Upload
lews-baprac
View
4
Download
0
Embed Size (px)
DESCRIPTION
Norma ISO 27000
Citation preview
7/17/2019 Resumen Norma ISO-27000
http://slidepdf.com/reader/full/resumen-norma-iso-27000 1/4
AUDITORÍA DE SISTEMAS
RESUMEN NORMA ISO 27000
Presentado Por:
Juan Carlos Olio Torres
J!onatan Ro"!a Ro#a
Jor$e %& 'oo(er Cede)o
Do"ente:
Maria Claudia *on+ante
CORPORACI,N UNI-ERSITARIA RA.AE% N/E1&
.a"ultad de In$eniera de siste3as
Carta$ena De Indias
A)o 2045 IIP
7/17/2019 Resumen Norma ISO-27000
http://slidepdf.com/reader/full/resumen-norma-iso-27000 2/4
NORMA ISO 27000
INTRODUCCION
Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (InternationalOrganization for Standardization) e IEC (International Electrotechnical Commission), queproporcionan un marco de gestión de la seguridad de la información, utilizale para cualquier tipo de organización! "ulicada el # de $a%o de &'', reisada con una segunda edición de'# de *iciemre de &'#& % una tercera edición de #+ de Enero de &'#+! Esta normaproporciona una isión general de las normas que componen la serie &''', indicando paracada una de ellas su alcance de actuación % el propósito de su pulicación! -ecoge todas lasdefiniciones para la serie de normas &''' % aporta las ases de por qu. es importante laimplantación de un S/SI, una introducción a los Sistemas de /estión de Seguridad de laInformación, una ree descripción de los pasos para el estalecimiento, monitorización,mantenimiento % mejora de un S/SI (la 0ltima edición no aorda %a el ciclo "lan1*o1Chec21
3ct para eitar conertirlo en el 0nico marco de referencia para la mejora continua)! E4itenersiones traducidas al espa5ol aunque ha% que prestar atención a la ersión descargada
6PARA UE SE UTI%I1A8
• Estalecer una metodolog6a de gestión de la seguridad clara % estructurada!
• -educir el riesgo de p.rdida o roo de información!
• *ar confianza a los clientes % socios estrat.gicos por la garant6a de calidad %
confidencialidad comercial!
• *ar la posiilidad de integrarse con otros sistemas de gestión (ISO ''#, ISO #+''#,7)!*ar una imagen de la empresa a niel internacional! -educir los costes % mejorar los procesos % sericios! 3umentar la motiación % satisfacción del personal!
IMP%ANTACI,N8a norma ISO 27004 (la principal de la familia) es certificale por una entidad de certificación
e4terna % su implantación puede tardar de 9 a #& meses dependiendo del niel de se$uridadde la in+or3a"i9n % del alcance de la empresa en la que se implante % es preferile realizar
el proceso con a%uda de alguna consultor6a e4terna a la organización!
7/17/2019 Resumen Norma ISO-27000
http://slidepdf.com/reader/full/resumen-norma-iso-27000 3/4
ORIEN
El origen de ISO1&''# se puede rastrear hasta una pulicación del *epartamento deComercio e Industria (*:I, *epartment of :rade and Industr%) en el -eino ;nido, documentoque dio origen en #< a la norma =S1#, que estalec6a un código de mejores prácticaspara la administración de la seguridad de la información! Como su nomre lo indica, sólo
proporcionaa una serie de recomendaciones pero no defin6a certificación alguna ni losmecanismos para lograrla! "osteriormente la norma fue eolucionando de la siguientemanera>
• En #? se lieró la segunda parte, =S1&, que estaleció la especificación
para implantar un sistema de gestión de seguridad de la información (S/SI)!
• En el a5o &''', la Organización Internacional para la Estandarización (ISO,
Internacional Organization for Standarization) tomó la norma ritánica =S1# % la
conirtió en el estándar ISO#@=S1#!
•
"or su parte en el -eino ;nido, la =SI (=ritish Standards Institution) pulicó lanorma =S1&>&''&, que prepara a las organizaciones para que recian la
acreditación de seguridad a tra.s de una auditor6a realizada por una entidad
certificadora! Aue ajo esta norma que las empresas pioneras se certificaron, no sólo
en el -eino ;nido sino incluso en otros pa6ses!
• En &''< la ISO pulicó, con ase en la norma ritánica =S1&>&''&, el
estándar internacional ISO@IEC &''#>&''<, que es el que nos ocupa en el presente
art6culo! Ese mismo a5o huo una ligera actualización de la ISO1#!
• Ainalmente, en &'', la ISO1# se renomró para conertirse en ISO1
&''&>&''<!
*ENE.ICIOS:
• /arant6a de los controles internos % cumplimiento de requisitos de gestión corporatia % de
continuidad de la actiidad comercial!
• "one de manifiesto el respeto a las le%es % normatias que sean de aplicación!
• Aiailidad de cara al cliente demostrar que la información está segura!
• Identificación, ealuación % gestión de riesgos!• Ealuaciones periódicas que a%udan a superisar el rendimiento % las posiles mejoras!
• Se integra con otros sistemas de gestión
• -educción de costes % mejora de procesos
• 3umento de la motiación % satisfacción del personal al contar con unas directrices claras!
7/17/2019 Resumen Norma ISO-27000
http://slidepdf.com/reader/full/resumen-norma-iso-27000 4/4
%A SERIE 27000:
3 semejanza de otras normas ISO, la &''' es realmente una serie de estándares!8os rangos de numeración reserados por ISO an de &''' a &'# % de &'B' a &'++
ISO 27000> contiene conceptos t.cnicos % de gestión!ISO 27004> requisitos del sistema de gestión de la seguridad de la información!ISO 27002> ojetios de control % controles recomendales!ISO 2700;> gu6a de implementación de S/SI % modelo "*C3!ISO 27005> m.tricas % t.cnicas de medida en S/SI!ISO 2700<> directrices para la gestión de riesgo!ISO 2700=> requisitos para la acreditación de entidades de auditor6a!ISO 27007> Consiste en una gu6a de auditor6a de un S/SI!ISO 270;2> Consiste en una gu6a relatia a la cier seguridad!ISO 270;;> Es una norma consistente en partes> gestión de seguridad de redes,arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de lascomunicaciones entre redes mediante gatea%s, acceso remoto, aseguramiento decomunicaciones en redes mediante D"s % dise5o e implementación de seguridad enredes!
CONTENIDO NORMA ISO 27004: 200<
Introdu""i9n: generalidades e introducción al m.todo "*C3!
O>#eto ? "a3@o de a@li"a"i9n: se especifica el ojetio, la aplicación % el tratamiento dee4clusiones!
Nor3as @ara "onsulta: otras normas que siren de referencia!
Tr3inos ? de+ini"iones: ree descripción de los t.rminos más usados en la norma!
Siste3a de $esti9n de la se$uridad de la in+or3a"i9n: cómo crear, implementar, operar,superisar, reisar, mantener % mejorar el S/SIF requisitos de documentación % control de lamisma!
Res@onsa>ilidad de la dire""i9n: en cuanto a compromiso con el S/SI, gestión % proisiónde recursos % concienciación, formación % capacitación del personal!
Auditoras internas del SSI: cómo realizar las auditor6as internas de control %cumplimiento!