PLA DIRECTOR DE SEGURETAT

Documentos relacionados
Missió de Biblioteques de Barcelona

i-siss.cat Plataforma WiFIS d Interoperabilitat XX-XX-2014 (Confidencial)

FORMACIÓ ÀREA TIC SEMI PRESENCIAL ( ANY 2011)

Context tecnològic del nou Transport Sanitari Barcelona, 18 de novembre de 2014

Jornada d'innovació Docent UPC 2010

Perquè la millor solució de seguretat no és cara

POLÍTICA DE COOKIES. La información que le proporcionamos a continuación, le ayudará a comprender los diferentes tipos de cookies:

GUIA BÀSICA PER UTILITZAR L OFICINA VIRTUAL

Màster Universitari en Educació per a la Salut. Facultat d'infermeria Universitat de Lleida. Informe de seguiment Curs

Factura electrònica característiques del nou projecte

INFORME DE LA AUDITORÍA DE CERTIFICACIÓN

en línia! en línea! Guia de suport per realitzar tràmits en línia Guía de apoyo para realizar trámites en línea Tràmits Trámites

e 2 esplais al quadrat

SERVEI METEOROLOGIC DE CATALUNYA Informe de Auditoría según ISO 9001:2008

OHSAS 18001:2007 i normativa legal

PROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013

Seguretat informàtica

LLEI DE TRANSPARÈNCIA INFORMACIÓ ECONÒMICO FINANCERA Llei 19/2013, de 9 de desembre (bàsica) Llei 19/2014, de 29 de desembre (autonòmica)

Els processos com eina d organització. Experiència en l HUVH

LA REFORMA DEL PROCEDIMENT ADMINISTRATIU COMÚ I DEL RÈGIM JURÍDIC DEL SECTOR PÚBLIC

PROYECTO LEAN LAVANDERIA

7è PREMI CONSELL MUNICIPAL D IMMIGRACIÓ DE BARCELONA BASES DE LA CONVOCATÒRIA 2015

Jornada sobre prevenció, detecció i atenció als ASI Cerdanyola, maig prevenció dels ASI. ITER BSO

PANGEA: Historial de projectes

II Jornada de la XaROH del programa Beveu Menys 15 juny 2011

Transposición Directiva 2012/27/UE

ORPIMO. Nova Ordenança Nou Model d Obres. Ordenança Reguladora dels Procediments d Intervenció Municipal en les Obres. V2.0: 27 de setembre de 2011

INFORME DE SEGUIMENT DEL GRAU EN PSICOLOGIA (CURS )

CERTIFICACIÓN DE SISTEMAS DE GESTIÓN INFORME DE AUDITORÍA INTEGRA, ASSOCIACIÓ DE DISCAPACITATS INTEL LECTUALS

CRT de Vila-seca i Salou UNA UBICACIÓ ESTRATÈGICA DE LA COSTA DAURADA

BARÒMETRE DE LES FINANCES ÈTIQUES I SOLIDÀRIES [ 2014]

UN NOU DESENVOLUPAMENT EN EL PRÉSTEC INTERBIBLIOTECARI DEL CBUC

INSTITUT GUTTMANN - DOSSIER INFORMATIU

TRABAJO FINAL DE MÁSTER

Millors experiències a Europa respecte la mobilitat als polígons industrials: El projecte IMOSMID

INFORME DE SEGUIMENT DEL MÀSTER EN GESTIÓ ADMINISTRATIVA (CURS )

Conselleria de Transparència, Responsabilitat Social, Participació i Cooperació

Reciclar al professional sanitari en les noves tecnologies. Integrar en els hospitals nous serveis sanitaris de valor afegit.

