Sei sulla pagina 1di 21

INGENIERÍA DE SISTEMAS

GOBIERNO DE TECNOLOGÍAS DE LA
INFORMACIÓN

TEMA:
ISO 27000

ALUMNO:
Cerna Albarran Irvin Felipe

DOCENTE:
Ing. Giovanna Chafloque Capuñay
ISO 27000

Contienen los términos y definiciones que se


Es un conjunto de estándares por ISO que
utilizarán durante toda la seria 27000. Para
proporcionan un marco de gestión de la
aplicar cualquier estándar necesita conocer
seguridad de la información
un vocabulario claramente definido.

Existen distintas normas que componen la


serie ISO 27000 y se indica cómo puede una
organización implantar un sistema de gestión
de seguridad de la información-
Analizar y gestionar los riesgos basados en los procesos. Resulta
muy útil el análisis y la gestión de riesgos basados en los procesos
ya que evalúa y controla a la organización en relación a los
diferentes riesgos a los que se encuentra sometido el sistema de
información.
ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27007


ISO/IEC 27001
Describe cómo gestionar la seguridad de la información en una
Organización.

Especifica los requisitos para establecer, implementar, supervisar y


mejorar un sistema de seguridad de la información (SGSI).

El eje central de ISO 27001 es proteger la confidencialidad, integridad y


disponibilidad de la información en una empresa.
BENEFICIOS DE ISO
27001:
Cumplir con los
requerimientos
legales.

Obtener una
Una mejor
ventaja
organización
comercial.

Menores costos.
Sección 0 Introducción

Sección 1 Alcance

Sección 2 Referencias normativas

Sección 3 Términos y definiciones

Sección 4 Contexto de la organización

Sección 5 Liderazgo

Sección 6 Planificación

Sección 7 Apoyo

Sección 8 Funcionamiento

Sección 9 Evaluación del desempeño

Sección 10 Mejora

Anexo A
Políticas de seguridad de la información Seguridad en las operaciones

Organización de la seguridad de la información Seguridad en las comunicaciones

Adquisición, desarrollo y mantenimiento de


Seguridad en los recursos humanos
sistemas

Gestión de activos Relaciones con proveedores

Control de accesos Gestión de incidentes de seguridad de la


información

Aspectos de seguridad de la información dentro de


Criptografía
la continuidad del negocio

Seguridad física y ambiental Conformidad


ISO/IEC 27002
Establece un catálogo de buenas prácticas que determina, desde la
experiencia, una serie de objetivos de control y controles que se integran
dentro de todos los requisitos de la norma ISO 27001 en relación con el
tratamiento de los riesgos

Toma como base los riesgos a los que se enfrenta la organización, tiene
como objetivo principal establecer, implantar, mantener y mejorar de
forma continua la seguridad de la información de la organización.
1.- Políticas de Seguridad de la Información.

2.- Organización de la Seguridad de la Información.

3.- Seguridad Relativa a los Recursos Humanos.

Estructura de 14 4.- Gestión de activos.


Capítulos.
5.- Control de Acceso.

6.- Criptografía.

7.- Seguridad Física y del Entorno.


8.- Seguridad de las Operaciones.

9.- Seguridad de las Comunicaciones.

10.- Adquisiciones, Desarrollo y Mantenimiento de los Sistemas de


Información.

Estructura de 14 11.- Relación de Proveedores.

Capítulos.
12.- Gestión de Incidentes de Seguridad de la Información.

13.- Aspectos de Seguridad de la Información para la Gestión de la Continuidad


de Negocio.

14.- Cumplimiento.
ISO/IEC 27004
Posibilita una variedad de mejores prácticas para la
medición de los resultados de un SGSI.

Especifica cómo estructurar el sistema de medición,


cuáles son los parámetros a medir, cuándo y cómo
medirlos.

Especifica cómo se ha de constituir estos métodos y


cómo deben integrarse y documentarse los datos
alcanzados en el SGSI.
Objetivos de estos procesos de mediciones:

Evaluar la efectividad de la implementación de los


controles de seguridad.

Evaluar la eficiencia del SGSI.

Proveer estados de seguridad

Comunicar valores de seguridad a la organización

Servir como entradas al plan de análisis y tratamiento de


riesgos
Elección de los objetivos y Descripción de las líneas
procesos de medición principales

Desarrollo de un sistema de
Selección de datos
medición

Interpretación de los valores Notificación de los valores de


medidos medición
ISO/IEC 27005

Es aplicable a todo tipo de organizaciones que tengan


la intención de gestionar los riesgos que puedan
complicar la seguridad de la información de su
organización.

No recomienda una metodología concreta, dependerá


de una serie de factores, como el alcance real del
Sistema de Gestión de Seguridad de la Información
(SGSI), o el sector comercial de la propia industria.
Un evento solo es un riesgo si existe un
grado de incertidumbre. Por lo tanto es
un riesgo que debemos evitar. Debemos
estar seguros de identificar el riesgo en
realidad y no sus causas o efectos.
Probabilidad

Consecuencia
Proximidad
s

Factores
de
Dependencia
Selección Ocurrencia

Maleabilidad Urgencia
ISO/IEC 27007

Proporciona una guía para organismos de certificación acreditados, auditores internos,


auditores externos / terceros y otros auditores ISMS contra ISO / IEC 27001

Se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que
proporciona orientación adicional específica del SGSI
Administrar el programa de auditoría del SGSI

Realización de una auditoría del MS

•Gestión de auditores ISMS


Corroborar la mitigación realizada por los controles de
seguridad de la información.

Verificar que es correcta la relación de los controles de


seguridad.

Comprobar que las obligaciones contractuales de los


proveedores son satisfactorias.

Realizar una revisión y control por la dirección.

Operaciones rutinarias del SGSI de una organización


para garantizar la buena marcha de la organización.

Auditar después de producirse incidentes en la seguridad


de la información como parte del análisis.

Generar acciones correctivas.


CONCLUSIONES
Se concluye que las normas ISO, tienen una base
transcendental dentro de cualquier organización con
intenciones de una mejora.

Se concluye que la Seguridad de Información en los


últimos tiempos es de vital importancia en las
organizaciones, por ende las organizaciones deben
alinearse a la serie de normas ISO 27000.

La serie ISO 27000 permite una operativa basada en la


seguridad de la información y la excelencia en el
tratamiento de la información en la organización, que se
traducen en un mejor servicio con una menor inversión.