Consideraciones Para una auditoria
SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN - SGI
Noviembre del 2013
Agenda
1
2
3
4
5
6
• Aspectos Generales
• Gestión de riesgos de Seguridad de la Información
• Manual del Sistema Integrado de Gestión MSIG y
Documentos del SGI
• Gestión de Incidentes y Vulnerabilidades de SI
• Continuidad de Operaciones
• Consideraciones proceso deauditoría de certificación del
SGI
ASPECTOS GENERALES
¿CUÁNTAS FASES TIENE EL
MODELO PROPUESTO POR EL ISO
27001 (IMPLEMENTACIÓN DEL SGI)
Y EN CUAL ESTÁ SU PROCESO?
Establezca el Contexto en la que se encuentra
su proceso en el SGI
¿Qué es un Activo?
Cualquier cosa que tenga valor para la organización.
[ISO/IEC 27000:2012]Estos pueden ser: un documento, un software, algún
elemento físicos, como una computadora, los servicios, las
personas e los intangibles, como la reputación o imagen de
las empresas.
¿Qué es la seguridad de la información?
Disponibilidad
Confidencialidad
Asegurar el acceso y uso sobre
demanda a una persona o
entidad autorizada.
Asegurar que la información
no este disponible o divulgada
a personas, entidades o procesos no autorizados.
Integridad
Salvaguardar la exactitud y
completitud de los activos, así
como los métodos de
procesamiento.
¿Conoce y entiende la Política del SGI?
¿Cómo contribuye
el área?
¿Dónde está
ubicada?
¿Cómo la difunde a
personal y terceros?
Asegurar la confidencialidad, integridad y
disponibilidad de los activos de información
relevantes, mediante la gestión de riesgos,implementación de controles y mediciones de la
seguridad de la información.
¿CUÁLES SON LOS OBJETIVOS
DEL SGI (MENCIONE UN EJEMPLO
POR CADA UNO DE ELLOS)?
¿Conoce y entiende los Objetivos del SGI?
Objetivo
General
Objetivo 1
Objetivo 2
Asegurar un adecuado desarrollo, implementación, operación, monitoreo,
revisión, mantenimiento y mejora continua del Sistema de Gestión deSeguridad de la Información.
Garantizar la integridad de los expedientes, asegurando su uso dentro de los
procesos que los requieran.
Garantizar la disponibilidad de los sistemas de información, asegurando su
operación en los procesos que los requieran.
Objetivo 3
Asegurar la efectividad del SGSI, a traves de la mejora continua.
Objetivo 4
Garantizar la efectividad de los controlesimplementados, asegurando una
adecuada mitigación de los riesgos.
¿Cómo contribuye el área?
¿Dónde está ubicada?
¿Tiene definido el Alcance de su proceso?
¿Dónde está
definido?
Está definido en el
Anexo 8 del Manual
SIG: Proceso,
actividades
principales,
localización, ámbito,
tecnologías.
¿CUÁLES SON LOS
PROCEDIMIENTOS DEL SGI?
¿CUÁLES SON OBLIGATORIOS
SEGÚN LA NORMA ISO27001?
¿Conoce la documentación del SGI?
¿Conoce la documentación del SGI?
Procedimientos Obligatorios (NTP-ISO 27001):
• Control de Documentos (4.3.2)
• Auditorías Internas (6)
• Acciones Correctivas y Preventivas (8.2 y 8.3).
Todos estos procedimientos se encuentran
consolidados en:
• Procedimiento SIG-PG-01 – Documentación,
Revisión y Mejora
¿Sabe ubicar los registros delSGI?
DEFINICIONES SOBRE SEGURIDAD
DE LA INFORMACIÓN
Activos y sus
atributos
Personas
Tecnologia
Ambiente
Procesos
Gestión de Riesgos
1. Inventariar
2. Análisis
Basado en la
Norma ISO 27005
Mecanismos
propuestos
4. Tratamiento
3. Evaluación
Riesgo Efectivo
Probabilidad
¿Qué es un Activo?
Cualquier cosa que tenga valor para la organización. [ISO/IEC 27000:2012]
Estos pueden ser: un documento, un software, algún
elemento físicos, como una computadora, los servicios, las
personas e los intangibles, como la reputación o imagen de
las empresas.
¿Qué es un Activo de Información?
Es todo aquello que es o contiene información, son los
datos y el conocimiento de las personas, y que tiene valor
para la organización....
Regístrate para leer el documento completo.