Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

ISO 27001: declaraci贸n de aplicabilidad

21/39

Lectura

En este punto del curso, es importante mencionar un documento de alta relevancia dentro de la norma ISO 27001 y es la Declaraci贸n de Aplicabilidad o tambi茅n conocido como SoA (SoA por las siglas en ingl茅s de Statement of Applicability). Este documento puede encontrarse en el formato que m谩s le convenga a una organizaci贸n ya que la norma no tiene un formato preestablecido; lo relevante est谩 en su contenido, que en general debe incluir los objetivos de control y controles seleccionados de la norma, las razones por las cuales han sido seleccionados y las medidas de seguridad adicionales cuando aplique.

La Declaraci贸n de Aplicabilidad en la ISO 27001 es un documento generado a partir del an谩lisis de riesgos realizado. Sin embargo, es importante mencionar que si la organizaci贸n pretende implementar un sistema de gesti贸n de seguridad de la informaci贸n, pero no est谩 interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificaci贸n, la Declaraci贸n de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificaci贸n, s铆 o s铆 deben elaborar una Declaraci贸n de Aplicabilidad.

No obstante, as铆 la intenci贸n de la organizaci贸n no sea obtener la certificaci贸n, es importante aclarar que la Declaraci贸n de Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gesti贸n de seguridad de la informaci贸n. Y tambi茅n se convierte en la gu铆a para el auditor. Por eso, debe existir antes de la auditor铆a de certificaci贸n y, tambi茅n, antes de la auditor铆a interna del sistema.

Una vez que se han definido las opciones de tratamiento para los riesgos, la organizaci贸n debe aplicar medidas de seguridad, es decir, decidir de qu茅 manera ser谩n mitigados los riesgos. Es en este punto cuando se desarrolla la Declaraci贸n de Aplicabilidad, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si 茅stos se encuentran operando o todav铆a no.

Para concluir, te puedo decir que la Declaraci贸n de Aplicabilidad en la norma ISO 27001 se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A (114 controles) que has decidido aplicar o implementar dentro de tu Sistema de Gesti贸n de Seguridad de la Informaci贸n.

Aportes 18

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Saludos les comparto un ejemplo de declaraci贸n de aplicabilidad SOA ( o DDA en espa帽ol) que lo encontr茅 para que lo tengamos como modelo para nuestras futuras auditorias 馃槂

https://www.idu.gov.co/Archivos_Portal/Transparencia/Informacion de interes/SIGI/Sistema de seguridad de la informacion/2017/09 Septiembre/01 FO-TI-27 Formato Declaracion de Aplicabilidad V_1.0 - Diligenciado Dic2015.pdf

Hola compa帽eros,
tengamos tambi茅n muy en cuenta que se presentan casos en los que ciertos controles no aplican a la organizaci贸n , a esto se le conoce como exclusiones de control, los cuales deben justificarse de manera optima para indicarle al auditor del por que no se aplican.

por ejemplo, si la empresa no cuenta de ninguna manera con implementaci贸n de teletrabajo , entonces se deber铆a excluir el siguiente control: A.6.2.2 | Teletrabajo
con su debida justificaci贸n.

Saludos

Despu茅s de mucho tiempo entend铆 que es la norma ISO, gracias por este aporte.

Excelente informaci贸n :3

buena explicion

Excelente :3.

Excelente informaci贸n

Esta declaracion se puede firmar al inicio del proceso o solo cuando se haya realizado registro e identificacion de riesgos?

Buena expliaci贸n 馃槃

Espero que se explique en los siguientes videos.

Excelente informaci贸n!

Muy buena informaci贸n

Muy claro como el agua.

Entendido

Gracias, muy claro la informaci贸n.

Gracias por el aporte.