View
301
Download
0
Category
Preview:
Citation preview
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
11
José Angel ValderramaJosé Angel ValderramaAENORAENOR
Certificación Certificación de de
SGSI SGSI 2700127001
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
22
● De qué?, y … para qué?
● El SGSI ISO 27001
● Qué es la certificación acreditada?
● El proceso de certificación del SGSI
● Tiene ventajas la certificación acreditada
● Situación actual de la certificación
● Otras certificaciones TIC
SGSI_1 2
Indice
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
33
De, y para, la INFORMACIÓN
conjunto organizado de datos que tiene valor para un sujeto o sistema
¿Qué pasaría si
pierde la información, o no dispusiera de ella durante 24, 48, … horas, o
incluyera datos erróneos?, o
la tuviera la competencia?
De qué, y para qué
3
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
44
Proteger la información, necesidad y obligación
Interna/Negocio, Externa/Clientes, Cumplimiento
Legislación genérica, y sectorial
Ley Orgánica 15/1999 de Protección de Datos de carácter personal. (LOPD)
Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico.
Real Decreto Legislativo 1/1996, aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
Sanidad: LEY 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. …
Organismos pagadores de fondos: Reglamento (CE) nº 885/2006, que establece disposiciones para las autorizaciones, y la liquidación de cuentas al FEAGA / FEADER.
Banca, Loterías y apuestas, …
4
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
55
Seguridad de la Información (SI). ISO 27001
La preservación de la
Confidencialidad (accesible sólo a usuarios autorizados),
integridad (exacta y completa, y los métodos de proceso),
disponibilidad (accesible y usable por autorizados) ,
pudiendo, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
Teniendo en cuenta que, Teniendo en cuenta que,
seguridad de la información es más que seguridad informática. seguridad de la información es más que seguridad informática.
5
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
66
El Sistema de Gestión de la SI (SGSI). ISO 27001
La parte del SG general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la Seguridad de la Información. (ISO 27001)
ISO 27001 es el estándar internacional para los SGSI, y
permite a la organización evaluar sus riesgos, e
implementar controles apropiados que
preserven la confidencialidad, la integridad y la disponibilidad de la información.
6
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
77
SGSI herramienta de la Dirección. ISO 27001
Para
Establecer una política, un alcance y unos objetivos para la SI.
Salvaguardar los activos de información y los sistemas que los procesan;
Seleccionar controles de seguridad, adecuados y proporcionados;
Seguimiento de los resultados y la eficiencia del SGSI;
La mejora contínua;
en el marco de los riesgos empresariales generales.
Enfoque común con otros SG. ISO (9001, 14001, 20000).
Para todo tipo de organizaciones.
Enfoque por procesos, y para la mejora continua.
Abarca aspectos legales.
7
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
88
El modelo de SGSI ISO 27001
Basado en la normativa internacional (ISO)
● UNE ISO/IEC 27001:2007 (ISO/IEC 27001:2005). SGSI. Requisitos.
UNE ISO/IEC 27001:2007/1M Dic. 2009 (correspondencia directa con ISO/IEC 27002:2005)
– El SGSI está diseñado con el fin de asegurar la selección de controles de seguridad,adecuados y proporcionados, que protejan los activos de información y den garantíasa las partes interesadas.
● UNE ISO/IEC 27002:2009 Código de buenas prácticas para la gestión de la SI
Aplica requerimientos adicionales genéricos (LOPD, LSSI, …), y sectoriales (Administraciones públicas, Sanidad, Telecomunicaciones, Health Insurance
Portability and Accountability Act, …).
Sirve de marco de referencia para cualquier SGSI sectorial (ENS, WLA, …).
8
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
99
El modelo ISO 27001, Para quienes?
● Para cualquier tipo de organización, independientemente de su tamaño y sector de actividad;
● Para distintos alcances, dentro de cada organización;
Este Sistema proporciona mecanismos para la salvaguarda de los activos de Información, y de los sistemas que los procesan, en concordancia con las
políticas de Seguridad y planes estratégicos de la Organización.
9
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
10
10
El modelo ISO 27001
Sigue pautas de ISO 9001 e ISO 14001 (integrable).
Define qué se requiere, y no define el como se ha de cumplir (tecnológicamente neutral).
En el marco de los riesgos empresariales generales.
o Parte del análisis de activos y sistemas de información (datos, SW, HW, servicios prestados o recibidos, telecomunicaciones, personas, instalaciones, soportes de información), para realizar la evaluación de riesgos.
o Prioriza y decide el tratamiento de los riesgos no aceptables, y aprueba el riesgo residual.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
o Tratamiento del riesgo (Evitar, Transferir, Reducir, Asumir)
o SGSI documentado
Enfoque por procesos, y para la mejora contínua.
