ISO 27001 Clase 3
AGENDA TEMAS A TRATAR Términos y Definiciones Contenido de la Norma (Controles y Dominios) Introducción a un Sistema de Gestión de Seguridad de la Información SGSI. Cuestionario
TÉRMINOS Y DEFINICIONES
Activo Confidencialidad. Integridad. Disponibilidad.
TÉRMINOS Y DEFINICIONES
Amenaza Vulnerabilidad.
Tร RMINOS Y DEFINICIONES
Riesgo. Anรกlisis de Riesgo. Tratamiento del Riesgo. Valoraciรณn de Riesgos. Control.
Tร RMINOS Y DEFINICIONES
Aceptaciรณn del Riesgo Evaluaciรณn del Riesgo Gestiรณn del Riesgo Riesgo Residual
Tร RMINOS Y DEFINICIONES
Declaraciรณn de Aplicabilidad Seguridad de la Informaciรณn Evento de Seguridad de la Informaciรณn Incidente de Seguridad de la Informaciรณn
TÉRMINOS Y DEFINICIONES
Sistema de Gestión de la Seguridad de la Información SGSI Política
CONTENIDO DE LA NORMA ISO/IEC 27001
Proporciona un modelo para establecer, implementar, revisar y mejorar los sistemas de seguridad de la informaciรณn de una organizaciรณn.
Decreto 2573 DE 2014
DIFERENCIAS ENTRE LAS VERSIONES
ISO/IEC 27001:2005 11 dominios y 133 controles ISO/IEC 27001:2013 14 dominios o รกreas y 114 controles
DIFERENCIAS ENTRE LAS VERSIONES
NORMA ISO/IEC 27001:2005
NORMA ISO/IEC 27001:2013
5. Política de Seguridad.
5. Políticas de Seguridad.
6. Organización de la Seguridad de la Información.
6. Organización de la Seguridad de la Información.
7. Gestión de Activos.
7. Seguridad de los Recursos Humanos.
8. Seguridad de los Recursos Humano.
8. Gestión de Activos.
9. Seguridad Física y de los Entornos.
9. Control de Acceso.
DIFERENCIAS ENTRE LAS VERSIONES
NORMA ISO/IEC 27001:2005
NORMA ISO/IEC 27001:2013
10. Gestión de Comunicaciones y Operaciones.
10. Cifrado o Criptografía
11. Control de Acceso.
11. Seguridad Física y del Entorno
12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
12. Seguridad de las operaciones
13. Gestión de los incidente de la Seguridad de Información.
13. Seguridad en las Comunicaciones.
DIFERENCIAS ENTRE LAS VERSIONES
NORMA ISO/IEC 27001:2005
NORMA ISO/IEC 27001:2013
14. Gestión de la Continuidad del Negocio.
14. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
15. Cumplimiento.
15. Relaciones con los Proveedores. 16. Gestión de incidentes de Seguridad de la Información. 17. Aspectos de Seguridad de la Información de la Gestión de Continuidad del Negocio 18. Cumplimiento.
DIFERENCIAS ENTRE LAS VERSIONES
ISO/IEC 27001:2005 Requisito contar con metodología de evaluación de riesgos ISO/IEC 27001:2013 Evaluación de riesgos periódica, acciones de gestión adecuadas
DIFERENCIAS ENTRE LAS VERSIONES
ISO/IEC 27001:2005 Evaluaciรณn de los riesgos orientada a los activos. Amenazas. Vulnerabilidades. Impacto. ISO/IEC 27001:2013 No es necesario realizar esta evaluaciรณn basada en activos Confidencialidad Integridad Disponibilidad
INTRODUCCIÓN A UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI.
"Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas de seguridad y tampoco entiende la tecnología". Schneier
COMPONENETES DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI.
Confidencialidad. Integridad. Disponibilidad.
IMPLANTANDO UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI.
1. Contexto de la Organización.
4. Soporte.
2. Liderazgo.
5. Operación.
3. Planificación.
6. Evaluación de Desempeño. 7. Mejora.
IMPLANTANDO UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI.
Inicio
Conocimiento de la Organización
Planificación y Control Operacional
Soporte
Evaluar el Desempeño
Mejora
Liderazgo y Compromiso de la Dirección
Realizar la Planificación
Fin
AGRADECIMIENTOS