Especialización Implementación ISO 27001-2013

Especialización Implementación
ISO 27001:2013
ÍNDICE
METODOLOGÍA
QUIÉNES SOMOS
TEMARIOS
PLANIFICACIÓN
E INVERSIÓN
ÍNDICE
METODOLOGÍA
QUIÉNES SOMOS
TEMARIOS
PLANIFICACIÓN
E INVERSIÓN
METODOLOGÍA MACGKAIZEN
1. PRESENTAR 2. PRACTICAR
Enseñamos el Los participantes ponen
contenido y en práctica el contenido
las herramientas. asimilado.
80%
PRÁCTICO
20%
TEÓRICO
4. ACCIONAR 3. REFLEXIONAR
Los asistentes generan Se comparten
un plan de acción para aprendizajes y reflexiones.
su día a día.
ÍNDICE
METODOLOGÍA
QUIÉNES SOMOS
TEMARIOS
PLANIFICACIÓN
E INVERSIÓN
¿POR QUÉ Macg Kaizen?
KAI (japones) significa CAMBIO

ZEN (japones) significa BUENO.
En Macg Kaizen fortalecemos

las
habilidades blandas para construir
profesionales producto de cambios
personales y técnicos y con
herramientas útiles actualizadas cada
año para garantizar mejora continua y
resultados reales.
SPEAKER: MANUEL CONDE
Especialista en análisis, levantamiento y mejora continua de procesos de negocios

bajo estándar BPMN 2.0 (As Is – To be), procesos enfocados en la gestión de
Seguridad de la Información e infraestructura TI, procesos de Ciberseguridad,
procesos de continuidad de negocio para procesos críticos e infraestructura
critica, Líder de proyectos para gestión de riesgos y gestor del cambio.
Experiencia de más de 9 años en atención al cliente, supervisor y creación de
informes de evaluación de gestión, Facilitar (docente) en Liderazgo de equipo y
Motivación al logro, Líder de Ciberseguridad (Lead Cibersecurity Professional),
Fundamentos de ITIL V4, Auditor e Implementador Líder ISO 27001, ISO 22301
e ISO 20000.
Especialista en auditorías e implementación en sistema de gestión integrados:

• ISO/IEC 9001:2015 – Sistema de Gestión de Calidad
•ISO/IEC 27001:2013 – Sistema de Gestión de Seguridad de la Información
• ISO/IEC 27701:2019 – Sistema de Gestión de Privacidad de Datos
• ISO/IEC 22301:2019 – Sistema de Gestión de Continuidad de Negocios
• ISO/IEC 20000-1:2018 – Sistema de Gestión de Servicios TI
• ISO/IEC 27035-1:2016 Principios de la gestión de incidentes
• ISO/IEC 27035-2:2016 Directrices para planificar y prepararse para la
respuesta a incidentes
ÍNDICE
METODOLOGÍA
QUIÉNES SOMOS
TEMARIOS
PLANIFICACIÓN
E INVERSIÓN
Fases de una buena implementación
En la fase inicial (Fase 1 Diagnostico), se obtiene el estatus actual y alcance a futuro de
una correcta implementación de la Norma ISO 27001:2013.
Fase I – Diagnostico Mediante este resultado se espera obtener una base para futuras fases del proceso de
implementación logrando resultados más óptimos y enfocados al rubro empresarial y
De la situación actual de la organización enfoque corporativo. Parte de esta implementación se espera que el personal se
capacite a futuro para alcanzar una madures en los procesos de norma y gestión interna.
Es importante mencionar que cada una de las fases se componen de subprocesos
Fase II – Diseño y Personalización importantes. Por ejemplo, en la fase de implementación, estan los subproceso de
Identificación y Valoración de activos, Gestión de riesgos de los activos de información y
De la implementación dependiendo de sus requisitos legales e controles a los activos de información.
identificación de riesgos de seguridad de la información
Fase III – Implementación

Mediante una estructura de responsables, plan
de riesgos y de contingencias
Fase IV – Auditoría Interna

Que registrara las observaciones, corregir las no
conformidades y realizar una nueva auditoría
interna.
Fase V – Auditoría de
Certificación
Las empresas CERTIFICADORAS “ACREDITADAS” siguen un proceso
formal de certificación regulado por la norma ISO 27006, en cuanto a
calidad, duración de la auditoría, experiencia de los auditores y proceso
de registro del certificado
¿Qué nos llevamos y
aprenderemos a
Entregables Fase I y II: realizar?
V
Diagnostico Diseño y Personalización
• Informe de situación actual. Definir modelo de gobierno de

