Ir al contenido principal

ISO/IEC 27003:2010: Guía para implementar un SGSI

Brinda una descripción de procesos de delimitación del Sistema de Gestión de Seguridad de la Información, diseño y ejecución de distintos planes de implementación.
Ayuda a realizar el diseño para una buena implementación del SGSI que describe el estándar ISO/IEC 27001:2013. 
Esta norma es una guía para todos aquellos que deseen implementar un SGSI o aquellos consultores en su trabajo profesional.

Describe los procesos para conseguir la aprobación del SGSI:
  1. Documentación requerida por la ISO/IEC 27001: La obtenemos de las normas ISO/IEC 27001:2013, 27003:2010 y un EDT (estructura de desglose de trabajo).
  2. Mapa de procesos de negocio: Lo obtenemos a partir de un BPMN (Business Process Modeling Notation), que permite el modelado de procesos de negocio en un formato de flujo de trabajo. Podemos usar por ejemplo Bizagi, es un software gratuito que soporta BPMN 2.0.
  3. Identificación de activos de información relevantes.
  4. Metodología de gestión de riesgos.
  5. Mapa de riesgos.
  6. Lista de controles de la ISO/IEC 27002.
  7. Documento de declaración de aplicabilidad.
* Los puntos 3,4 y 5 se pueden obtener de la ISO/IEC 31000:2009, un estándar enfocado en la gestión de riesgo.
 ISO/IEC 31000:2009: Establece un número de requisitos que deben ser satisfechos para  una adecuada gestión de riesgos.
* Los puntos 6 y 7 son contemplados en la ISO/IEC 27002, la cual define los requisitos para la implementación del SGSI.
Etiquetas:

Comentarios

Publicar un comentario

Entradas más populares de este blog

ISO/IEC 27001:2013 - Ciclo de mejora continua o Deming

La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act). Plan : Consiste en planificar acciones para hacer frente a los riesgos e identificar las oportunidades, para posteriormente evaluarlas y gestionarlas. Definir las políticas de seguridad de la información Establecer el alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles de seguridad Definir competencias Establecer el mapa de riesgos Definir autoridades y responsabilidades Do : Indica que la organización debe de disponer los recursos necesarios para establecer, implementar y mantener el SGSI, además de dar a conocer las políticas de seguridad de la información del SGSI. Poner en marcha el Plan de gestión de riesgos establecido Se implanta el SGSI Se establecen los controles de seguridad Check – Controlar Revisar internamente el SGSI Realizar auditorias Se revisan los indicadores y métricas del SGSI Act Realizan las acciones cor
Publicar un comentario
Leer más

ISO/IEC 27001:2013 - Alcance del SGSI

Se debe determinar cómo se va a implementar el SGSI, establecer los límites, su aplicabilidad, los asuntos internos y externos que afecten los objetivos del mismo, los requerimientos de las partes interesadas y las interfaces y dependencias. Se debe elegir en qué áreas de la organización se desea implantar el SGSI, por lo general son aquellas que por sus funciones o responsabilidades ayudan a dar cumplimiento a la misión institucional. El propósito del alcance es definir qué información se va a proteger, no importa si esta información se almacena dentro de las oficinas de la organización, en la nube o si se accede a dicha información desde la red local o remotamente. El punto es que como responsables de la seguridad de la información debemos de protegerla sin importar dónde, cómo y por quién se accede a esta. Si tenemos información que queda fuera del alcance del SGSI no significa que no se le aplicarán medidas o controles de seguridad, implica que la responsabilidad de la
Publicar un comentario
Leer más