la auditoria alejandro garcía ruiz madrid, 13 de noviembre de 2007

La Auditoria La Auditoria Alejandro García RuizAlejandro García Ruiz

Madrid, 13 de noviembre de 2007Madrid, 13 de noviembre de 2007

CONTENIDOCONTENIDO Auditores (Calificación – Experiencia).Auditores (Calificación – Experiencia). Planificación.Planificación. Pre-auditoria.Pre-auditoria. Auditoria de Certificación (Fase 1+ Fase 2).Auditoria de Certificación (Fase 1+ Fase 2). Auditorias de seguimiento.Auditorias de seguimiento. Esquema de Acreditación.Esquema de Acreditación. Situación de la auditoria de certificación de Situación de la auditoria de certificación de

Sistema de Seguridad de la información a Sistema de Seguridad de la información a nivel mundialnivel mundial..

Auditores (Calificación –

Experiencia)

Auditores Auditores (Calificación – Experiencia).(Calificación – Experiencia).

5 Años de experiencia (3 5 Años de experiencia (3 específicos en el sector TI).específicos en el sector TI).

Curso ISO 27001 Lead Auditor Curso ISO 27001 Lead Auditor aprobado.aprobado.

20 días cómo observador en 20 días cómo observador en auditoria de Entidad de auditoria de Entidad de Certificación + 4 días cómo Certificación + 4 días cómo Auditor Jefe supervisado.Auditor Jefe supervisado.

Planificación.Planificación.

Planificación.Planificación.

Asignación de equipo auditor.Asignación de equipo auditor. Asignación de días de auditoria Asignación de días de auditoria

(según tablas de la Entidad de (según tablas de la Entidad de Acreditación- UKAS / ENAC).Acreditación- UKAS / ENAC).

Proceso de auditoria de Proceso de auditoria de certificacióncertificación

Proceso de auditoria de Proceso de auditoria de certificacióncertificación

Pre-auditoria (Opcional)

Auditoria de Certificación

Fase 1

Fase 2

Pre - auditoriaPre - auditoria

Auditoria de análisis con el fin de establecer el estado de cumplimiento con la norma con vistas a la auditoria.

Pre-auditoria (Opcional)

Auditoria de Certificación – Auditoria de Certificación – Fase 1Fase 1

Revisión del alcance, Revisión de la dirección, Análisis del método de la Gestión de Riesgos y resultados,Establecimiento de aplicabilidad, Política SI y Procedimientos.


Fase 1


Impreso o escrito en papel.Impreso o escrito en papel. Almacenado electrónicamente.Almacenado electrónicamente. Enviado por correo ordinario o por e-mail.Enviado por correo ordinario o por e-mail. Videos corporativos.Videos corporativos. Verbal - en conversacionesVerbal - en conversaciones “……“……cualquier tipo de cualquier tipo de

información, o significado que se información, o significado que se encuentre medido o almacenado, encuentre medido o almacenado, deberá encontrarse siempre deberá encontrarse siempre protegido.”protegido.”

(ISO/IEC 27001: (ISO/IEC 27001: 2005) 2005)


Salvaguardar la confidencialidad, Salvaguardar la confidencialidad, integridad y disponibilidad de la integridad y disponibilidad de la información escrita, hablada e información escrita, hablada e

información existente en soporte información existente en soporte informático.informático.


ISO/ IEC 27001:2005 ISO/ IEC 27001:2005

Especificación para la certificación Especificación para la certificación de Sistemas de gestión de de Sistemas de gestión de seguridad de la información.seguridad de la información.

