ISO 27001-2013 ISC2 Colombia Chapter
-
Upload
kevin-arias -
Category
Documents
-
view
220 -
download
0
Transcript of ISO 27001-2013 ISC2 Colombia Chapter
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 1/56
ISO 27001:2013 Todo lo que ustednecesita saber acerca de los nuevos
cambios
Cambios respecto a ISO 27001:2005
William !lab" CISS#$ #%#&ISC'2 Capitulo Colombia (oard %ember
Si usted asisti) a esta c*arlaa+radecemos dili+enciar lasi+uiente encuesta
*ttp:,,+oo-+l,rc./c
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 2/56
Obetivos de la Sesi)n
• ntender las dierencias claves• ntender los nuevos requerimientos de la
norma
• ntender los controles adicionados " loscontroles eliminados
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 3/56
(I4 #ICT
• 6a versi)n 2013 es una evoluci)n$ .Ouna revoluci)n-
• %uc*o del te/to de la versi)n 2005 "
sus requerimientos &debes'permanecen$ pero al+unos se *anmovido para austarse a las nuevassecciones-
• .o es una mi+raci)n ma"or como loue de (S 77 a ISO 177-
8 90 Se mantiene
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 4/56
;+enda
• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013?
– <=u> es un S4SI? – #or que seleccionar ISO 27001?
• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios
– Otros Cambios relevantes
– structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte
– Sección 8 Operaciones – Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles
• "iempo #e "ransición• $oncl%siones
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 5/56
;+enda
• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013?
– <=u> es un S4SI? – #or que seleccionar ISO 27001?
• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes – structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte
– Sección 8 Operaciones – Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles
• "iempo #e "ransición• $oncl%siones
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 6/56
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 7/56
6a amilia ISO 27000
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 8/56
=u> es ISO 27001:2013?
ISO 27001 es la Mnica norma internacional auditable que deine los requisitospara un sistema de +esti)n de la se+uridad de la inormaci)n &S4SI'- 6a norma
se *a concebido para +arantiBar la selecci)n de controles de se+uridadadecuados " proporcionales-
llo a"uda a prote+er los activos de inormaci)n " otor+a conianBa a
cualquiera de las partes interesadas$ sobre todo a los clientes- 6a normaadopta un enoque por procesos para establecer$ implantar$ operar$supervisar$ revisar$ mantener " meorar un S4SI-
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 9/56
=u> es ISO 27001:2013?
Para %in es si-ni*ica(io
ISO 27001 es una norma adecuada para cualquieror+aniBaci)n$ +rande o pequea$ de cualquier sector o parte
del mundo- 6a norma es particularmente interesante si laprotecci)n de la inormaci)n es crNtica$ como en inanBas$sanidad$ sector pMblico " tecnolo+Na de la inormaci)n &TI'-
ISO 27001 tambi>n es mu" eicaB para or+aniBaciones que+estionan la inormaci)n por encar+o de otros$ por eemplo$empresas de subcontrataci)n de TI- #uede utiliBarse para+arantiBar a los clientes que su inormaci)n est! prote+ida
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 10/56
=u> es ISO 27001:2013?
Timeline
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 11/56
<=u> es un S4SI?
l concepto clave de un S4SI es el #iseo implan(ación + man(enimien(o #e%n con%n(o #e procesos para +estionar eicientemente la accesibilidad de la
inormaci)n$ buscando ase-%rar la con*i#enciali#a# in(e-ri#a# +#isponibili#a# de los activos de inormaci)n minimiBando a la veB los ries+osde se+uridad de la inormaci)n-
Como todo proceso de +esti)n$ un SSI debe se+uir siendo eiciente duranteun lar+o tiempo a#ap(n#ose a los cambios internos de la or+aniBaci)n asNcomo los e/ternos del entorno
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 12/56
<=u> es un S4SI?
