Copyright © 2013 BSI. All rights reserved. Copyright © 2012 BSI. All rights reserved. 1
¿Qué puedes esperar de la nueva ISO 27001?
Basado en el Proyecto de Norma Internacional (DIS)
Presentado por:
Maricarmen García de Ureña
LA ISO27001, LA 22301, CBCP
México, D.F. a 26 de abril de 2013.
Copyright © 2013 BSI. All rights reserved. 2
Agenda
• ¿Qué es BSI?
• La evolución de ISO/IEC 27001 y 27002
• Estatus
• Crecimiento global en certificaciones
• La serie ISO/IEC 27000
• La estructura de ISO/IEC 27001 (DIS)
• Cambios clave
• Comparación entre ISO 27001:2005
y ISO 27001 (DIS)
• Disposiciones de la transición
Copyright © 2013 BSI. All rights reserved. 3
¿Qué es BSI?
Fundada en
1901
Organismo
Nacional de
estándares en
Reino Unido
Organismo de
certificación # 1 en
Estados Unidos y
Reino Unido
+2500
personas
+ del 50% fuera
de Reino Unido
Ingresos por
244.9m de
libras al 2011
70,000
clientes en
150 países
53 oficinas
alrededor del
mundo
No accionistas/
Propietarios, todas las
utilidades son
reinvertidas en el
negocio
Organización
independiente, a
nivel global, de
servicios
empresariales
Normas y
publicaciones,
Capacitación,
Certificación,
Sistemas de
gestión
Copyright © 2013 BSI. All rights reserved. 4
La evolución de ISO/IEC 27001 y 27002
BS 7799:1995
BS 7799-1:1999
BS ISO/IEC
17799:2000
El comité
internacional
decide cambiar de
número
2004: El comité del
Reino Unido decide
presentar ISO Fast
Track
El comité de ISO
decide cambiar de
número Ciclo normal de revisión
en ISO
1999: Comité
de Reino Unido
decide
presentar ISO
Fast Track Revisado en
Reino Unido
BS 7799-2 : 1999
Desarrollado para apoyar
la certificación
ISO/IEC 27001:
2005
BS 7799-2 - Certifficable
BS 7799-1 – No certificable ISO/IEC 27002:
2007
ISO/IEC
17799:2005
1995 2007 2005 2000
Copyright © 2013 BSI. All rights reserved. 5
Estatus
• ISO 27001:2005 ha estado bajo revisión.
• El Proyecto de Norma Internacional (DIS) se dio a conocer a los Organismos
Nacionales de Normalización el 16 de enero 2013.
• La reunión del Comité ISO se encuentra en proceso considerada para el 22 al
30 de abril de 2013 después la cual serán emitidas las resoluciones.
• El día de ayer 25 de abril se aprueba en reunión plenaria “JTC1/SC27”, los
borradores del ISO/IEC 27001 y del ISO 2700 los cuales pasan del Proyecto
de Norma Internacional (DIS) al Proyecto Final de Norma Internacional (FDIS).
• La publicación está prevista para finales del 2013.
Copyright © 2013 BSI. All rights reserved. 6
Crecimiento global en certificaciones
21%
40%
12%
Nú
mero
de C
ert
ific
ad
os
Copyright © 2013 BSI. All rights reserved. 7
Nueva estructura de alto nivel
• ISO 27001 se ha desarrollado utilizando el Anexo SL
• El Anexo SL es para los escritores de normas y proporciona una prueba
estandarizada adecuada para todas las normas de los sistemas de gestión ISO
• La nueva estructura de la norma será igual a la de todas las normas del
sistema de gestión
• La intensión es estandarizar la terminología y requerimientos fundamentales
de un Sistema de Gestión
Copyright © 2013 BSI. All rights reserved. 8
PAS 99:2012
Copyright © 2013 BSI. All rights reserved. 9
Nueva estructura de alto nivel
Copyright © 2013 BSI. All rights reserved. 10
La estructura de ISO/IEC 27001
4 Contexto de la
organización
Entendimiento de
la organización y
su contexto
Expectativas de
las partes
interesadas
Alcance de ISMS
ISMS
5 Liderazgo
Liderazgo y
compromiso
Políticas
Organización de
roles,
responsabilidade
s y autoridades
6 Planeación 7 Soporte
Recursos
Competencias
Conciencia
Comunicación
8 Operación 9 Evaluación del
desempeño
Monitoreo,
medición, análisis
y evaluación
Auditorías
internas
Revisión de la
Alta Dirección
10 Mejora
No-
conformidades y
acciones
correctivas
Mejora continua
PLANEAR HACER VERIFICAR ACTUAR
Información
Documentada
Las acciones
para abordar los
riesgos y
oportunidades
Objetivos y
planes IS
Planeación y
control
operacional
Evaluación de
riesgos de la
seguridad de la
información
Manejo de
reisgos de la
seguridad de la
información
Copyright © 2013 BSI. All rights reserved. 11
Structure of ISO/IEC 27001
Clausula Descripción
4.0 Es un componente de Planear. Introduce los requerimientos
necesarios para establecer el contexto de ISMS sea cual sea el
tipo de organización, necesidades o alcance.
