La Asociación Española para la Calidad (AEC) organiza un curso online, del 3 de julio al 27 de septiembre, sobre Sistemas de Gestión de la Seguridad de la Información (ENS e ISO 27001) y el cumplimiento del RGPD.

El RGPD requiere el establecimiento de medidas de seguridad para la protección de los datos personales respecto a los riesgos tecnológicos.

Tradicionalmente los Sistemas de Gestión de Seguridad de la Información (SGSIs) han servido al propósito de poder determinar, en función del riesgo, los controles o medidas de seguridad más relevantes en el contexto específico de una organización.

El alcance de los SGSIs incluye la protección de los tipos de información relevantes para la organización (registros vitales) y sus procesos pudiendo quedar incluidos, por tanto, los datos personales objeto de protección en el RGPD. El principal marco de referencia internacional respecto a los requisitos mínimos que debe tener un SGSI es el estándar UNE ISO/IEC 27001:2017, ampliamente adoptado en el sector privado.

En España resulta de muy especial relevancia el Esquema Nacional de Seguridad (ENS), que requiere la adopción de un SGSI a las administraciones públicas y también a los operadores del sector privado que contribuyen en las distintas fases del ciclo de vida del dato o el sistema de información responsabilidad de la administración, conforme al ámbito objetivo y subjetivo de aplicación. El ENS se constituye en un SGSI, alineado con ISO/IEC 27001:2013, pero con un gran número de requisitos muy significativos que le otorgan un corpus propio y una relevancia en el contexto público y empresarial español muy notorio.

Objetivos de la formación

Al finalizar el curso, el alumno podrá:

  • Aprender a gestionar la protección de los datos personales amparados por el RGPD mediante la implantación de un Sistema de Gestión de Seguridad de la Información conforme a ENS o ISO 27001.
  • Conocer los requisitos de un SGSI conforme a UNE ISO/IEC 27001:2017 y al Esquema Nacional de Seguridad (ENS) y su proceso de certificación, destacando las diferencias entre ambas.
  • Aprender a realizar una Apreciación (Identificación, Análisis, Evaluación) del Riesgo Tecnológico alineada con los requisitos del RGPD.
  • Conocer cómo gestionar Incidentes y Brechas de Seguridad.

Uno de los requisitos para la renovación de la certificación es justificar que se ha realizado un mínimo de 60 horas de formación, en materias objeto del Programa del Esquema, durante el periodo de validez del certificado.

Este curso es válido para cumplir con los requisitos de la renovación de la certificación de los Delgados de Protección de Datos.

Destinatarios

La necesidad de gestionar el riesgo tecnológico sobre los datos personales es común a los sectores público y privado. Resultando especialmente relevante en el contexto de:

  • Empresas y entidades con tratamientos sensibles desde la perspectiva RGPD.
  • Prestadores de servicios a las administraciones públicas / operadores privados.
  • Empresas y centros relacionados con la salud, entidades financieras, servicios de marketing y prospección comercial.
  • Empresas desarrolladoras de páginas web, Apps y software en general.
  • Implantadores de soluciones que integren Big Data o tratamientos masivos de datos.

Por todo ello, el curso está dirigido a:

  • Los Delegados de Protección de Datos y sus equipos, y en general, a los profesionales que quieran capacitarse en el ámbito del nuevo enfoque en protección de datos.
  • Directores y Responsables de Calidad, de Seguridad, de Compliance y de Sistemas
  • Personal Directivo

Programa

Concepto de SGSI. Contexto normativo del ENS y su relación con el RGPD

  • Qué es un Sistema de Gestión de Seguridad de la Información (SGSI).
  • Requisitos conforme a UNE-EN ISO/IEC 27001:2017.
  • El Esquema Nacional de Seguridad (ENS). Ámbito objetivo y subjetivo de Aplicación. Cuerpo doctrinal (Reales Decretos, Instrucciones Técnicas de Seguridad) y documentación de referencia (serie CCN-STIC-800).
  • Relación del SGSI con el RGPD y otros marcos normativos (Infraestructuras Críticas, Ley NIS).

Implantación y mejora continua de un SGSI

  • Sistemas de Gestión y Mejora Continua. PDCA.
  • Plan de adecuación al ENS.
  • Implantación de ISO/IEC 27001:2013 conforme a ISO/IEC 27003:2017.

Apreciación (identificación, análisis, evaluación) del riesgo tecnológico en el contexto del ENS y el RGPD

  • Evaluaciones de Impacto en la Protección de Datos (EIPD).
  • El Riesgo Tecnológico y la protección de datos personales.
  • Activos Esenciales (tipos de Información, Servicios y Sistemas) y su relación con las Actividades de Tratamiento de Datos Personales.
  • Determinación de la Criticidad: Valoración y Categorización de Sistemas. Segregación de sistemas en subsistemas.
  • Apreciación del Riesgo en el contexto de un SGSI.
  • Tratamiento del Riesgo.
  • Controles de Seguridad: estado de implantación, eficacia y evaluación continua.
  • Caso Práctico 1. Apreciación y Tratamiento del Riesgo de una organización

Gestión de incidentes y brechas de seguridad en un contexto multi-norma

  • Evento, incidente y brecha de seguridad.
  • Fases de gestión de un incidente:
  • Determinación de la peligrosidad y el nivel de impacto de un incidente.
  • Escalado de incidentes.
  • Notificación de brechas de seguridad.
  • Comunicación a terceros y gestión de crisis.
  • Caso Práctico 2. ¿Podemos hacer un caso práctico sobre Gestión de Incidentes y Brechas de Seguridad?

Certificación de sistemas de información en el ENS y de SGSIS conforme a UNE-EN ISO/IEC 27001:2017

  • Diferencia sustantiva entre un sistema de gestión y un sistema de información. Comparativa entre la norma ISO 27001 y el ENS. Diferencia en el proceso de certificación.
  • Obligación legal para la certificación de sistemas en el ámbito del ENS. La ITS de Conformidad con el ENS. Diferencias entre Declaración y Certificación de conformidad.
  • Diferencias entre el Sector Público y el Sector Privado.
  • Entidades de certificación acreditadas en ISO 27001. Autorización del CCN para la certificación de sistemas de información del ENS.
  • Proceso de Certificación del ENS.
  • Proceso de Certificación de ISO 27001.
  • Certificación de la Cadena de Suministro.
  • Obtención y publicidad de la certificación.
  • Auditoría del RGPD. Auditorías concurrentes ENS y RGPD.

Inscripción

Si estás interesado en realizar este curso, puedes inscribirte a través del siguiente enlace.

Para cualquier consulta: tlfno. 912 108 120 / 912 108 121

Curso de AEC sobre ENS e ISO 27001 y el cumplimiento del RGPD
4.4 (88.57%) 7 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.