Post on 03-Jun-2018
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 1/45
27001
Seguridad
orientada al
Negocio
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 2/45
• Objetivo de la Norma ISO 27001
• Bases de la Norma ISO 27001
• Actualización a ISO 27001:2013• Estructura de la Norma
• Compromiso y alcance
• Dominios de control• Soporte y operación
• Declaración de Aplicabilidad
• Negocio y otros Frameworks• La certificación
• Familia de Normas ISO 27000
ISO 27001
2005 → 2013
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 3/45
Este estándar fue desarrollado para proveer un modelo para elestablecimiento, implementación, operación, monitorización, revisión,
mantenimiento y mejora del SGSI teniendo en cuenta la política,
estructura organizativa, las normas, procedimientos y los recursos de laempresa.
El SGSI de la ISO 27001 permite prevenir o reducir eficazmente elnivel de riesgo mediante la implantación de los controlesadecuados, preparando a la Organización ante posiblesemergencias, garantizando la continuidad del negocio.
Objetivo
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 4/45
La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen lasmedidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de lainformación más sensible y las aplicaciones más críticas para cada área de negocio establecidos.
• La Seguridad deja de ser sólo una cuestión técnica para ser parte delPlan de Negocio
• Aplica a todos los niveles de la Organización.
• Introduce el Análisis de Riesgo y un sistema de gestión orientado a laprotección de la información (SGSI).
• Define un conjunto de controles que no deja nada librado al azar.
• Asocia Gobernabilidad con la Seguridad de la Información, mostrandoun valor agregado de Calidad a los resultados del Negocio
POLITICA DE SEGURIDAD DE LA INFORMACIÓN
Bases de la 27001
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 5/45
Requerimientos
legales,reglamentariosy expectativas
de seguridad dela información
Clientes
ProveedoresUsuarios
AccionistasSocios
Seguridad de lainformaciónGestionada
Clientes
ProveedoresUsuarios
AccionistasSocios
Disponer de una gestión que asegure losprocesos de negocio y el tratamiento de losdatos propios o de terceros permite una…
Bases de la 27001
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 6/45
27001:2013• Pone más énfasis en la medición y evaluación del SGSI
• Nueva sección sobre la contratación externa, la cualrefleja el hecho de que muchas organizacionesdependen de terceros para la prestación de algunos
aspectos de las TI.• No enfatiza en el ciclo Plan-Do-Check-Act
explicitamente, presta más atención al contexto de
Seguridad de la Información en la Organización
• La 27001:2013 fue diseñada para ajustarse mejor aotras normas de gestión como ISO 9000 e ISO 20000
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 7/45
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
GOBERNABILIDAD
CALIDAD
NEGOCIO
ISO 27014 – Gobierno de Seguridad de la InformaciónISO 20000 – Gestión de Servicios de TI
Conceto clave
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 8/45
1. Ámbito de aplicación de la norma2. Alcance3. Términos y definiciones de la ISO / IEC 27000
4. Contexto organizacional y de las partes interesadas5. Liderazgo en seguridad de la información y apoyo de alto nivel para lapolítica
6. Planificación de un sistema de gestión de seguridad de la información;evaluación de riesgos; tratamiento de riesgos
7. Apoyar un sistema de gestión de seguridad de la información8. Hacer un sistema de gestión de seguridad de información operativa9. Revisar el funcionamiento del sistema10.Acciones correctivas
Anexo A:Lista de los controles y sus objetivos.
Est!"ct"!a de la No!#a
En la actualidad hay 114 controles en 14 grupos
El viejo estándar tenía 133 controles en 11 grupos
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 9/45
Est!"ct"!a de la No!#a
Propone un marco genérico para cualquier sistema de gestión, a partirdel cual toda norma ISO de sistema de gestión converja en una misma
estructura común y con el mismo contenido salvo en su apartado 8.-
Operación que será en el que, tras un primer apartado también común(8.1, de planificación y control operacional) cada norma desarrollará
sus requisitos específicos (de seguridad, de continuidad, de gestiónenergética o de lo que sea).