Definición de Política

Definir alcance del SGSI

Auditoria de riesgos

Gestión del riesgo

Definir objetivos y controles para implantarlos

Preparar un establecimiento de

aplicabilidad

Fase1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Amenazas, vulnerabilidades, impactos

Las organizaciones aprovechan la gestión del riesgoGrado de aseguramiento requerido

Sección 3 de esta parte de la BS 7799, objetivos y controles

Controles adicionales no incluidos en la BS 7799

Política documentada

Alcance del Sistema

Information assets

Auditoria de riesgos

Resultados y conclusiones

Seleccionar controles y opciones

Seleccionar objetivos y controles

Establecimiento de aplicabilidad

Figura 1 – Estableciendo una herramienta de trabajo

Chequeo del alcance y de la Política del SGSI


Definición del alcanceDefinición del alcance

Alcance de la certificación

Cubre las partes de su negocio que van a ser auditadas bajo la ISO 27001

Definición del alcanceDefinición del alcance

SGCDirección GeneralDirección General

OperacionesOperaciones

Dtpto. FinancieroDtpto. Financiero Dtpto. Comercial

Dtpto. ComercialDtpto. RR.HH

Dtpto. RR.HH

Recepción de datosRecepción de datos

EscaneadoEscaneado

Almacenamiento de datosAlmacenamiento de datos

Establecimiento del Establecimiento del AlcanceAlcance

Provision de Sistemas de Gestión de Provision de Sistemas de Gestión de datos, recepción de dichos datos, datos, recepción de dichos datos, escaneado y almacenamiento de los escaneado y almacenamiento de los datos en cuestión. datos en cuestión.

De acuerdo con el establecimiento De acuerdo con el establecimiento de aplicabilidad emitido el de aplicabilidad emitido el 01/10/2006.01/10/2006.

Establecimiento de la Establecimiento de la PolíticaPolítica

La Dirección General, junto con los La Dirección General, junto con los empleados de los departamentos empleados de los departamentos afectados en la implantación, tienen la afectados en la implantación, tienen la obligación de desarrollar una Política de obligación de desarrollar una Política de Seguridad dentro de la empresa Seguridad dentro de la empresa relacionada con la información interna y relacionada con la información interna y externa que la empresa maneja. externa que la empresa maneja.

Establecimiento de la Establecimiento de la PolíticaPolítica

Política dePolítica del SGl SGSISI Es un documento que identifica:Es un documento que identifica:

Establecimiento del compromiso de la Establecimiento del compromiso de la dirección.dirección.

Definición de la seguridad de la información Definición de la seguridad de la información dentro de su organización.dentro de su organización.

Explica los principios del Sistema. Explica los principios del Sistema. Definición de responsabilidades.Definición de responsabilidades. Referencia Referencia alal soporte documental. soporte documental. Cumplimiento con los requisitos legales.Cumplimiento con los requisitos legales.

Entrevistas con Comité, Responsable del Sistema y partes implicadas


Comité de SeguridadComité de SeguridadEl Comité:.El Comité:. Revisará y modificará la Política..Revisará y modificará la Política.. Realizará inpecciones sobre la Realizará inpecciones sobre la

exposición a los cambios de los exposición a los cambios de los activos frente a grandes amenazas. activos frente a grandes amenazas.

Revisará e inspeccionará amenazas Revisará e inspeccionará amenazas en materia de seguridad de la en materia de seguridad de la información.información.

Actas de las reuniones.Actas de las reuniones.

Responsable del SGSIResponsable del SGSI

Apoyar al Comité de Seguridad.Apoyar al Comité de Seguridad. Dirigir y mantener el SGSI.Dirigir y mantener el SGSI. Realizar auditorias internas.Realizar auditorias internas. Información.Información. Trabajar con los procesos Trabajar con los procesos

implicados.implicados.

Procesos implicadosProcesos implicados

Procesos implicados:Procesos implicados: Responsables de los activos Responsables de los activos

registrados en su área y de implantar el registrados en su área y de implantar el Sistema en su proceso.Sistema en su proceso.

Registro de activos y gestión de riesgos


Registro de ActivosRegistro de Activos

ISO 27001 requisitos:ISO 27001 requisitos: Identificar los activos con el alcance del Identificar los activos con el alcance del

SGSI y los responsables de gestionar SGSI y los responsables de gestionar dichos activos.dichos activos.

