ISO 27001
description
Transcript of ISO 27001
![Page 1: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/1.jpg)
Sistema de Gestión de la Seguridad de la
Información
![Page 2: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/2.jpg)
La Seguridad de la información tiene tres aspectos básicos que son esenciales para el crecimiento del negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa: Confidencialidad, integridad y disponibilidad.
Seguridad de la Información
![Page 3: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/3.jpg)
COBIT: Objetivos de control para la información y tecnología relacionadas.Creada por ISACA y gestionada por ITGI (IT Governance Institute)ITIL: Biblioteca de Infraestructura de Tecnologías de Información.Creada por la oficina de comercio gubernamental.
Estándares relacionados
![Page 4: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/4.jpg)
ISO/ IEC 27002:2013: Gestión de Riesgos en Sistema de información.ISO/ IEC 20000: Sistema de Gestión de Servicios de TI.Creadas por la ISO (International Standard Organization).Para que la organización se certifique en la ISO/ IEC 20000 es necesario seguir los lineamientos establecidos en el ITIL.
Estándares relacionados
![Page 5: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/5.jpg)
• ISO 27000. Fundamentos y vocabulario. • ISO 27001: Requisitos de los Sistemas de Gestión de
Seguridad de la • Información. • ISO 27002: Buenas prácticas para la Gestión de Seguridad
de la Información (Anterior ISO 17799:2005). • ISO 27003. Guía de implantación de un SGSI (publicación
pendiente). • ISO 27004. Metricas e indicadores de eficiencia y efectividad
de los controles. (publicación pendiente). • ISO 27005. Gestión del riesgo en Seguridad de la
información. (publicación pendiente). • ISO 27006. Requisitos de acreditación de las entidades de
certificación de SGSI.
Familia ISO 27000
![Page 6: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/6.jpg)
ISO/ IEC 27001:2013
![Page 7: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/7.jpg)
La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos para planificar, implantar, revisar y mejorar un sistema de gestión de seguridad de la información garantizando la confidencialidad, integridad y disponibilidad de la infor- mación, así como de los sistemas que la procesan.
Introducción
![Page 8: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/8.jpg)
El objetivo principal de la implantación de un SGSI: es el control y mitigación de los riesgos de seguridad de la información a los que se encuentra expuesta la organización y que pueden afectar gravemente a la empresa y a su entorno.
Objetivo
![Page 9: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/9.jpg)
0. Introducción.1. Objeto y campo de Aplicación.2. Normas para consulta3. Terminos y Definiciones4. Sistema de Gestión de Seguridad de la Información 4.1 Requisitos generales
Estructura
![Page 10: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/10.jpg)
4.2 Creación y gestión del SGSI 4.2.1 Creación del SGSI 4.2.2 Implementación y operación del SGSI 4.2.3 Supervisión y revisión del SGSI 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de la documentación 4.3.1 Generalidades
Estructura
![Page 11: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/11.jpg)
5. Responsabilidad de la Dirección 6. Auditorías Internas del SGSI7. Revisión del SGSI por la Dirección8. Mejora del SGSI.
Estructura
![Page 12: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/12.jpg)
Definición del alcance del SGSI Definición de una Política de Seguridad Definición de una metodología y criterios para el Análisis y
Gestión del Riesgo Identificación de riesgos Evaluación de los posibles tratamientos del riesgo Elaboración de un Declaración de Aplicabilidad de controles
y requisitos Desarrollo de un Plan de Tratamiento de Riesgos Definición de metricas e indicadores de la eficiencia de los
controles Desarrollo de programas de formación y concienciación en
seguridad de la información Gestión de recursos y operaciones Gestión de incidencias Elaboración de procedimientos y documentación asociada
Diseño e Implementación de la
ISO/ IEC 27001
![Page 13: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/13.jpg)
Ciclo PDCA
![Page 14: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/14.jpg)
Garantizar la confidencialidad, integridad y disponibilidad de información sensible.
Disminuir el riesgo, con la consiguiente reducción de gastos asociados.
Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.
Mejorar continuamente la gestión de la seguridad de la información.
Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen
corporativa. Incremento de la confianza de los stakeholders. Aumento
de la rentabilidad, derivado de un control de los riesgos.
Ventajas
![Page 15: ISO 27001](https://reader030.fdocuments.mx/reader030/viewer/2022032704/55cf8ff4550346703ba1a8f6/html5/thumbnails/15.jpg)
Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicación y participación del
personal en la gestión de la seguridad. Posibilidad de integración con otros sistemas
de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros.
Mejorar los procesos y servicios prestados.
Ventajas