Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad

Documentos relacionados
Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Indice. De qué?, y para qué? El SGSI ISO 27001

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

El sistema de gestión de documentos y su relación con otros sistemas de gestión

Sistemas de Gestión: Objetivo y estructura. Jornada: Claves de las ISO para profesionales de la gestión de documentos.

Gestión y mejora de la calidad:

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

Norma UNE-EN Certificación de la calidad del servicio para contact center. José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR

Aspectos prácticos de implementación del Esquema Nacional de Seguridad


Proceso de certificación de las normas técnicas.

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

AENOR. CERTIFICACIÓN DE SOSTENIBILIDAD ENERGÉTICA EN CPDs EA 0044:2013. D. Antonio CARRETERO. D. Carlos Manuel FERNÁNDEZ. Dirección de Desarrollo

LA AUDITORÍA DE SEGURIDAD DEL ENS

Estándares y Normas de Seguridad

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

NORMALIZACIÓN Y CERTIFICACIÓN. Francisco Javier Miranda González

Cómo hacer coexistir el ENS con otras normas ya

SISTEMAS DE GESTIÓN MEDIOAMBIENTAL

Basado en la ISO 27001:2013. Seguridad de la Información

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

Norma ISO 14001: 2015

El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad. Antonio Villalón Huerta

Norma ISO 14001: 2004

Introducción. La certificación bajo la norma ISO garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

ANEXO 1 DEL PROCEDIMIENTO GENERAL DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Norma ISO 9001: Sistema de Gestión de la Calidad

ISO Juan David Gutiérrez Giovanni Zuccardi 1

DATA SECURITY SERVICIOS INTEGRALES, S.L.

SEGURIDAD DE LA INFORMACIÓN

RESPONSABILIDADES DE LA DIRECCIÓN PC/02

Mejora de la Seguridad de la Información para las Pymes Españolas

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

1. Seguridad de la Información Servicios... 4

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

tu socio tecnológico PLAN MODERNIZACIÓN DE LA ADMINISTRACIÓN PÚBLICA

"La Gestión Integral del Transporte Urbano de Viajeros en Autobús"

RP-CSG Fecha de aprobación

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

ANEXO 1 DEL PROCEDIMIENTO GENERAL DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

PROCEDIMIENTO DE AUDITORIAS INTERNAS

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

ISO/IEC Sistema de Gestión de Seguridad de la Información

INFORME DE ACTUALIZACIÓN DE LAS NORMAS ISO 9000

La certificación como reconocimiento de una buena gestión de los documentos ISO Management system for records - Requirements

Una Inversión en Protección de Activos

Estándares de Seguridad

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Tipos de Auditorías y objetivos básicos. Beneficios de las auditorías.

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

SERVICIO DE CONSULTORÍA DE CALIDAD PARA CLÍNICAS DENTALES

Responsabilidad Social. Certificación. Soluciones para la gestión de los riesgos ambientales

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

NTE INEN-ISO XX

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

Procedimiento General Auditorías Internas (PG 02)

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

LINEAMIENTOS PARA LA TESTIFICACIÓN DE ALCANCES DE ACREDITACIÓN PARA ORGANISMOS DE CERTIFICACIÓN DE PRODUCTOS, PROCESOS O SERVICIOS INS-4.

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Qué es CEPA Certified?

SISTEMAS INTEGRADOS DE GESTION: CALIDAD, SEGURIDAD Y MEDIO AMBIENTE

Tema 3. Gestión de la calidad. cómo se gestiona una organización con CALIDAD?

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

ISO 9001:2015 Delineamiento y Recomendaciones. Jorge Armoa. Oficial Regional AIM/MET Oficina Regional SAM

ISO Gestión de Seguridad de la Información. Versión 1

ENFOQUE ISO 9000:2000

Acreditación de ENAC es su. mejor garantía. Confianza en los laboratorios, seguridad en las medidas. Calibración Acreditada

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

ÍNDICE. Índice 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO OBJETO INTRODUCCIÓN AL ESTANDAR OHSAS... 4

Fundamentos de la Gestión del Servicio de TI con ITIL Versión 3 SM.ITILV3. Competencia profesional del cluster SM IT Service Management

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

PROGRAMA DEL CURSO OHSAS OHSAS SISTEMA INTEGRADO DE SEGURIDAD Y SALUD, CALIDAD Y MEDIO AMBIENTE

Gestión del Servicio de Tecnología de la información

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Procedimiento de gestión de auditorias internas de calidad

Auditorías Energéticas obligatorias antes del 5 de diciembre de 2015

Diseño e implantación de un sistema de gestión de la seguridad de la información

IMPLANTACIÓN SISTEMA DE GESTIÓN

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Hacia el Esquema Nacional de Seguridad

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Procedimientos ISO que conforman el Sistema Integral de Gestión Institucional