INFORME DE LA AUDITORÍA DE CERTIFICACIÓN

Auditories energètiques, que caldrà fer abans del Juny 2015

PLA ECOR. Pla de Seguretat Local. Cornellà de Llobregat

MÀSTER UNIVERSITARI EN GESTIÓ ADMINISTRATIVA MÁSTER UNIVERSITARIO EN GESTIÓN ADMINISTRATIVA

Josep Maria Puig, Roser Batlle, Carme Bosch, Josep Palos. Aprenentatge servei

OFICINES ENGINYERIA CIVIL DIRECCIONS D OBRA. ENGINYERIA DEL TERRENY PROSPECCIONS GEOTECNIQUES HIDROGEOLOGIA I HIDRAULICA

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

VA ACUERDO CON EL BBVA: FINANCIACIÓN EN CONDICIONES ESPECIALES

Noves tecnologies i comunicació 2.0 Usos i potencialitats del branding de les empreses en temps de crisi. Assumpció Huertas

FASE 2a. ESTRATÈGICA ESQUEMA PMK PAS 4 OBJECTIUS

Biblioteca i serveis universitaris

Sol licitud d autorització sanitària d establiments de MENJARS PREPARATS Solicitud de autorización sanitaria de establecimientos de COMIDAS PREPARADAS

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

INFORME DE SEGUIMENT DEL MÀSTER EN ESTUDIS HUMANÍSTICS I SOCIALS (CURS )

5.2. TRAMITACIÓ. ANÀLISI DE LA DOCUMENTACIÓ 5.3. AUDITORIA PER A LA CERTIFICACIÓ

Memòria del Projecte Conca Digital

BASES REGULADORAS DE LAS AYUDAS MUNICIPALES PARA EL FOMENTO DE LA INICIATIVA EMPRENDEDORA EJERCICIO 2014

Resumen. En el anexo 2 se presentan los siguientes documentos: - Resumen encuesta de satisfacción (CBB).


INFORME DE SEGUIMENT DEL CURS INFORME DE SEGUIMIENTO DEL CURSO

XII Jornadas de Gestión de la Información Mesa redonda: realidad contra ficción 18 de noviembre de 2010

5. Excedència per cura de fills i filles

ICSA. Estudi DonaTIC: Una primera reflexió sobre la dona tecnològica

MANUAL DE CONFIGURACIÓ BÀSICA DEL VISAT TELEMÀTIC

Treballs en piscines d ús públic

Informe de Necesidades Formativas Planes de Formación de los empleados locales de la provincia

Disponibilidad, difusión y uso de los indicadores de inserción laboral de los graduados del Sistema Universitario Catalán

CONVOCATORIA 2014 DOCUMENTACIÓ DEL PROJECTE:

Ponent: GRUP OSTEOPOROSI

BASES REGULADORAS DE LAS AYUDAS MUNICIPALES PARA EL FOMENTO DE LA INICIATIVA EMPRENDEDORA EJERCICIO 2015

Per tot això, amb els informes favorables de l Advocacia General de la Generalitat i de la conselleria d Economia, Hisenda i Ocupació, a

MANIFEST RESISTENCIA INDEFINIDA A LA LOMCE. més doctrinal, més autoritari i més selectiu econòmicament i socialment.

Conselleria de Sanitat Consellería de Sanidad

Puede llamar por teléfono al 010 o al Encontrará las condiciones del servicio en la web (

Elche, 2 de diciembre de El rector, p. d. (R 767/07 de ), el vicerrector de Personal: José Francisco González Carbonell.

COM FER UN BON CURRÍCULUM VITAE?. MODELS.