Registro de ActivosRegistro de ActivosACTIVO ACTIVO Nº RESPONS LOCALIZACIÓNRouter 13579 J Black Ordenador Despacho No.1Switch 22134 J Black Ordenador Despacho No.1Backup Unidad 12323 J Black Ordenador Despacho No.1

Desktop PC 45645 B White Sala de OperacionesLaptop PC 33454 B White Sala de Operaciones

Teléfono movil 78906 K Pink VentasLaptop PC 47578 K Pink Ventas

Teléfono fijo 77685 C Brown Help DeskOperador 99000 C Brown Help Desk

Directo de Network Responsable de networksProgramador Windows Responsable del Sistema Window SystemOperador Help Desk Responsable de Clientes

Identificación de riesgosIdentificación de riesgos

Las vulnerabilidades son debilidades asociadas a los activos identificados. Estas debilidades quizás son tratadas cómo una amenaza, causando una brecha en materia de seguridad con el resultado de pérdida y daño de estos activos.

AmenazasAmenazas

Una amenaza tiene el potencial Una amenaza tiene el potencial para causar un incidente no para causar un incidente no deseado, el cual, quizás dañe a deseado, el cual, quizás dañe a los activos o a todos el Sistema.los activos o a todos el Sistema.

VulnerabilidadesVulnerabilidades

Una vulnerabilidad por si misma Una vulnerabilidad por si misma no causa daños, es meramente no causa daños, es meramente una condición o grupo de una condición o grupo de condiciones que quizás permitan condiciones que quizás permitan a una amenaza afectar un activo.a una amenaza afectar un activo.

Niveles de RiesgoNiveles de Riesgo

Niveles de Vulnerabilidad Ratios

Niveles de amenaza Ratios

Bajo 1 Bajo 12 2

Medio 3 Medio 34 4

Alto 5 Alto 5

AmenazasAmenazas

Amenaza Activo Router Switch Movil TelefonoDesktop LaptopFijo PC PC

Robo 1 1 3 2 2 5Fuego 2 2 2 3 3 3Sangre 3 3 1 2 2 1Virus 2 2 1 1 4 4Ataque de bomba 1 1 1 1 1 1Error de mantenimiento 3 3 1 2 2 2etcetcetc

VulnerabilidadesVulnerabilidades

Vulnerabilidades Activos Router Switch Movil Fijo Desktop LaptopPC PC

Staff no supervisado 2 2 2 1 3 3Activos no localizados 1 1 4 2 2 4Huecos en el mantenimiento 4 4 2 2 3 3Pobres conexiones de cable 4 4 1 3 3 1Huecos en la protección de virus 5 5 1 1 4 4Huecos en la gestión de incidencias 1 1 1 1 3 3Huecos en la formación 1 1 1 1 1 1etcetc

Probabilidad / ImpactoProbabilidad / Impacto

Activos Amenazas ProbabilidadImpactoRouter Robo 1 2

Fuego 2 1Sangre 3 1Virus 2 5Ataque de bomba 1 1Error de mantenimiento 3 4

Movil Robo 3 4Fuego 2 1Sangre 1 1Virus 1 1Ataque de bomba 1 1Error de mantenimiento 1 2

Telefono Robo 2 2Fijo Fuego 3 2

Sangre 2 2Virus 1 1Ataque de bomba 1 2Error de mantenimiento 2 3

Laptop Robo 5 4PC Fuego 3 1

Sangre 1 1Virus 4 4Ataque de bomba 1 1Error de mantenimiento 2 3

Activos Amenaza Probabilidad ImpactoDirector Abandono 2 5de la red Enfermedad 5 5de trabajo Filtraciones 2 4

Programador Abandono 3 3de Windows Enfermedad 2 4

Filtraciones 2 4

Operador Abandono 3 1de Help Enfermedad 4 1Desk Filtraciones 3 5

Probabilidad / ImpactoProbabilidad / Impacto

Factor de riesgo y ranking


Factor de riesgos Factor de riesgos

Un documento o documentos, los cuales identifican cómo todos los componentes del negocio,son parte de la Política de la empresa, evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de medidas de seguridad supletorias tomadas.

