Ejemplo auditoria de sistemas ISO27001
Páginas: 32 (7788 palabras)
Publicado: 28 de agosto de 2015
Universidad Latina
Facultad de Tecnologías de Información
Escuela de Ingeniería de Sistemas
ISO 27001
Profesor:
Lic. Marco Dávila Jácamo
Grupo 4
Integrantes:
José Pablo Soto
Adrián García
Kenneth Martínez
Julio Amador
David Arguedas
24 de Marzo de 2015
Índice
Tabla de contenido
Sección 1 – Investigación 3
Introducción 4
Marco Teórico5
Historia 5
¿Qué es? 5
Alcance 6
Compatibilidad con otras normas de sistemas de gestión 6
¿Qué componentes tiene? 7
¿Para qué sirve? 7
¿Cómo se aplica en las empresas? 8
¿Quién es normalmente el responsable de su aplicación? 9
¿Hay certificación? 9
Beneficios Certificación 9
Proceso de certificación por medio de The British Assessment Bureau 10
Método de determinación de alcance para laorganización 12
Conclusión 13
Bibliografía 14
Anexos – Sección I 15
Anexo # 1 15
Sección II – Auditoria 16
Programa de Auditoría 17
Presentación de los Hallazgos 20
Informe Final 30
Informe Final de Auditoría Objeto del Estudio 31
I. INTRODUCCIÓN 31
II. CONCLUSIONES GENERALES 32
III. OBSERVACIONES 33
Anexos – Sección II 35
Anexo # 1 35
Anexo # 2 37
Anexo # 3 38
Anexo # 4 39Sección 1 – Investigación
Introducción
Nuestra investigación se centra en una de las normativas de la Organización Internacional de Normalización (ISO), específicamente en la normativa ISO-27001. Esta normativa ahonda ampliamente en temas de gestión de seguridad informática en las empresas, tema fundamental hoy en día para que las empresas logren proteger sus secretos comercialesy de esta forma mantener su competitividad en el mercado. Es importante recalcar que esta normativa está redactada por los mejores especialistas del mundo en el tema, también se puede implementar en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. También permite que una empresa sea certificada, significando esto que una entidad de certificaciónindependiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento. En el Anexo # 1 (ver “Anexos”) se puede ver la cantidad de certificados en los últimos años.
Durante lainvestigación se descubrieron distintos aspectos importantes de esta normativa para poder aplicarla mejor a nuestro trabajo de auditoría. Por ejemplo, concluimos que es importante para las empresas velar por la seguridad de la información. Por otra parte, encontramos que las empresas requieren mantenerse informadas sobre las mejores prácticas que se pueden aplicar gracias a los diferentes marcos detrabajo que existen. Por último notamos que en Costa Rica se aplica la seguridad de la información pero de forma muy básica.
Este documento explica a detalle esta normativa, entre otros aspectos, se define con amplia precisión la normativa como tal, sus componentes, funciones, aplicación en las empresas y los responsables de aplicar la normativa en las respectivas organizaciones. Todo esto formaparte de nuestro marco teórico que se puede encontrar en la próxima página. Adicionalmente, incluimos nuestras propias conclusiones al documento, dicho contenido se puede encontrar inmediatamente después del marco teórico y habla ampliamente sobre la relevancia del tema desarrollado, temas relacionados a este y además de su probable o no aplicación dentro de las empresas Costarricenses.
Para terminar,podremos encontrar la bibliografía del documento con referencias a las fuentes consultadas para poder construir el mismo y los anexos, cuya función será ilustrar apropiadamente algunos de los conceptos definidos en el marco teórico.
Marco Teórico
Historia
Hay siete normas publicadas dentro de la familia ISO 27001, con la norma ISO 27001 siendo las organizaciones de normalización pueden ser...
Facultad de Tecnologías de Información
Escuela de Ingeniería de Sistemas
ISO 27001
Profesor:
Lic. Marco Dávila Jácamo
Grupo 4
Integrantes:
José Pablo Soto
Adrián García
Kenneth Martínez
Julio Amador
David Arguedas
24 de Marzo de 2015
Índice
Tabla de contenido
Sección 1 – Investigación 3
Introducción 4
Marco Teórico5
Historia 5
¿Qué es? 5
Alcance 6
Compatibilidad con otras normas de sistemas de gestión 6
¿Qué componentes tiene? 7
¿Para qué sirve? 7
¿Cómo se aplica en las empresas? 8
¿Quién es normalmente el responsable de su aplicación? 9
¿Hay certificación? 9
Beneficios Certificación 9
Proceso de certificación por medio de The British Assessment Bureau 10
Método de determinación de alcance para laorganización 12
Conclusión 13
Bibliografía 14
Anexos – Sección I 15
Anexo # 1 15
Sección II – Auditoria 16
Programa de Auditoría 17
Presentación de los Hallazgos 20
Informe Final 30
Informe Final de Auditoría Objeto del Estudio 31
I. INTRODUCCIÓN 31
II. CONCLUSIONES GENERALES 32
III. OBSERVACIONES 33
Anexos – Sección II 35
Anexo # 1 35
Anexo # 2 37
Anexo # 3 38
Anexo # 4 39Sección 1 – Investigación
Introducción
Nuestra investigación se centra en una de las normativas de la Organización Internacional de Normalización (ISO), específicamente en la normativa ISO-27001. Esta normativa ahonda ampliamente en temas de gestión de seguridad informática en las empresas, tema fundamental hoy en día para que las empresas logren proteger sus secretos comercialesy de esta forma mantener su competitividad en el mercado. Es importante recalcar que esta normativa está redactada por los mejores especialistas del mundo en el tema, también se puede implementar en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. También permite que una empresa sea certificada, significando esto que una entidad de certificaciónindependiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento. En el Anexo # 1 (ver “Anexos”) se puede ver la cantidad de certificados en los últimos años.
Durante lainvestigación se descubrieron distintos aspectos importantes de esta normativa para poder aplicarla mejor a nuestro trabajo de auditoría. Por ejemplo, concluimos que es importante para las empresas velar por la seguridad de la información. Por otra parte, encontramos que las empresas requieren mantenerse informadas sobre las mejores prácticas que se pueden aplicar gracias a los diferentes marcos detrabajo que existen. Por último notamos que en Costa Rica se aplica la seguridad de la información pero de forma muy básica.
Este documento explica a detalle esta normativa, entre otros aspectos, se define con amplia precisión la normativa como tal, sus componentes, funciones, aplicación en las empresas y los responsables de aplicar la normativa en las respectivas organizaciones. Todo esto formaparte de nuestro marco teórico que se puede encontrar en la próxima página. Adicionalmente, incluimos nuestras propias conclusiones al documento, dicho contenido se puede encontrar inmediatamente después del marco teórico y habla ampliamente sobre la relevancia del tema desarrollado, temas relacionados a este y además de su probable o no aplicación dentro de las empresas Costarricenses.
Para terminar,podremos encontrar la bibliografía del documento con referencias a las fuentes consultadas para poder construir el mismo y los anexos, cuya función será ilustrar apropiadamente algunos de los conceptos definidos en el marco teórico.
Marco Teórico
Historia
Hay siete normas publicadas dentro de la familia ISO 27001, con la norma ISO 27001 siendo las organizaciones de normalización pueden ser...
Leer documento completo
Regístrate para leer el documento completo.