. S4SI$ <= (.PICIOS ;#OT;?• n anlisis #e ries-os$ identiicando amenaBas$ vulnerabilidades e impactos en la actividad
empresarial-
• na meora con(in%a en la +esti)n de la se+uridad-
• na +arantNa de continuidad " #isponibili#a# #el ne-ocio-
• e#%cción #e los cos(os vinculados a los incidentes-
• l incremen(o #e los nieles #e con*ian;a de clientes " partners-• l aumento del valor comercial " meora #e la ima-en de la or+aniBaci)n-
• @oluntad de c%mplir con la le-islación i-en(e de protecci)n de datos de car!cter personal$servicios de la sociedad e la inormaci)n$ comercio electr)nico$ propiedad intelectual " en+eneral$ aquella relacionada con la se+uridad de la inormaci)n-
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 13/56
<#or que seleccionar ISO 27001?
Por % necesi(amos %n SSI
6as or+aniBaciones " sus sistemas " redes de inormaci)n est!n e/puestos a las ,'<=S dese+uridad tales como el raude$ espionae$ incendios$ inundaciones " el sabotae proveniente deuna amplia +ama de uentes- l creciente nMmero de allos de se+uridad *a llevado a una ma"orpreocupaci)n por la se+uridad de la inormaci)n entre las or+aniBaciones de todo el mundo-
>O V<$'S '< S'?I@@ @' > I<AO,$IB< es un +ran desaNo para la or+aniBaci)n
"a que <O P?'@' >OS' SO>O "VCS @' ,'@IOS "'$<O>BI$OS " nunca debe serimplementado de una manera que no este alineado con el enoque de la or+aniBaci)n a losries+os o de orma tal que se creen diicultades para sus operaciones comerciales-
#or lo tanto *a" una necesidad de mirar a se+uridad de la inormaci)n desde una P'SP'$"IVDO>ES"I$ lo que *ace necesario tener una metodolo+Na de +esti)n de se+uridad de lainormaci)n para prote+er la inormaci)n de manera sistem!tica- S aquN donde el S4SI entra en ue+o-
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 14/56
;+enda
• >a *amilia ISO 27000 – <=u> es ISO 27001:2013? – <=u> es un S4SI?
– #or que seleccionar ISO 27001?
• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes – structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte – Sección 8 Operaciones
– Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles
• "iempo #e "ransición• $oncl%siones
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 15/56
Cambios: marco central
Para (ener en c%en(a sobre los cambios:• 6a norma a*ora es menos descriptiva " prescriptiva• Aa ma"ores libertades en la implementaci)n• #ropone un periodo de transici)n para las or+aniBaciones "a
certiicadas
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 16/56
Cambios: l ciclo #@;
l modelo PDV no se reerencia e/plNcitamenteen la nueva norma$ sin embar+o$ est! allN como unmodelo de meora sub"acente pero --
• 6os dierentes elementos de PDV sedistribu"en a*ora dentro de la estructuracomMn de la norma-
• #or eemplo $"? se puede interpretarcomo la cl!usula 10 ,'FO
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 17/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
H Conte/to de la or+aniBaci)n5 6ideraB+o
J #laneaci)n7 Soporte
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 18/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
4 $on(e!(o #e la or-ani;ación• Conocimiento de la
or+aniBaci)n " su conte/to• Comprensi)n de las
necesidades " e/pectativas delas partes interesadas
• Aeterminaci)n del alcance delS4SI
• S4SI
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 19/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
5 >i#era;-o• 6ideraB+o " compromiso• #olNtica
• oles$ responsabilidades "autoridades en laor+aniBaci)n
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 20/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
6 Plani*icación• ;cciones para tratar ries+os "
oportunidades
• Obetivos de la SI " planespara lo+rarlos
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 21/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
7 Sopor(e• ecursos• Competencia
