ISO 27001

SGSI depende de la misión y la visión de la organización

Es una herramienta de calidad para construir innovación

La utilización de un SGSI depende de los objetivos de la organización

La complejidad del SGSI depende de la complejidad de la necesidad

Un SGSI depende de las necesidades de la organización

Depende de

Riesgos de seguridad

Objetivos de la organización

Estructura y personal

Procesos de la organización

Planear

Define las políticas y los objetos, determina el alcance,analiza los riesgos y selecciona los controles para implementar.

Hacer

Define e implementa el plan de gestión de riesgos e implementa los controles seleccionados para implantar en el sistema de gestión.

Verificar

Es el que desarrolla el proceso de monitorización y regula el SGSI de los niveles de riesgo para auditar internamente.

Actuar

Es el que implementa las mejoras preventivas y correctivas para las comunicaciones y verifican que las mejoras cumplan con los objetivos.

Una metodología de trabajo para gestionar la seguridad de la información, sobre un alcance definido previamente, que debe ser acorde a los objetivos de negocio

SEGURIDAD TÉCNICA

(sistemas, entorno de desarrollo)

ORGANIZACIÓN

CALIDAD, orientación a procesos, indicadores, mejora contínua

CUMPLIMIENTO LEGAL

Es una norma de amplio recorrido en la empresa, impulsada por profesionales del sector y continua actualización, publicada en 2005, ISO 27001 es especialmente con la que se certifican las organizaciones que quieran implementar un SGSI. Sistema de Gestión de Seguridad de la Información

Establece una metodología de SGSI clara y estructurada.

reduce los riesgos de robo,perdida o corrupción de la información.

los usuarios tienen acceso a la información de forma segura = confianza.

los riesgos y sus respectivos controles son revisados periódicamente.

Garantiza el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de la información.

proporciona confianza y reglas claras al personal de la empresa.

ISO 27000: Es la visión general del sistema de gestión de la seguridad de la información.

ISO 27001 : Contiene los requisitos del sistema de gestión de la seguridad de la información

ISO 27002 : Guía de practicas que contiene los objetivos de control de la seguridad de la información.

ISO 27003 : Son los aspectos críticos para montar el sistema de gestión de la seguridad informática con éxito.

ISO 27004 : Son técnicas para medir la eficacia del sistema de gestión de la seguridad de la información.

ISO 27005 : Proporciona las directrices para la gestión de riesgos.

ISO 27006 : Proporciona los requisitos para la acreditación de controles.

ISO 27007 : Auditoria para la sistema de gestion de la seguridad de la información.

ISO 27008 : Guía para la auditoria para los controles seleccionados en el sistema de gestión de la seguridad de la información.

Análisis de la situación actual y evaluación de la seguridad: Identificar los objetivos de negocio

Análisis y gestión de riesgos: Establecer la relación entre la compañía y su entorno, identificando sus puntos fuertes y sus puntos débiles, oportunidades y amenazas

Lanzamiento del SGSI: Desarrollar los procedimientos necesarios que permitan implantar los controles seleccionados

Implantación y puesta en marcha del SGSI: poner en marcha las políticas y procedimientos definidos en la fases previas, tomando previamente la asignación de responsable

Revisión y auditoria

Certificación