Política De Seguridad De La Información
Agenda
•
Política de Seguridad
•
ISO27000
•
Contenido de la ISO27000
•
SEGURIDAD INFORMÁTICA SEI4501
Objetivos
•
Resumen
2° Semestre 2012 – Sede Antonio Varas
Profesor: Jacob Delgado S., CISSP
SEI4501 - Poíliticas de Segruidad - ISO27000
2
Objetivos
Política de Seguridad
•
El capitulo tiene por objetivos los siguientes:
•
•Describir el significado de una política de seguridad
•
Reflejar la importancia de una política de seguridad
La información es un activo vital para el éxito y la continuidad en el
mercado de cualquier organización. El aseguramiento de dicha
información y de los sistemas que la procesan es, por tanto, un objetivo
de primer nivel para la organización.
•
Explicar el marco dereferencia respecto a las políticas de seguridad
•
•
Explicar la ISO27000
•
Describir los controles de la ISO27000
Para la adecuada gestión de la seguridad de la información, es
necesario implantar un sistema que aborde esta tarea de una forma
metódica, documentada y basada en unos objetivos claros de
seguridad y una evaluación de los riesgos a los que está sometida lainformación de la organización.
•
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase
de desarrollo- por ISO (International Organization for Standardization) e
IEC (International Electrotechnical Commission), que proporcionan un
marco de gestión de la seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña.
SEI4501 -Poíliticas de Segruidad - ISO27000
3
SEI4501 - Poíliticas de Segruidad - ISO27000
ISO27000
ISO27000 (cont)
Origen
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, British
Standards Institution (BSI), es responsable de la publicación de importantes normas
como:
4
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas. Es la
segundaparte (BS 7799-2), en la que establecen los requisitos de un sistema de
seguridad de la información (SGSI) para ser certificable por una entidad
independiente.
1979
1992
1996
Publicación BS 5750 - ahora ISO 9001
Publicación BS 7750 - ahora ISO 14001
Publicación BS 8800 - ahora OHSAS 18001
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se
adoptó por ISO,sin cambios sustanciales, como ISO 17799 en el año 2000.
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de
sistemas de gestión.
En 2005, con más de 1700 empresascertificadas en BS7799-2, este esquema se
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de
2007, manteniendo el contenido así como el año de publicación formal de la
revisión
SEI4501 - Poíliticas de Segruidad - ISO27000
5
SEI4501 - Poíliticas de Segruidad - ISO27000
6
106-09-2012
Historia de ISO 27001 e ISO 17799
1998
Nuevo
estándar
nacional
c ertificable
■ Certificable
■ No certificable
Centro de
Seguridad de
Informática
Comercial del
Reino Unido
(CCSC/DTI)
■Código
de
prácticas
para
usuarios
1989
■
BS 7799-2
Revisión por:
• NCC (Centro
Nacional de
Computación)
• Consorcio
usuarios
■PD0003
Estándar nacionalbritánico
■
BS 7799
Código de
prácticas
para la
gestión de
la seguridad
de la
información
1993
1995
1999
2002
Revisión y
acercamiento a:
• ISO 9001
• ISO 14001
• OCDE
Revisión
c onjunta de las
partes 1 y 2
■
■
BS 7799-2
:2002
Revisión
c onjunta de las
partes 1 y 2
Estándar Internacional
(Fast Track )
■
■
BS 7799-1
:1999
1999...
Regístrate para leer el documento completo.