ISO 27001 Murcia | SYMLOGIC

Symlogic, S.L.
Menú principal
- Compañía
- Calidad
- Colaboradores
- Noticias
- Enlaces
- Contacto

- Servicios
  Submenu
- Protección de Datos y LSSI
- Software
- Diseño y Desarrollo Web
- Imagen Corporativa
- Mantenimiento Informatico
- Back-Up Remoto
- Sistemas de Gestión
- ISO 9000
- ISO 27001
- ISO 20000
- Destrucción Documentación
- Formación
ISO 27001

Introducción
¿Cuánto pagaría la competencia por la información confidencial de su empresa?
¿Sus bases de datos están protegidas?
¿Tiene un plan de continuidad después de un desastre?
¿… Y procedimientos y controles contra SW malicioso?
¿Los activos de su empresa han sido inventariados y tasados?
¿Existe una política formal y controles adecuados para la protección ante riesgos del uso de Internet y las telecomunicaciones móviles?
¿Cuánto tiempo sobreviviría nuestra empresa sin el acceso a la información?
¿Hasta que punto estamos preparados para responder a un incidente de seguridad?
¿Cumplimos la LOPD, LSSICE y los derechos de propiedad intelectual?
- Control y clasificación de activos
- Organización de la Seguridad
- Dirección de operaciones y comunicaciones
- Política de Seguridad
- Evaluación de riesgos
- Seguridad del personal
- Desarrollo y mantenimiento de sistemas
- Dirección de Planes de Contingencia
- Cumplimiento con la legislación
La información es un activo vital para el éxito y la continuidad de cualquier organización por lo que su protección debe ser un objetivo de primer nivel.
Los procesos, sistemas y redes, son también activos comerciales importantes. Definir, lograr, mantener y mejorar la seguridad de la información puede ser esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial.

Pueden ser considerados activos de información :
- Activos de información electrónicos: datos, manuales, usuarios
- Documentos en papel
- Activos de software (aplicaciones, sistemas, …)
- Activos físicos (ordenadores, soportes, periféricos…)
- Datos personales (clientes, personal, …)
- Imagen de la compañía y reputación
- Servicios (web, comunicaciones, …)
La seguridad de la información no es un producto es un proceso.
La seguridad de la información es determinar qué requiere ser protegido y porqué, qué debe ser protegido y cómo. Se caracteriza por la preservación de la confidencialidad, la integridad y la disponibilidad.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La serie ISO27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Las normas más relevantes son:
•     ISO 27000: Términos y Definiciones.
•     ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
•     ISO 27002: Es el nuevo nombre de ISO 17799:2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

¿Cómo adaptarse?

Pasos:
Arranque del proyecto.
Compromiso de la dirección
Planificación.
Definir Fechas.
Definir Responsabilidades.
Establecer el SGSI. (PLAN)
            Definir el alcance.
            Definir política de seguridad.
            Metodología para la evaluación del riesgo.
            Inventario de activos.
            Identificar amenazas y vulnerabilidades.
Identificar impactos
Análisis y evaluación de riesgos
            Seleccionar objetivos de control y controles.
            Obtener aprobación de la gerencia.
Implementar y gestionar el SGSI (DO)
            Formular un plan para el tratamiento del riesgo.
            Implementar el plan
            Implementar todos los controles seleccionados.
            Formación/concienciación.
Monitorear y revisar el SGSI. (CHECK)
            Ejecutar los procedimientos de monitoreo.
            Revisiones de la eficacia.
            Revisar el nivel de riesgo residual y riesgo aceptable.
            Auditorías internas del SGSI.
Mantener y Mejorar el SGSI (ACT)
            Implementar las mejoras identificadas.
            Tomar las apropiadas acciones correctivas y preventivas.
            Comunicar los resultados a todas las partes interesadas.
            Asegurar que las mejoras alcancen los objetivos deseados.

Solicítenos información.

Información legal
Aviso Legal
|
Política de Privacidad
|

Menú principal

ISO 27001