• Toma de conciencia• Comunicaci)n• Inormaci)n documentada
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 22/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
8 Operaciones
• #laniicaci)n " controlOperacional
• @aloraci)n de ries+os de la SI• Tratamiento de ries+os de la SI
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 23/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
- 'al%ación #el @esempeo• Se+uimiento$ medici)n$
an!lisis " evaluaci)n• ;uditoria Interna• evisi)n por la direcci)n
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 24/56
l ciclo #@;
#lanear
acer
@eriicar
;ctuar
10 ,eora• .o conormidades " acciones
correctivas• %eora continua
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 25/56
Cambios: 5 Aierencias undamentales
• 6a nueva norma esta escrita deconormidad con el ;ne/o S6
• lSO 27002 "a no es una normativa dereerencia
• 6as deiniciones ueron removidas "reubicadas en la norma ISO 27000
• Cambios en la terminolo+Na: poreemplo$ D#olNtica de SIF es usada enlu+ar de D#olNtica del S4SIF
• 6os requisitos para el compromiso dela ;lta Airecci)n ueron revisados "a*ora est!n presentes en la Cl!usulade 6ideraB+o
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 26/56
Cambios: H dierencias adicionales
• 6as acciones preventivas sereemplaBaron por Qacciones para
abordar los ries+os " oportunidades
• 6os requisitos de evaluaci)n de ries+osson a*ora m!s +enerales " se alineancon la norma ISO 31000
• 6os requisitos de la declaraci)n deaplicabilidad &So;' son similares pero seda ma"or claridad en la determinaci)nde los controles del proceso detratamiento de ries+os
• %a"or >nasis en el establecimiento delos obetivos$ el se+uimiento deldesempeo " m>tricas
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 27/56
Cambios: .ueva structura documental
• Aesarrollado usando el ;ne/oS6 – #ara estandariBar a los
redactores de normas – #roporciona te/to est!ndar
bien conocido entre losSistemas de +esti)n-
• .ueva estructura paraconvertirse en comMn paratodas las normas de Sistemasde 4esti)n-
• Se desea estandariBarterminolo+Na " requisitosundamentales para sistemasde +esti)n
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 28/56
Cambios: .ueva structura documental
In(ro#%c(ion
1- Scope2- .ormative reerences3- Terms and deinitionsH- Conte/t o t*e or+aniBation
5- 6eaders*ip
J- #lannin+7- Support9- Operation- #erormance evaluation
10- Improvement
Identical core te/t Por clauses H10 t*ere are also subclauses$ andidentical core te/t &requirements' is provided &reer ;ppendi/ 3 in;nne/ S6'-
i+* 6evel Structure R %ain clauses
T*e common rameGorE is deined in ;ppendi/ 3 o ISO,IC Airectives$ #art 1 ;nne/S6 &pp 1H3152'
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 29/56
Cambios: .ueva structura documental
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 30/56
#rincipales Aierencias
Tomado de iso27000-es
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 31/56
#rincipales Aierencias
T a b
l a
d e c o
n t e n i d o
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 32/56
#rincipales Aierencias
T a b
l a
d e c o
n t e n i d o
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 33/56
#rincipales Aierencias
• 3 "rminos + #e*iniciones
– Todas las deiniciones ueron removidas – 6as deiniciones relevantes ueron movidas a
ISO27000
– #romueve la consistencia de t>rminos "deiniciones en toda la amilia ISO270KK
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 34/56
#rincipales Aierencias
4 $on(e!(o #e la Or-ani;ación
– elacionados con el conte/to de la Or+aniBaci)n determinar losproblemas e/ternos e internos
– equisito claros para considerar las partes interesadas
– l conte/to determina la polNtica de SI$ los obetivos " la orma en que
la or+aniBaci)n tendr! en cuenta el ries+o " el eecto del ries+o en sune+ocio
