Download - ISO 27001 2005 A 2013
-
Taller de transicin de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Ing. CIP Maurice Frayssinet Delgado
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrnico e Informtica
-
Agenda
Seccin 1. Introduccin a la norma ISO/IEC 27001:2013.
Seccin 2. Estructura de la nueva norma.
Seccin 3. Principales cambios y mejoras.
Seccin 4. Modelo de transicin.
2
-
Introduccin a la norma ISO/IEC 27001:2013.
Seccin 1
3
-
ISO 27001:2013
ISO IEC 27001 2013 es un estndar de gestin de seguridad de la informacin.
Se define un conjunto de requisitos de gestin de seguridad de la informacin.
El nombre oficial completo de la norma ISO / IEC 27001:2013 Tecnologa de la informacin - Tcnicas de seguridad Sistema de gestin de Seguridad de la informacin - Requisitos
4
-
Historia de la Norma ISO 27001
5
-
Anexo SL
El Anexo SL sugiere una estructura nica para todas las normas en Sistemas de Gestin, consiguiendo con ello mayor coherencia, efectividad y eficiencia en su implementacin, integracin, mantenimiento y proceso de auditora para la posterior certificacin.
Esta estructura, a la que se le ha dado el nombre de estructura de Alto Nivel, consta de 10 apartados.
6
-
Anexo SL - Estructura comn
1. Alcance 2. Referencias normativas 3. Trminos y definiciones 4. Contexto de la organizacin 5. Liderazgo 6. Planificacin 7. Soporte 8. Operacin 9. Evaluacin 10. Mejora
7
-
Los Sistemas de Gestin se Integran
SISTEMA DE
GESTION
SALUD Y SEGURIDAD
TRABAJO OHSAS 18001
CALIDAD ISO 9001
AMBIENTALISO ISO 14001
SEGURIDAD DE LA
INFORMACION ISO 27001
8
-
Estructura de la ISO 27001:2013
1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
10. Mejora
Anexo A Lista de Controles
9
-
PNTP ISO/IEC 27001:2014
Para el Per ser la futura norma NTP ISO/IEC 27001:2014.
Actualmente ya se culmino su traduccin encontrndose en fase de consulta y revisin final del borrador
10
-
Estructura de la nueva norma
Seccin 2
11
-
Qu es ISO?
12 Fuente: http://www.pmg-ssi.com/
-
Contexto de la organizacin
Se definen los requerimientos para definir el contexto del SGSI sin importar el tipo de organizacin y su alcance.
Nuevo concepto de la partes interesadas como un elemento primordial para el alcance del SGSI.
Se alienan las partes interesadas con relacin a la seguridad de la informacin y sus requisitos
13
-
Liderazgo
Los objetivos del SGSI y La poltica de seguridad de la informacin deben estar alineados con los objetivos del negocio.
Garantizar disponibilidad de los recursos
Garantizar que se asignen los roles y responsabilidades
14
-
Planeacin
Se elimina el trmino Propietario del activo y se adopta el trmino Propietario del riesgo.
La evaluacin de riesgos ya no est enfocado en los activos, las vulnerabilidades y las amenazas.
El objetivo es identificar los riesgos asociados con la prdida de la confidencialidad, integridad y disponibilidad de la informacin.
El nivel de riesgo esta en base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.
Los requerimientos del SOA no sufrieron transformaciones significativas.
15
-
Soporte
La definicin informacin documentada sustituye a los trminos documentos y registros
Se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
Requerimientos de soporte: Recursos, Personal competente, y comunicacin de las partes interesadas
16
-
Operacin
Los activos, vulnerabilidades y amenazas ya no son la base de la evaluacin de riesgos.
Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
Establece los requerimientos para medir el funcionamiento del SGSI.
La organizacin debe planear y controlar las operaciones y requerimientos de seguridad
17
-
Evaluacin del desempeo
Revisiones del estado de los planes de accin para atender no conformidades.
Identificar, medir la efectividad y desempeo del SGSI mediante auditoras internas y las revisiones.
18
-
Mejora
Las no-conformidades identificadas, tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y sean efectivas.
Las medidas preventivas se fusionarn con la evaluacin y tratamiento el riesgo.
19
-
Anexos
El Anexo A Referencia de objetivos y controles contina formando parte de este estndar.
Los anexos B y C se han eliminado.
El nmero de dominios del anexo A aumenta de 11 a 14.
El numero de controles del anexo A paso de 133 a 114.
20
-
Estructura de la Norma ISO 27001
Clausula 7 Soporte
Clausula 4 Contexto de la organizacin
Clausula 5 Liderazgo
Clausula 5 Planificacin
Clausula 8 Funcionamiento
Clausula 10 Mejora
Clausula 9 Evaluacin del
desempeo
21
-
Ciclo PDCA en ISO/IEC 27001:2013
22
-
Principales cambios y mejoras.
