FUNDAMENTOS SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2005
Sistema de Gestión SISTEMA PARA ESTABLECER LA POLÍTICA Y LOS OBJETIVOS Y PARA LOGRAR DICHOS OBJETIVOS (ISO 9000 numeral 3.2.2) SISTEMA: conjunto SISTEMA: de elementos mutuamente conjunto de elementos relacionados o que mutuamente interactúan. relacionados (ISO 9000 o numeral que interactúan. 3.2.1) (ISO 9000 numeral 3.2.1) GESTIÓN: actividades coordinadas para dirigir y controlar una organización. (ISO 9000 numeral 3.2.6)
Seguridad de la Información SEGURIDAD SISTMA PARA DE ESTABLECER LA INFORMACIÓN: LA POLÍTICA Y LOS OBJETIVOS Y y disponibilidad de la información. PARA LOGRAR DICHOS OBJETIVOS (ISO 27001 numeral 3.13) (ISO 9000 numeral 3.2.2) preservación de la confidencialidad, integridad INFORMACIÓN: datos que poseen significado. (ISO 9000 numeral 3.7.1.) SEGURIDAD: mecanismo que previene algún riesgo o que asegura el buen funcionamiento de algo, precaviendo que éste falle.
Algunos aspectos importantes Metodología estructurada. Reconocimiento internacional. Independencia de tecnologías específicas. Desarrollado y mantenido por consenso: industria, consumidores, gobierno, academia, etc. Certificable. Evidencia el cumplimiento de requisitos.
Estructura de la norma 0 1 2 3 4 5 6 7 8 Introducción. Objeto. Referencias normativas. Términos y definiciones. Sistema de gestión de la seguridad de la información. Responsabilidad de la dirección. Auditorías internas del SGSI. Revisión del SGSI por la dirección. Mejora del SGSI. Anexos: A. (Normativo) Objetivos de control y controles. B. Principios de la OCDE y de esta norma internacional. C. Correspondencia entre ISO 9001, ISO 14001 e ISO 27001.
4. Sistema de Gestión de la Seguridad de la Información 4.1 Requisitos Generales. 4.2 Establecimiento y gestión del SGSI. 4.3 Requisitos de documentación.
4.2.1 Establecimiento del SGSI Elaborar una declaración de aplicabilidad. Obtener la aprobación de la dirección para implementar y operar el SGSI. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Identificar y evaluar las opciones para el tratamiento de los riesgos. Analizar y evaluar los riesgos. Identificar los riesgos. Definir un enfoque organizacional para la valoración del riesgo. Definir una política de SGSI en términos de las características del negocio, la organización, su ubicación, sus activos y tecnología. Definir el alcance y los límites del SGSI en términos de las características del negocio, la organización, su ubicación, sus activos, tecnología e incluir los detalles y justificación de cualquier exclusión del alcance. MA-30A-V4
4.3 Requisitos de documentación 4.3.1 Generalidades. 4.3.2 Control de documentos. 4.3.3 Control de registros.
5. Responsabilidad de la dirección 5.1. Compromiso de la dirección. 5.2. Gestión de recursos. 5.2.1. Provisión de recursos. 5.2.2. Formación, toma de conciencia y competencia. MA-30A-V4
5.1 Compromiso de la dirección POLÍTICA Y OBJETIVOS DEL SGSI PLANES DE SEGURIDAD FUNCIONES Y RESPONSABILIDADES COMUNICACIÓN RECURSOS SUFICIENTES CRITERIOS DE ACEPTACIÓN DE RIESGOS Y LOS NIVELES DE RIESGO ACEPTABLES ASEGURANDO LA REALIZACIÓN DE LAS AUDITORÍAS INTERNAS REVISIONES POR LA DIRECCIÓN MA-30A-V4
Anexos ANEXO A. Normativo. Objetivos de control y controles. ANEXO B. Informativo. Principios de la OCDE y de esta norma internacional. ANEXO C. Informativo. Correspondencia con ISO 9001 y 14001. MA-30A-V4
Dominios de control Estratégico Táctico Operativo Política de seguridad Organización de la seguridad de la información Gestión de activos Control de acceso Cumplimiento Seguridad de los recursos humanos Gestión de incidentes de Seguridad Seguridad física y del entorno Adquisición, desarrollo y mantenimiento de Sistemas Gestión de comunicaciones y operaciones Gestión de la continuidad del negocio Seguridad organizacional. Seguridad lógica. Seguridad física. Seguridad legal. MA-30A-V4