Resumen Norma ISO-27000

AUDITORÍA DE SISTEMAS RESUMEN NORMA ISO 27000 Presentado Por: Juan Carlos Olivo Torres Jhonatan Rocha Roja Jorge L. Ho

Views 129 Downloads 2 File size 93KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

Citation preview

AUDITORÍA DE SISTEMAS

RESUMEN NORMA ISO 27000

Presentado Por: Juan Carlos Olivo Torres Jhonatan Rocha Roja Jorge L. Hooker Cedeño

Docente: Maria Claudia Bonfante

CORPORACIÓN UNIVERSITARIA RAFAEL NÚÑEZ. Facultad de Ingeniería de sistemas Cartagena De Indias Año 2014 IIP

NORMA ISO 27000

INTRODUCCION Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información, utilizable para cualquier tipo de organización. Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-CheckAct para evitar convertirlo en el único marco de referencia para la mejora continua). Exiten versiones traducidas al español aunque hay que prestar atención a la versión descargada

¿PARA QUE SE UTILIZA?  Establecer una metodología de gestión de la seguridad clara y estructurada.  Reducir el riesgo de pérdida o robo de información.  Dar confianza a los clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.  Dar la posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, …).Dar una imagen de la empresa a nivel internacional. Reducir los costes y mejorar los procesos y servicios. Aumentar la motivación y satisfacción del personal. IMPLANTACIÓN La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.

ORIGEN El origen de ISO-27001 se puede rastrear hasta una publicación del Departamento de Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de mejores prácticas para la administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera: 

En 1998 se liberó la segunda parte, BS7799-2, que estableció la especificación

para implantar un sistema de gestión de seguridad de la información (SGSI). 

En el año 2000, la Organización Internacional para la Estandarización (ISO,

Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1. 

Por su parte en el Reino Unido, la BSI (British Standards Institution) publicó la

norma BS7799-2:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora. Fue bajo esta norma que las empresas pioneras se certificaron, no sólo en el Reino Unido sino incluso en otros países. 

En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el

estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO-17799. 

Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO-

27002:2005. BENEFICIOS:  Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial.  Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.  Fiabilidad de cara al cliente demostrar que la información está segura.  Identificación, evaluación y gestión de riesgos.  Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.  Se integra con otros sistemas de gestión  Reducción de costes y mejora de procesos  Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.

LA SERIE 27000: A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 ISO 27000: contiene conceptos técnicos y de gestión. ISO 27001: requisitos del sistema de gestión de la seguridad de la información. ISO 27002: objetivos de control y controles recomendables. ISO 27003: guía de implementación de SGSI y modelo PDCA. ISO 27004: métricas y técnicas de medida en SGSI. ISO 27005: directrices para la gestión de riesgo. ISO 27006: requisitos para la acreditación de entidades de auditoría. ISO 27007: Consiste en una guía de auditoría de un SGSI. ISO 27032: Consiste en una guía relativa a la ciber seguridad. ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. CONTENIDO NORMA ISO 27001: 2005 Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta: otras normas que sirven de referencia. Términos y definiciones: breve descripción de los términos más usados en la norma. Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. Auditorías internas del SGSI: cumplimiento.

cómo realizar las auditorías internas de control y