Servicio de ConsultoríaImplantación de la ISO/IEC 27001
La familia de normas ISO 27000 define que la seguridad de la información se establece mediante la implementación de una serie de controles entre los que se encuentran políticas, prácticas, procedimientos y definición de una estructura organizativa. Estos controles necesitan ser establecidos para asegurar que los objetivos de seguridad específicos, que se han fijado para una determinada organización, se cumplan.
Los objetivos de seguridad pueden variar considerablemente dependiendo del sector en el que se encuentre la organización, pero de forma general estos objetivos están directamente ligados a la seguridad de procesos organizativos, procesos de producción, al ciclo de vida de la información y obviamente, al cumplimiento de la legislación vigente.
La gestión de riesgos de infraestructura y la continuidad del negocio, son requisitos exigidos por esta norma que consiste en una de las razones de su alto grado de aceptación en el mercado mundial.
ISO/IEC 27001ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Dominios de la norma ISO 27001
Política de Seguridad
Aspectos organizativospara la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Control de accesos
Desarrollo y mantenimiento
de sistemas
Gestión de comunicaciones
y operaciones
Conformidad
Seguridad física y del entorno
Gestión de continuidad del negocio
Opera
ciona
lTá
ctico
Estra
tégic
o
Seguridad Organizativa
Seguridad Lógica
Seguridad Física
Seguridad Legal
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
El servicio incluye las siguientes actividades
Revisión Metodología Gestión de Riesgos
Elaboración de declaración de aplicabilidad
Definición de política y organización del SGSI
Elaboración de un Plan Director de Seguridad
Selección de controles para tratamiento de riesgos
Implantación de la herramienta SGSI
Definición de métricas e indicadores
Elaboración de documentación
Monitoreo y revisión periódica
Implantación de la norma ISO 27001ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Donde se establecerán los límites del SGSI definiendo de forma detallada los mismos de acuerdo con las características de los sistemas de información de la corporación.
Definición del alcance y diseño del SGSI
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Se definirá la política de seguridad y la organización asociada para la correcta puesta en marcha del SGSI.
Definición de política y organización del SGSI
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Alcance
Instalación y formación en la herramienta suministrada.
Implantación de la herramienta SGSI ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Se realiza la identificación y evaluación de las opciones o combinación de opciones para la gestión de cada riesgo:
AsumirloEvitarloTransferirloReducirlo
Definición de Plan de Gestión de Riesgos
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Plan de implantación de controles. Teniendo en cuenta los requisitos de seguridad identificados (legales, de negocio, análisis de riesgos, entre otros.) se propondrá una selección de controles basada en la ISO 27002 y proporcionales a los niveles de riesgo con el objetivo de reducir los riesgos identificados. Si fuera necesario se seleccionarán controles adicionales.
Selección de controles para tratamiento de riesgos
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Describir una relación justificada de controles a aplicar:
Controles seleccionadosObjetivos del controlRazones para la elección y exclusión.
Elaboración de declaración de aplicabilidad
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Se proporcionará la documentación necesaria estableciendo los procedimientos requeridos para realizar un control y protección eficientes de la documentación, que incluya:
Desarrollo y aprobación de la documentaciónGestión de cambiosControl de versionesDisponibilidadControl de distribuciónControl de cronología, entre otros.
Elaboración de documentación ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Se establecerá un conjunto de medidas que permitan a la corporación medir la eficacia de los controles seleccionados, como son:
Métricas: datos cuantitativos que permitan evaluar la eficacia, eficiencia y madurez de un control.Indicadores: agregaciones realizadas con las métricas para obtener información útil.
Definición de métricas e indicadores ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Se debe establecer un procedimiento para la revisión y mantenimiento de todo el SGSI, y en particular, un procedimiento para la revisión y mantenimiento del análisis de riesgos.
Monitoreo y revisión periódica ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Elaboración de un Plan Director de Seguridad
Se debe instrumentar un Plan Anual detallado indicando, qué se debe hacer, quién lo hace, cuándo se hace y dónde, incluyendo las necesidades de recursos a invertir.
ISO/IEC 27001
Dominios de la norma ISO 27001
Implantación de lanorma ISO 27001
Alcance
Política
Herramienta
PGR
Controles
Aplicabilidad
Documentación
Indicadores
Monitoreo
PDS
Avenida ChileCarrera 7 No 71-21. Torre B. Piso 13
Teléfono +57 1 3251148Bogotá, D. C., Colombia.
Jaime Rodríguez [email protected]
Celular 310 2293594
www.reto.com.co