BASES PER A LA CONVOCATÒRIA D UN CONCURS PER PROVEIR LA GERÈNCIA DEL MUSEU D ART CONTEMPORANI DE BARCELONA

V JORNADES D'UNITATS D'IGUALTAT DE LES UNIVERSITATS ESPANYOLES REALITZADES A LA UNIVERSITAT DE BARCELONA

01 Introducció 02. Objectius 03 Procés de treball 04 05

MÀSTER UNIVERSITARI EN GESTIÓ ADMINISTRATIVA MÁSTER UNIVERSITARIO EN GESTIÓN ADMINISTRATIVA

Fiscalitat a Internet

Resulta imprescindible incorporar alguna persona amb experiència en les tasques següents:

REVISONS DE GAS ALS DOMICILIS

Projecte d especialització i competitivitat territorial

PROGRAMA FORMATIU 2014

PROTOCOL PER AL MANEIG DEL TRASTORN PER DÈFICIT D ATENCIÓ AMB HIPERACTIVITAT (TDAH) INFANTO JUVENIL EN EL SISTEMA SANITARI CATALÀ

tu socio tecnológico PLAN MODERNIZACIÓN DE LA ADMINISTRACIÓN PÚBLICA

Consentimiento Publicación Imágenes

DELS SERVEIS BÀSICS D ATENCIÓ SOCIAL PRIMÀRIA

Sisemes de gestió empresarial per a la PIME

Posicionament web i visibilitat a internet dels Cellers amb D.O Empordà

Manual de usuario web GHD Fresc Manual d usuari web GHD Fresc.

LES REGLES DE VALORACIÓ DE LES RETRIBUCIONS EN ESPÈCIE.

Transcripción:

Juny de 2016 SISTEMES DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓ Alumne : Consultor : Arsenio Tortajada Gallego Director : Carles Garrigues Olivella

ÍNDEX Motivació Enfoc del projecte Descripció de les tasques realitzades Conclusions

ÍNDEX Motivació Enfoc del projecte Descripció de les tasques realitzades Conclusions

Motivació Les AAPP utilitzen serveis TIC Els serveis TIC s han de protegir Normativa d obligat compliment per a les AAPP LOPD Esquema Nacional de Seguretat Administració electrònica Lleis 39/2015 i 40/2015 Tractament integral de la seguretat Normes ISO/IEC 27000 (27001 i 27002)

Motivació Els pilars de la Seguretat de la Informació Confidencialitat Integritat Disponibilitat Autenticitat Traçabilitat

Motivació Procés de Gestió de la Seguretat

Motivació Procés de Gestió de la Seguretat ISO/IEC 27001:2013 ISO/IEC 27002:2013 PLA DIRECTOR ENS LOPD

Motivació ISO/IEC 27001:2013

ÍNDEX Motivació Enfoc del projecte Descripció de les tasques realitzades Conclusions

Enfoc del projecte Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Enfoc del projecte - Situació actual Selecció de l organització d estudi Definició de l abast del Pla Director Anàlisi de compliment inicial

Enfoc del projecte - Sistema de gestió documental Documents elaborats Política de Seguretat Procediment d'auditories internes Gestió d'indicadors Procediment de revisió per la direcció Gestió de rols i responsabilitats Metodologia d'anàlisi de riscos Declaració d'aplicabilitat

Enfoc del projecte Anàlisi de riscos Metodologia MAGERIT Identificació i valoració dels actius Definició de les amenaces Avaluació del risc i l impacte potencial Eines d anàlisi de risc EAR-PILAR / CCN-CERT PILAR Micro Pilar

Enfoc del projecte Proposta de projectes Planificació dels projectes Definició de 12 projectes Projectes de primer semestre Projectes de segon semestre Definició dels objectius dels projectes

Enfoc del projecte Auditoria de compliment Auditoria dels controls de la ISO/IEC 27002:2013 Informe d auditoria Recomanacions de millora

Enfoc del projecte Presentació de resultats Memòria del projecte Resum executiu Presentació de defensa del treball Vídeo de defensa del treball

ÍNDEX Motivació Enfoc del projecte Descripció de les tasques realitzades Conclusions

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Tasques realitzades Situació actual: contextualització Ajuntament de Fita Alta Municipi de 100.000 habitants 800 treballadors i 700 ordinadors 80 servidors 2 CPD Tecnologia basada en la virtualització 40 edificis municipals connectats amb FO Xarxa de telecomunicacions pròpia Gestió de telefonia IP Personal propi de TI i personal extern