ANEXO SL
(ex Guía ISO 83)
Facilita la integraciónentre Normas
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 10/45
4. Sistema de Gestión deSeguridad de la Información
4.3 Requisitos de laDocumentación
4.1 Generalidades
4.2 Implementación ygerenciamiento del SGSI
5. Responsabilidades de laDirección
6. Auditoría interna del SGSI7. Revisión del SGSI por parte
de la Dirección
8. Mejora del SGSI
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación defuncionamiento del SGSI
10. Mejoras y acciones
correctivas
Introducción, Alcance, Referencias Normativas, Términos y definicionesEst!"ct"!a de la No!#a
200$ 2013
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 11/45
A
C %
C & E C '
D O
( L A N
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación defuncionamiento del SGSI
10. Mejoras y acciones
correctivas
Entendimiento de la Organización y su contextoExpectativas de las partes interesadasAlcances del ISMS
Liderazgo y compromiso de la Alta Dirección
PolíticasOrganización de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientización,comunicación, información documentada
Plan de tratamiento de riesgosImplementar el plan y documentar los resultados
Plan de seguimiento, medición, análisis y evaluaciónPlanear y realizar auditorías internas del SGSIRevisiones regulares de la Alta Dirección
No conformidad y acciones correctivas
Mejora continua del SGSI
Est!"ct"!a de la No!#a ) (DCA
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 12/45
Est!"ct"!a de la No!#a
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 13/45
(ol*tica de +e,"!idad
O!,ani-aci.n de la se,"!idad
Gesti.n de activos Cont!ol de accesos
Con/o!#idad
+e,"!idad del e!sonal+e,"!idad del ento!no
/*sico+e,"!idad del ento!no
tecnol.,ico
Gesti.n de incidentes dese,"!idad
Gesti.n deco#"nicaciones
oe!aciones
Gesti.n de contin"idadde ne,ocio
+e,"!idad O!,ani-ativa
+e,"!idad l.,ica
+e,"!idad /*sica
+e,"!idad le,al
% 1 c t i c o
O e! a t i v
o
E s t ! a t 2 ,i c o
Est!"ct"!a de la No!#a
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 14/45
ENTORNO = RIESGOS
CUMPLIMIENTOLeyes, Regulaciones, Políticas Internas
Asociar las áreas Legales,
Auditoría y Seguridad conlas áreas Funcionales yTecnológicas
GOBIERNOEstablecer procesos
funcionales y de serviciotecnológico protegidos,
compliance y pensados paraEl Negocio
Reconocer los diferentes
riesgos y metodología parasu gestión
Est!"ct"!a de la No!#a
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 15/45
Lo primero que debe reconocer la Organización es la importancia de uno desus principales activos: LA INFORMACIÓN, y en función de ello podrá
descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sinotambién el INTERES de aquellos agentes internos y externos en violarla, yasea en su Integridad, como Confidencialidad y Disponibilidad.
La Dirección debe reconocer que lo que se plantea es la
implementación de un esquema de seguridad orientada al negocio, ytoda Norma de Seguridad es una herramienta de que dispone (como marconormativo) para implantar la política y objetivo de Seguridad de laInformación.
Este Sistema proporciona mecanismos para la salvaguarda:• De los Activos de Información.• De los Sistemas que los procesan.
Co#!o#iso alcance
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 16/45
Objetivos de mejora en su gestión que busca alcanzar la Organización:
• De gobierno, estructura organizativa, funciones y responsabilidades• Políticas, los objetivos y las estrategias que están en marcha para
alcanzarlos• Las capacidades, entendidas en términos de recursos y de
conocimiento (por ejemplo, capital, tiempo, personas, procesos,sistemas y tecnologías)• Sistemas de información, flujos de información y procesos de toma
de decisiones (tanto formales como informales)• Relación con las percepciones y valores de los interesados internos:
• Cultura de la organización• Normas, directrices y modelos adoptados por la organización• Forma y el alcance de las relaciones contractuales.