• Resultado de entrevista con áreas internas. seguridad de la información
• Evaluación de personal con enfoque en • Alta dirección
seguridad. • Comité de seguridad
• Requisitos actuales y normativos de ISO • Revisión por la Dirección
27001. • Encargado de SGSI
• Evaluación de Inventario de activos actual. • Definición de alcance SGSI
• Controles aplicables de anexo A (SoA) • Definición de Objetivos SGSI
• Diagnóstico de posibles roles y • Definición de política de SGCN y
responsabilidades. SGSI ( 2 ámbitos)
• Minuta de reunión acta dirección. • Definición de Gestión
Documental.
aprenderemos a 14 apartados
ISO
realizar? 27002:2013
Entregables Fase III:

• Levantamiento de Activos de Información
• Definición de roles y responsabilidades (dueños y encargados de activos)
• Estructura de marco documental.
• Mitigación de análisis GAP según informe y resultados de Fase I.
• Definir metodología de riesgo a implementar.
• Definir modelo de riesgo de seguridad de la información tomando como referencia el
modelo de riesgo corporativo y las buenas prácticas del estándar ISO/IEC 27005:2018.
• Identificación de objetivos de control y diseño de controles.
• Plan de formación y comunicación para informar a los colaboradores nuevas
responsabilidades, beneficios, fechas y visión clara del proceso de implementación.
• Análisis GAP del Anexo A de controles ISO 27001 ISO 27002
▪ Plan de implementación de SGSI
▪ Cumplimiento del Plan de implementación de SGSI:
o Plan de tratamiento de riesgos a los activos de información
o Entrega de Plan de Tratamiento de riesgos
▪ Declaración SOAP:
o Implementación de controles aplicables
o Documentar controles de acuerdo con el anexo A de la ISO 27001 en
conjunto con la ISO 27002.
aprenderemos a
realizar?
Entregables Fase III
Para los dominios 13, 14 y 15, requieren metodologías y dedicación

extraordinario, ya que se define parte de la medula espinal de un Sistema de
Gestión de Seguridad de la Información como lo es:
1. Establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes de seguridad de la información
2. Los eventos de seguridad de la información se deberían informar a través de los canales de
gestión apropiados, tan pronto como sea posible.
3. Se debería exigir a todos los empleados y contratistas que usan los servicios y sistemas de
información de la organización, que observen y reporten cualquier debilidad de seguridad
de la información observada o sospechada en los sistemas o servicios
4. Los eventos de seguridad de la información se deberían evaluar y se debería decidir si se
van a clasificar como incidentes de seguridad de la información
5. Se debería dar respuesta a los incidentes de seguridad de la información de acuerdo con
procedimientos documentados.
6. El conocimiento adquirido al analizar y resolver incidentes de seguridad de la información
se debería usar para reducir la posibilidad o el impacto de incidentes futuros y para la
organización
aprenderemos a
realizar?
Entregables Fase III
Para los dominios 13, 14 y 15, requieren metodologías y dedicación

extraordinario, ya que se define parte de la medula espinal de un Sistema de
Gestión de Seguridad de la Información como lo es:
7. La continuidad de seguridad de la información se debería incluir en los sistemas de gestión
de la continuidad de negocio de la organización.
8. La organización debería establecer, documentar, implementar y mantener procesos,
procedimientos y controles para asegurar el nivel de continuidad requerido para la
seguridad de la información durante una situación adversa.
9. Definición de Análisis de Impacto (BIA), gestión de riesgos (RIA) para Identificar los riesgos
de incidentes disruptivos para las actividades prioritarias de la organización y sus recursos
del SGSI
10. Definición de planes de continuidad, estrategia de continuidad, planes de recuperación de
desastres, pruebas de continuidad, informe y lecciones aprendidas.
11. La organización debería verificar a intervalos regulares los controles de continuidad de la
seguridad de la información establecidos e implementados, con el fin de asegurar que son
válidos y eficaces durante situaciones adversas
12. Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o
contractuales relacionadas con seguridad de la información, y de cualquier requisito de
seguridad.
13. Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, y el enfoque
de la organización para cumplirlos, se deberían identificar y documentar explícitamente y
mantenerlos actualizados para cada sistema de información y para la organización
ÍNDICE
METODOLOGÍA
QUIÉNES SOMOS
TEMARIOS
PLANIFICACIÓN E
INVERSIÓN
PLANIFICACIÓN
Las actividades asociadas de la certificación a la ejecución del servicio de
Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI)
basado en ISO 27001:2013 más todos los entregables, acompañamiento y
documentación entregada de la formación se presenta en este calendario de
alto nivel:
Horas
Fases Días Horas/Días
totales
Fase I – Diagnostico de Situación actual (Interpretación
de la Norma ISO 27001:2013 e ISO 27002: 2013 + 3 3 9
Diagnostico de Situación actual (Análisis Gap)
Fase II – Diseño y Personalización
(En esta etapa comenzamos a diseñar los instrumentos, 6 3 18
políticas y procedimientos para soportar el SGSI)
Fase III – Implementación
(Como los documentos no pueden ser documentos
inherentes, deben ser capacitados y tener apoyo de la 5 2 10
alta dirección y con coherencia con el alcance del SGSI)
Fase IV – Auditoría Interna
(Debemos revisar si lo que construimos, tiene los
resultados esperados y actuar en función de cualquier 2 1 2
desviación del SGSI)
Fase IV – Auditoría de Certificación
(Necesitamos pasar por 2 revisiones antes de obtener
nuestro certificado de SGSI), por lo aprenderemos
buenas prácticas en esta etapa de acuerdo a la ISO 2 1 2
27006.
Nota: Las horas y semanas pueden varias

