Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría



Documentos relacionados
Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Hacia el Esquema Nacional de Seguridad

NTE INEN-ISO/IEC Primera edición

Qué es la ISO 27001?

Normalización en seguridad de las tecnologías de la información

Comprimido ARCHIformativo ISO 30300

Estándares de Seguridad

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

SEGURIDAD DE LA INFORMACIÓN

Auditores de sistemas de gestión documental: una nueva perspectiva profesional

NTE INEN-ISO/IEC Tercera edición

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

NTE INEN-ISO XX

Orientación Técnica y Metodológicas Compromisos de Gestión

SEGURIDAD DE LA INFORMACIÓN

ENFOQUE ISO 9000:2000

Programa de asignatura

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad. Antonio Villalón Huerta

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Normalización en seguridad de las tecnologías de la información

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

La norma ISO 19011:2011

Grupo de Difusión del CTN50/SC1 Gestión de documentos y aplicaciones de AENOR Universitat Oberta de Catalunya

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

Sistemas de Gestión: Objetivo y estructura. Jornada: Claves de las ISO para profesionales de la gestión de documentos.

EVA MUÑOZ BLANCO. Auditor Jefe de Seguridad de la Información de Applus+

Basado en la ISO 27001:2013. Seguridad de la Información

Gestión de Seguridad Informática

NTE INEN-ISO/IEC Primera edición

UN RECORRIDO POR LA FAMILIA ISO

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Mestrado em Tecnologia da Informação. Segurança da Informação

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor

#233 Seguridad desde el punto de vista SOX y Gobernalidad

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos

PROGRAMA DE ASIGNATURA

Unidad VI: Auditoria de la calidad

Implantación de un Sistema de Gestión de Seguridad de la Información según la

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

NORMA ISO/IEC 27001:2005

Modulo 4: COBIT COMO MARCO DE TRABAJO PARA UN BUEN GOBIERNO DE TI

Estándares de gestión en Seguridad Integral

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

Soluciones Integrales que brindan Calidad, Seguridad y Confianza

ISO 9001:2015 Delineamiento y Recomendaciones. Jorge Armoa. Oficial Regional AIM/MET Oficina Regional SAM

Sistemas de Gestión de la Seguridad de la Información.

NTE INEN-ISO/IEC Primera edición

LAS FAMILIA DE NORMAS ISO DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

ISO IMPLEMENTADOR LÍDER CERTIFICADO

Cómo Asegurar la Calidad de Servicios de TI?

RESUMEN DEL ESTUDIO SOBRE LAS NECESIDADES DE CERTIFICACIÓN Y ACREDITACIÓN EN MATERIA DE CIBERSEGURIDAD

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

AUDITORÍAS Y AUDITORES ISO 9000:2000

Estándares y Normas de Seguridad

140 Horas académicas

CAS-CHILE S.A. DE I. 2013

Prof. Juan José Díaz Nerio. Foro de Tecnología : Gestión de la Calidad del Software. Domingo 16 Noviembre 2014

CURSO OFICIAL IMPLEMENTADOR LÍDER ISO 20000

Certificación. Gestión Avanzada 9004

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

Principales Cambios de la ISO 9001:2015

NTE INEN-ISO/IEC Primera edición

Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad

Introducción. La certificación bajo la norma ISO garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.

ISO/IEC Sistema de Gestión de Seguridad de la Información

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

CURSO IMPLEMENTADOR LÍDER ISO 27001

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Seguridad Informática.

Gestión del Servicio de Tecnología de la información

CUESTIONARIO AUDITORIAS ISO

Ing. Nicolás Serrano

COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT

Norma ISO 9001: Sistema de Gestión de la Calidad

Introducción a ISO 25000

Bootcamp de Certificación 2015

Introducción al IT Governance. Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile

0. Introducción Antecedentes

Quito Ecuador EXTRACTO

Política General de Control y Gestión de Riesgos

Primera: Condiciones de participación.