Co#!o#iso alcance
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 17/45
!eas de Ne,ocio
(!oceso 4"ncional
(!oceso de +e!vicios %ecnol.,icos de +e,"!idad al Ne,ocio
Lees Re,"laciones delNe,ocio
Adoci.n del estnda!
(ol*ticas5 No!#as (!ocedi#ientos
Re,ist!os Cont!olesRe,ist!os Cont!oles
Co#!o#iso alcance
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 18/45
Do#inios de cont!ol 6Aneo A8
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 19/45
Cont!oles 27002:2013
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 20/45
Según lo que establezca como alcance la Compañía a través de su Políticade Seguridad, cada área de negocios participa en la gestión de:
El NegocioGestión de la SeguridadGestión de Información
Gestión con Terceras PartesMedios de Comunicación
El PersonalFunciones y responsabilidadesConfidencialidad y contraseñas
Uso de hardwareUso de software y aplicaciones
Concientización y Educación
Los sistemas de InformaciónSeguridad Física del entorno
Seguridad Física de los soportesSeguridad Lógica en los sistemas
Manejo de incidentes
La Revisión del SistemaControl de registros
Auditorías de SistemasSeguimiento del Cumplimiento
Para aportar resultados y conocimientos para el control de:
+oo!te
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 21/45
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 22/45
Nivel 9 REGI+%RO+(!oo!ciona las !"ebas objetivas del c"#li#iento
Nivel 3 IN+%R;C%I<O+ = C&EC'LI+% = 4OR>;LARIO+
Desc!ibe las actividades ta!eas esec*/icas 5 indicando co#o se !eali-an
Nivel 2 (ROCEDI>IEN%O+Desc!ibe !ocesos 6?"5 ?"ien5 c"ando5 donde8
Nivel 1 >AN;AL DE +EG;RIDAD(ol*ticas5 alcance5 eval"aci.n de !ies,os5 decla!aci.n de alicabilidad
Un Marco Normativo sobre estas bases permite contar con la certezasobre la Información de respaldo y pruebas objetivas para el control ydesarrollo de la Seguridad de la Información.
+oo!te
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 23/45
RIESGOS NEGOCIO• Definir tipos de riesgos
• Identificar riesgos asociados• Establecer parámetros demedición
• Elegir una metodología detratamiento
• Analizar y evaluar riesgos
• Crear un Plan de Mitigación
• Identificar procesos
• Analizar entornoregulatorio
• Analizar cultura interna• Analizar madurez
operativa• Analizar entorno
documental
MATRIZ DE RIESGO
DIRECTORIO
(!ea!ando la Oe!aci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 24/45
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en elcual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual sedetallan todos aquellos riesgos para los cuales la respuesta al riesgoresidual es distinta de “se asume” y por consiguiente se ha especificadoun plan de acción con los controles/actividades tendientes a mitigar elriesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores incorporados
• Detalle de riesgos y factores dados de baja, con lacorrespondiente justificación de esta acción• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluaciónactual y la justificación del cambio realizado
(!ea!ando la Oe!aci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 25/45
Evaluación y tratamiento de riesgos de seguridad
(lani/icaci.n deAd#inist!aci.nde Ries,os•Alcance•Metodología
Identi/icaci.n deRies,os•Activos
•Amenazas•Vulnerabilidades
Anlisis deRies,os•Riesgos
•Costos / Beneficios
(lan de Acci.n•Tratamiento•Aceptar riesgo residual
>onito!eo de losRies,os
Mitigar• Controles
Transferir• Seguros• Proveedores
Aceptar• No hacer nada
Evitar• Cesar la actividad que
lo origina
(!ea!ando la Oe!aci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 26/45
Un Análisis de Riesgo puede ser desarrollado con cualquier tipode metodología, siempre y cuando sea completa y metódica.