de acuerdo a disponibilidad e intereses 18 41
de los participantes.
¿Qué recibirá el participante?
Los materiales para las actividades están incluidos en la inversión.
Set de documentos por Requisitos Normativo (Capitulo 4 al 10).
Instrumentos de Gestión de Riesgos, Activos de Información y para medir objetivos de SGSI.
Procedimiento, Políticas y normas para cubrir para cubrir 114 controles del Anexo A del ISO 27001:2013 teniendo en cuenta el estándar ISO 27002:2013.
Cada instrumento y procedimientos, lo revisaremos en equipo de acuerdo a lo exigido por la ISO 27001:2013, por lo que no solo se entregara
los documentos, sino aprendemos a construirlo para poder ejercer consultoría sobre ello.
Además, recibirá todas las normas internacionales:

• ISO/IEC 9001:2015 – Sistema de Gestión de Calidad
• ISO/IEC 27001:2013 – Sistema de Gestión de Seguridad de la Información.
• ISO/IEC 27701:2019 – Sistema de Gestión de Información de Privacidad.
• ISO/IEC 27018:2019 – Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas .
• ISO/IEC 22301:2019 – Sistema de Gestión de Continuidad de Negocios.
• ISO/IEC 20000-1:2018 – Sistema de Gestión de Servicios TI.
• ISO/IEC 27032:2015 –Directrices para la Ciberseguridad basado en Framework NIST .
• ISO/IEC 27035-1:2016 Principios de la gestión de incidentes
• ISO/IEC 27035-2:2016 Directrices para planificar y prepararse para la respuesta a incidentes
• ISO/IEC 27005:2018 – Gestión de Riesgos de Seguridad de la Información
• ISO/IEC 31000:2018 – Gestión de Riesgos – Directrices
Por ultimo, daremos un introducción a Implementación de Sistema Gestión de Continuidad de Negocios y Sistema de
Gestión de Información de Privacidad de Datos Personales y como hacemos un Sistema de Gestión Integrados, incluyendo
ISO 9001:2015.
INVERSIÓN
US$ 250$
ISO 27001 Certified Lead Implementer (I27001CLI)
US$100
Certificado de Aprobación por Macg Kaizen Consulting
CONTACTO
Manuel Conde
Ingmanuel.conde@gmail.com
Macg Kaizen Consulting

Linkedin: http://www.linkedin.com/in/IngMacg

Especialización Implementación ISO 27001-2013

Cargado por

Copyright:

Formatos disponibles

Especialización Implementación ISO 27001-2013

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Especialización Implementación ISO 27001-2013

Cargado por

Copyright:

Formatos disponibles

Especialización Implementación

KAI (japones) significa CAMBIO

En Macg Kaizen fortalecemos

Especialista en análisis, levantamiento y mejora continua de procesos de negocios

Especialista en auditorías e implementación en sistema de gestión integrados:

Es importante mencionar que cada una de las fases se componen de subprocesos

Fase III – Implementación

Fase IV – Auditoría Interna

• Informe de situación actual. Definir modelo de gobierno de

Entregables Fase III:

Para los dominios 13, 14 y 15, requieren metodologías y dedicación

Para los dominios 13, 14 y 15, requieren metodologías y dedicación

Nota: Las horas y semanas pueden varias

Los materiales para las actividades están incluidos en la inversión.

Set de documentos por Requisitos Normativo (Capitulo 4 al 10).

Instrumentos de Gestión de Riesgos, Activos de Información y para medir objetivos de SGSI.

Además, recibirá todas las normas internacionales:

Macg Kaizen Consulting

También podría gustarte