top of page
  • Facebook
  • Twitter
  • Linkedin

Implementación SGSI

De acuerdo a Dejan Kosutic los requisitos necesarios para implementar un SGSI basados en la norma ISO 27001 son:

1. Obtener el apoyo de la dirección

2. Utilizar una metodología para gestión de proyectos

3. Definir el alcance

4. Redactar una Política de SGSI

5. Definir la metodología de Evaluación de riesgos

6. Realizar la evaluación y el tratamiento de riesgos

7. Redactar la Declaración de aplicabilidad

8. Redactar el Plan de tratamiento del riesgo

9. Determinar cómo medir la eficacia de los controles

10. Implementación de controles y procedimientos obligatorios

11. Implementar programas de capacitación y concienciación

12. Hacer funcionar el SGSI

13. Supervisión del SGSI

14. Auditoría interna

15. Revisión por parte de la dirección

16. Medidas correctivas y preventivas

Documentación obligatoria:

ISO 27001 requiere que se confeccione la siguiente documentación:

  • Alcance del SGSI (punto 4.3)

  • Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)

  • Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)

  • Declaración de aplicabilidad (punto 6.1.3 d)

  • Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)

  • Informe de evaluación de riesgos (punto 8.2)

  • Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)

  • Inventario de activos (punto A.8.1.1)

  • Uso aceptable de los activos (punto A.8.1.3)

  • Política de control de acceso (punto A.9.1.1)

  • Procedimientos operativos para gestión de TI (punto A.12.1.1)

  • Principios de ingeniería para sistema seguro (punto A.14.2.5)

  • Política de seguridad para proveedores (punto A.15.1.1)

  • Procedimiento para gestión de incidentes (punto A.16.1.5)

  • Procedimientos para continuidad del negocio (punto A.17.1.2)

  • Requisitos legales, normativos y contractuales (punto A.18.1.1)

 

Registros obligatorios:

  • Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)

  • Monitoreo y resultados de medición (punto 9.1)

  • Programa de auditoría interna (punto 9.2)

  • Resultados de auditorias internas (punto 9.2)

  • Resultados de la revisión por parte de la dirección (punto 9.3)

  • Resultados de medidas correctivas (punto 10.1)

  • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

bottom of page