El resultado final de un análisis de riesgo, es:• Clara identificación, definición y descripción de los activos.• El impacto que podría ocasionar un problema sobre cada
uno.
• Conjunto de acciones que pueden realizarse (agrupadas).• Propuesta varios cursos de acción posibles.• Finalmente: Elección y Aprobación de un curso de acción por
parte de la Dirección. Es decir, el compromiso que asume envirtud de su propia estrategia (Costo/beneficio/Negocio), paratratar las acciones de ese curso de acción y ASUMIR elriesgo residual que quedará con lo que no esté dispuesto aabordar (…..o en definitiva a pagar…..).
(!ea!ando la Oe!aci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 27/45
Decla!aci.n de alicabilidad
Consiste en un documento que relaciona los controles que seaplican en el sistema de gestión.
De la relación de los controles que la norma ISO/IEC 27001 indicaen su anexo A, una Organización debe seleccionar aquellos que
debe implantar y mantener en su sistema.
El resultado de la elección de los controles forma parte del Plan deTratamiento de riesgos, de modo que éste tiene como salida la
Declaración de Aplicabilidad.
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 28/45
Inte!!etaci.n+e,"!idad
Inte!!etaci.n!eas deNe,ocio
Inte!!etaci.n%ecnolo,*a
Decla!aci.n de alicabilidad
Objetivos decont!ol
Ries,osidenti/icados
(lanes det!ata#iento de
!ies,os
I#lantaci.nde cont!oles
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 29/45
Decla!aci.n de alicabilidad
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 30/45
Decla!aci.n de alicabilidad
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 31/45
Para asegurar la gestión de Seguridadde la información debemos
necesariamente conocer cuáles sonlos procesos de nuestra Organizacióny como se trata la información en cadauno de ellos para de esta formaestablecer cuáles son los alcances
respecto de su “Ciclo de Vida” y queactividades vamos a establecer parala gestión de cada uno de los Activosde Información. Esto nos ayudará aentender cuál es la “cadena deinformación” y así poder establecer losmedios tecnológicos para tratarla encada uno de sus estados en el pasode cada uno de los diferentesprocesos.
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 32/45
Para satisfacer los objetivos del negocio, la información necesitaconcordar con ciertos criterios a los que CObIT hace referencia comorequerimientos de negocio para la información . Al establecer la
lista de requerimientos, CObIT combina los principios contenidos enlos modelos referenciales existentes y conocidos:
Requerimientos de calidad• Calidad• Costo
• ntrega !de servicio"
Requerimientos #iduciarios!Administraci$n de patrimonioterceros ba%o su
responsabilidad" & C'('
• fectividad ) eficiencia deoperaciones
• Confiabilidad de la informaci$n• Cumplimiento de las le*es )
regulaciones
Requerimientos de (eguridad• Confidencialidad• +ntegridad• ,isponibilidad
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 33/45
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 34/45
Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000:• Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.• Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios.