Niveles de Factor de Niveles de Factor de RiesgoRiesgo

Niveles factor/riesgo RatiosMuy bajo 1 a 4

bajo 5 a 9

Medio 11 a 15

Alto 15 a 20

Muy alto 21 a 25

Factor de riesgo y Factor de riesgo y rankingranking

Activos Amenaza ProbabilidadImpacto Factor de riesgoRankingRouter Robo 1 2 2 8

Fuego 2 1 2 8Sangre 3 1 3 7Virus 2 5 10 4Ataque de bomba 1 1 1 9Error de mantenimiento 3 4 12 3

Movil Robo 3 4 12 3Fuego 2 1 2 8Sangre 1 1 1 9Virus 1 1 1 9Ataque de bomba 1 1 1 9Error de mantenimiento 1 2 2 8

Telefono Robo 2 2 4 6Fijo Fuego 3 2 6 5

Sangre 2 2 4 6Virus 1 1 1 9Ataque de bomba 1 2 2 8Error de mantenimiento 2 3 6 5

Laptop Robo 5 4 20 1PC Fuego 3 1 3 7

Sangre 1 1 1 9Virus 4 4 16 2Ataque de bomba 1 1 1 9Error de mantenimiento 2 3 6 5

Activo Amenaza Probabilidad Impacto Factor de riesgoRankingDirector de la Abandono 2 5 10 3red de trabajo Enfermedad 5 5 25 1

Filtraciones 2 4 8 5

Programador Abandono 3 3 9 4de Windows Enfermedad 2 4 8 5


Operador Abandono 3 1 3 7de Help Desk Enfermedad 4 1 4 6


Factor de riesgo y Factor de riesgo y rankingranking

Establecimiento de aplicabilidad


Establecimiento de Establecimiento de aplicabilidad aplicabilidad

Un documento el cual indica cada una de las cláusulas en ISO 27001 que son aplicables.

–Dónde sea aplicable se identificará procedimiento.

–Dónde no sea aplicable se identificará por qué no.

Establecimiento de Establecimiento de aplicabilidad aplicabilidad Establecimiento de aplicabilidad contra controles identificados en Anexo A de la BS 7799-2:2002

Clausula Aplicabilidad Documentación de proceso ComentariosA.3.1.1 Sí Doc xxxA.3.1.2 Sí Doc xxx

A .6.2.1 Sí Formación Doc 3.3 versión 2 fecha 09/09/02

A.6.3.1 Sí Informes de incidentes de seguridad Doc 1.2 versión 3

A.7.1.2 Sí Controles de entrada físicos Doc 1.4 versión 1 fecha 04/09/02

A.7.1.4 Sí Trabajo en áreas de seguridad Doc 1.3 versión 1 fecha 04/09/02

A.10.3 No aplicable La compañía no usa interfases con información encriptada.

A.11.1.1 Sí Procesos de gestión de negocios Doc 4.2 versión 2 fecha 22/10/02

A.12.1.6 No aplicable

Proceso de certificación

Fase 2

Revisión de las políticas contra las que se están trabajando. Auditoria de la implantación de los controles de seguridad y sistema de control operacional.


Seleccionar controles


Selección de controlesSelección de controles

Sangre 3 1 3 7 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2Virus 2 5 10 4 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 4Ataque de bomba 1 1 1 9 BCP Doc 4.2 Iss 2 22/10/02. A.11.1.1 1Error mantenimiento 3 4 12 3 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.45

Movil Robo 3 4 12 3 Telefono Doc 2.1 Iss 3 10/10/09. A.9.8.2 6Fuego 2 1 2 8 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Sangre 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Virus 1 1 1 9 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 1Ataque de bomba 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Error mantenimiento 1 2 2 8 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42

TelefonoRobo 2 2 4 6 Acceso Doc 1.4 Iss 1 04/09/02. A.7.1.2 2Fijo Fuego 3 2 6 5 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2

Sangre 2 2 4 6 Situación Doc 5.2 Iss 2 04/09/02. A7.2.1 2Virus 1 1 1 9 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 1Ataque de bomba 1 2 2 8 BCP Doc 4.2 Iss 2 22/10/02. A.11.1.1 1Error mantenimiento 2 3 6 5 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42

Laptop Robo 5 4 20 1 Telefono Doc 2.1 Iss 3 10/10/09. A.9.8.2 5PC Fuego 3 1 3 7 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1

Sangre 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Virus 4 4 16 2 Virus Doc 1.1 Iss 1 03/09/02. A.8.3.1 5Ataque de bomba 1 1 1 9 Formación Doc 3.3 Iss 2 09/09/02. A.6.2.1 1Error mantenimiento 2 3 6 5 Mantenimiento Doc 3.5 Iss 1 09/10/02. A.7.2.42

Selección de controlesSelección de controles

Activos Amenaza L'd Impacto RF R'k Control RRFDirector de Abandono 2 5 10 3 Apoyar las necesidades requeridas 10red de trabajo Enfermedad 5 5 25 1 Controles sanitarios 5

Filtración 2 4 8 5 Gestión de operaciones Doc 5.6 Iss 1 10/10/02. A.8.1.34

Programador Abandono 3 3 9 4 Concienciación de construcción de equipo 9Windows Enfermedad 2 4 8 5 Controles sanitarios 8

Filtración 2 4 8 5 Incidente Doc 1.2 Iss 3 03/09/02. A.6.3.1 3

Operador Abandono 3 1 3 7 Cubrir la plaza 3Help Desk Enfermedad 4 1 4 6 Cubrir la plaza 4

Filtración 3 5 15 2 Incidente Doc 1.2 Iss 3 03/09/02. A.6.3.1 5

Sistema de control operacional


Auditoria interna Auditoria interna

Auditoria internaAuditoria interna

La auditorias internas son La auditorias internas son planificadas y se generan informes planificadas y se generan informes de auditoria dónde se identifica que de auditoria dónde se identifica que el SGSI se encuentra correctamente el SGSI se encuentra correctamente implantado.implantado.

Revisión por la DirecciónRevisión por la Dirección

El Comité de Seguridad se reune El Comité de Seguridad se reune periodicamente con el fin de periodicamente con el fin de analizar:analizar: Resultados de la auditoria internaResultados de la auditoria interna Cambios en el SGSICambios en el SGSI Informes de incidentesInformes de incidentes

Plan de Continuidad de Plan de Continuidad de NegocioNegocio

Documentado.Documentado. Identificando roles y responsabilidades.Identificando roles y responsabilidades. SimulacroSimulacro BIA (Business Interruption Analysis).BIA (Business Interruption Analysis).

Proceso de certificación ISO 27001 ISO 27001

CertificaciónAcciones correctivas, revisión y emisión

de certificados

El Sistema puede estar integrado con otro tipo de Sistemas (ISO 9001, ISO 14001,

OHSAS 18001, ISO 20000, BS 25999)

Auditorias de seguimiento ISO 27001 ISO 27001

Fase 7

Auditoria de seguimiento

Auditoria anual

Tri-anualmente auditoria de recertificación

Principales deficiencias Principales deficiencias detectadas en auditoriasdetectadas en auditorias


No existen evidencias que los planes No existen evidencias que los planes de continuidad de negocio han sido de continuidad de negocio han sido revisados. revisados.

No existe mecanismo para actualizar No existe mecanismo para actualizar los cambios referentes a la los cambios referentes a la legislación o regulaciones aplicables legislación o regulaciones aplicables a la empresa en materia de a la empresa en materia de Seguridad.Seguridad.


•Los planes de continuidad de negocio Los planes de continuidad de negocio se encuentran realizados pero no se encuentran realizados pero no revisados.revisados.•No se encuentran claramente definidos No se encuentran claramente definidos los responsables de los activos de la los responsables de los activos de la información.información.•Inadecuadas auditorias internasInadecuadas auditorias internas

Pobre control de las contraseñas en Pobre control de las contraseñas en el Sistema y niveles de uso. el Sistema y niveles de uso.

Limitados controles de acceso físico Limitados controles de acceso físico en relación a visitas de clientes y en relación a visitas de clientes y proveedores.proveedores.