10
A
C
P
1 Política de SI2 Aspectos organizativos de la SI3 Gestión de activos4 Seguridad ligada a los RRHH5 Seguridad física y ambiental
6 Gestión de comunicaciones y operaciones7 Control de acceso8 Adquisición, desarrollo y mantenimiento de los sistemas de información9 Gestión de incidentes de seguridad de la información10. Gestión de la continuidad del negocio11 Cumplimiento
ISO/IEC 27001 Anexo A (normativo) –ISO/IEC 27002 (guía para la implantación)
Establecer alcance y los límitesDefinir política de seguridadRealizar análisis y evaluación de riesgosEvaluar opciones para su tratamientoSeleccionar objetivos de control y controlesAprobación de la Dirección del Riesgo residualAutorización para implantar el SGSIDeclaración de Aplicabilidad
Implantar plan de gestión de riesgosImplantar el SGSIImplantar los controles
Revisar internamente el SGSIRealizar auditorias internas del SGSI
Adoptar las acciones correctivasAdoptar las acciones preventivas
D
El modelo ISO 27001
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
12
12
● A.5 Política de seguridad– A.5.1 Política de seguridad de la información
Objetivo: La Dirección proporcionará indicaciones y dará apoyo la seguridad de la información de acuerdo con los
requisitos del negocio y con la legislación y las normativas aplicables.
● A.5.1.1 Documento de política de segundad de la información.
Control La Dirección debe aprobar un documento de política de segundad de la información, publicarlo y
distribuir lo a todos los empleados y terceros afectados.
● A.8 Seguridad ligada a los recursos humanos– A. 8.1 Antes del empleo
Objetivo: Asegurar que los empleados, los contratistas y los terceros conocen y comprenden sus
responsabilidades, y son adecuados para llevar a cabo las funciones que les corresponden, así como para reducir
el riesgo de robo, fraude o de uso indebido de los recursos.
– A. 8.1.1 Funciones y responsabilidades
– A.8.1.2 Investigación de antecedentes
– A.8.1.3 Términos y condiciones de contratación
● A.9 Seguridad física y ambiental
● A.10 Gestión de comunicaciones y operaciones– A. 10.4 Protección contra el código malicioso y descargable
– A.10.5 Copias de seguridad
El modelo ISO 27001. Ej de controles (ISO 27002)
12
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
13
13
¿Qué es la certificación?
Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado.
SGSI_1 13
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
14
14
Certificación acreditada ISO 27001
Contenidos básicos equivalentes a otras certificaciones ISO:
- La entidad de acreditación: verifica y reconoce la competencia de la entidad de certificación y los auditores, determina la confianza en la entidad de certificación, y sus certificados. ENAC acredita en España. (ISO17021; ISO 27006; Proc. ENAC)
- La entidad de certificación: establece el proceso de certificación, y asegura la competencia del equipo auditor y el cumplimiento de las normativas de certificación de SGSI (ISO 27001; ISO 27006; Regl. y Proc. de certificación).
- El equipo auditor: organiza y realiza los trabajos de auditoría, determinando la calidad del proceso de auditoría y certificación.
14
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
15
15
Acreditación de AENOR para certificar SGSI
SGSI_1 15
● Acreditada por ENAC para certificar SGSI.
● Miembro español de IQNet (red mundial con 38 socios de referencia).
● 21 centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú y Bulgaria.
● Gama completa de certificaciones TIC, …
● La más amplia experiencia, cualificación, y prestigio.
● Auditores competentes, y cualificados en SGSI, y otros referenciales (ISO 20000, ISO 15504, ISO 9001, I+D+i , …)
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
16
16
El equipo auditor de AENOR
● Cualificado (Educación, Formación y Experiencia);
Ej. 4 años de experiencia a tiempo completo y reciente en TICs, y dos de ellos en Seguridad de la Información.
● Perfil seleccionado conforme a cada empresa;
● Profesionalidad, Confidencialidad, Integridad;
● Compromiso;
● Y apoyo continuo, actualización de conocimientos tecnológicos y legales, y supervisión.
16
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
17
17
El proceso de certificación del SGSI
17
SGSI_1
AUDITORÍA DEL
SISTEMA
FASE II
AUDITORÍAS DE
SEGUIMIENTO
(Anuales)
AUDITORÍAS DE
RENOVACIÓN
(Cada tres años)
AUDITORÍA
EXTRAORDINARIA
CONCESIÓN DEL
CERTIFICADO, y uso de marca
PLAN DE ACCIONES
CORRECTORAS
1 mes
VISITA PREVIA
FASE I
ANÁLISIS DE LA
DOCUMENTACIÓN
FASE I
INFORME/s
INFORME
CUESTIONARIO PREVIO Y
SOLICITUD
PLANIFICACIÓN DE LA
AUDITORÍA
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
18
18
El proceso de certificación del SGSI
18
SGSI_1
Actividad Objetivo
Solicitud de oferta y
cuestionario previo
Recopilar información del SGSI. Dimensionar la certificación y determinar la
competencia necesaria del equipo auditor. Oferta aceptada.