• Actividades de supervisión y evaluación de seguridad
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 35/45
ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridadidentificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL comoISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos delservicio con el fin de gestionar eficazmente los riesgos en la infraestructura
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 36/45
Los oco lib!os de I%IL s"s te#as son:
1 Gesti.n de +e!vicios de %I
2 >ejo!es !cticas a!a la (!ovisi.n de +e!vicio3 >ejo!es !cticas a!a el +oo!te de +e!vicio
Ot!as ,"*as oe!ativas9 Gesti.n de la in/!aest!"ct"!a de %I
$ Gesti.n de la se,"!idad (e!sectiva de ne,ocio7 Gesti.n de alicaciones Gesti.n de activos de so/t@a!e
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 37/45
-a norma +('/+C .&0 especifica los siguienteprocesos de gesti$n de servicio relacionados entre sí1
Procesos de Entrega de Servicios
Procesos de Control
Procesosde Versiones
Procesosde Relaciones
Procesosde Resolución
Gestión de ConfiguracionesGestión de Cambios
Gestión de Nivelesde Servicio
Informes de Servicio
Gestión de Incidentes
Gestión de Problemas
Gestión de Relacionesde Negocio
Gestión deProveedores
Gestión de Versiones
Gestión deSeguridad dela Información
Presupuestacióny Contabilización
deServicios de TI
Gestión deCapacidad
Gestión de
Continuidad yDisponibilidadde Servicio
27001 ot!os /!a#e@o!s
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 38/45
La Ce!ti/icaci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 39/45
(!e)A"dito!*a 6ocional8
2istencia * alcance apropiado del (3(+
A"dito!*a de Ce!ti/icaci.n
#ase 0 4 Revisi$n de la documentaci$n
#ase . 4 5rocesos * control
Ce!ti/icaci.n
misi$n del certificado
+e,"i#iento an"al
Me%ora continua
La Ce!ti/icaci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 40/45
Información documentada requerida para la certificación :
1. Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3)2. Política de seguridad de la Información (cláusula 5.2)3. Proceso de evaluación de riesgos (cláusula 6.1.2)
4. Proceso de tratamiento de riesgos (cláusula 6.1.3)5. Objetivos de seguridad de la Información (cláusula 6.2)6. Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2)7. Otros documentos relacionados con el SGSI considerados necesarios en la Organización
( 7.5.1b cláusula )
8. Documentos de planificación y control operacional (cláusula 8.1)9. Resultados de las evaluaciones de riesgos (cláusula 8.2)10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3)11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1)12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2)13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3)14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan
(cláusula 10.1)15. Otra información documentada; uso aceptable de los activos, política de control de
acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con losproveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones
contractuales, procedimientos de continuidad
La Ce!ti/icaci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 41/45
La Ce!ti/icaci.n
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 42/45
ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos yconceptos)
ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a lasnormas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de losparticipantes.Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002:Código de buenas prácticas para la gestión de la seguridad . Recomendaciones sobre qué medidastomar para asegurar los sistemas de información de una organización. Describe los objetivos de control(aspectos a analizar para garantizar la seguridad de la información) y especifica los controlesrecomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (enEspaña norma UNE-ISO 17799)
ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA
(Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente depublicación)
ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficaciade un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de loscomponentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
http://www.iso27000.es/iso27000.html#section3c
4a#ilia de No!#as I+O=IEC 27000
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 43/45
ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicaspara evaluación de riesgos de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC27001. Requisitos para la acreditación de las entidades de auditoria y certificación
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000
ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (endesarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información ycomunicaciones (en desarrollo)
ISO/IEC 27032: guía relativa a la ciberseguridad
ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo)
ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información.
ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores(en desarrollo)
4a#ilia de No!#as I+O=IEC 27000
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 44/45
ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación,recopilación, consolidación y preservación de evidencias digitales potenciales.
ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo)
ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección yprevención de intrusión (IDS/IPS). (en desarrollo)
ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo)
ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos deinvestigación. (en desarrollo)
ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidenciasdigitales. (en desarrollo)
ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo)
ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and EventManagement (SIEM). (en desarrollo)
ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sectorsanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de lospacientes.
4a#ilia de No!#as I+O=IEC 27000
8/12/2019 Presentacion Standard 27001_2013
http://slidepdf.com/reader/full/presentacion-standard-270012013 45/45
Pág. 6-45
Director Certificado en Seguridad de la Información (Univeridad C!"C"#
Auditoria y Control en Seguridad de la Información
ITIL V3 Certified - ISO 20000 Internal Audit Certified
Celular (5$11# 15 332%&'%5
)tt*+,,ar-lin.edin-com,in,fa/iandecalo
)tt*+,,m/icard-co,fa/ian-decalo-12'2%0