iso 27001

Sistema de Gestión de la Seguridad de la

Información

La Seguridad de la información tiene tres aspectos básicos que son esenciales para el crecimiento del negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa: Confidencialidad, integridad y disponibilidad.

Seguridad de la Información

COBIT: Objetivos de control para la información y tecnología relacionadas.Creada por ISACA y gestionada por ITGI (IT Governance Institute)ITIL: Biblioteca de Infraestructura de Tecnologías de Información.Creada por la oficina de comercio gubernamental.

Estándares relacionados

ISO/ IEC 27002:2013: Gestión de Riesgos en Sistema de información.ISO/ IEC 20000: Sistema de Gestión de Servicios de TI.Creadas por la ISO (International Standard Organization).Para que la organización se certifique en la ISO/ IEC 20000 es necesario seguir los lineamientos establecidos en el ITIL.

Estándares relacionados

• ISO 27000. Fundamentos y vocabulario. • ISO 27001: Requisitos de los Sistemas de Gestión de

Seguridad de la • Información. • ISO 27002: Buenas prácticas para la Gestión de Seguridad

de la Información (Anterior ISO 17799:2005). • ISO 27003. Guía de implantación de un SGSI (publicación

pendiente). • ISO 27004. Metricas e indicadores de eficiencia y efectividad

de los controles. (publicación pendiente). • ISO 27005. Gestión del riesgo en Seguridad de la

información. (publicación pendiente). • ISO 27006. Requisitos de acreditación de las entidades de

certificación de SGSI.

Familia ISO 27000

ISO/ IEC 27001:2013

La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos para planificar, implantar, revisar y mejorar un sistema de gestión de seguridad de la información garantizando la confidencialidad, integridad y disponibilidad de la infor- mación, así como de los sistemas que la procesan.

Introducción

El objetivo principal de la implantación de un SGSI: es el control y mitigación de los riesgos de seguridad de la información a los que se encuentra expuesta la organización y que pueden afectar gravemente a la empresa y a su entorno.

Objetivo

0. Introducción.1. Objeto y campo de Aplicación.2. Normas para consulta3. Terminos y Definiciones4. Sistema de Gestión de Seguridad de la Información 4.1 Requisitos generales

Estructura

4.2 Creación y gestión del SGSI 4.2.1  Creación del SGSI 4.2.2  Implementación y operación del SGSI 4.2.3  Supervisión y revisión del SGSI 4.2.4  Mantenimiento y mejora del SGSI 4.3 Requisitos de la documentación 4.3.1  Generalidades

Estructura

5. Responsabilidad de la Dirección 6. Auditorías Internas del SGSI7. Revisión del SGSI por la Dirección8. Mejora del SGSI.

Estructura

Definición del alcance del SGSI Definición de una Política de Seguridad Definición de una metodología y criterios para el Análisis y

Gestión del Riesgo Identificación de riesgos Evaluación de los posibles tratamientos del riesgo Elaboración de un Declaración de Aplicabilidad de controles

y requisitos Desarrollo de un Plan de Tratamiento de Riesgos Definición de metricas e indicadores de la eficiencia de los

controles Desarrollo de programas de formación y concienciación en

seguridad de la información Gestión de recursos y operaciones Gestión de incidencias Elaboración de procedimientos y documentación asociada

Diseño e Implementación de la

ISO/ IEC 27001

Ciclo PDCA

Garantizar la confidencialidad, integridad y disponibilidad de información sensible.

Disminuir el riesgo, con la consiguiente reducción de gastos asociados.

Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.

Mejorar continuamente la gestión de la seguridad de la información.

Garantizar la continuidad del negocio. Aumento de la competitividad por mejora de la imagen

corporativa. Incremento de la confianza de los stakeholders. Aumento

de la rentabilidad, derivado de un control de los riesgos.

Ventajas

Aumentar las oportunidades de negocio. Reducir los costos asociados a los incidentes. Mejorar la implicación y participación del

personal en la gestión de la seguridad. Posibilidad de integración con otros sistemas

de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros.

Mejorar los procesos y servicios prestados.

Ventajas