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

CENTROS TÉCNICOS DE TACÓGRAFOS DIGITALES REQUISITOS TÉCNICOS CONSEJERÍA DE UNIVERSIDADES, EMPRESA E INVESTIGACIÓN

Organización Internacional de Estandarización

Diseño e implantación de un sistema de gestión de la seguridad de la información

Crecimiento Y Desarrollo EXPERTOS EN SISTEMAS DE GESTIÓN. Página 1 de 9

Experto en auditoría PROGRAMA FORMATIVO. Código: COME027. Duración: 200 Horas. Objetivos: Contenidos: Auditoría de la lopd

Transcripción:

Certificación y consecución de la Adecuación al Esquema Nacional de Seguridad Zaragoza, 21 de diciembre de 2011 José Angel Valderrama Antón Gerente de Nuevas Tecnologías

Indice El modelo ENS y el modelo ISO 27001 Qué es la certificación, y qué se certifica Como se certifica Datos de certificaciones Ventajas 2

Contribuir mediante el desarrollo de las actividades de N+C a mejorar la calidad de las empresas, sus productos y servicios, proteger el medio ambiente y con ello lograr: El bienestar de la sociedad Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995) 3

Miembro español de los organismos de normalización Internacionales, Europeos y Americanos. Acreditado por la entidad nacional de acreditación (ENAC), el Ministerio de Trabajo, Miembro español de IQNet Miembro español de la red mundial de eco-etiquetado. Organismo notificado para 13 directivas de nuevo enfoque. 4

El modelo ENS y el modelo ISO 27001 Legal marco obligatorio (Ley 11/2007 - Real Decreto 3/2010) Determina la política de seguridad a aplicar por las AAPP en la utilización de los medios electrónicos a los que se refiere la Ley 11/2007. Está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Se aplicará para asegurar el acceso, la D I A C T y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias. Establece las medidas de seguridad a aplicar Según un mecanismo de proporcionalidad (nivel de seguridad de cada dimensión, y la categoría del SI) Constituyen un mínimo que se debe implementar, o justificar los motivos por los cuales no se implementan o se sustituyen por otras. Cuenta con las guías del CCN Se apoya en experiencias y modelos internacionales consolidados: El modelo ISO/IEC 27001 5

Modelo ENS y el modelo ISO 27001 1. Establecer la política de seguridad. 2. Inventariar la información y los servicios. 3. Realizar el análisis de riesgos, y determinar las medidas de seguridad a aplicar. 4. Establecer el plan de adecuación para cumplir el ENS. 5. Adecuación. (30-01- 2011 / 2014 Declaración de conformidad / Plan de adecuación ) 6. Auditoría. 6

Modelo ENS y el modelo ISO 27001 UNE-ISO/IEC 27001:2007 - ISO/IEC 27001:2005, con origen en BS 7799-1 y 2 de 1995 y 1998. Voluntario Experiencia, y datos de implantación. Para todo tipo de organizaciones, y distintos alcances. Aplica el marco normativo, de certificación y acreditación oficial. Enfoque común con otros SG. ISO (9001, 14001, 20000), por procesos, y para la mejora continua; Abarca el cumplimiento de los requisitos legales. Para establecer una política, un alcance y unos objetivos para la SI, que salvaguarde los activos de información y los sistemas que los procesan; Promueve seleccionar controles de seguridad, adecuados y proporcionados en el marco de los riesgos empresariales generales, el seguimiento de los resultados y la eficiencia del SGSI; 7

Modelo ENS y el modelo ISO 27001 Establecer alcance y los límites Definir política de seguridad Realizar análisis y evaluación de riesgos Evaluar opciones para su tratamiento Seleccionar objetivos de control y controles Aprobación de la Dirección del Riesgo residual Autorización para implantar el SGSI Declaración de Aplicabilidad A P Modelos ISO Acreditado - Certificación Experiencia Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles D Adoptar las acciones correctivas Adoptar las acciones preventivas C Revisar internamente el SGSI Realizar auditorias internas del SGSI 8

ENS ISO 27001: algunas diferencias ENS ISO 27001 Obligatorio, según plazos definidos (Plan de adecuación: 30/01-2011 / 2014) Ámbito nacional Relación con LOPD, pero independiente Administración, entidades de derecho público Alcance a medios electrónicos usados por los ciudadanos en su relación con las AAPP Auditoría bienal, según requisitos, para sistemas de cat. media y alta. Conjunto particularizado de requisitos y medidas de seguridad. Análisis de riesgos para sistemas cat. media y alta. Con agentes implicados (CCN, INTECO) Voluntario. Basado en la normalización internacional y nacional Internacional Correspondencia / integración con otros SG, y requisitos legales (LOPD y otros). Cualquier organización Alcance adecuado para la organización Auditoría de certificación, según protocolos ISO y acreditación ENAC Análisis de riesgos real. Medidas de seguridad / controles adecuados y justificados. Entidades de acreditación y certificación. (Ley 21/1992, de Industria, y RD 2200/95) 9

