Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ISO 27000

No description
by

ivonne santiago

on 21 July 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 27000

Aspectos Clave
Recomendaciones
Linkografia
ISO 27000
Pasos a seguir para cumplir con la adaptación de la empresa con la norma ISO. Durante el arranque del proyecto se deben de tomar en cuenta las siguientes bases:
* Planificación
* Implementación
* Seguimiento
* Mejora continua
E
stablecimiento de una metodología de gestión de la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Reducción de costes y mejora de los procesos y servicio.
Familia ISO 27000

ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información.

ISO/IEC 27001: 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Sin traducir. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.

ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005
.
ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001.
.
ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía en España, pero traducida en México (NMX-I-041/06-NYCE)
.
ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 1901
1.
Que es ISO 27000
Beneficios
Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.
Garantizar la selección de controles de seguridad adecuados y proporcionales
La concienciación del empleado por la seguridad
Proteger la información de una empresa grande o pequeña de cualquier parte del mundo, especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

- BS 5750. Publicada en 1979. Origen de ISO 9001

- BS 7750. Publicada en 1992. Origen de ISO 14001

- BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.
ORIGEN
OBJETIVO
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión
.


En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie.
Fundamentales
Compromiso y apoyo de la Dirección de la organización.

Definición clara de un alcance apropiado.

Concienciación y formación del personal.

Evaluación de riesgos adecuada a la organización.

Compromiso de mejora continua.

Establecimiento de políticas y normas.

Organización y comunicación.
Factores de éxito
 ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la información.


 ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de evidencias digitales.


 ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital.


 ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.


 ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002.


La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.
La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos

Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.


La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.
IMPLEMENTACION

Dominios de la Norma ISO 27000

Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y parte de la institución.
Dar seguimiento a estándares internacionales sobre temas de seguridad de la información.
Realizar pruebas de intrusión, locales y externas por personal de la institución, de forma periódica
Crear un comité de seguridad de la información.
Involucrar tanto personal técnico, como directivos de la institución, o a la alta gerencia en temas de seguridad.
Fijar objetivos para la salvaguarda de la información.
ISO 27000 ISO 27005
ISO 27001 ISO 27006
ISO 27002 ISO 27007
ISO 27003 ISO 27799
ISO 27004 ISO 27035





Serie 27000
FIN.,.,Gracias !!
Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.

Mision
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto
funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema
de gestión de seguridad de la información, a través de la utilización de técnicas y
herramientas
Visión

http://www.tlalpan.uvmnet.edu/oiid/download/ISO%2027000_04_PO_ISC_PIT_E.pdf
http://www.custodia-documental.com/2011/familia-iso-27000-seguridad-de-la-informacion/
http://www.iso27000.es/iso27000.html
http://www.slideshare.net/julianabh/iso-27000
Full transcript