Propuesta GAP Assessment ISO 27001

SERVICIO
GAP ASSESSMENT
BASADO EN LA NUEVA ISO 27001:2013
www.sigea.es
Descripción
del análisis
Diferencias
con una
auditoría
Fases,
actividades
y equipo de
trabajo
Contacto
DESCRIPCIÓN DEL ANÁLISIS
GAP ASSESSMENT ISO 27001:2013
lagunas detectadas en áreas de cláusulas que
componen la base principal de la gestión de la norma ISO/IEC 27001:2013 , según el ciclo
de mejora
En esta primera parte del informe se incluyen las
plan
act
27001
check
do
áreas de control
de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad
pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva
ISO/IEC 27001:2013
En esta segunda parte del informe, la más extensa, se muestran las
La información acerca del estado de implantación de las
áreas de control, también se
muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una
instantánea.
También se incluyen en el informe, para dar una visión más
detallada, el estado de implantación de los
objetivos de control de la nueva
norma ISO/IEC 27001:2013
La parte más detallada del
informe constituye aquella
en la que se especifica el
estado dei mplantación de
cada uno de los
controles de
seguridad
de la norma, indicando uno
por uno su estado y las
evidencias detectadas
A modo de resumen, el
informe también incorpora el
54%
estado de
implantación
general
en forma de porcentaje
El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado
de las medidad de seguridad de la información
Porcentaje de reparto de controles aplicables
Nivel de implantación
por cada uno de los
TIPOS de controles
gráficos que permiten, de un solo vistazo, hacerse una idea
general del estado de implantación de las medidas de seguridad de la información
El informe contiene además una serie de
Comparativas entre el
NIVEL de
implantación y el TIPO
de controles
nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un
nivel de implementación medio o alto para cada uno de los tipos detectados.
También se incluye un análisis del
24 %
50 %
47 %
Este
nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control
evaluados previamente.
Se trata de uno de los
mejores indicadores para decidir por dónde empezar a actuar en el caso de una
implantación.
¿Y CUÁL ES LA DIFERENCIA CON UNA
AUDITORÍA?
GAP ASSESSMENT ISO/IEC 27001:2013
propuestas de alcances certificables así como un programación gantt que
refleja nuestra recomendación en tiempo, recursos y prioridades para la implantación.
Nuestro informe incorpora varias
Mes 1
GAP analysis y definición del alcance
Fase I :Política, objetivos y
responsabilidades
Fase II : Análisis de Riesgos y Plan de
Tratamiento
Fase III : Definición de la
documentación aplicable
Fase IV : Implantación de controles
Fase V : Formación, definición de
indicadores y recogida de datos
Auditoria interna, acompañamiento
en AC y cierre
Mes 2
Mes 3
Mes 4
Mes 5
Mes 6
La mayor parte de este
tiempo es descontado de la primera fase de implantación del sistema, con lo que se
reduce el coste de implantación.
Mes 1
GAP analysis y definición del alcance
Fase I :Política, objetivos y
responsabilidades
Fase II : Análisis de Riesgos y Plan de
Tratamiento
Fase III : Definición de la
documentación aplicable
Fase IV : Implantación de controles
Fase V : Formación, definición de
indicadores y recogida de datos
Auditoria interna, acompañamiento
en AC y cierre
Mes 2
Mes 3
Mes 4
Mes 5
Mes 6
metodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el
informe proponemos además varias fórmulas u opciones de implantación
Además, nuestra
Generación de documentación
Plan
Evaluación
inicial (GAP)
Plan
Act
Do
Act
Check
Fase I
Formación y concienciación
Fase II
Plan
Do
Act
Check
Fase III
Fase IV
Do
Check
Fase V
Auditoria
interna y
cierre
OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados)
OPCIÓN B - Acompañamiento a los consultores de la entidad
Auditoria
externa
FASES, ACTIVIDADES Y EQUIPO DE TRABAJO
GAP ASSESSMENT ISO/IEC 27001:2013
GAP Assessment ISO/IEC 27001:2013
Fase 1 - Análisis de madurez de los requisitos ISO 27001
 Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los
principales interlocutores y, en la medida de lo posible, se revisará la documentación existente.
 El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las
cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de
implantación de la norma ISO 27001. En concreto:
 Los resultados serán presentados en
gráficos de procesos indicando las
desviaciones detectadas

Análisis de riesgos

Política de seguridad

Objetivos e indicadores

Aspectos organizativos

Formación y concienciación en seguridad

Gestión documental

Gestión de registros

Planes de tratamiento de riesgos

Gestión de Auditorías Internas

Mejora Continua

Revisiones por Dirección
GAP Assessment ISO 27001
Fase 2 – Grado de implantación de medidas de
seguridad
 Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la
norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de
los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada.
 El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a
nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En
concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en
la nueva norma ISO 27001:2013
 Los resultados serán presentados de forma individualizada
para cada una de las áreas de control, indicando su grado
de IMPLANTACIÓN

Política de seguridad

Aspectos organizativos

Gestión de activos

Seguridad de los RRHH

Seguridad física y ambiental

Gestión de comunicaciones y operaciones

Control de accesos

Adquisición, desarrollo y mantenimiento de sistemas

Gestión de incidentes de seguridad

Continuidad de negocio

Conformidad
 Se acompañará cada área con los puntos de atención que
sea necesario tener en cuenta para mejorar los grupos que
no se encuentren en un grado óptimo.
GAP Assessment ISO 27001:2013
Desarrollo de las actividades
 Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico,
administrativos, etc… de la entidad
 Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros
de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado
de la seguridad de la información.
 Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los
correspondientes informes.
Principales actividades

Recopilación de la información necesaria, tanto a nivel físico
como lógico, de los sistemas, servicios, comunicaciones y
medidas de seguridad.

Identificación de los sistemas críticos que requieren un
análisis detallado.

Identificación de las principales actividades de negocio.

Identificación de la legislación aplicable para la seguridad.

Investigación sobre la madurez del sistema de gestión de
seguridad de la información.

Investigación sobre el grado de conformidad con los
dominios, objetivos de control y controles de la ISO 27001.

Grado de concienciación/formación de los empleados en
materia de seguridad de la información.
Recursos
1 Consultor
Dedicación
+ Entrevistas on-site
+ Inspecciones on-site por cada centro
adicional
+ Redacción off-site de informes y
presentación de resultados
Entregables
- Informe de evaluación
- Conclusiones
- Estimación de implantación
- Propuesta de alcances posibles
GAP Assessment ISO 27001
Equipo de trabajo
Los trabajos podrán ser realizados, de manera individual o conjunta, por
cualquiera de los dos consultores asignados al proyecto, que son los siguientes:
Consultor
Perfil
Beatriz Martínez
Consultora Senior
Francisco Menéndez
Piñera
Cualificación
ISO 27001 & ISO 20000 Lead auditor
CISA, CISM, CRISC
Consultor Senior
Gracias por su atención
Teléfono: 902 024 736
Email: [email protected]
www.sigea.es