ISO 27001

ISO 27001
Alumnos:
Bernilla Mio Erick Coronado Vidaurre Willy Livauqe Delgado Ketty Pintado Zevallos Renato

2014
Valor Creativo 2014

Autor: Valor Creativo

ISO 27001

ISO 27001
QUE ES ISO/IEC 27001? Es un estandar que forma parte de la serie 27000 encargado de Tecnologa de la Informacin - Tcnicas de Seguridad Sistemas de Gestin de Seguridad de la Informacin, siendo la mas importante de esta serie, en este estandar especifica formalmente un Sistema de Seguridad de la Informacin de Gestin de la Informacin (SGSI), nos proporciona requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestin de seguridad de la informacin (SGSI). Esta aprobado y publicado como estndar internacional en octubre desde el 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Es certificable y se puede aplicar a cualquier tipo de organizacin.

Confidencialidad(C): cuando la informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos no autorizados. Integridad(I): es el mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad(D): es el acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

VERSIONES ISO 27001 1999: ISO / IEC 27001 se origin como BS 7799 parte 2. 2002: Fue revisado por BSI 2005: Se realiza la incorporacin explcita de Deming Planificar-Hacer-VerificarActuar concepto del proceso cclico, y fue adoptada por la ISO / CEI 2013: En este ao esta norma se ha revisado extensamente, ponindola en una relacin de igualdad con las otras normas de sistemas de gestin certificados por ISO y soltando el concepto PDCA. Los cambios realizados en el 2013 con respecto a la versin anterior son:

2014

Valor Creativo

Desaparece la seccin "enfoque a procesos" dando mayor flexibilidad para la eleccin de metodologas de trabajo para el anlisis de riesgos y mejoras. Pasa de 102 requisitos de Gestin a 130. Considerables cambios en los controles establecidos en el Anexo A, incrementando el nmero de dominios de 11 a 14. Disminuye el nmero de controles de 133 a 114 donde 94 se mantienen y 39 se han eliminado.

ISO 27001

Inclusin de un nuevo dominio sobre "Relaciones con el Proveedor" por las relaciones entre empresa y proveedor en la nube esto permite una relacin mas fuerte donde el proveedor ya puede saber que hace falta en tu empresa. Se parte del anlisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de de identificar primero los activos, las amenazas y sus vulnerabilidades.

Estructura de la Norma
ISO / IEC 27001:2013 tiene las siguientes secciones: 0. Introduccin Describe el estndar y proporciona un enfoque basado en procesos. 1. mbito de aplicacin Es aqu donde especifica los requisitos del SGSI genricos, es decir adecuados para las organizaciones de cualquier tipo, tamao o naturaleza. 2. Referencias normativas Nos especifica que slo la norma ISO / IEC 27002:2005 se considera absolutamente esencial para el uso de '27001 mediante la descripcin de buenas practicas para los controles de seguridad.

2014

Valor Creativo

ISO 27001

3. Trminos y definiciones En esta parte describe un breve glosario formalizado, que pronto ser reemplazada por la norma ISO / IEC 27000. 4. Contexto de la organizacin Esto nos ayuda a la comprensin del contexto, es decir todo lo que realiza al empresa, su entorno, los clientes y a que area de la organizacion va dirigida la norma, Ademas define el alcance del SGSI. 5. Liderazgo Nos habla sobre la alta direccin y como esta debe demostrar su liderazgo y compromiso con el SGSI, impone polticas, etc. 6. Planificacin Establece un esquema del proceso para identificar, analizar y planear para el tratamiento de los riesgos de seguridad de la informacin, y aclarar los objetivos de seguridad de la informacin. 7. Soporte Se debe mostrar un apoyo adecuado, los recursos competentes deben asignarse, se debe tener la conciencia elevada, los procedimientos documentados y 8. Funcionamiento Nos proporciona un poco ms de detalle sobre la evaluacin y el tratamiento de los riesgos de seguridad de la informacin. 9. Evaluacin del desempeo Nos ofrece medidas y revisines / auditora lo que est pasando con el fin de mejorar de forma sistemtica, es decir que se ajusta a un sistema. 10. Mejoramiento Esto se hace frente a los resultados de las auditoras y revisiones, para hacer mejoras continuas para el SGSI Anexo A: Los objetivos de control y controles de referencia Se describen un poco ms en una lista de ttulos de las secciones de control de la norma ISO / IEC 27002:2013. El anexo es "normativo", lo que implica que se espera que las organizaciones certificadas lo usen, pero son libres de apartarse de o complementarlo con el fin de hacer frente a los riesgos de seguridad de la informacin en particular.

2014

Valor Creativo

ISO 27001

Estructura de la norma:

2014

Valor Creativo

ISO 27001

TERMINOS CLAVE: Seguridad de la informacin Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas. SGSI (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.) Servicios de tratamiento de informacin (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de

2014

Valor Creativo

ISO 27001

tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento. Control Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de salvaguarda o contramedida. Entidad de certificacin (Ingls: Certification body). Una empresa u organismo acreditado por una entidad de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestin. Humphreys, Ted Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002. ISO 27001 Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005 ISO 27002 Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. No conformidad grave (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable. Plan de continuidad del negocio (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro. Plan de tratamiento de riesgos (Ingls: Risk treatment plan). Documento de gestin que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios para proteger la misma. Poltica de seguridad (Ingls: Security policy). Documento que establece el compromiso de la Direccin
Valor Creativo

2014

ISO 27001

y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Servicios de tratamiento de informacin (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.

RELACION CON CALIDAD:

2014

Valor Creativo