5.0 Es un componente de Planear. Resume los requerimientos
específicos del rol de la Alta Gerencia en el ISMS, y como su
liderazgo puede articular las expectativas de la organización.
6.0 Es un componente de Planear. Describe los requerimientos
relacionados con el establecimiento de objetivos y principios para
el ISMS.
Copyright © 2013 BSI. All rights reserved. 12
Structure of ISO/IEC 27001
Clausula Descripción
7.0 Es un componente de Planear. Apoya las operaciones del ISMS
que se relacionan con el establecimiento de la competencia y de la
comunicación en forma recurrente /necesaria con las partes
interesadas, a la vez que documenta, controla, mantiene y
conserva la documentación.
8.0 Es un componente de Hacer. Define los requerimientos del ISMS y
determina como alcanzarlos, así como la necesidad de realizar
evaluaciones de riesgos de seguridad de información e
implementar un plan de tratamiento de riesgos.
9.0 Es un componente de Revisar. Resume los requerimientos
necesarios para medir el funcionamiento del ISMS, así como su
cumplimiento con la norma internacional , además de las
expectativas de la Alta Dirección y su retroalimentación sobre
estas.
10.0 Es un componente de Actuar. Identifica y actua en las no-
conformidades del ISMS a través de acciones correctivas.
Copyright © 2013 BSI. All rights reserved. 13
Cambios clave
•La norma ha sido escrita de acuerdo al anexo SL • ISO 27002 ya no es una referencia normativa (nueva clausula 2) •Las definiciones de la versión 2005 han sido removidas y relocalizadas en ISO 27000 (nueva clausula 3) que es ahora una referencia normativa
•Ha habido cambios en la terminología utilizada, por ejemplo: políticas de seguridad de la información se utiliza en lugar de políticas de ISMS
•Los requisitos para los Compromisos de Gestión se han revisado y se presentan en la Cláusula de Liderazgo
•La acción preventiva se ha sustituido por "acciones para hacer frente a riesgos y oportunidades" y se muestra al principio de la norma
•Los requisitos de la evaluación de riesgo son más generales y reflejan un alineamiento de ISO 27001 con ISO 31000
•Los requerimientos de SoA son similares pero con mayor claridad en la determinación de los controles para el proceso de manejo de riesgos
•La nueva norma pone un mayor énfasis en la definición de objetivos, monitoreo del desempeño y métricas
Copyright © 2013 BSI. All rights reserved. 14
Términos y definiciones
• Todas las definiciones que estaban en la versión 2005 han sido removidas
• Aquellas que son aún relevantes se han reubicado en ISO 27000
• La intención es promover la consistencia en los terminos y definiciones de todo
el conjunto de normas ISO 27000
Copyright © 2013 BSI. All rights reserved. 15
Contexto de la organización
• La clausula 4 está relacionada con el contexto de la organización y requiere
que esta determine sus problemas externos e internos.
• Existe una clara necesidad de considerar a las partes interesadas
• Esto determinará las políticas de seguridad de la información y los objetivos y
cómo se va a considerar el riesgo y el efecto del riesgo en el negocio
• Los requisitos de las partes interesadas pueden incluir requisitos legales y
reglamentarios y las obligaciones contractuales
Copyright © 2013 BSI. All rights reserved. 16
Liderazgo
• La clausula 5 del estándar resume los requerimientos específicos de la Alta Dirección en el ISMS
• La ISO destaca las formas específicas en que la dirección debe demostrar su compromiso con el sistema. Los ejemplos incluyen:
• asegurar que los recursos necesarios para el sistema de gestión de seguridad están disponibles
• comunicar la importancia de que la gestión de seguridad de la información sea eficaz y se ajuste a los requisitos del SGSI.
• Las políticas del ISMS ahora conocidas como políticas de seguridad de la información, siguen presentes
• La clausla 5 contiene el requerimiento de que la Alta Dirección debe asegurarse de que las responsabilidades y roles relevantes de la seguridad de la información sean asignados y comunicados.
Copyright © 2013 BSI. All rights reserved. 17
Planeación
• Es una nueva sección relacionada con el establecimiento, como un todo, de los
objetivos de seguridad de la información y las guías de principios del ISMS
• Cuando se planea el ISMS, el contexto de la organización debe tomarse en
cuenta a través de la consideración de los riesgos y oportunidades
• Los objetivos de seguridad de la información en las organizaciones deben estar
claramente definidos y con planes para alcanzarlos
• Los requisitos de evaluación de riesgos son más generales, reflejando un
alineamiento de ISO 27001 con ISO 31000
• Los requerimientos de SOA, en gran medida, se encuentran sin cambios
Copyright © 2013 BSI. All rights reserved. 18
Soporte
• La clausula 7 detalla el soporte requerido para establecer, implementar y
mantener la mejora continua en un ISMS efectivo, incluyendo:
• Recursos necesarios
• Competencias del personal involucrado
• Conciencia y comunicación de las partes interesadas
• Requisitos para la gestión de documentos
• La nueva norma se refiere a "información documentada" en lugar de
"documentos y registros”
• Ya no hay una lista de documentos o nombres en particular que se necesiten
proporcionar
• La nueva revisión hace énfasis más en el contenido que en el nombre
Copyright © 2013 BSI. All rights reserved. 19
Operación
• ISO 27001 requiere que la organización planee y controle la operación de los
requerimientos de la seguridad de la información
• Y lo más importante, debe incluir:
• La realización de evaluaciones de riesgos de seguridad de información a intervalos
planificados
• La puesta en práctica de un plan de manejo de riesgos de seguridad de información
Copyright © 2013 BSI. All rights reserved. 20
Evaluación del desempeño
• Las auditorías internas y revisión de la administración continúan siendo
métodos clave de revisión del desempeño del ISMS y herramientas para la
mejora continua
• Los nuevos requerimientos de medición de la efectividad son más específicos
Copyright © 2013 BSI. All rights reserved. 21
Mejora
• Las no-conformidades del ISMS tienen que ser conmesuradas con las acciones
correctivas para asegurar que no vuelvan a ocurrir
• Al igual que con todas las normas de sistemas de gestión, la mejora continua
es un requisito básico
Copyright © 2013 BSI. All rights reserved. 22
Controles
Copyright © 2013 BSI. All rights reserved. 23
Controles en el DIS
• El número de controles ha sido disminuido de 133 a 113
• Los controles existentes han sido eliminados o fusionados, y se han agregado
nuevos controles
• Algunos de los controles conservados se han re-trabajado y necesitarán ser
revisados con mayor detalle después de la publicación del FDIS
Copyright © 2013 BSI. All rights reserved. 24
Controles que han sido eliminados en el DIS
• A.6.1.1 Comité de gestión para la seguridad de la información
• A.6.1.2 Coordinación de seguridad de la información
• A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información
• A.6.2.1 Identificación de riesgos relacionados con los agentes externos
• A.6.2.2 Direccionamiento de la seguridad al tratar con clientes
• A.10.2.1 Entrega del servicio
• A.10.7.4 Seguridad del sistema de documentos
• A.10.10.2 Seguimiento al uso del sistema
• A.10.10.5 Fallas en el registro
• A.11.4.2 Autenticación de usuarios para conexiones externas
• A.11.4.3 Identificación de equipos
• A.11.4.4 Puerto remoto de diagnóstico y configuración de protección
Copyright © 2013 BSI. All rights reserved. 25
Controles que han sido eliminados en el DIS
• A11.4.4 Diagnóstico remoto y configuración del puerto de protección
• A.11.4.6 Control para la conexión de redes
• A.11.4.7 Control para mapeo de redes
• A.10.8.5 Sistemas de información de negocios
• A.11.6.2 Aislamiento del sistema sensible
• A.12.2.1 Validación de datos de entrada
• A.12.2.2 Control de procesamiento interno
• A.12.2.3 Integridad del mensaje
• A.12.2.4 Validación de datos de salida
• A.12.5.4 Filtración de la información
• A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de
información
• A.15.3.2 Protección de las herramientas de auditoría de sistemas de información
Copyright © 2013 BSI. All rights reserved. 26
Nuevos controles propuestos en la DIS
• A.6.1.4 Seguridad de la información en la gestión de proyectos
• A.12.6.2 Restricciones en la instalación de software
• A.14.2.1 Política de desarrollo de seguridad
• A.14.2.5 Desarrollo de procedimientos para el sistema
• A.14.2.6 Desarrollo de un entorno seguro
• A.14.2.8 Sistema de pruebas de seguridad
• A.15.1.1 Información de seguridad para las relaciones con proveedores
• A.15.1.3 Cadena de suministro ICT
• A.16.1.4 Evaluación y decisión de los eventos de seguridad de información
• A.16.1.5 Respuesta a incidentes de seguridad de la información
• A.17.1.2 Implementación de la continuidad de la seguridad de la información
• A.17.2.1 Disponibilidad de instalaciones para procesamiento de información
Copyright © 2013 BSI. All rights reserved. 27
Línea de tiempo probable para la revisión
Escenario Ene. Feb. Mar. Abr. May. –
Jul.
Ago. Sep. Oct. –
Dic.
Ene. –
Mar.
1. DIS va a publicación
2.- DIS se va a FDIS
3.- DIS genera una
segunda DIS
Comentarios
públicos
Comentarios
públicos
Comentarios
públicos
Publicación
probable
Publicación
probable
Publicación
probable
Junta del comité ISO DIS- Proyecto de norma internacional
FDIS- Proyecto final de norma internacional
Copyright © 2013 BSI. All rights reserved. 28
Disposiciones de la transición
• Las organizaciones que están certificadas con BSI en ISO 27001:2005
recibirán:
• Una guía de la transición
• Una escala de tiempo de la transición
• Se espera que las transiciones se lleven a cabo durante las visitas de
seguimiento(CAV)
Copyright © 2013 BSI. All rights reserved. 29
Contáctanos
BSI Group México
www.bsigroup.com.mx
01 800 044 0274
+52 (55) 5241 1370
Copyright © 2013 BSI. All rights reserved. 30
Top Related