– equisitos de las partes interesadas pueden incluir los requisitosle+ales " re+lamentarios " las obli+aciones contractuales
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 35/56
#rincipales Aierencias
$on(e!(o '!(erno
– social$ cultural$ polNtico$ urNdico$ normativo$ inanciero$ tecnol)+ico$econ)mico$ natural " ambiente competitivo &internacional$ nacional$re+ional o local'
– Pactores clave " tendencias que tienen impacto en los obetivos de laor+aniBaci)n
– elaciones percepciones " valores de los actores e/ternos
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 36/56
#rincipales Aierencias
$on(e!(o In(erno
– Cultura de la or+aniBaci)n – structura de +obierno$ roles " responsabilidades
– #olNticas$ obetivos " las estrate+ias en marc*a para alcanBarlos
– Capitales en t>rminos de recursos " de conocimientos &procesos e-$ Ainero$tiempo$ +ente$ sistemas " tecnolo+Nas'
– sistemas de inormaci)n Inormales " ormales " luos de procesos paratoma de decisiones
– .ormas adoptadas$ 4uias " modelos
– Porma " alcance de las relaciones contractuales
– elaciones$ percepciones " valores de los actores internos
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 37/56
#rincipales Aierencias
5 >i#era;-o
– esume los requisitos especNicos para el papel de la alta direcci)n en el S4SI
– Aelinea ormas especNicas para demostrar la +esti)n " su compromiso con el sistema- emplosinclu"en:
• ase+urando que los recursos necesarios para el sistema de +esti)n de la se+uridad de la inormaci)n est>ndisponibles
• comunicando la importancia de una +esti)n de la se+uridad de la inormaci)n eicaB " de la conormidad con
los requisitos del sistema de +esti)n de la se+uridad de la inormaci)n
– ;unque se renombro la #olNtica del S4SI$ los requisitos de polNtica ori+inales permanecen
– 6a alta direcci)n debe ase+urarse de que las responsabilidades " autoridades para los rolespertinentes a la se+uridad de la inormaci)n se asi+nen " comuniquen-
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 38/56
#rincipales Aierencias
6 Plani*icación
– stablecimiento de obetivos " principios rectores para el S4SI – ;l planiicar el S4SI- el conte/to de la or+aniBaci)n debe ser tenido en cuenta a
trav>s de la consideraci)n de los ries+os " oportunidades
– 6os obetivos de la or+aniBaci)n deben estar claramente deinidos unto conlos planes para alcanBarlos
– equisitos de evaluaci)n de ries+os m!s +eneral " alineados con la norma ISO31000
– equisitos de la declaraci)n de aplicabilidad &So;' pr!cticamente sin cambios-
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 39/56
#rincipales Aierencias
ies-o
– #ropietario del ies+o en lu+ar de propietario del activo – S)lo es necesario para identiicar los ries+os con respecto a
Conidencialidad$ Inte+ridad " Aisponibilidad
– inclu"e Qries+os positivosQ tambi>n conocidos comoOportunidades
– #lan de tratamiento de ries+os usado para crear ladeclaraci)n de aplicabilidad
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 40/56
#rincipales Aierencias
ies-o
i i l i i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 41/56
#rincipales Aierencias
Plan #e "ra(amien(o #el ies-o
– 6a cl!usula J-1-3 describe c)mo una or+aniBaci)n puede responder alos ries+os con un #lan de Tratamiento de ies+os$ una parteimportante de esto es la elecci)n de los controles adecuados
– stos controles " obetivos de control$ i+uran en el ;ne/o ;$ aunquetambi>n es posible$ en principio que las or+aniBaciones implementencontroles tomados de cualquier otra uente
# i i l Ai i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 42/56
#rincipales Aierencias
7 Sopor(e
– 6o necesario para establecer$ implementar " mantener " meorarcontinuamente un S4SI eectivo inclu"e:
• equerimientos de recursos o
• competencias de las personas involucradas
• Conocimiento " comunicaci)n con las partes interesadas
