ISO/IEC 20000-2:2005

Historia Gobierno de UK lanza IT Infrastructure Library (ITIL) en 1989 ITIL define mejores prácticas de procesos y procedimientos ITSMF se forma en 1991 para desarrollar más las mejores prácticas ITSMF se acerca a BSI para desarrollar un estándar BS 15000 publicado por primera en 2000 como una especificación (Revisado en 2002) BS 15000 revisado y se transforma en ISO/IEC 20000 en Diciembre 2005

Direccionadores del Estándar Cambiar de invertir en herramientas de desarrollo de software, a administrar la calidad de los servicios una vez vivos. La necesidad de entregar servicios de entrega de servicios de costo efectivos Falta de orientación y estándares aceptados Subir el perfil del departamentos de IT o la organización Enfocado en el Gobierno de UK, ITIL y itsmf

Calce de Productos ISO/IEC 20000 ISO/IEC 17799 ISO 9001:2000 ISO 9001/2/3:1994

Objetivos de ISO/IEC 20000 Promover la adopción de una visión integrada de procesos para efectivamente entregar servicios gestionados que cumplan los requerimientos del negocio y clientes ISO/IEC 20000-1:2005 Permitir la comprensión de las mejores prácticas, beneficios objetivos y posibles problemas de la gestión de servicios. Ayudar a las organización a generar retornos o ser mas costo efectivos vía la gestión de servicios profesionales.

Beneficios del Producto La implementación provee control, mayor eficiencia y oportunidades de mejora Transformar departamentos enfocados en tecnologías en unos enfocados en servicios. Asegurar que los servicios IT están alineados con y satisfacen los requerimientos de la empresa. Mejorar la credibilidad y disponibilidad del sistema. Proveer las bases para acordar niveles de servicio y la habilidad de medir la calidad de los servicios IT.

Certificación ISO/IEC 20000 se cada vez mas visto como el estándar de calidad para la Gestión de Servicios IT Muchas compañías se esfuerzan por adoptar debido a: Los beneficios para si mismos, y Para ayudar a calificar y elegir proveedores y organizaciones asociadas Solamente el esquema de certificación formal provee de verificación de cumplimiento en forma independiente Sube el perfil interno de una organización IT

5 BS 25999 Definiciones Sinopsis

BS 25999 Sistema de Gestión de Continuidad de Negocios

Definiciones BS 25999-1 Códigos de Prácticas para Gestión de Continuidad del Negocio ( Parte que substituirá el actual PAS 56). BS 25999-2 Especificación para Gestión de Continuidad de Negocio. ( No está siendo certificada por el momento)

Sinopsis de la BS 25999-1 BS 25999-1 Códigos de Prácticas para Gestión de Continuidad de Negocio ( Parte que substituirá al actual PAS 56). Gerenciamiento de Programa de Continuidad de Negocios papeles y Responsabilidad Entendiendo su negocio y organización en el contexto de BCM Evaluación de riesgo Identificando factores críticos. Determinando las opciones de su BCM Monitoreando para minimizar impactos con incidentes Evaluando sus opciones de estrategia de producto/servicio y opciones de continuidad para diferentes elementos. Desarrollando e Implementando el BCP Plan de gestión de incidentes Plan de continuidad de negocio Realizando ejercicios de BC, mantenimiento, y auditoria. Introduciendo el BCM en la cultura organizacional.

Thank You BSi Management Systems Alan Santos Cori BSI

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback