Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

NORMA ISO 10007 : 2003

Trabajo de Calidad de normas tecnicas
by

Liliana Rache

on 13 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NORMA ISO 10007 : 2003

Procedencia
¿qUE ES LA gestión de la configuración?
PROPOSITO
Esta norma es una adopción idéntica
(IDT) por traducción respecto a su
documento de referencia, la norma
ISO 10007:2003 Quality Management
Systems. Guidelines for Configuration
Management.

ISO 10007:2003
DIRECTRICES PARA LA GESTIÓN DE LA
CONFIGURACIÓN

El propósito de la presente norma es mejorar la comprensión sobre el tema de gestión de la
configuración, promover su uso y ayudar a las organizaciones que la aplican, a mejorar su
desempeño.

Es una actividad de gestión que aplica la dirección técnica y administrativa durante el ciclo de vida del producto, sus elementos de configuración y la información relacionada con configuración del producto. Ademas si se lleva documentada Proporciona identificación y trazabilidad, el estado de cumplimiento de sus requisitos físicos y funcionales, y acceso a información exacta en todas las fases del ciclo de vida.

terminoligia
OBJETO
Esta norma , resume las responsabilidades y autoridad antes de describir el proceso de
gestión de la configuración, que incluye la planificación de la gestión de la configuración, la
identificación de la configuración, el control de cambios, el reporte del estado de la
configuración, y las auditorías de configuración.
Control de cambios

actividades para controlar el producto después de la aprobación formal de su información sobre configuración del producto
Concesión

permiso para usar o liberar un producto que no cumple los requisitos especificados.
Configuración
características funcionales y físicas interrelacionadas de un producto, definidas en la información sobre configuración de un producto.
línea de referencia de la configuración.
información aprobada sobre configuración del producto que establece las características
de un producto en un punto en el tiempo, que sirve como referencia para actividades durante todo el ciclo de vida del producto.
elemento de configuración
entidad dentro de una configuración, que satisface una función de uso final.

VENTAJAS
Existencia de una documentación que comprende: la descripción completa del producto final, la identificación de todos y cada uno de sus componentes, los atributos y prestaciones de dichos componentes
Esta documentación es la base para gestionar cambios al diseño en vigor y auditar el producto y/o sus componentes.
Posibilidad de recuperar las configuraciones en vigor, las fabricadas y las entregadas a lo largo de toda la vida útil del producto y relacionarlas con los requisitos y otras informaciones asociadas.
DESVENTAJAS
- Requiere de un cambio en toda la organización, ya que para obtener el éxito es necesaria la participación de todos los integrantes de la organización y a todo nivel.
- Se requiere de gran esfuerzo y tiempo para lograr el objetivo.
- El sistema origina cierta burocracia.
- Se necesitan suficientes recursos.
- Es costoso.
implementacion

La gestión de la configuración se puede implementar con base en el tamaño de la organización
y en la complejidad y naturaleza del producto.

fAMILIA DE LA SERIE ISO 27000
ISO/IEC 27000
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
ISO/IEC 27001
Es la norma principal de la serie y contiene los requisitosimplantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) . En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. Es una norma CERTIFICABLE.

ISO/IEC 27002
Desde el 1 de Julio de 2007; Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable; Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI.
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.
Indica el alcance de actuación y propósito de publiación.
Recoge todas las definiciones para la serie de normas 27000
Aporta las bases de por qué es importante la implantación de un SGSI
Introducción a los Sistemas de Gestión de Seguridad de la Información
Pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI
A todo tipo de empresas que procesen datos e información,
de cualquier sector económico o industrial, públicas o privadas.
Empresas del sector de tecnología de la información.
Entidades públicas que sean custodios de información, por ejemplo:
- Administración de impuestos.
- Emisión de documentos de identidad y pasaportes.
- Entidades de seguridad e investigación del estado.
- Entidades de la rama judicial del estado.
- Empresas del sector financiero de banca y seguros.
¿A quiénes está dirigida?
¿Qué beneficios trae su implementación?

P
reviene o reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados;
de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.
D
iseña una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
A
la dirección, le ayuda a gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
I
ncrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática.
dominios...
Politicas de seguridad
Aspectos organizativos de la seguridad de la informacion
Seguridad ligada a los recursos humanos
Gestion de activos
Control de accesos
Cifrado
Seguridad fisica y ambiental
Seguridad en la operativa
Seguridad en las telecomiunicaciones
Adquisicion desarrollo y mantenimientos de los sistemas de informacion.
Relaciones con suministradores
Gestion de insidentes de la seguridad de la informacion.
Aspectos de la seguridad de la informacion en la gestion de la continuidad del negocio.
Cumplimiento.
ISO/IEC 27005:
Publicada en segunda edición el 1 de Junio de 2011. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
ISO/IEC 27006:
Publicada en segunda edición el 1 de Diciembre de 2011. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27009:

En estado de desarrollo. No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios especifícos en emisión de certificaciones acreditadas de tercera parte.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. Esta ISO es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores.
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
Full transcript