viernes, 22 de julio de 2011

Manual del SGSI:ISO 27001-2


Otra duda frecuente al enfrentarse a la documentación de un SGSI, es que incluir en el Manual de Seguridad de Información. Aquí hay varios puntos a tener en cuenta:

Si ya existe un Sistema de Gestión previo, lo ideal es manejar un Sistema de Gestión Integrado que consolide los sistemas existentes quedando bajo un solo modelo por ejemplo calidad y seguridad de la información, o ambiental y seguridad de la información, etc.

Si no existe un manual previo, pues habrá que definir una Norma Cero o Guía de documentación que establezca como documentar todo lo perteneciente al SGSI, y una vez se inicie la documentación, poder entonces desarrollar el Manual de Seguridad de la Información.

En cualquiera de los dos casos, les sugiero manejar la siguiente tabla de contenido para su Manual de Seguridad de la Información:

1. Organización
2. Introducción
3. Manual de Seguridad de la información
3.1 Objetivo
3.2 Alcance del SGSI
3.3 Control de Cambios y Aprobación
4. Marco legal
5. Glosario
6. Política de Seguridad
6.1 Compromiso De La Dirección
6.2 Política de seguridad de la Organización
6.3 Revisión de la Política
6.4 Conformidad Con la Política de Seguridad y los estándares de Control
6.5 Objetivos De La Gestión De Seguridad De Información
7. Normas y políticas del Sistema de Gestión de Seguridad de la Información
7.1 Organización del SGSI
7.2 Gestión de Activos
7.3 Recursos Humanos
7.4 Seguridad Física y Ambiental
7.5 Comunicaciones y Operaciones
7.6 Control de Acceso
7.7 Desarrollo de Software
7.8 Gestión Incidentes
7.9 Continuidad del Negocio
7.10 Cumplimiento
8. Determinación de requerimientos de seguridad de la información
8.1 Identificación de Activos de seguridad de la Información
8.2 Descripción de la metodología de evaluación del riesgo
8.3 Reporte de evaluación del riesgo y Plan de tratamiento del riesgo
8.4 Declaración de Aplicabilidad
9. Roles y Responsabilidades
9.1 Grupo de Sistemas/IT
9.2 Usuario
9.3 Propietario de Información
9.4 Auditoría Interna
10. Autoridades Y Entidades Externas Relevantes Al Negocio
11. Compañías consultoras en SGSI
12. Bibliografía

Espero que esta guía les sirva de utilidad, pues cuando yo inicie mi implementación esta información no estaba pude encontrarla en ningún sitio, y haciendo hincapie en que esta tabla de contenido es las que yo implemente, pudiendo Uds modificarla de acuerdo a las necesidades del SGSI en el que esten trabajando.

Fuente...

0 comentarios:

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | cheap international voip calls