Planificación de la
auditoría
Asignar equipo auditor, acordar fechas, preparar actividades, …
Planificación
Fase I (análisis de
documentación, visita
a instalaciones, …)
Revisar las líneas generales del SGSI (documentación, ubicación e
instalaciones, alcance del SGSI, enfocar y acordar planificación de Fase II).
Informe
Fase II (Auditoría
inicial)
Confirmar la implantación del SGSI, y adecuación a la ISO 27001. Informe
de auditoría inicial.
Plan de acciones
correctivas, y
Decisión
Evaluar las acciones correctivas tomadas contra las no conformidades.
Decisión de concesión del certificado (Si / No, con o sin Aud. Extraordinaria)
Auditoría
extraordinaria
Confirmar la resolución de las no confomidades . Informe.
Emisión y entrega del
certificado
Entrega del certificado acreditado, licencia de uso, y registro de la
certificación.
Certificado válido por tres años.
Aud. de seguimiento Evaluar la implantación del SGSI , prevenir desviaciones. Anual.
Aud. de renovación Evaluar implantación del SGSI, y emitir nuevo certificado. Cada tres años.
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
19
19
● Definir el alcance del SGSI.
● Auditar la documentación del SGSI, conforme a ISO 27001.
● Visitar y evaluar las instalaciones, e intercambio de información con personal de la organización.
● Recopilación de información y documentación necesaria para la certificación.
● Evaluar nivel de implantación del SGSI, y controles.
● Preparación de la planificación de la Fase II.
Fase I (IOM, VP) del proceso de certificación
19
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
20
20
● Reunión inicial (revisar la planificación).
● Auditoría:
– La política de seguridad de la información;
– Identificación y evaluación de riesgos (comparable y reproducible);
– La documentación del SGSI;
– Correspondencia de controles – D. de aplicabilidad – Evaluación de riesgos – Política y objetivos;
– Implantación de los controles, y medidas de eficacia para determinar si son eficaces para los objetivos marcados;
– Procesos del SG (auditoría, revisión del SGSI, requisitos, …)
● Reunión final (informe final de resultados, y aclaración de dudas).
Fase II (Auditoría Inicial) del proceso de certificación
20
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
21
21
El certificado del SGSI
21
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
22
22
Ventajas del SG … para la SI
Transforma la SI en una actividad de gestión.
— Sistematizar las actividades de SI.
— Planificar, organizar y estructurar los recursos asignados a SI.
— Establecer objetivos y metas que aumentan la confianza en la SI.
— Identificar y clasificar los activos de información
— Analizar activos y riesgos.
— Seleccionar controles y dispositivos físicos y lógicos adecuados.
— Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidadde la información.
— Eficiencia y ahorro de recursos en las actividades de SI, mejora motivación eimplicación de los empleados.
— Planificar la adecuada gestión de la continuidad del negocio.
— Establecer procesos y actividades de revisión, mejora continua y auditoría
de la gestión y tratamiento de la información
SGSI_1 22
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
23
23
– Integrar la gestión de la SI con otros SG empresarial.
– Mejorar la imagen, confianza y competitividad empresarial.
– Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc.
– Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa.
ES SOPORTE, APORTA CONFIANZA ES SOPORTE, APORTA CONFIANZA -- CREDIBILIDADCREDIBILIDAD
Ventajas del SGSI para el Negocio
SGSI_1 23
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
24
24
Ventajas de certificar ISO 27001 el SGSI
● Apoya enfoque de negocio de la Dirección, y la actividad del Responsable del SGSI.
● Demuestra el cumplimiento de requisitos ( ISO 27001, legales)
● Incrementa el compromiso, y la concienciación.
● Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora).
● Reconocimiento internacional
● Genera confianza / credibilidad interna y externa
(clientes, empleados, accionistas / propietarios, administraciones / jueces, …)
● Imagen de marca y diferenciación
● Novedoso … aún
24
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
25
25
Por ej. reducción de sanciones en la LOPD
La Audiencia Nacional, reduce de 60.000 a 6.000 euros la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a Europ-Assistance Servicios Integrales de Gestión por facilitar datos erróneos de un conductor referidos a una infracción de tráfico. (Norma UNE-EN-ISO 9001:2008).
La AEPD, ARSYS INTERNET, S.L. por una infracción tipificada como grave, una multa de 6.000 (SGSI según ISO 27001).
