SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION.
What is your business proposal about?
Give it a name. Type it in.
4- ¿Cómo se implementa un SGSI?
Se utiliza un ciclo continuo PDCA el cual es un ciclo de vida continuo
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
Mejoras identificadas
Acciones preventivas y correctivas
Comunicar las acciones y mejoras
Alcanzar los objetivos previstos
Check: Monitorizar y revisar el SGSI.
La organización deberá:
Monitorización y revisión
Efectividad de los controles
Efectividad del SGSI
Evaluaciones de riesgo
Auditoras internas
Revisar el SGSI por parte de la dirección
Actualizar los planes de seguridad
Registrar acciones y eventos
Do: Implementar y utilizar el SGSI.
Plan de tratamiento de riesgos
Implantar el plan de tratamiento de riesgo
Implementar los controles
Definir sistemas de métricas
Programas de formación y concienciación
Gestionar las operaciones del SGSI
Gestionar los recursos
Detección y respuesta
Plan: Establecer el SGSI
Alcances Políticas de seguridad Metodologías de evaluación del riesgo Identificación de los riesgos Analizar y evaluar los riesgos
Objetivos de control y los controles del Anexo A de ISO 27001
Aprobar riesgos residuales, implantación y uso del SGSI
Declaración de aplicabilidad
Subtopic
5- ¿Qué tarea tiene la Gerencia en un SGSI?
Tareas fundamentales del SGSI que ISO 27001 asigna a la dirección.
What other options could solve the problem? Add an alternative.
Revisión del SGSI: La dirección de la organización debe revisar que el SGSI continúe siendo adecuado y eficaz.
Related information about the options that have been identified might be needed.
Add resource(s)
Formación y concienciación. Son elementos básicos para el éxito del SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asigne responsabilidades definidas en el SGSI este suficientemente capacitado.
Summarize your alternative points.
Add a conclusion
Asignación de recursos: para el correcto desarrollo de toda las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos.
Disadvantages must be accurately stated from your client's point of view.
Add a disadvantage
Compromiso de la Dirección: Debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI
Advantages must be accurately stated from your client's point of view.
Add an advantage
3- ¿Qué incluye un SGSI?
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina la acciones de gestión necesarias para:
Identificación de documentos retenidos.
Prevenir documentos obsoletos.
Distribución de documentos controlada.
Documentos procedentes del exterior.
Transmitidos, almacenados y distribuidos acorde con los procedimientos.
Legibles y fácilmente identificables.
Documentos vigentes disponibles.
Garantizar los cambios y el estado actual de la revisión.
Revisar y actualizar documentos.
Aprobar documentos.
ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos:
Declaración de aplicabilidad: Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgo, justificando inclusiones y exclusiones.
Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.
Procedimientos documentados: Todo los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.
Plan de tratamiento de riesgo: Documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información.
Informe de evaluación de riesgo: Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.
Enfoque de evaluación de riesgos: Descripción de la metodología a emplear, desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
Procedimientos y mecanismos de control que soportan al SGSI: Los que regulan el propio funcionamiento del SGSI.
Política y objetivos de seguridad: Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y limites que existen entre el alcance y aquellas que no
Según ISO 9001, se muestra gráficamente la documentación del sistema como una pirámide de cuatros niveles
Nivel 4
Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estan asociados a documentos de los otros tres niveles como output que muestra que se ha cumplido lo indicado en los mismos.
Nivel 3
evidence
Instrucciones, checklists y formularios: Documentos que describen como se realizan las tareas y las actividades especificas relacionadas con la seguridad de la información.
Nivel 2
Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planeación, operación y control de los procesos de seguridad de la información.
Nivel 1
Identify a problem that requires action to be taken, which your solution will address. Add a problem.
Manual de Seguridad: Es el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcances, objetivos, responsabilidades, politicas y directrices principales el SGSI.
Add any supporting information or evidence of changes.
2- ¿Para que sirve?
Describe the current position that your client is in.
This creates some common ground, which is a good platform for discussing your solution.
Un SGSI contempla procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgo y una medición eficaz de los mismos, e igual manera un SGSI ayuda a establecer políticas y procedimientos en relación a los objetivos de negocios de la organización.
1- ¿Qué es un SGSI?
Summarize your proposal at the beginning of the document. Add a sum-up.
La seguridad de la información, según ISO 207001 consiste en la preservación de tres términos que constituyen la base de la seguridad de la información.
Disponibilidad: Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieren.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Es un proceso sistemático, documentado y conocido por toda la organización.