Resumen de puntos a revisar en auditoria

Política de Seguridad.Política de Seguridad. Seguridad organizativa.Seguridad organizativa. Clasificación de activos y controles.Clasificación de activos y controles. Seguridad contra / y del personal.Seguridad contra / y del personal. Seguridad física y medioambientalSeguridad física y medioambiental..


Comunicaciones y operaciones de gestión.Comunicaciones y operaciones de gestión. Control de acceso.Control de acceso. Desarrollo de Sistemas y mantenimiento.Desarrollo de Sistemas y mantenimiento. Planificación continua del negocio.Planificación continua del negocio. Cumplimiento legal.Cumplimiento legal.


Esquema de AcreditaciónEsquema de Acreditación

ProductosEN 45011

Em presasEN 45012

PersonasEN 45004

Entidades de Certificación

Labs. Ensayo Labs. Calibración

LaboratoriosEN 45001

Entidades de InspecciónEN 45004

Entidades de AcreditaciónENAC, COFRAC, IPQ, UKAS, DAR, BELCER, SAS, SINCERT

EAEuropean co-operation for Acreditation

IAFInternational Forum of Accreditation

Esquema de AcreditaciónEsquema de Acreditación

ISO 27001 – Entidades ISO 27001 – Entidades CertificadorasCertificadoras

BM TRADA Certification LimitedBM TRADA Certification Limited KPMG SAKPMG SA BSIBSI LRQALRQA BVQI (Bureau Veritas Quality International)BVQI (Bureau Veritas Quality International) National Quality AssuranceNational Quality Assurance Certification EuropeCertification Europe Nemko (Norway)Nemko (Norway) CIS (Austria)CIS (Austria) PSB Certification (Singapore)PSB Certification (Singapore) DNV (Det Norske Veritas)DNV (Det Norske Veritas) RINA S.p.A. (Italy)RINA S.p.A. (Italy) DQS GmbH (Germany)DQS GmbH (Germany) RWTUEV Systems GmbH (Germany)RWTUEV Systems GmbH (Germany) DS Certification DS Certification SAI Global Limited (Australia)SAI Global Limited (Australia) JACO-IS (Japanese Audit and Certification Organisation)JACO-IS (Japanese Audit and Certification Organisation)

ISO 27001 – Entidades ISO 27001 – Entidades CertificadorasCertificadoras SEMKO-DEKRA Certification ABSEMKO-DEKRA Certification AB

JICQAJICQA SFS-Inspecta Certification (Finland)SFS-Inspecta Certification (Finland) JMAQA JMAQA SGS ICS LimitedSGS ICS Limited JQA (Japanese Quality Assurance)JQA (Japanese Quality Assurance) SQS (Swiss Quality System)SQS (Swiss Quality System) JSAJSA STQC IT Certification Services (India)STQC IT Certification Services (India) JUSE-ISO CenterJUSE-ISO Center Teknologisk institutt Sertifisering AS (Norway)Teknologisk institutt Sertifisering AS (Norway) KEMA Quality BVKEMA Quality BV TÜV Rheinland Group (Germany)TÜV Rheinland Group (Germany) KPMG Audit plcKPMG Audit plc TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany)TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) KPMG CertificationKPMG Certification UIMCert (Germany)UIMCert (Germany) KPMG RJKPMG RJ United Registrar of Systems LimitedUnited Registrar of Systems Limited ApplusApplus

ISO 27001 Entidades de ISO 27001 Entidades de AcreditaciónAcreditación

Reino Unido – UKAS.Reino Unido – UKAS. España- ENACEspaña- ENAC Alemania– TGA.Alemania– TGA. Noruega – NA.Noruega – NA. Suiza– SWEDACSuiza– SWEDAC Holanda- RvAHolanda- RvA Irlanada– NABIrlanada– NAB Finlandia – FinasFinlandia – Finas

Situación de la auditoria de Situación de la auditoria de certificación de Sistema de certificación de Sistema de

Seguridad de la información a Seguridad de la información a nivel mundial.nivel mundial.

