martes, marzo 02, 2010

ISO 27001 e ISO 27002: Dominio 5 - Política de Seguridad


Hoy inicio con una serie de entradas con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 5 titulado Política de la Información. Que dicen la ISO 27001 e ISO 27002? Veamos:

La política de seguridad de información de una organización brindar apoyo y Orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.


Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de segundad de la información en toda la organización
Ahora, profundizando un poco mas:
  1. Debe estar documentada.
  2. Debe ser comunicada y conocida por todos y cada uno de los trabajadores que pertenezcan a la organización, así como también por sus proveedores.
  3. Debe ser revisada a intervalos planificados, o cuando ocurra algún cambio significativo que pueda afectar el enfoque de la organización para la gestión de la seguridad de la información. Importante: de estas revisiones, debe quedar registro.
  4. Debe ser aprobada por la Alta Dirección de la Organización.
  5. Debe declarar el compromiso de la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información.

Para finalizar, los dejo con un modelo de política de seguridad de información:

Compromiso De La Dirección

La Alta Dirección de ______________ provee evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:

  • La autorización para que se implemente el SGSI en ________.
  • Estableciendo la política del SGSI
  • Estableciendo los objetivos del SGSI
  • Revisiones semestrales del SGSI
  • Asignando roles y responsabilidades en seguridad de la información.
  • Comunicando a la organización la importancia de lograr los objetivos de seguridad, de cumplir sus responsabilidades y de buscar el mejoramiento continúo en seguridad.
  • Proporcionar todos los recursos necesarios para una adecuada implementación del SGSI.
  • Asegurar que todo el personal a quien se asignó las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas
La responsabilidad final con respecto a la seguridad de la información de la implementación del SGSI recae sobre la gerencia de __________, soportado por los responsables de cada área de servicio de ___________.

La definición de la política del SGSI para ___________, incluye los siguientes tópicos:

  1. Organización de la Seguridad, que busca establecer un modelo de gerenciamiento para controlar la implementación del sistema y la definición clara de funciones y responsabilidades.
  2. Gestión de activos, destinado a mantener una adecuada protección de los activos, con base en los niveles requeridos y tratamiento especial que se de acuerdo a su clasificación.
  3. Seguridad de los recursos humanos, orientado a reducir los riesgos en el manejo de información y el establecimiento de compromisos y mecanismos necesarios para fortalecer las debilidades en materia de seguridad a este respecto.
  4. Seguridad física y del entorno, destinado a impedir accesos no autorizados, daños o alteraciones en la infraestructura que compone a __________.
  5. Gestión de las comunicaciones y las operaciones, dirigido a mantener disponible y en correcto funcionamiento las instalaciones de ____________.
  6. Control de acceso, orientado a validar, verificar y proveer el acceso lógico a la información (aplicaciones, bases de datos y servicios en general) de forma adecuada.
  7. Desarrollo y mantenimiento de los sistemas de información, en donde se definirán las medidas necesarias para crear ambientes propios de desarrollo, implementación y mantenimiento de los sistemas de información y los controles de seguridad de cada uno.
  8. Gestión de la continuidad del negocio, orientado a minimizar el impacto causado por interrupciones en las actividades ejecutadas dentro del proyecto, protegiendo los procesos críticos de eventos significativos funestos que pudieran presentarse.
  9. Cumplimiento, destinado a impedir posibles infracciones o violaciones a las normas, reglamentos, contratos y requisitos de seguridad de información que se establezcan como parte de la implementación del SGSI de ___________.
Cualquier violación de la presente política podrá dar lugar a medidas disciplinarias, incluyendo despido.
Vale la pena aclarar que este es un modelo, y como tal puede ser modificado, mejorado, etc. a gusto de cada persona que implemente un SGSI.

2 comentarios:

hectorsoft dijo...

Excelente documento

Leonardo Camelo dijo...

Gracias!