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

Seminario en Calidad 2014 Material de Consulta

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC :2006, IDT)

Diseño e implantación de un sistema de gestión de la seguridad de la información

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

LICENCIA PLATAFORMA ERM

Transcripción:

Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

INTRODUCCIÓN El conocimiento y habilidades relacionadas a la disciplina La aplicación de métodos, técnicas, procesos y prácticas específicos a esta disciplina SUFICIENTES Generar hallazgos y conclusiones de auditoría apropiados.

Conocimiento y habilidades específicas de la disciplina o sector de los auditores de sistemas de gestión Requisitos y principios de sistemas de gestión específicos a la disciplina, y su aplicación. Requisitos legales relevantes a la disciplina y el sector. Requisitos de las partes interesadas relevantes a la disciplina específica. Aplicación suficiente de métodos, técnicas, procesos y prácticas técnicas. Conocimiento específico a la disciplina relacionado con el sector particular o lugar de trabajo que está siendo auditado. Principios de gestión del riesgo, métodos y técnicas relevantes.

EJEMPLOS Lineamientos de normas como ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005. Identificación y evaluación de requisitos de clientes y partes interesadas. Las leyes y regulaciones que tratan el tema de seguridad de la información. Procesos, ciencia y tecnología subyacente a la gestión de seguridad de la información. Evaluación de riesgos (identificación, análisis y evaluación) y tendencias en tecnología,amenazas y vulnerabilidades.

EJEMPLOS Gestión de riesgo de seguridad de la información. Métodos y prácticas para control de seguridad de información (electrónica y física). Métodos y prácticas para integridad y sensibilidad de información. Métodos y prácticas para medir y evaluar la efectividad del sistema de gestión de seguridad de la información y controles asociados. Métodos y prácticas para medir, monitorear y registrar el desempeño (incluyendo pruebas, auditorías y revisiones).

PRINCIPIOS Confianza en un sistema de gestión que cumple con los requisitos especificados. Confianza del público y por parte de terceros. Partes que tienen un interés en la certificación incluyen, pero no se limitan a: Los clientes de los organismos de certificación, Los clientes de las organizaciones cuyos sistemas de gestión están certificados, Autoridades gubernamentales, Organizaciones no gubernamentales, Consumidores y otros miembros del público. Principios para inspirar confianza incluyen: Imparcialidad, Competente, Responsabilidad, Mentalidad Abierta, Confidencialidad, Receptividad a las quejas o reclamaciones

ISO/IEC JTC 1/SC 27 El Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad - Tecnología de la Información tiene por alcance y área de trabajo la normalización de métodos genéricos y técnicas para la seguridad de TI. La actividad del SC27 se enmarca en la concepción de la Seguridad de la Tecnología de la Información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información.

Normas de gestión de seguridad de la información En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes: Proporcionar un marco homogéneo de normas y directrices. Proporcionar requisitos, metodologías y técnicas de valoración. Evitar el solapamiento de las normas y favorecer la armonización.

Normas de gestión de seguridad de la información Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones. Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE. Usar lenguaje y métodos comunes. Facilitar la flexibilidad en la selección e implantación de controles. Ser consistente con otras normas y directivas de ISO.

27000 En proyecto. Information security management fundamentals and vocabulary. 27001 ISO/IEC IS 27001:2005 Information technology Security techniques- Information security management systems. Norma disponible desde 14 Octubre de 2005. 27002 ISO/IEC IS 17799:2005 Information technology- Security techniquies- Code for infomation security management. 10/06/2005 27003 En proyecto. Information secuirty management system implementatios guidance. 27004 En proyecto. Information technology Security techniques- Information security management measurements. 27005 En proyecto. Information Security Risk Management. 27006 ISO/IEC IS 27006:2007 Requirements for the accreditation of bodies providing certification of information security management systems. 13 de febrero 2007. 27007 En proyecto. Auditing Information Security Management Systems against ISO 27001 27008 En reserva. 27009 En reserva. 27011 En proyecto. Information security management guidelines for telecommunications.

BIBLIOGRAFIA Normalización 2007 http://www.seap.minhap.gob.es/dms/es/publicaciones/centro_de_pub ISO/IEC 17021 http://isiri.org/portal/file/showfile.aspx?id=746a125a-d702-477e-8e ISO/IEC 27006 http://www.pqm-online.com/assets/files/standards/iso_iec_27006-200

DUDAS?

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback