Principales Novedades de la ISO 27001/ISO · PDF fileEl nuevo enfoque de la ISO/IEC 27001:...
Transcript of Principales Novedades de la ISO 27001/ISO · PDF fileEl nuevo enfoque de la ISO/IEC 27001:...
Principales Novedades de la ISO 27001/ISO 27002
Jornadas Técnicas 2013 Dibujando el nuevo escenario normativo en el siglo XXI
Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización [email protected]
AEN
OR
Co
pyr
igh
t®
LAS NORMAS INTERNACIONALES GARANTIZAN
CAMBIOS POSITIVOS
AEN
OR
Co
pyr
igh
t®
La evolución del Modelo ISO 27000
JTC1/SC 27
AEN/CTN71/SC27
“Tecnologías de la Información. Técnicas
de seguridad”
AEN
OR
Co
pyr
igh
t®
La evolución del Modelo ISO 27000
El sistema de normalización
La evolución del Modelo ISO 27000
ISO/IEC 27001: 2005 ISO/IEC 27001: 2013
- Nº CONTROLES
133 114 94 se mantienen 39 eliminados 20 nuevos
+ DOMINIOS DE SEGURIDAD
11 14
+ REQUISITOS DE GESTIÓN
102 130
Cloud
Análisis de
riesgos
Avances tecnológicos
Cultura de seguridad
Externalización
Clientes
Nuevos modelos
de negocio
Entorno
Liderazgo
AEN
OR
Co
pyr
igh
t®
ISO/IEC 27001: 2013
ALINEACION CON
SISTEMAS DE
GESTION
ANÁLISIS DE
RIESGOS ISO/IEC 31000
UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices
UNE-ISO 31010: 2010 Gestión del riesgo. Técnicas de apreciación del riesgo
UN
E-IS
O 3
1000
:201
0
UN
E-IS
O 3
1010
:201
0
UN
E-IS
O G
uía
73:
201
0
UNE-ISO GUIA 73:2010 IN Gestión del riesgo. Vocabulario
El nuevo enfoque de la ISO/IEC 27001: 2013
AEN
OR
Co
pyr
igh
t®
El nuevo enfoque de la ISO/IEC 27001: 2013
Anexo SL de las Directivas del Organismo Internacional de Normalización (ISO)
Estructura y contenidos de las normas que contienen un sistema de gestión
UNE-EN ISO 19011 “Directrices para la auditoría de los sistemas de gestión”
capítulo de competencias y evaluación de auditores común a cualquier disciplina
apartado A.7 con ejemplo de conocimientos y habilidades recomendados para los auditores en la disciplina específica de gestión de la seguridad de la información:
evaluación del riesgo (identificación, análisis y evaluación) y tendencias en tecnología, amenazas y vulnerabilidades métodos y prácticas para los controles físicos y electrónicos de la seguridad de la información leyes y reglamentos aplicables (por ejemplo, propiedad intelectual, protección y retención de registros de la organización, reglamentos de controles criptográficos, interceptación de telecomunicaciones, recopilación de evidencias electrónicas, ensayos de vulnerabilidad..)
AEN
OR
Co
pyr
igh
t®
El nuevo enfoque de la ISO/IEC 27001: 2013
“La adopción de un SGSI es
una decisión estratégica de la Organización”
ALINEACION CON
SISTEMAS DE
GESTION AEN
OR
Co
pyr
igh
t®
ISO/IEC 27001: 2013
ALINEACION CON
SISTEMAS DE
GESTION
ANÁLISIS DE
RIESGOS ISO/IEC 31000
Gestión de riesgos y oportunidades Contexto de la organización
Liderazgo Planificación
Acciones de soporte Operación
Evaluación del comportamiento Mejora
El nuevo enfoque de la ISO/IEC 27001: 2013
AEN
OR
Co
pyr
igh
t®
El nuevo enfoque de la ISO/IEC 27001: 2013
ISO/IEC 27001: 2005
ISO/IEC 27001: 2013
+ DOMINIOS DE SEGURIDAD
11 14
AEN
OR
Co
pyr
igh
t®
Referencia Control
A.6.1.5 Seguridad de la información en la gestión de proyectos
A.12.6.2 Restricciones en la instalación de software
A.14.2.1 Política de desarrollo seguro
A.14.2.5 Desarrollo de principios de ingeniería de sistemas seguros
A.14.2.6 Entorno de desarrollo seguro
A.14.2.8 Pruebas de la seguridad del sistema
A.15.1.1 Política de seguridad de la información para las relaciones de proveedores
A.15.1.3 Cadena de suministro de TIC
A.16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información
A.16.1.5 Respuesta a incidentes de seguridad de la información
A.17.1.2 Implantación de la continuidad en la seguridad de la información
A.17.2.1 Disponibilidad de las instalaciones para el tratamiento de la información.
El nuevo enfoque de la ISO/IEC 27001: 2013
ISO/IEC 27001: 2005 ISO/IEC 27001: 2013
- Nº CONTROLES
133 114 94 se mantienen 39 eliminados 20 nuevos
AEN
OR
Co
pyr
igh
t®
Periodo de transición a 27001:2013
de ISO/IEC 27001:2013 a UNE-ISO/IEC 27001 de ISO/IEC 27002:2013 a UNE-ISO/IEC 27002
6-10 meses (IP en BOE)
27001: 2013 YA !!! 27001: 2005 24 MESES 27001:2005 en marcha 12 MESES
2013
2005
AEN
OR
Co
pyr
igh
t®
Muchas gracias
Paloma Garcia Lopez Business Standards Development Manager AENOR, Dirección de Normalización [email protected]
AEN
OR
Co
pyr
igh
t®