Japan 2317* Switzerland 12 Lithuania 2

UK 363 Turkey 12 Oman 2

India 347 Saudi Arabia 10 Peru 2

Taiwan 149 UAE 9 Portugal 2

Germany 87 Slovenia 8 Qatar 2

China 74 Sweden 8 Slovak Republic 2

Hungary 58 Iceland 7 Sri Lanka 2

USA 54 Kuwait 6 Vietnam 2

Australia 53 Pakistan 6 Armenia 1

Korea 51 Russian Federation 6 Bulgaria 1

Italy 45 France 5 Chile 1

Netherlands 32 Greece 5 Egypt 1

Hong Kong 30 Thailand 5 Gibraltar 1

Czech Republic 28 Bahrain 4 Lebanon 1

Singapore 28 Canada 4 Luxemburg 1

Malaysia 21 Indonesia 4 Macedonia 1

Brazil 20 Argentina 3 Moldova 1

Austria 17 Colombia 3 Morocco 1

Ireland 17 Isle of Man 3 New Zealand 1

Poland 16 Macau 3 Ukraine 1

Finland 14 Romania 3 Uruguay 1

Norway 14 South Africa 3 Yugoslavia 1

Mexico 12 Belgium 2

Philippines 12 Croatia 2 Relative Total 4047

Spain 12 Denmark 2 Absolute Total 4036*

ISO 27001 en EspañaISO 27001 en España

Nota: Las compañías COLT TELECOM y HP se encuentran certificadas por BSI en España mediante multisite. La ONCE se encuentra certificada por BSI en España bajo el esquema WLA.

Name of the Organization Country Certificate Number Certification BodyStandard BS 7799-2:2002 or ISO/IEC 27001:2005

AXALTO Barcelona Spain LSTI/SMSI/02 LSTI SAS RCS BS 7799-2:2002

BANKINTER, S.A. Spain IS 508474 BSI ISO/IEC 27001:2005

Belt Ibérica, S.A. Spain GB06/70388 SGS United Kingdom Limited

ISO/IEC 27001:2005

Caja Madrid Spain IS 92805 BSI ISO/IEC 27001:2005

e-la Caixa Spain IS 511593 BSI ISO/IEC 27001:2005

ESA SECURITY, S.A. Spain GB07/72167 SGS United Kingdom Limited

ISO/IEC 27001:2005

IZENPE, S.A. Spain IS 504989 BSI ISO/IEC 27001:2005

Nextel S.A Spain IS 80383 BSI ISO/IEC 27001:2005

Oficina De Armonizacion Del Mercado Interior Spain IS 80620 BSI ISO/IEC 27001:2005

Segurservi S.A Spain 560224 Bureau Veritas Certification

ISO/IEC 27001:2005

Verio Europe Spain LRQ4001385 LRQA ISO/IEC 27001:2005

Situación de la auditoria de Situación de la auditoria de certificación de Sistema de certificación de Sistema de

Seguridad de la información a Seguridad de la información a nivel mundialnivel mundial

Lider mundial: BSI con 43% cuota de mercado.

Lider en España: BSI con 55% de la cuota de mercado.

Ejemplos de compañías Ejemplos de compañías auditadas y certificadas a nivel auditadas y certificadas a nivel

mundialmundial

- SYMANTEC JAPAN - ACCENTURE - ATOS ORIGIN

- AXA - BECHTEL

- BMW ASIA (technology centre). - CAMELOT

- CHINA TELECOM GROUP - CHINESE PETROLUM

- FEDERAL RESERVE BANK OF NEW YORK & SAN FRANCISCO - FUJITSU

- IBM JAPAN - JAPAN TELECOM

- KIA MOTOR

- LG

- ORACLE CORPORATION - PCWW

- SAMSUNG ELECTRONICD - RICOH

- SAP JAPAN - SONY MUSIC

- THE BANK OF TOKYO - THE WORLD BANK

- UNYSIS - ONU

- WARNER - XEROX CORPORATION

- YAHOO JAPAN CORPORATION

Ejemplos de compañías Ejemplos de compañías auditadas y certificadas a nivel auditadas y certificadas a nivel

mundialmundial

la auditoria alejandro garcía ruiz madrid, 13 de noviembre de 2007

Documents