8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 1/14
NORMA ISO/IEC 27001
Guillermo Quezada Pujadas
Taller de Redes y Seguridad
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 2/14
Introducción
La información es un activo que como otros activosimportantes tiene valor y requiere en consecuencia unaprotección adecuada. Para la adecuada gestión de laseguridad de la información, es necesario implantar unsistema que aborde esta tarea de una forma metódica,documentada y basada en unos objetivos claros deseguridad que a su vez haga una evaluación de losriesgos a los que está sometida la información de laorganización.
ISO/IEC 27000 es un conjunto de estándaresdesarrollados por ISO e IEC, que proporcionan unmarco de gestión de la seguridad de la informaciónutilizable por cualquier tipo de organización, pública oprivada, grande o pequeña. A continuación se resumen
las características del estándar ISO/IEC 27001 y seindica cómo puede una organización implantar unsistema de gestión de seguridad de la información(SGSI) basado en ISO 27001.
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 3/14
Que es SGSI
Un sistema de gestión de seguridad de la información, comprende la
política, estructura organizativa, procedimientos, procesos y recursos
necesarios para implantar la gestión de la seguridad de la información.
Un SGSI se implanta de acuerdo a estándares de seguridad como el
ISO 27001 basado en el código de buenas practicas y objetivos decontrol ISO 17799, el cual se centra en la preservación de las
características de confidencialidad , integridad y disponibilidad.
Los objetivos de implementar un sistema ISO 27001 se pueden resumir
en lo siguiente:
Políticas de SeguridadOrganización de Seguridad
Gestión de Activos
Seguridad de los Recursos Humanos
Cumplimiento de Políticas y Normatividad Legal
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 4/14
Origen de la Norma ISO 27001
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 5/14
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC27001 fue aprobado y publicado como estándar internacionalen Octubre de 2005 por International Organization for
Standardization (ISO) y por la International ElectrotechnicalCommission (IEC).
Esta norma especifica los requisitos necesarios paraestablecer, implantar, mantener y mejorar un Sistema deGestión de la Seguridad de la Información (SGSI) según elconocido PDCA - (Planificar, Hacer, Verificar, Actuar). Esconsistente con las mejores prácticas descritas en ISO/IEC17799 (actual ISO/IEC 27002) y tiene su origen en la norma
BS 7799-2:2002, desarrollada por la entidad de normalizaciónbritánica, la British Standarsds Institution (BSI).
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 6/14
Contenido
Resumen del contenido de la norma ISO 27001 Introducción.
Objeto y campo de aplicación.
Normas para consulta.
Términos y definiciones.
SGSI.
Responsabilidad de la dirección.
Auditorias internas del SGSI.
Revisión del SGSI por la dirección.
Mejora del SGSI.
Objetivos de control y controles.
Relación con los principios de la OCDE.
Correspondencia con otras normas.
Bibliografía.
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 7/14
Beneficios de la Norma ISO/IEC 27001
Establecimiento de una metodología de gestión
de la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o
corrupción de información.
Los clientes tienen acceso a la información a
través medidas de seguridad.Los riesgos y sus controles son continuamente
revisados.
Posibilidad de integrarse con otros sistemas de
gestión (ISO 9001, ISO 14001, OHSAS 18001«).
Continuidad de las operaciones necesarias de
negocio tras incidentes de gravedad.
Conformidad con la legislación vigente sobreinformación personal, propiedad intelectual y
otras.
Confianza y reglas claras para las personas de la
organización.
Aumento de la seguridad en base a la gestión de
procesos en vez de en la compra sistemática de
productos y tecnologías.
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 8/14
Adaptarse al cambio
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 9/14
Arranque del proyecto
Compromiso de la Dirección
Planificación, fechas, responsables
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 10/14
Planificación
Definir alcance del SGSI
Definir política del SGSI
Definir el enfoque de evaluación de riesgos
Inventario de activosIdentificar amenazas y vulnerabilidades
Identificar los impactos
Análisis y evaluación de los riesgos
Identificar y evaluar opciones para el
tratamiento del riesgo
Selección de controles
Aprobación por parte de la Dirección del
riesgo residual y autorización de implantar el
SGSI
Confeccionar una Declaración de Aplicabilidad
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 11/14
Implementación
Definir plan de tratamiento de riesgos.
Implantar plan de tratamiento de riesgos.Implementar los controles.
Formación y concienciación.
Desarrollo del marco normativo necesario.
Gestionar las operaciones.
Implantar procedimientos y controles.
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 12/14
Seguimiento
Ejecutar procedimientos y controles de monitorización y revisión.
Revisar regularmente la eficacia del SGSI.
Medir la eficacia de los controles.Revisar regularmente la evaluación de riesgos.
Realizar regularmente auditorías internas.
Revisar regularmente el SGSI por parte de la Dirección.
Actualizar planes de seguridad.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI.
8/3/2019 Norma Iso 27001_final
http://slidepdf.com/reader/full/norma-iso-27001final 13/14
Mejora continua
Implantar mejoras.
Acciones correctivas.
Acciones preventivas.
Comunicar las acciones y mejoras.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos.
Recommended