• equisitos para la +esti)n de documentos – Se reiere a la Qinormaci)n documentadaQ en lu+ar de Qdocumentos "
re+istrosD
– a no es una lista de los documentos que se necesitan o nombres particulares
que se les debe dar – %!s >nasis en el contenido en lu+ar del nombre-
# i i l Ai i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 43/56
#rincipales Aierencias
8 Operaciones
– 6as or+aniBaciones deben planiUcar$ implementar "controlar los procesos necesarios para cumplir losrequisitos de se+uridad de la inormaci)n
– Se inclu"e:• 6levar a cabo valoraciones de ries+o de SI a intervalos planiicados
• 6a implementaci)n de un #lan de Tratamiento de ies+os de SI
# i i l Ai i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 44/56
#rincipales Aierencias
9 'al%aciones #el #esempeo
– ;uditorNas internas " revisi)n por la direcci)nm>todos clave de la revisi)n del rendimiento delS4SI " *erramientas para su meora continua
– equisitos m!s especNicos para la medici)n de laeectividad
# i i l Ai i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 45/56
#rincipales Aierencias
10 ,eora
– 6as no conormidades de los S4SI tienen que sertratadas unto con las acciones correctivas paraase+urarse de que no vuelvan a ocurrir
– ;l i+ual que con todos los est!ndares de sistemasde +esti)n$ la meora continua es un requisitob!sico de la norma
# i i l Ai i
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 46/56
• ;*ora se tienen 1H dominios &2005: 11 dominios'
• l nMmero de controles se reduo de 133 a 113 controles
• Se *an eliminado o usionado al+unos controles
• ;l+unos controles nuevos se *an aadido
• ;l+unos de los controles que permanecen *an sido *an sidoreormulados
Aominios " Controles
ISO27001&2005 ISO27001&2013Total dominios de loscontroles 11
Total dominios de loscontroles 1H
.Mmero de controles 133 .Mmero de controles 113
#rincipales Aierencias
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 47/56
l nMmero de dominios del ane/o
aumenta de 11 a 1H
;-5 #olNtica de Se+uridad
;-J Or+aniBaci)n de la se+uridad de
la inormaci)n
;-7 4esti)n de ;ctivos
;-9 Se+uridad de los recursos*umanos
;- Se+uridad Nsica " del entorno
;-10 4esti)n de comunicaciones "
operaciones;-11 Control de ;cceso
;-12 ;dquisici)n$ desarrollo "mantenimiento de Sistemas de
Inormaci)n
;-13 4esti)n de los incidentes de lase+uridad de la inormaci)n
;-1H 4esti)n de la continuidad delne+ocio
;-15 Cumplimiento
n e ! o I S O 2 7 0 0 1 : 2 0 0 5 O b e ( i 4 o s # e c o n ( r o l
#rincipales Aierencias
Aominios de la norma ISO,IC 27001:2013
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 48/56
>is(a #e con(roles %e +a no *orman par(e #el es(n#ar:Control Descripción Cambia por Incluye los
controles de laISO 27001:2005
A.6.1.1 Comité de gestión parala seguridad de la
información
Roles de laseguridad de la
información y susresponsabilidades
.6.1.3 y A.8.1.1
A.6.1.2 Coordinación deseguridad de lainformación
Contacto conautoridades
.6.1.6
A.6.1.4 Procesos de autorizaciónpara instalaciones paraprocesamiento deinformación
Seguridad de lainformación en lagestión deproyectos
A.6.2.1 Identificación de riesgosrelacionados conagentes externos
Política dedispositivo móvil
.11.7.1
A.6.2.2 Direccionamiento deseguridad al tratar conclientes
Trabajo a distancia .11.7.2
A.10.2.1 Entrega del servicio
A.10.7.4 Seguridad del sistema
de documentosA.10.8.5 Sistema de información
de negocios
A.10.10.2 Seguimiento al uso desistema
A.10.10.5 Falla en el registro
A.11.4.2 Autenticación deusuarios paraconexiones externas
#rincipales Aierencias
Controles del;ne/o ;
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 49/56
>is(a #e con(roles %e +a no *orman par(e #eles(n#ar:
A.11.4.3 Identificación de equipos
A.11.4.4 Puerto remoto de diagnóstico
y configuración de protección
A.11.4.6 Control para la conexión deredes
A.11.6.2 Aislamiento del sistemasensible
A.12.2.1 Validación de datos deentrada