Tasques realitzades Situació actual: Abast del Pla (I) Sistemes d informació de la Seu Electrònica Serveis essencials de la Seu Electrònica El Tauler electrònic d Edictes Licitacions de l Ajuntament i dels organismes autònoms Pagament de tributs Consulta d ordenances i reglaments Consulta del planejament urbanístic Consulta de les notificacions electròniques Carpeta ciutadana Carpeta del proveïdor Validador de documents electrònics Presentació de factures electròniques Consulta de les cartes de servei a la ciutadania

Tasques realitzades Situació actual: Abast del Pla (II) Sistemes d informació de la Seu Electrònica Punt d accés únic per a l administració electrònica Catàleg de tràmits Oficina virtual

Tasques realitzades - Situació actual: Objectius Compliment de la normativa legal en matèria de seguretat: ENS, LOPD Implantació de les bones pràctiques en Seguretat dels SGSI definides a les normes ISO/IEC 27000 27001:2013 com a norma certificable 27002:2013 com a recull de bones pràctiques Millorar la seguretat dels sistemes de gestió de la informació de l'ajuntament Oferir serveis segurs a la ciutadania Millorar la confiança que tenen els ciutadans en l'administració

Tasques realitzades- Situació actual: Anàlisi diferencial Avaluació dels nivells de maduresa

Tasques realitzades- Situació actual: Anàlisi diferencial Diagrama de radar nivell de compliment (inicial)

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Tasques realitzades Sistema de Gestió documental Documents elaborats Política de Seguretat Procediment d'auditories internes Gestió d'indicadors Procediment de revisió per la direcció Gestió de rols i responsabilitats Metodologia d'anàlisi de riscos Declaració d'aplicabilitat

Tasques realitzades Sistema de Gestió documental Política de Seguretat Abast Missió Marc Normatiu Dades de caràcter personal Obligacions del personal Terceres parts

Tasques realitzades Sistema de Gestió documental Procediment d'auditories internes Programa d auditoria Assignació de rols Compromís de la direcció Planificació Model d informe d auditoria

Tasques realitzades Sistema de Gestió documental Gestió de rols i responsabilitats Estructura de supervisió Alcalde Comitè de Seguretat Corporativa Estructura d operació - Rols Responsable de Seguretat Corporativa Responsables de la informació Responsable del Sistema Operadors de seguretat Usuaris

Tasques realitzades Sistema de Gestió documental Metodologia d anàlisi de riscos Metodologia MAGERIT Definició d actius Identificació de les amenaces Especificació de les salvaguardes Determinació de l Impacte potencial i residual Determinació del risc potencial i residual Eina EAR-PILAR del CCN-CERT PILAR PILAR-Basic Micro-Pilar

Tasques realitzades Sistema de Gestió documental Declaració d aplicabilitat

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Tasques realitzades Anàlisi de riscos Anàlisi dels actius Inventari d actius Valoració dels actius

Tasques realitzades Anàlisi de riscos Anàlisi dels actius Inventari d actius Valoració dels actius

Tasques realitzades Anàlisi de riscos Classes d actius Micro-Pilar no permet definir Actius No essencials Dependències entre actius

Tasques realitzades Anàlisi de riscos Factors agreujants/atenuants

Tasques realitzades Anàlisi de riscos Anàlisi d amenaces Avaluació de perfils ü LOPD ü 27002:2005 ü 27002:2013 Salvaguardes

Tasques realitzades Anàlisi de riscos Avaluació del risc

Tasques realitzades Anàlisi de riscos Avaluació del risc

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Tasques realitzades Proposta de projectes Planificació dels projectes Definició de 12 projectes Projectes de primer semestre (6 projectes -140 accions) Projectes de segon semestre (6 projectes - 80 accions) Objectius dels projectes Reduir els principals riscos detectats Implantació de la norma ISO/IEC 27001:2013