23
Seccin 3
-
ISO 27001
Especifica los requisitos de gestin de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son escritos utilizando el verbo "debern" en imperativo
Anexo A: 14 clusulas que contienen 35 objetivos de control y 114 controles
La organizacin puede ser certificada en esta norma
24
-
ISO 27002
Gua para el cdigo de prcticas para los controles de la seguridad de la informacin (Documento de referencia)
Clusulas escritas utilizando el verbo "debera"
Compuesto de 14 clusulas, 35 objetivos de control y 114 controles
Una organizacin no puede ser certificada en esta norma
25
-
Cambios
26
-
Cambios
27
-
Documentos
28
-
Documentos
29
-
Cambios
30
ISO 27001:2005 ISO 27001:2013
-
Modelo de transicin.
31
Seccin 3
-
Transicin
32
Realizar un anlisis de brecha entre la norma ISO/IEC 27001:2005 y la ISO/IEC 27001:2013
Se debe iniciar un Proyecto de Transicin
-
Informacin documentada
La 'Informacin documentada' es el un nuevo trmino que se aplica a lo que la versin 2005 denominaba documentos y Registros.
En la transicin a la norma ISO / IEC 27001: 2013, slo tiene que sustituir el trminos documentos y registros con el trmino documentos de informacin
Si desea realizar una distincin se entiende que los documentos son declaraciones de intenciones y los registros son evidencias
33
-
Poltica
Poltica de Seguridad de la Informacin en lugar de poltica del SGSI
Criterios para la realizacin de las evaluaciones de riesgos de seguridad de informacin (vase el numeral 6.1.2 a) 2))
La poltica de la organizacin hacia la liberacin de su informacin, la poltica de seguridad a las partes interesadas (vase el numeral 5.2 g))
La poltica de la organizacin con respecto a las comunicaciones externas (ver Clusula 7.4).
34
-
Evaluacin de riesgos
En contraste con la norma ISO / IEC 27001: 2005, ISO / IEC 27001: 2013 no exige explcitamente la identificacin de activos, amenazas y vulnerabilidades, como requisito previo a la identificacin de riesgos.
Utiliza el vocabulario de 31000 (Gestin de riesgos ISO principios y directrices) y, por tanto, la norma ISO / IEC 27001: 2013 se refiere a consecuencias en lugar de impactos
35
-
Evaluacin de riesgos
La estructura general de los requisitos (identificar los riesgos, evaluar consecuencias y probabilidades) es el mismo que ISO / IEC 27001: 2005.
Esto significa que poco o ningn cambio se debe realizar en la evaluacin del riesgo / metodologa de tratamiento riesgo o su implementacin.
36
-
Trminos de referencia para la alta direccin
Un cambio debe ser necesario
para acomodar la especificacin de responsabilidades dadas en las Clusulas 5.1 a) a h).
37
-
5.1 Liderazgo y compromiso
a) asegurando que la poltica de seguridad de la informacin y los objetivos de seguridad de la informacin son establecidos y compatibles con la direccin estratgica de la organizacin;
b) asegurando la integracin de los requisitos del sistema de gestin de seguridad de la informacin en los procesos de la organizacin;
c) asegurando que los recursos necesarios para el sistema de gestin de seguridad de la informacin estn disponibles;
38
-
5.1 Liderazgo y compromiso
a) comunicando la importancia de una efectiva gestin de seguridad de la informacin y en conformidad con los requisitos del sistema de gestin de seguridad de la informacin;
b) asegurando que el sistema de gestin de seguridad de la informacin logre su(s) resultado(s) previsto(s);
c) dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestin de seguridad de la informacin;
d) promoviendo la mejora continua; y e) apoyando a otros roles relevantes de
gestin para demostrar su liderazgo tal como se aplica a sus reas de responsabilidad.
39
-
Responsabilidades
Se debe acomodar la especificacin responsabilidades dadas en las Clusulas 5.3 a) y b).
40
-
5.3. Roles, autoridad y responsabilidades organizacionales
a) asegurar que el sistema de
gestin de seguridad de la informacin est conforme a los requisitos de este Proyecto de Norma Tcnica Peruana; y
a) reportar sobre el desempeo del sistema de gestin de seguridad de la informacin a la alta direccin.
41
-
Concientizacin
Los requisitos de Clusula 7.4 como el proceso de creacin de conciencia puede considerarse como una forma de comunicacin.
42
-
7.4. Comunicacin
La organizacin debe determinar la necesidad de comunicaciones internas y externas relevantes al sistema de gestin de seguridad de la informacin incluyendo:
a) qu comunicar; b) cundo comunicar; c) a quin comunicar; d) quin debe comunicar; y e) Los procesos por los cuales la
comunicacin debe ser efectuada
43
-
Preguntas
44
-
Contacto
45
Maurice Frayssinet Delgado [email protected] Rpm #963-985-125 6346000 anexo 118 2197000 anexo 5118
Soporte SGSI: Correo Electrnico: Telfonos:
-
ONGEI Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe