Professional Documents
Culture Documents
ONGEI2016
Ing. CIP Miguel Del Carpio Wong
Parte 1 : NORMATIVA
Parte 2 : IMPLEMENTACIN
NORMATIVA
Norma Anterior
RM N. 129-2012-PCM (Mayo 2012).
Norma VIGENTE
RM N. 004-2016-PCM (Enero 2016).
Norma VIGENTE
RM N. 004-2016-PCM (Enero 2016).
Titular de Entidad,
Administracin,
Planificacin,
Informtica,
Legal,
IMPLEMENTACIN
NTP-ISO/IEC 27001:2014
Captulo 04
Captulo 05
Captulo 06
Captulo 07
Captulo 08
Captulo 09
Captulo 10
Anexo A
:
:
:
:
:
:
:
CONTEXTO DE LA ORGANIZACIN.
LIDERAZGO.
PLANIFICACIN.
SOPORTE.
OPERACIN.
EVALUACIN DE DESEMPEO.
MEJORAS.
4.3
Requerimiento de la
ISO/IEC 27001:2013
Estado
CONFORME
OSIPTEL
El sistema de gestin de seguridad de la informacin
para la Regulacin del Mercado de Telecomunicaciones
mediante los procesos de emisin de normas,
regulacin, solucin de controversias, solucin de
reclamos de usuarios, supervisin, fiscalizacin y
sancin. Atencin y orientacin a usuarios desde sus
oficinas de San Borja y San Isidro en Lima, segn la
declaracin de aplicabilidad vigente.
Captulo 05 : LIDERAZGO.
Sabemos que el Comit de Seguridad de la Informacin debe estar formado
por el Titular de la Entidad.
Si se tiene al Titular de la Entidad comprometido, entonces la tarea de
implementar un SGSI y CERTIFICAR ser mucho ms fcil.
El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al
SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para
los roles relevantes a la Seguridad de la Informacin estn asignadas y
comunicadas.
Por lo tanto, es necesario establecer:
Captulo 05 : LIDERAZGO.
POLTICA DE SEGURIDAD DE LA INFORMACIN
Seccin
5.2
Requerimiento de la ISO/IEC
27001:2013
Estado
Poltica.
CONFORME
f)Estar
comunicada dentro de la
organizacin;
CONFORME
Captulo 05 : LIDERAZGO.
POLTICA DE SEGURIDAD DE LA INFORMACIN
Qu hacer?
Hacer la Poltica de Seguridad de la Informacin.
Cmo?
Modelos hay varios y usarlos slo como referencia.
Incluir al menos:
Marco legal,
Objetivos,
Polticas,
Definiciones,
Responsabilidades,
Sanciones por incumplimiento.
IMPORTANTE respecto al documento:
Elaborado por, Revisado por, Aprobado por,
CARGO y NOMBRE. Versin, Fecha exacta.
Captulo 05 : LIDERAZGO.
POLTICA DE SEGURIDAD DE LA INFORMACIN
Sabemos que los usuarios, muchas veces no cumplen las polticas.
Podra incluirse como parte de las sanciones por incumplimiento lo siguiente o
va alguna comunicacin de la Alta Direccin:
Captulo 06 : PLANIFICACIN.
6.1 Acciones para tratar los riesgos y oportunidades
6.1.1 Generalidades ...
Seccin
6.1.2
Estado
Evidencia:
Cmo lo cumple?
CONFORME
Se tiene un procedimiento
para la Gestin de Riesgos
de
Seguridad
de
la
Informacin.
CONFORME
Se
cuenta
con
una
metodologa de Gestin de
Riesgos de Seguridad de la
Informacin y est en
conjunto con el Manual de
Gestin de Seguridad de la
Informacin.
Captulo 06 : PLANIFICACIN.
6.1 Acciones para tratar los riesgos y oportunidades
6.1.1 Generalidades
6.1.2 Valoracin del riesgo de seguridad de la informacin.
Qu hacer?
Procedimiento para la gestin de riesgos de seguridad de la
informacin.
Cmo?
Elegir tu metodologa de gestin de riesgos,
Usa ISO 31000,
Usa ISO 27002,
Usa ITIL, COBIT, COSO,
Usa MAGERIT (espaola 3 libros)
Captulo 06 : PLANIFICACIN.
6.1 Acciones para tratar los riesgos y oportunidades
6.1.1 Generalidades
6.1.2 Valoracin del riesgo de seguridad de la informacin.
Consideraciones
Identificar los riesgos de seguridad de la informacin:
Aplicar el proceso de valoracin de riesgos: MATRIZ DE CALOR.
Se debe hacer un Inventario de Activos y considerar la valoracin
para la Confidencialidad, Integridad, Disponibilidad, lo cual da
origen a la Matriz de Calor.
Identificar a los propietarios de los riesgos y obtener su aprobacin
para tratar los riesgos.
Analizar los riesgos de seguridad de la informacin.
Establecer la Declaracin de Aplicabilidad.
Determinar todos los controles necesarios.
Formular un plan de tratamiento de riesgos.
Captulo 07 : SOPORTE.
Captulo 08 : OPERACIN.
Captulo 10 : MEJORAS.
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.1 Requisitos de la empresa para el control de acceso.
Objetivo: Limitar el acceso a la informacin y a las instalaciones de
procesamiento de la informacin
Seccin
A.9.1.2
Estado
Evidencia:
Cmo se ha implementado?
IMPLEMENTADO
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.4 Control de acceso a sistema y aplicacin.
Objetivo: Prevenir el acceso no autorizado a los sistemas y
aplicaciones.
Seccin
A.9.4.5
Estado
Evidencia:
Cmo se ha implementado?
Para el alcance establecido no hay
Desarrollo de Software.
NO APLICA
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna.
Objetivo: Establecer un marco de referencia de gestin para iniciar y
controlar la implementacin y operacin de la seguridad de la
informacin dentro de la organizacin.
Seccin
A.6.1.3
con
Estado
las
IMPLEMENTADO
Evidencia:
Cmo se ha implementado?
Se cuenta con una lista para
establecer contacto rpido con las
partes involucradas y se evidencia
que se ha comunicado a todos.
Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna.
Objetivo: Establecer un marco de referencia de gestin para iniciar y
controlar la implementacin y operacin de la seguridad de la
informacin dentro de la organizacin.
Seccin
A.6.1.2
Estado
Segregacin de funciones.
Control: Las funciones y reas
de responsabilidad en conflicto
deben ser segregadas para
reducir
oportunidades
de
modificacin no autorizada o
no intencional o mal uso de los
activos de la organizacin
Evidencia:
Cmo se ha implementado?
La Entidad dispone de un Manual de
Organizacin y Funciones (MOF) en el cual
est definido los cargos.
IMPLEMENTADO
ISO 27003
Estndar Internacional usada como:
GUA PARA LA IMPLANTACIN
DE UN SGSI
Muchas Gracias...!!!