Ley 2/2011, de 4 de marzo, de Economía Sostenible (modifica la Ley Orgánica 15/1999, LOPD) Modifica art. 45:
La cuantía de las sanciones se graduará atendiendo a criterios …
i) La acreditación de que con anterioridad a los hechos … tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
25
SGSI_1
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
26
26
The ISO Survey 2010
Top 10 countries for ISO/IEC 27001 certificates - 2009
1 Japan 5508
2 India 1240
3 United Kingdom 946
4 Taipei, Chinese 934
5 Spain 483
6 China 459
7 Romania 303
8 Italy 297
9 Czech Republic 264
10 Germany 253
26
SGSI_1
ISO/IEC 27001 - Europe
Year 2006 2007 2008 2009
Country 810 988 1545 2546
Czech Republic 27 77 88 264
Germany 95 135 239 253
Italy 175 148 233 297
Romania 4 16 44 303
Spain 23 93 203 483
United Kingdom 486 519 738 946
ISO/IEC 27001 - Information security management systems - Requirements
Overview
Year 2006 2007 2008 2009
TOTAL 5797 7732 9246 12934
Africa / West Asia 426 600 983 1554
Central / South America 18 38 72 99
North America 79 112 212 322
Europe 1064 1432 2172 3564
Far East 4150 5494 5740 7335
Australia / New Zealand 60 56 67 60
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
27
27
The ISO Survey 2010
27
SGSI_1
ISO/IEC 27001 - Certificates by industrial sector
The following table gives an idea of the number of certificates by industrial sector. Not all data sources responded to the request …
EA* Code Nos.
ISO/IEC 27001 BY INDUSTRIAL SECTOR
2006 2007 2008 2009
33 Information technology 890 1236 1152 208635 Other Services 189 204 228 38036 Public administration 23 33 79 18134 Engineering Services 25 33 48 173
31Transport, storage and communication 60 70 63 170
32Financial intermediation, real estate, rental 47 54 68
148
19Electrical and optical equipment 38 58 50 135
28 Construction 55 17 12 12738 Health and social work 14 10 61 10237 Education 8 9 25 47
TOTAL 1349 1724 1786 3549
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
28
28
AENOR en las TICs
Normas y certificaciones
TICs
UNE 71599 Gestión de continuidad de negocio
IT Governance
ISO/IEC 38500
ISO 15504 SPiCE - PRM
SW (parte 2, 5, 7)
ISO 12207 ciclo de vida de desarrollo de SW
ISO 19770 SAM
ISO 20001-1 S.G. STI
ISO 20000-2 Guía de buenas prácticas
ISO 27001 SG Seguridad de la Información
ISO 27002 Guía de controles
UNE 139803 Accesibilidad Web
Auditoría reglamentaria a operadores de telecomunicaciones (Calidad de servicio y facturación )
Buenas prácticas en comercio electrónico
…
ISO 9001 - EFQM; ISO 14001 – EMAS; OHSAS; …
SGSI_1 28
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
29
29
AENOR. Certificaciones TIC
– SGSI –UNE ISO 27001:
• Mas de 320 empresas certificadas, en todos los sectores.
• España en el top five.
– SGSTI- UNE-ISO 20000:
• Sistema de Gestión de Servicios de TI.
• Calidad en la Gestión de servicios de TICs a la empresa o clientes (CPD externo o CPD interno).
• Basado en las librerías ITIL.
• Más de 70 empresas certificadas (el 50% PYMES-TIC)
• España en el top ten, según ItSMF.
SGSI_1 29
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
30
30
AENOR. Certificaciones TIC
– SPICE – ISO 15504 :• Modelo de madurez del desarrollo de software. Factorías de
SW.
• Modelo ISO, aplica como modelo de Procesos la ISO 12207: Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software.
• Es la competencia a CMMI.
• Proyecto piloto para España y Latinoamérica.
• 24 empresas certificadas.
– Accesibilidad de sitios WEB - UNE 139803
• Certificación de páginas web, como contenido desarrollado y/o como portal web que se mantiene accesible.
• 32 sitios web certificados
SGSI_1 30
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
31
31
Logos de certificaciones en AENOR
SGSI_1 31
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
CU
RS
O D
E S
EG
UR
IDA
D T
EL
EM
AT
ICA
20
11
TIT
UL
O P
ON
EN
CIA
T
ITU
LO
PO
NE
NC
IA
32
32
Muchas gracias, estamos a su disposición
José Angel Valderrama Antón
Gerente Nuevas Tecnologías
nuevastecnologias@aenor.es
GALICIA: galicia@aenor.es
● c/ Enrique Mariñas, 36, 7º. Edificio Torre Cristal . 15009 A CORUÑA (Tel.: 981 175 080 , galicia@aenor.es )
● Av. García Barbón, 29, 1ºD. 36201 VIGO (Tel.: 986 443 554 )
MADRID: c/ Génova, 6. 28004 Madrid. (Tel. 91 432 60 00)
InfoAENOR - 902 102 201
www.aenor.es
SGSI_1 32
Recommended