propuesta gap assessment iso 27001 - sigea.es · servicio gap assessment basado en la nueva iso...
TRANSCRIPT
www.sigea.es
SERVICIO GAP ASSESSMENT
BASADO EN LA NUEVA ISO 27001:2013
Descripción del análisis
Diferencias con una auditoría
Fases, actividades y equipo de
trabajo
Contacto
GAP ASSESSMENT ISO 27001:2013
DESCRIPCIÓN DEL ANÁLISIS
En esta primera parte del informe se incluyen las lagunas detectadas en áreas de cláusulas que
componen la base principal de la gestión de la norma ISO/IEC 27001:2013 , según el ciclo
de mejora
27001
plan
do
check
act
En esta segunda parte del informe, la más extensa, se muestran las áreas de control de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad
pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva
ISO/IEC 27001:2013
La información acerca del estado de implantación de las áreas de control, también se
muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una
instantánea.
También se incluyen en el informe, para dar una visión más detallada, el estado de implantación de los
objetivos de control de la nueva
norma ISO/IEC 27001:2013
La parte más detallada del informe constituye aquella en la que se especifica el estado dei mplantación de cada uno de los
controles de seguridad de la norma, indicando uno por uno su estado y las evidencias detectadas
54%
A modo de resumen, el informe también incorpora el
estado de implantación general en forma de porcentaje
El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado de las medidad de seguridad de la información
Porcentaje de reparto de controles aplicables
Nivel de implantación por cada uno de los TIPOS de controles
El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea
general del estado de implantación de las medidas de seguridad de la información
Comparativas entre el NIVEL de
implantación y el TIPO de controles
También se incluye un análisis del nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un
nivel de implementación medio o alto para cada uno de los tipos detectados.
24 %
50 % 47 %
Este nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control evaluados previamente.
Se trata de uno de los mejores indicadores para decidir por dónde empezar a actuar en el caso de una
implantación.
GAP ASSESSMENT ISO/IEC 27001:2013
¿Y CUÁL ES LA DIFERENCIA CON UNA AUDITORÍA?
Fase I :Política, objetivos y responsabilidades
Fase II : Análisis de Riesgos y Plan de Tratamiento
Fase IV : Implantación de controles
Auditoria interna, acompañamiento en AC y cierre
Fase V : Formación, definición de indicadores y recogida de datos
Fase III : Definición de la documentación aplicable
GAP analysis y definición del alcance
Mes 5 Mes 3 Mes 4 Mes 1 Mes 2 Mes 6
Nuestro informe incorpora varias propuestas de alcances certificables así como un programación gantt que
refleja nuestra recomendación en tiempo, recursos y prioridades para la implantación.
Fase I :Política, objetivos y responsabilidades
Fase II : Análisis de Riesgos y Plan de Tratamiento
Fase IV : Implantación de controles
Auditoria interna, acompañamiento en AC y cierre
Fase V : Formación, definición de indicadores y recogida de datos
Fase III : Definición de la documentación aplicable
GAP analysis y definición del alcance
Mes 5 Mes 3 Mes 4 Mes 1 Mes 2 Mes 6
La mayor parte de este tiempo es descontado de la primera fase de implantación del sistema, con lo que se
reduce el coste de implantación.
Evaluación inicial (GAP)
Plan
Do
Check
Act
Formación y concienciación Generación de documentación
Plan
Do
Check
Act
Plan
Do
Check
Act
OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados)
OPCIÓN B - Acompañamiento a los consultores de la entidad
Auditoria externa
Fase I Fase IV Fase III Fase II Auditoria interna y
cierre
Fase V
Además, nuestra metodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el
informe proponemos además varias fórmulas u opciones de implantación
GAP ASSESSMENT ISO/IEC 27001:2013
FASES, ACTIVIDADES Y EQUIPO DE TRABAJO
Fase 1 - Análisis de madurez de los requisitos ISO 27001
Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los
principales interlocutores y, en la medida de lo posible, se revisará la documentación existente.
El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las
cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de
implantación de la norma ISO 27001. En concreto:
Análisis de riesgos
Política de seguridad
Objetivos e indicadores
Aspectos organizativos
Formación y concienciación en seguridad
Gestión documental
Gestión de registros
Planes de tratamiento de riesgos
Gestión de Auditorías Internas
Mejora Continua
Revisiones por Dirección
Los resultados serán presentados en
gráficos de procesos indicando las
desviaciones detectadas
GAP Assessment ISO/IEC 27001:2013
Fase 2 – Grado de implantación de medidas de
seguridad Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la
norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de
los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada.
El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a
nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En
concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en
la nueva norma ISO 27001:2013
Política de seguridad
Aspectos organizativos
Gestión de activos
Seguridad de los RRHH
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Continuidad de negocio
Conformidad
Los resultados serán presentados de forma individualizada
para cada una de las áreas de control, indicando su grado
de IMPLANTACIÓN
Se acompañará cada área con los puntos de atención que
sea necesario tener en cuenta para mejorar los grupos que
no se encuentren en un grado óptimo.
GAP Assessment ISO 27001
Desarrollo de las actividades
Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico,
administrativos, etc… de la entidad
Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros
de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado
de la seguridad de la información.
Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los
correspondientes informes.
Principales actividades
Recopilación de la información necesaria, tanto a nivel físico
como lógico, de los sistemas, servicios, comunicaciones y
medidas de seguridad.
Identificación de los sistemas críticos que requieren un
análisis detallado.
Identificación de las principales actividades de negocio.
Identificación de la legislación aplicable para la seguridad.
Investigación sobre la madurez del sistema de gestión de
seguridad de la información.
Investigación sobre el grado de conformidad con los
dominios, objetivos de control y controles de la ISO 27001.
Grado de concienciación/formación de los empleados en
materia de seguridad de la información.
Recursos
1 Consultor
Dedicación
+ Entrevistas on-site
+ Inspecciones on-site por cada centro
adicional
+ Redacción off-site de informes y
presentación de resultados
Entregables
- Informe de evaluación
- Conclusiones
- Estimación de implantación
- Propuesta de alcances posibles
GAP Assessment ISO 27001:2013
Los trabajos podrán ser realizados, de manera individual o conjunta, por cualquiera de los dos consultores asignados al proyecto, que son los siguientes:
Consultor Perfil Cualificación
Beatriz Martínez Consultora Senior
ISO 27001 & ISO 20000 Lead auditor CISA, CISM, CRISC
Francisco Menéndez Piñera
Consultor Senior
Equipo de trabajo
GAP Assessment ISO 27001
