Detalle del libro
Ver Índice
Introducción
Objeto de esta guía
1. Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
1.1. Definición de un SGSI
1.2. El ciclo de mejora continua
1.3. La Norma UNE-ISO/IEC 27001
1.3.1. Origen de la norma
1.3.2. Objeto y campo de aplicación de la norma
1.4. La Norma UNE-ISO/IEC 27002
1.4.1. Origen
1.4.2. Objeto y campo de aplicación
1.5. El Esquema Nacional de Seguridad (ENS)
1.5.1. Origen
1.5.2. Objeto y campo de aplicación
1.6. Términos y definiciones
2. Comprender la Norma UNE-ISO/IEC 27001
2.1. Requisitos generales del sistema de gestión de la seguridad
2.2. Establecimiento y gestión del SGSI
2.2.1. Establecimiento del SGSI
2.2.2. Definición del alcance del SGSI
2.2.3. Definición de la política de seguridad
2.2.4. Identificación de los activos de información
2.2.5. Definición del enfoque del análisis de riesgos
2.2.6. Cómo escoger la metodología del análisis de riesgos
2.2.7. Tratamiento de los riesgos
2.2.8. Selección de controles
2.2.9. Gestión de riesgos
2.2.10. Declaración de aplicabilidad
2.2.11. Implementación y puesta en marcha del SGSI
2.2.12. Control y revisión del SGSI
2.2.13. Mantenimiento y mejora del SGSI
2.3. Requisitos de documentación
2.3.1. Generalidades
2.3.2. Control de documentos
2.3.3. Control de registros
2.4. Compromiso de la dirección
2.5. Gestión de los recursos
2.6. Formación
2.7. Auditorías internas
2.8. Revisión por la dirección
2.8.1. Entradas a la revisión
2.8.2. Salidas de la revisión
2.9. Mejora continua
2.9.1. Acción correctiva
2.9.2. Acción preventiva
2.10. El anexo A
3. Comprender la Norma UNE-ISO/IEC 27002
3.1. Valoración y tratamiento del riesgo
3.2. Política de seguridad
3.3. Organización de la seguridad
3.4. Gestión de activos
3.5. Seguridad ligada a los recursos humanos
3.6. Seguridad física y del entorno
3.7. Gestión de comunicaciones y operaciones
3.8. Control de acceso
3.9. Adquisición, desarrollo y mantenimiento de los sistemas
3.10. Gestión de las incidencias
3.11. Gestión de la continuidad del negocio
3.12. Cumplimiento
4. Definición e implementación de un SGSI
4.1. El proyecto
4.2. Documentación del SGSI
4.3. Política de seguridad
4.4. Inventario de activos
4.5. Análisis de riesgos
4.6. Gestión de riesgos
4.7. Plan de tratamiento del riesgo
4.8. Procedimientos
4.9. Formación
4.10. Revisión por la dirección
4.11. Auditoría interna
4.12. Registros
5. Proceso de certificación
6. Relación entre los apartados de la norma y la documentación del sistema
7. Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007
8. Caso práctico: modelo de SGSI
8.1. Documentación de la política de seguridad
8.1.1. Política de seguridad de la información
8.1.2. Definición del SGSI
8.1.3. Organización e infraestructura de seguridad
8.1.4. Clasificación de la información
8.1.5. Análisis de riesgos de seguridad
8.2. Documentación del inventario de activos
8.2.1. Procesos de negocio
8.2.2. Inventario de activos
8.2.3. Relación proceso de negocio-activos
8.2.4. Valoración de activos
8.3. Documentación del Análisis de riesgos
8.3.1. Valoración del riesgo por activos
8.3.2. Tramitación del riesgo
8.4. Documentación de la Gestión de riesgos
8.4.1. Valoración del riesgo por activos
8.5. Documentación de la Declaración de aplicabilidad
8.5.1. Controles aplicados
8.6. Documentación del Plan de tratamiento del riesgo
8.6.1. Objetivo
8.6.2. Alcance
8.6.3. Responsabilidades
8.6.4. Tareas
8.6.5. Seguimiento
8.6.6. Objetivos e indicadores
8.7. Documentación del Procedimiento de auditorías internas
8.7.1. Objetivo
8.7.2. Alcance
8.7.3. Responsabilidades
8.7.4. Desarrollo
8.7.5. Requisitos de documentación
8.7.6. Referencias
8.7.7. Anexos
8.8. Documentación del Procedimiento para las copias de seguridad
8.8.1. Objetivo
8.8.2. Alcance
8.8.3. Responsabilidades
8.8.4. Términos y definiciones
8.8.5. Procedimiento
8.8.6. Requisitos de documentación
8.8.7. Referencias
8.8.8. Anexos
9. Comprender el Esquema Nacional de Seguridad (ENS)
9.1. Generalidades del ENS
9.2. Principios básicos del ENS
9.3. Requisitos mínimos de seguridad del ENS
9.3.1. Organización e implementación del proceso de seguridad
9.3.2. Análisis y gestión de los riesgos
9.3.3. Gestión de personal
9.3.4. Profesionalidad
9.3.5. Autorización y control de los accesos
9.3.6. Protección de las instalaciones
9.3.7. Adquisición de nuevos productos de seguridad
9.3.8. Seguridad por defecto
9.3.9. Integridad y actualización del sistema
9.3.10. Protección de la información almacenada y en tránsito
9.3.11. Prevención ante otros sistemas de información interconectados
9.3.12. Registro de actividad
9.3.13. Incidentes de seguridad
9.3.14. Continuidad de la actividad
9.3.15. Mejora continua del proceso de seguridad
9.3.16. Soporte al cumplimiento
9.4. Otros requisitos
9.4.1. Comunicaciones electrónicas
9.4.2. Auditoría de la seguridad
9.4.3. Estado de seguridad de los sistemas
9.4.4. Respuesta a incidentes de seguridad
9.4.5. Normas de conformidad
9.4.6. Actualización
9.4.7. Categorización de los sistemas
9.4.8. Formación
10. Implementación del ENS
10.1. El plan de adecuación
10.2. Adecuación al ENS
10.2.1. Planificación
10.2.2. Implementación
10.2.3. Verificación y validación
10.2.4. Actualización y mejora continua
11. Ejemplo práctico: plan de adecuación
11.1. Documentación de la política de seguridad
11.2. Documentación de la categoría del sistema
11.2.1. Criterios de valoración de los activos
11.2.2. Categorización de sistemas
11.3. Documentación del análisis de riesgos
11.3.1. Metodología de análisis
11.3.2. Valoración de activos
11.3.3. Mapas de riesgos
11.3.4. Nivel de riesgo aceptable
11.4. Documentación de la declaración de aplicabilidad
11.5. Insuficiencias del sistema
11.6. Plan de mejora
12. Bibliografía
Normas de referencia
Legislación
Otros documentos
Links de interés
Norma UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos
La Norma UNE-ISO/IEC 27001 es la respuesta para las organizaciones conscientes de que la información hay que protegerla. Asimismo, la Administración Pública española ha creado el Esquema Nacional de Seguridad (ENS) con el mismo fin.
El objetivo de esta publicación es explicar de manera sencilla y con ejemplos prácticos qué supone la implementación de un SGSI utilizando la norma o el modelo ENS, obligatorio para la protección de los sistemas que soportan la administración electrónica. Además, para completar este contenido, se incluye el texto íntegro de la Norma UNE-ISO/IEC 27001.