Controles contramalware
A.10.4.1
A.12.2.2 Control de procesamientointerno
A.12.2.3 Integridad de mensaje
A.12.2.4 Validación de datos de salida
A.12.5.4 Filtración de la información
A.15.1.5 Prevención del uso indebidode las instalaciones para elprocesamiento de información
A.15.3.2 Protección de lasherramientas de auditoría desistemas de información
Controles del;ne/o ;
#rincipales Aierencias
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 50/56
<%eos con(roles prop%es(osControl Descripción Absorbe los
controles de laISO 27001:2005
A.6.1.4 Seguridad de la información en la gestiónde proyectosA.12.6.2 Restricciones en la instalación de
softwareA.14.2.1 Política de desarrollo de seguridad
A.14.2.5 Desarrollo de procedimientos para elsistema
A.14.2.6 Desarrollo de un entorno seguro
A.14.2.8 Sistema de prueba de seguridad
A.15.1.1 Información de seguridad para lasrelaciones de proveedores
A.6.2.3
A.15.1.3 Cadena de suministro ICT
A.16.1.4 Evaluación y decisión de los eventos deseguridad de la información
A.16.1.5 Respuesta a incidentes de seguridad dela información
A.17.1.2 Implementación de la continuidad de laseguridad de la información
A.17.2.1 Disponibilidad de las instalaciones paraprocesamiento de
Controles del;ne/o ;
#rincipales Aierencias
;+enda
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 51/56
;+enda
• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013? – <=u> es un S4SI?
– #or que seleccionar ISO 27001?
• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes
– structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte – Sección 8 Operaciones
– Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles
• "iempo #e "ransición• $oncl%siones
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 52/56
Se+Mn lo especiicado por el Poro Internacional de ;creditaci)n &I;P'$ todos los
cer(i*ica#os i-en(es bao los requisitos #e la norma ISO&I'$ 27001:2005deber!n ser ac(%ali;a#os en un periodo m!/imo de dos &2' aos$ el cualinaliBar! en 2015G10G01$
"iempo #e (ransición
#rincipales Aierencias
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 53/56
6ineamientos aplicables para la transici)n de las certiicaciones a la nueva versi)n:
1. Or-ani;aciones cer(i*ica#as con la ISO&I'$ 27001 ersión 2005 an(es #el #Ha 2013G10G016as auditorNas de se+uimientos$ reactivaciones " renovaciones de certiicadosemitidos con la norma ISO,IC 27001 versi)n 2005$ se podr!n realiBar *asta el 20150H01-
2. Or-ani;aciones %e an no es(n cer(i*ica#as con la ISO&I'$ 270016as auditorNas de otor+amiento de certiicados con la norma ISO,IC 27001 con laversi)n 2005 solo ser!n permitidas *asta el dNa 201H1001$ despu>s de esta ec*a lasauditorNas de otor+amiento se realiBar!n solamente con ISO,IC 27001 versi)n 2013-
#rincipales Aierencias
"iempo #e (ransición
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 54/56
$oncl%siones
sta nueva versi)n relea una ma+or *le!ibili#a# para su implementaci)n dentrode las empresas sin importar su tamao$ asN como la necesidad de a#ap(arse a laeol%ción #e las (ecnolo-Has$ lo que para muc*os "a era inminente desde *aceal+unos aos-
6a recomendaci)n para quienes "a poseen un S4SI implementado es considerar elapo"o de consultores con e/periencia para llevar a cabo las modiicaciones "diri+ir los esuerBos *acia una actualiBaci)n e/itosa de la norma$ conorme lodictan los requisitos- Aespu>s de todo$ con la ac(%ali;ación #e la norma el
c%mplimien(o ser! m!s !cil de implementar con meor le/ibilidad para lasempresas de cualquier tamao-
#rincipales Aierencias
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 55/56
Si usted asisti) a esta c*arla a+radecemos dili+enciar
la si+uiente encuesta
*ttp:,,+oo-+l,rc./c
#re+untas
7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter
http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 56/56
#re+untas