Jornadas Técnicas 2013 Dibujando el nuevo escenario normativo en el siglo XXI Principales Novedades de la ISO 27001/ISO 27002 Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización pgarcial@aenor.es
La evolución del Modelo ISO 27000 LAS NORMAS INTERNACIONALES GARANTIZAN CAMBIOS POSITIVOS
La evolución del Modelo ISO 27000 El sistema de normalización JTC1/SC 27 AEN/CTN71/SC27 Tecnologías de la Información. Técnicas de seguridad
La evolución del Modelo ISO 27000 Nuevos modelos de negocio Clientes Externalización Cloud ISO/IEC 27001: 2005 ISO/IEC 27001: 2013 - Nº CONTROLES Liderazgo 133 114 94 se mantienen 39 eliminados 20 nuevos + DOMINIOS DE SEGURIDAD 11 14 + REQUISITOS DE GESTIÓN Análisis de riesgos 102 130 Avances tecnológicos Cultura de seguridad Entorno
El nuevo enfoque de la ISO/IEC 27001: 2013 UNE-ISO 31000:2010 UNE-ISO 31010:2010 UNE-ISO Guía 73: 2010 ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION ANÁLISIS DE RIESGOS ISO/IEC 31000 UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices UNE-ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del riesgo UNE-ISO GUIA 73:2010 IN Gestión del riesgo. Vocabulario
El nuevo enfoque de la ISO/IEC 27001: 2013 Anexo SL de las Directivas del Organismo Internacional de Normalización (ISO) Estructura y contenidos de las normas que contienen un sistema de gestión UNE-EN ISO 19011 Directrices para la auditoría de los sistemas de gestión capítulo de competencias y evaluación de auditores común a cualquier disciplina apartado A.7 con ejemplo de conocimientos y habilidades recomendados para los auditores en la disciplina específica de gestión de la seguridad de la información: evaluación del riesgo (identificación, análisis y evaluación) y tendencias en tecnología, amenazas y vulnerabilidades métodos y prácticas para los controles físicos y electrónicos de la seguridad de la información leyes y reglamentos aplicables (por ejemplo, propiedad intelectual, protección y retención de registros de la organización, reglamentos de controles criptográficos, interceptación de telecomunicaciones, recopilación de evidencias electrónicas, ensayos de vulnerabilidad..)
El nuevo enfoque de la ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION La adopción de un SGSI es una decisión estratégica de la Organización
El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2013 ALINEACION CON SISTEMAS DE GESTION Gestión de riesgos y oportunidades Contexto de la organización Liderazgo Planificación Acciones de soporte Operación Evaluación del comportamiento Mejora ANÁLISIS DE RIESGOS ISO/IEC 31000
El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2005 ISO/IEC 27001: 2013 + DOMINIOS DE SEGURIDAD 11 14
El nuevo enfoque de la ISO/IEC 27001: 2013 ISO/IEC 27001: 2005 ISO/IEC 27001: 2013 - Nº CONTROLES 133 114 94 se mantienen 39 eliminados 20 nuevos Referencia A.6.1.5 A.12.6.2 A.14.2.1 A.14.2.5 A.14.2.6 A.14.2.8 A.15.1.1 A.15.1.3 A.16.1.4 A.16.1.5 A.17.1.2 A.17.2.1 Control Seguridad de la información en la gestión de proyectos Restricciones en la instalación de software Política de desarrollo seguro Desarrollo de principios de ingeniería de sistemas seguros Entorno de desarrollo seguro Pruebas de la seguridad del sistema Política de seguridad de la información para las relaciones de proveedores Cadena de suministro de TIC Evaluación y decisión sobre los eventos de seguridad de la información Respuesta a incidentes de seguridad de la información Implantación de la continuidad en la seguridad de la información Disponibilidad de las instalaciones para el tratamiento de la información.
Periodo de transición a 27001:2013 de ISO/IEC 27001:2013 a UNE-ISO/IEC 27001 de ISO/IEC 27002:2013 a UNE-ISO/IEC 27002 6-10 meses (IP en BOE) 27001: 2013 YA!!! 27001: 2005 24 MESES 27001:2005 en marcha 12 MESES 2013 2005
Muchas gracias Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización pgarcial@aenor.es