Tasques realitzades Proposta de projectes Temporalització

Tasques realitzades Proposta de projectes Projectes a realitzar el primer semestre * Reduir els riscos que afecten al servei de pagament On-Line

Tasques realitzades Proposta de projectes Projectes a realitzar el segon semestre

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

Tasques realitzades Auditoria de compliment Informe d auditoria Objectiu de l auditoria Abast Metodologia utilitzada Procés d auditoria Recomanacions Llista detallada de les constatacions

Tasques realitzades Auditoria de compliment Objectiu de l auditoria Avaluar la maduresa del SGSI Bones pràctiques - Norma ISO/IEC 27002:2013 o o o 14 dominis 35 objectius 114 controls Abast SGSI de l Ajuntament Domini de seguretat Seu electrònica

Tasques realitzades Auditoria de compliment Metodologia utilitzada Auditoria Interna o de Primera part Equip auditor propi Auditor en cap - Responsable de seguretat Procés d auditoria Dividit en 4 fases

Tasques realitzades Auditoria de compliment Informe d auditoria 1 No-Conformitat major Múltiples No-Conformitats menors Avaluació Nivells de Maduresa

Tasques realitzades Auditoria de compliment Nivell de Maduresa Inicial Avaluació subjectiva Nivell de Maduresa Auditoria Avaluació i quantificació objectiva - més de 1.700 salvaguardes - Abast :114 controls de la norma

Tasques realitzades Auditoria de compliment Nivell de Maduresa Auditoria Avaluació i quantificació objectiva - més de 1.700 salvaguardes - Abast :114 controls de la norma

Tasques realitzades Auditoria de compliment Diagrama de radar nivell de compliment auditoria (Fase Objectiu)

Tasques realitzades Auditoria de compliment Recomanacions Corregir les No-Conformitats Realitzar un nou Pla de Projectes (12 mesos) Planificar una nova auditoria (12 mesos) Fer una auditoria de certificació de la norma ISO/IEC 27001:2013 (en 18 mesos)

Tasques realitzades Auditoria de compliment Llista detallada de constatacions 1 No-Conformitat major

Tasques realitzades Auditoria de compliment Llista detallada de constatacions Múltiples No-conformitats menors

Tasques realitzades Aproximació per fases 1. Situació actual: objectius i anàlisi diferencial 2. Sistema de gestió documental 3. Anàlisi de riscos 4. Proposta de projectes 5. Auditoria de compliment 6. Presentació de resultats

ÍNDEX Motivació Enfoc del projecte Descripció de les tasques realitzades Conclusions

Conclusions - 1a conclusió - Objectius Compliment de la normativa legal en matèria de seguretat: ENS, LOPD Implantació de les bones pràctiques en Seguretat dels SGSI definides a les normes ISO/IEC 27000 27001:2013 com a norma certificable 27002:2013 com a recull de bones pràctiques Millorar la seguretat dels sistemes de gestió de la informació de l'ajuntament Oferir serveis segurs a la ciutadania Millorar la confiança que tenen els ciutadans en l'administració

Conclusions - 2a conclusió Pla Director Fulla de ruta per a la millora del SGSI Eina per a adquirir la capacitació per a la gestió del SGSI

Conclusions - 3a conclusió Auditoria Evidències de millora després de 12 mesos Previsió d assolir els nivells de compliment de la norma ISO/IEC 27001:2013 en els propers 12 mesos

Conclusions - 4a conclusió Eines PILAR Valoració positiva de les eines EAR-PILAR Especialment indicades per al manteniment del sistema al llarg del temps Recomanació de l eina PILAR

Conclusions - 5a conclusió Gestió de la seguretat La gestió de la seguretat és un procés Necessita monitorització i avaluació permanent Serveix per a detectar i corregir els problemes S ha d adequar a la realitat de les organitzacions És un procés que no acaba mai

Juny de 2016 SISTEMES DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓ Alumne : Consultor : Arsenio Tortajada Gallego Director : Carles Garrigues Olivella

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback