1. ¿Que es?
1.1. conjunto de estándares que proporcionan un marco de sistema de gestión de seguridad de la información - SGSI el cual es utilizable por cualquier tipo de organización, pública o privada, grande o pequeña
2. Familia ISO 27000
2.1. 27001
2.1.1. Es la norma principal que contiene los requisitos de SGSI
2.2. 27002
2.2.1. Es una guía de buenas prácticas para la Gestión de la Seguridad de la Información
2.3. 27003
2.3.1. Se centra en los aspectos críticos en la implementación y diseño de SGSI
2.4. 27004
2.4.1. Maneja las metricas para determinar la eficacia de SGSI
2.5. 27005
2.5.1. Proporciona directrices para la gestión del riesgo de SGSI
2.6. 27006
2.6.1. proporciona los requisitos de acreditación de identidades de auditoria y certificación en SGSI
2.7. 27007
2.7.1. Auditoria de SGSI
2.8. 27008
2.8.1. Guía para la auditoria de los controles seleccionados en el SGSI
2.9. 27009
2.9.1. Guía para el uso y aplicación principios de la ISO
2.10. 27010
2.10.1. Guía para SGSI cuando se comparte entre organizaciones o sectores
2.11. 27011
2.11.1. Guía de interpretación de la implementacion SGSI de organizaciones en Telecomunicaciones
2.12. 27013
2.12.1. Guía de implementacion integrada de ISO /IEC 27001: 2005 de SGSI
3. ISO 27001
3.1. Adopta el modelo PHVA
3.1.1. Planear: "Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización"
3.1.2. Hacer: "Implementar y operar la política, los controles, procesos y procedimientos del SGSI".
3.1.3. Verificar: "Evaluar, y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para su revisión".
3.1.4. Actuar: "Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI".
3.2. Promueve la adopción de un enfoque basado en procesos
3.2.1. Establecer, implementar, operar, hacer seguimiento, mantener y mejorar.
3.2.1.1. SGSI
3.3. SGSI
3.3.1. Requisitos Generales SGSI
3.3.1.1. Establecimiento del SGSI
3.3.1.1.1. Definir el alcance y límites del SGSI.
3.3.1.1.2. Definir una política de SGSI.
3.3.1.1.3. Definir el enfoque organizacional para la valoración del riesgo.
3.3.1.1.4. Identificar los riesgos.
3.3.1.1.5. Analizar y evaluar los riesgos.
3.3.1.1.6. Identificar y evaluar las opciones para el tratamiento de los riesgos.
3.3.1.1.7. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
3.3.1.1.8. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.
3.3.1.1.9. Obtener autorización de la dirección para implementar y operar el SGSI.
3.3.1.1.10. Elaborar una declaración de aplicabilidad.
3.3.1.2. Implementación y operación del SGSI
3.3.1.2.1. formular un plan para el tratamiento de riesgos
3.3.1.2.2. implementar el plan de tratamiento de riesgos
3.3.1.2.3. implementar los controles
3.3.1.2.4. definir cómo medir la eficacia
3.3.1.2.5. implementar programas de formación
3.3.1.2.6. gestionar la operación del SGSI
3.3.1.2.7. gestionar los recursos del SGSI
3.3.1.2.8. implementar procedimientos y otros controles
3.3.1.3. Seguimiento y revisión del SGSI
3.3.1.3.1. Ejecutar procedimientos de seguimiento y revisión y otros controles
3.3.1.3.2. Emprender revisiones regulares de la eficacia del SGSI
3.3.1.3.3. Medir la eficacia de los controles
3.3.1.3.4. Revisar las valoraciones de los riesgos
3.3.1.3.5. Realizar auditorías internas del SGSI
3.3.1.3.6. Emprender una revisión del SGSI
3.3.1.3.7. Actualizar los planes de seguridad
3.3.1.3.8. Registrar acciones y eventos
3.3.1.4. Control de documentos
3.3.1.4.1. "Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento documentado para definir las acciones de gestión necesarias"
3.3.1.5. Control de registros
3.3.1.5.1. "Se deben establecer y mantener registros para brindar evidencia de la conformidad con los requisitos y la operación eficaz del SGSI".
3.3.2. Gestión de Recursos
3.3.2.1. Provisión de recursos
3.3.2.1.1. La organización debe determinar y suministrar los recursos necesarios
3.3.2.2. Formación, toma de conciencia y competencia
3.3.2.2.1. La organización debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI sea competente para realizar las tareas exigidas
3.3.3. Auditorias Internas SGSI
3.3.3.1. Para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI cumplen
3.3.4. Revision del SGSI por la Direccion
3.3.4.1. La dirección debe revisar el SGSI de la organización a intervalos planificados(por lo menos una vez al año), para asegurar su conveniencia, suficiencia y eficacia continuas.
3.3.5. Mejora del SGSI
3.3.5.1. Mejora continua
3.3.5.1.1. La organización debe mejorar continuamente la eficacia del SGSI mediante el uso de la política de seguridad de la información
3.3.5.2. Acción Correctiva
3.3.5.2.1. La organización debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI
3.4. Beneficios
3.4.1. Establece metodología clara y estructurada SGSI
3.4.2. Reduce los riesgos, robo,error humano, perdida o corrupción de la información
3.4.3. Ayuda al cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información
3.4.4. Proporciona confianza y reglas claras al personal de la empresa
3.4.5. El usuario tiene acceso a la información de forma segura
3.4.6. Los riesgos son revisados periodicamente