Qué es la certificación, y qué se certifica Certificación: Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. Comprobación de que un SGSI cumplen con una serie de requisitos especificados en ISO 27001 Certificación acreditada

Como se certifica CUESTIONARIO PREVIO Y SOLICITUD PLANIFICACIÓN DE LA AUDITORÍA ANÁLISIS DE LA DOCUMENTACIÓN FASE I INFORME / S VISITA PREVIA FASE I AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO (Anuales) CONCESIÓN DEL CERTIFICADO PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA

Como se certifica Actividad Solicitud de oferta y cuestionario previo Planificación Fase I (análisis de documentación, visita a instalaciones, ) Fase II (Auditoría inicial) Plan de acciones correctivas, y Decisión Emisión y entrega del certificado Aud. de seguimiento Aud. de renovación Objetivo Recopilar información del SGSI. Dimensionar la certificación y determinar la competencia necesaria del equipo auditor. Oferta aceptada. Asignar equipo auditor, acordar fechas, preparar actividades, Planificación Revisar las líneas generales del SGSI (documentación, ubicación e instalaciones, alcance del SGSI, enfocar y acordar planificación de Fase II). Informe Confirmar la implantación del SGSI, y adecuación a la ISO 27001. Informe de auditoría inicial. Evaluar las acciones correctivas tomadas contra las no conformidades. Decisión de concesión del certificado (Si / No, con o sin Aud. Extraordinaria) Entrega del certificado acreditado, licencia de uso, y registro de la certificación. Certificado válido por tres años. Evaluar la implantación del SGSI, prevenir desviaciones. Anual. Evaluar implantación del SGSI, y emitir nuevo certificado. Cada tres años. 12

El certificado del SGSI 13

La declaración de conformidad del ENS Declaración de conformidad con el ENS, y distintivos de seguridad: Publicados en las sedes electrónicas, y fácilmente accesibles. Contenido a publicar: Identificar al declarante. El sistema o sistemas, y servicios a los que se refiere. El mecanismo de control del cumplimiento del ENS. Fecha y lugar de emisión, y firma del titular del organismo emisor. Y otros distintivos como: certificaciones en accesibilidad, interoperabilidad o calidad. Indicando datos de la entidad emisora y ámbito al que se aplica. 30 Enero 2011: Publicar Declaración o Plan de adecuación CCN-STIC-809 art. 41 del ENS 14

The ISO Survey 2010 ISO/IEC 27001 - Information security management systems - Requirements Overview Year 2006 2007 2008 2009 TOTAL 5797 7732 9246 12934 Africa / West Asia 426 600 983 1554 Central / South America 18 38 72 99 North America 79 112 212 322 Europe 1064 1432 2172 3564 Far East 4150 5494 5740 7335 Australia / New Zealand 60 56 67 60 Top 10 countries for ISO/IEC 27001 certificates - 2009 1 Japan 5508 2 India 1240 3 United Kingdom 946 4 Taipei, Chinese 934 5 Spain 483 6 China 459 7 Romania 303 8 Italy 297 9 Czech Republic 264 10 Germany 253 ISO/IEC 27001 - Europe Year 2006 2007 2008 2009 Country 810 988 1545 2546 Czech Republic 27 77 88 264 Germany 95 135 239 253 Italy 175 148 233 297 Romania 4 16 44 303 Spain 23 93 203 483 United Kingdom 486 519 738 946 15

The ISO Survey 2010 ISO/IEC 27001 - Certificates by industrial sector The following table gives an idea of the number of certificates by industrial sector. Not all data sources responded to the request EA* Code Nos. ISO/IEC 27001 BY INDUSTRIAL SECTOR 2006 2007 2008 2009 33 Information technology 890 1236 1152 2086 35 Other Services 189 204 228 380 36 Public administration 23 33 79 181 34 Engineering Services 25 33 48 173 31 32 Transport, storage and communication 60 70 63 170 Financial intermediation, real estate, rental 47 54 68 148 Electrical and optical equipment 38 58 50 135 19 28 Construction 55 17 12 127 38 Health and social work 14 10 61 102 37 Education 8 9 25 47 TOTAL 1349 1724 1786 3549 16

Ventajas de certificar el SGSI Apoya enfoque de la Dirección. Apoya la actividad del Responsable del SGSI. Demuestra el cumplimiento de los requisitos: ISO 27001, Alineamiento con requisitos legales (LOPD, LSSICE, ENS, ) Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora). Genera confianza / credibilidad interna y externa (clientes, empleados, accionistas / propietarios, administraciones / jueces, ) Imagen de marca y diferenciación (, ENAC, IQNet). Novedoso 17

Muchas gracias, estamos a su disposición José Angel Valderrama Antón Gerente Nuevas Tecnologías nuevastecnologias@aenor.es ARAGON: P.º Sagasta, 72, entlo. dcha. 50006 ZARAGOZA. Tel.: 976 259 680 - dar@aenor.es Info - 902 102 201 www.aenor.es 18

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback