Vous êtes sur la page 1sur 30

¿Qué puedes esperar de la nueva ISO 27001?

Basado en el Proyecto de Norma Internacional (DIS)

Presentado por:

Maricarmen García de Ureña


LA ISO27001, LA 22301, CBCP

México, D.F. a 26 de abril de 2013.

Copyright © 2012 BSI. All rights reserved. Copyright © 2013 BSI. All rights reserved.
1
Agenda

• ¿Qué es BSI?
• La evolución de ISO/IEC 27001 y 27002
• Estatus
• Crecimiento global en certificaciones
• La serie ISO/IEC 27000
• La estructura de ISO/IEC 27001 (DIS)
• Cambios clave
• Comparación entre ISO 27001:2005
y ISO 27001 (DIS)
• Disposiciones de la transición

Copyright © 2013 BSI. All rights reserved.


2
¿Qué es BSI?

Organización No accionistas/
Fundada en independiente, a Propietarios, todas las
nivel global, de utilidades son
1901 servicios reinvertidas en el
empresariales negocio

Normas y Organismo +2500


publicaciones, Organismo de personas
Capacitación,
Nacional de
certificación # 1 en + del 50% fuera
Certificación, estándares en Estados Unidos y
Sistemas de Reino Unido de Reino Unido
Reino Unido
gestión

Ingresos por
53 oficinas 70,000 244.9m de
alrededor del clientes en libras al 2011
mundo 150 países

Copyright © 2013 BSI. All rights reserved.


3
La evolución de ISO/IEC 27001 y 27002
BS 7799:1995 BS 7799-1 – No certificable
ISO/IEC ISO/IEC 27002:
BS ISO/IEC 17799:2005 2007
17799:2000

BS 7799-1:1999
1999: Comité
de Reino Unido El comité de ISO
decide Ciclo normal de revisión decide cambiar de
Revisado en presentar ISO
Fast Track en ISO número
Reino Unido

1995 2000 2005 2007

2004: El comité del


Reino Unido decide ISO/IEC 27001:
BS 7799-2 : 1999 presentar ISO Fast
Desarrollado para apoyar Track 2005
la certificación

El comité
internacional
decide cambiar de
número

BS 7799-2 - Certifficable
Copyright © 2013 BSI. All rights reserved.
4
Estatus

• ISO 27001:2005 ha estado bajo revisión.

• El Proyecto de Norma Internacional (DIS) se dio a conocer a los Organismos


Nacionales de Normalización el 16 de enero 2013.

• La reunión del Comité ISO se encuentra en proceso considerada para el 22 al


30 de abril de 2013 después la cual serán emitidas las resoluciones.

• El día de ayer 25 de abril se aprueba en reunión plenaria “JTC1/SC27”, los


borradores del ISO/IEC 27001 y del ISO 2700 los cuales pasan del Proyecto
de Norma Internacional (DIS) al Proyecto Final de Norma Internacional (FDIS).

• La publicación está prevista para finales del 2013.

Copyright © 2013 BSI. All rights reserved.


5
Crecimiento global en certificaciones

12%
Número de Certificados

21%

40%

Copyright © 2013 BSI. All rights reserved.


6
Nueva estructura de alto nivel

• ISO 27001 se ha desarrollado utilizando el Anexo SL

• El Anexo SL es para los escritores de normas y proporciona una prueba


estandarizada adecuada para todas las normas de los sistemas de gestión ISO

• La nueva estructura de la norma será igual a la de todas las normas del


sistema de gestión

• La intensión es estandarizar la terminología y requerimientos fundamentales


de un Sistema de Gestión

Copyright © 2013 BSI. All rights reserved.


7
PAS 99:2012

Copyright © 2013 BSI. All rights reserved.


8
Nueva estructura de alto nivel

Copyright © 2013 BSI. All rights reserved.


9
La estructura de ISO/IEC 27001
PLANEAR HACER VERIFICAR ACTUAR

4 Contexto de la 9 Evaluación del


5 Liderazgo 6 Planeación 7 Soporte 8 Operación 10 Mejora
organización desempeño

Las acciones No-


Entendimiento de para abordar los Planeación y Monitoreo,
Liderazgo y conformidades y
la organización y riesgos y Recursos control medición, análisis
compromiso acciones
su contexto oportunidades operacional y evaluación
correctivas

Evaluación de
Expectativas de Objetivos y riesgos de la Auditorías
las partes Políticas planes IS Competencias Mejora continua
seguridad de la internas
interesadas
información

Organización de Manejo de
roles, reisgos de la Revisión de la
Alcance de ISMS Conciencia
responsabilidade seguridad de la Alta Dirección
s y autoridades información

ISMS Comunicación

Información
Documentada

Copyright © 2013 BSI. All rights reserved.


10
Structure of ISO/IEC 27001

Clausula Descripción

4.0 Es un componente de Planear. Introduce los requerimientos


necesarios para establecer el contexto de ISMS sea cual sea el
tipo de organización, necesidades o alcance.

5.0 Es un componente de Planear. Resume los requerimientos


específicos del rol de la Alta Gerencia en el ISMS, y como su
liderazgo puede articular las expectativas de la organización.

6.0 Es un componente de Planear. Describe los requerimientos


relacionados con el establecimiento de objetivos y principios para
el ISMS.

Copyright © 2013 BSI. All rights reserved.


11
Structure of ISO/IEC 27001

Clausula Descripción

7.0 Es un componente de Planear. Apoya las operaciones del ISMS


que se relacionan con el establecimiento de la competencia y de la
comunicación en forma recurrente /necesaria con las partes
interesadas, a la vez que documenta, controla, mantiene y
conserva la documentación.
8.0 Es un componente de Hacer. Define los requerimientos del ISMS y
determina como alcanzarlos, así como la necesidad de realizar
evaluaciones de riesgos de seguridad de información e
implementar un plan de tratamiento de riesgos.
9.0 Es un componente de Revisar. Resume los requerimientos
necesarios para medir el funcionamiento del ISMS, así como su
cumplimiento con la norma internacional , además de las
expectativas de la Alta Dirección y su retroalimentación sobre
estas.
10.0 Es un componente de Actuar. Identifica y actua en las no-
conformidades del ISMS a través de acciones correctivas.
Copyright © 2013 BSI. All rights reserved.
12
Cambios clave

• La norma ha sido escrita de acuerdo al anexo SL


• ISO 27002 ya no es una referencia normativa (nueva clausula 2)
• Las definiciones de la versión 2005 han sido removidas y relocalizadas
en ISO 27000 (nueva clausula 3) que es ahora una referencia
normativa
• Ha habido cambios en la terminología utilizada, por ejemplo: políticas
de seguridad de la información se utiliza en lugar de políticas de ISMS
• Los requisitos para los Compromisos de Gestión se han revisado y se
presentan en la Cláusula de Liderazgo
• La acción preventiva se ha sustituido por "acciones para hacer frente a
riesgos y oportunidades" y se muestra al principio de la norma
• Los requisitos de la evaluación de riesgo son más generales y reflejan
un alineamiento de ISO 27001 con ISO 31000
• Los requerimientos de SoA son similares pero con mayor claridad en la
determinación de los controles para el proceso de manejo de riesgos
• La nueva norma pone un mayor énfasis en la definición de objetivos,
monitoreo del desempeño y métricas

Copyright © 2013 BSI. All rights reserved.


13
Términos y definiciones

• Todas las definiciones que estaban en la versión 2005 han sido removidas

• Aquellas que son aún relevantes se han reubicado en ISO 27000

• La intención es promover la consistencia en los terminos y definiciones de todo


el conjunto de normas ISO 27000

Copyright © 2013 BSI. All rights reserved.


14
Contexto de la organización

• La clausula 4 está relacionada con el contexto de la organización y requiere


que esta determine sus problemas externos e internos.

• Existe una clara necesidad de considerar a las partes interesadas

• Esto determinará las políticas de seguridad de la información y los objetivos y


cómo se va a considerar el riesgo y el efecto del riesgo en el negocio

• Los requisitos de las partes interesadas pueden incluir requisitos legales y


reglamentarios y las obligaciones contractuales

Copyright © 2013 BSI. All rights reserved.


15
Liderazgo

• La clausula 5 del estándar resume los requerimientos específicos de la Alta


Dirección en el ISMS
• La ISO destaca las formas específicas en que la dirección debe demostrar su
compromiso con el sistema. Los ejemplos incluyen:
• asegurar que los recursos necesarios para el sistema de gestión de seguridad
están disponibles
• comunicar la importancia de que la gestión de seguridad de la información sea
eficaz y se ajuste a los requisitos del SGSI.
• Las políticas del ISMS ahora conocidas como políticas de seguridad de la
información, siguen presentes
• La clausla 5 contiene el requerimiento de que la Alta Dirección debe
asegurarse de que las responsabilidades y roles relevantes de la seguridad de
la información sean asignados y comunicados.

Copyright © 2013 BSI. All rights reserved.


16
Planeación

• Es una nueva sección relacionada con el establecimiento, como un todo, de los


objetivos de seguridad de la información y las guías de principios del ISMS

• Cuando se planea el ISMS, el contexto de la organización debe tomarse en


cuenta a través de la consideración de los riesgos y oportunidades

• Los objetivos de seguridad de la información en las organizaciones deben estar


claramente definidos y con planes para alcanzarlos

• Los requisitos de evaluación de riesgos son más generales, reflejando un


alineamiento de ISO 27001 con ISO 31000

• Los requerimientos de SOA, en gran medida, se encuentran sin cambios

Copyright © 2013 BSI. All rights reserved.


17
Soporte

• La clausula 7 detalla el soporte requerido para establecer, implementar y


mantener la mejora continua en un ISMS efectivo, incluyendo:
• Recursos necesarios
• Competencias del personal involucrado
• Conciencia y comunicación de las partes interesadas
• Requisitos para la gestión de documentos

• La nueva norma se refiere a "información documentada" en lugar de


"documentos y registros”

• Ya no hay una lista de documentos o nombres en particular que se necesiten


proporcionar

• La nueva revisión hace énfasis más en el contenido que en el nombre

Copyright © 2013 BSI. All rights reserved.


18
Operación

• ISO 27001 requiere que la organización planee y controle la operación de los


requerimientos de la seguridad de la información

• Y lo más importante, debe incluir:


• La realización de evaluaciones de riesgos de seguridad de información a intervalos
planificados
• La puesta en práctica de un plan de manejo de riesgos de seguridad de información

Copyright © 2013 BSI. All rights reserved.


19
Evaluación del desempeño

• Las auditorías internas y revisión de la administración continúan siendo


métodos clave de revisión del desempeño del ISMS y herramientas para la
mejora continua

• Los nuevos requerimientos de medición de la efectividad son más específicos

Copyright © 2013 BSI. All rights reserved.


20
Mejora

• Las no-conformidades del ISMS tienen que ser conmesuradas con las acciones
correctivas para asegurar que no vuelvan a ocurrir

• Al igual que con todas las normas de sistemas de gestión, la mejora continua
es un requisito básico

Copyright © 2013 BSI. All rights reserved.


21
Controles

Copyright © 2013 BSI. All rights reserved.


22
Controles en el DIS

• El número de controles ha sido disminuido de 133 a 113

• Los controles existentes han sido eliminados o fusionados, y se han agregado


nuevos controles

• Algunos de los controles conservados se han re-trabajado y necesitarán ser


revisados con mayor detalle después de la publicación del FDIS

Copyright © 2013 BSI. All rights reserved.


23
Controles que han sido eliminados en el DIS

• A.6.1.1 Comité de gestión para la seguridad de la información


• A.6.1.2 Coordinación de seguridad de la información
• A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información
• A.6.2.1 Identificación de riesgos relacionados con los agentes externos
• A.6.2.2 Direccionamiento de la seguridad al tratar con clientes
• A.10.2.1 Entrega del servicio
• A.10.7.4 Seguridad del sistema de documentos
• A.10.10.2 Seguimiento al uso del sistema
• A.10.10.5 Fallas en el registro
• A.11.4.2 Autenticación de usuarios para conexiones externas
• A.11.4.3 Identificación de equipos
• A.11.4.4 Puerto remoto de diagnóstico y configuración de protección

Copyright © 2013 BSI. All rights reserved.


24
Controles que han sido eliminados en el DIS

• A11.4.4 Diagnóstico remoto y configuración del puerto de protección


• A.11.4.6 Control para la conexión de redes
• A.11.4.7 Control para mapeo de redes
• A.10.8.5 Sistemas de información de negocios
• A.11.6.2 Aislamiento del sistema sensible
• A.12.2.1 Validación de datos de entrada
• A.12.2.2 Control de procesamiento interno
• A.12.2.3 Integridad del mensaje
• A.12.2.4 Validación de datos de salida
• A.12.5.4 Filtración de la información
• A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de
información
• A.15.3.2 Protección de las herramientas de auditoría de sistemas de información

Copyright © 2013 BSI. All rights reserved.


25
Nuevos controles propuestos en la DIS

• A.6.1.4 Seguridad de la información en la gestión de proyectos


• A.12.6.2 Restricciones en la instalación de software
• A.14.2.1 Política de desarrollo de seguridad
• A.14.2.5 Desarrollo de procedimientos para el sistema
• A.14.2.6 Desarrollo de un entorno seguro
• A.14.2.8 Sistema de pruebas de seguridad
• A.15.1.1 Información de seguridad para las relaciones con proveedores
• A.15.1.3 Cadena de suministro ICT
• A.16.1.4 Evaluación y decisión de los eventos de seguridad de información
• A.16.1.5 Respuesta a incidentes de seguridad de la información
• A.17.1.2 Implementación de la continuidad de la seguridad de la información
• A.17.2.1 Disponibilidad de instalaciones para procesamiento de información

Copyright © 2013 BSI. All rights reserved.


26
Línea de tiempo probable para la revisión
Escenario Ene. Feb. Mar. Abr. May. – Ago. Sep. Oct. – Ene. –
Jul. Dic. Mar.

1. DIS va a publicación
Comentarios Publicación
públicos probable

2.- DIS se va a FDIS


Comentarios Publicación
probable
públicos

3.- DIS genera una


segunda DIS Comentarios Publicación
probable
públicos

Junta del comité ISO DIS- Proyecto de norma internacional


FDIS- Proyecto final de norma internacional

Copyright © 2013 BSI. All rights reserved.


27
Disposiciones de la transición

• Las organizaciones que están certificadas con BSI en ISO 27001:2005


recibirán:
• Una guía de la transición
• Una escala de tiempo de la transición

• Se espera que las transiciones se lleven a cabo durante las visitas de


seguimiento(CAV)

Copyright © 2013 BSI. All rights reserved.


28
Contáctanos

BSI Group México

www.bsigroup.com.mx
informacion.msmexico@bsigroup.com

01 800 044 0274


+52 (55) 5241 1370

Copyright © 2013 BSI. All rights reserved.


29
Copyright © 2013 BSI. All rights reserved.
30

Vous aimerez peut-être aussi