SERVICIO GAP ASSESSMENT BASADO EN LA NUEVA ISO 27001:2013 www.sigea.es Descripción del análisis Diferencias con una auditoría Fases, actividades y equipo de trabajo Contacto DESCRIPCIÓN DEL ANÁLISIS GAP ASSESSMENT ISO 27001:2013 lagunas detectadas en áreas de cláusulas que componen la base principal de la gestión de la norma ISO/IEC 27001:2013 , según el ciclo de mejora En esta primera parte del informe se incluyen las plan act 27001 check do áreas de control de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva ISO/IEC 27001:2013 En esta segunda parte del informe, la más extensa, se muestran las La información acerca del estado de implantación de las áreas de control, también se muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una instantánea. También se incluyen en el informe, para dar una visión más detallada, el estado de implantación de los objetivos de control de la nueva norma ISO/IEC 27001:2013 La parte más detallada del informe constituye aquella en la que se especifica el estado dei mplantación de cada uno de los controles de seguridad de la norma, indicando uno por uno su estado y las evidencias detectadas A modo de resumen, el informe también incorpora el 54% estado de implantación general en forma de porcentaje El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado de las medidad de seguridad de la información Porcentaje de reparto de controles aplicables Nivel de implantación por cada uno de los TIPOS de controles gráficos que permiten, de un solo vistazo, hacerse una idea general del estado de implantación de las medidas de seguridad de la información El informe contiene además una serie de Comparativas entre el NIVEL de implantación y el TIPO de controles nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un nivel de implementación medio o alto para cada uno de los tipos detectados. También se incluye un análisis del 24 % 50 % 47 % Este nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control evaluados previamente. Se trata de uno de los mejores indicadores para decidir por dónde empezar a actuar en el caso de una implantación. ¿Y CUÁL ES LA DIFERENCIA CON UNA AUDITORÍA? GAP ASSESSMENT ISO/IEC 27001:2013 propuestas de alcances certificables así como un programación gantt que refleja nuestra recomendación en tiempo, recursos y prioridades para la implantación. Nuestro informe incorpora varias Mes 1 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase II : Análisis de Riesgos y Plan de Tratamiento Fase III : Definición de la documentación aplicable Fase IV : Implantación de controles Fase V : Formación, definición de indicadores y recogida de datos Auditoria interna, acompañamiento en AC y cierre Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 La mayor parte de este tiempo es descontado de la primera fase de implantación del sistema, con lo que se reduce el coste de implantación. Mes 1 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase II : Análisis de Riesgos y Plan de Tratamiento Fase III : Definición de la documentación aplicable Fase IV : Implantación de controles Fase V : Formación, definición de indicadores y recogida de datos Auditoria interna, acompañamiento en AC y cierre Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 metodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el informe proponemos además varias fórmulas u opciones de implantación Además, nuestra Generación de documentación Plan Evaluación inicial (GAP) Plan Act Do Act Check Fase I Formación y concienciación Fase II Plan Do Act Check Fase III Fase IV Do Check Fase V Auditoria interna y cierre OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados) OPCIÓN B - Acompañamiento a los consultores de la entidad Auditoria externa FASES, ACTIVIDADES Y EQUIPO DE TRABAJO GAP ASSESSMENT ISO/IEC 27001:2013 GAP Assessment ISO/IEC 27001:2013 Fase 1 - Análisis de madurez de los requisitos ISO 27001 Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los principales interlocutores y, en la medida de lo posible, se revisará la documentación existente. El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de implantación de la norma ISO 27001. En concreto: Los resultados serán presentados en gráficos de procesos indicando las desviaciones detectadas Análisis de riesgos Política de seguridad Objetivos e indicadores Aspectos organizativos Formación y concienciación en seguridad Gestión documental Gestión de registros Planes de tratamiento de riesgos Gestión de Auditorías Internas Mejora Continua Revisiones por Dirección GAP Assessment ISO 27001 Fase 2 – Grado de implantación de medidas de seguridad Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada. El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en la nueva norma ISO 27001:2013 Los resultados serán presentados de forma individualizada para cada una de las áreas de control, indicando su grado de IMPLANTACIÓN Política de seguridad Aspectos organizativos Gestión de activos Seguridad de los RRHH Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Continuidad de negocio Conformidad Se acompañará cada área con los puntos de atención que sea necesario tener en cuenta para mejorar los grupos que no se encuentren en un grado óptimo. GAP Assessment ISO 27001:2013 Desarrollo de las actividades Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico, administrativos, etc… de la entidad Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado de la seguridad de la información. Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los correspondientes informes. Principales actividades Recopilación de la información necesaria, tanto a nivel físico como lógico, de los sistemas, servicios, comunicaciones y medidas de seguridad. Identificación de los sistemas críticos que requieren un análisis detallado. Identificación de las principales actividades de negocio. Identificación de la legislación aplicable para la seguridad. Investigación sobre la madurez del sistema de gestión de seguridad de la información. Investigación sobre el grado de conformidad con los dominios, objetivos de control y controles de la ISO 27001. Grado de concienciación/formación de los empleados en materia de seguridad de la información. Recursos 1 Consultor Dedicación + Entrevistas on-site + Inspecciones on-site por cada centro adicional + Redacción off-site de informes y presentación de resultados Entregables - Informe de evaluación - Conclusiones - Estimación de implantación - Propuesta de alcances posibles GAP Assessment ISO 27001 Equipo de trabajo Los trabajos podrán ser realizados, de manera individual o conjunta, por cualquiera de los dos consultores asignados al proyecto, que son los siguientes: Consultor Perfil Beatriz Martínez Consultora Senior Francisco Menéndez Piñera Cualificación ISO 27001 & ISO 20000 Lead auditor CISA, CISM, CRISC Consultor Senior Gracias por su atención Teléfono: 902 024 736 Email: [email protected] www.sigea.es
© Copyright 2024