Hoy inicio con una serie de entradas con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 5 titulado Política de la Información. Que dicen la ISO 27001 e ISO 27002? Veamos:
La política de seguridad de información de una organización brindar apoyo y Orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de segundad de la información en toda la organización
- Debe estar documentada.
- Debe ser comunicada y conocida por todos y cada uno de los trabajadores que pertenezcan a la organización, así como también por sus proveedores.
- Debe ser revisada a intervalos planificados, o cuando ocurra algún cambio significativo que pueda afectar el enfoque de la organización para la gestión de la seguridad de la información. Importante: de estas revisiones, debe quedar registro.
- Debe ser aprobada por la Alta Dirección de la Organización.
- Debe declarar el compromiso de la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información.
Para finalizar, los dejo con un modelo de política de seguridad de información:
Vale la pena aclarar que este es un modelo, y como tal puede ser modificado, mejorado, etc. a gusto de cada persona que implemente un SGSI.Compromiso De La Dirección
La Alta Dirección de ______________ provee evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:
La responsabilidad final con respecto a la seguridad de la información de la implementación del SGSI recae sobre la gerencia de __________, soportado por los responsables de cada área de servicio de ___________.
- La autorización para que se implemente el SGSI en ________.
- Estableciendo la política del SGSI
- Estableciendo los objetivos del SGSI
- Revisiones semestrales del SGSI
- Asignando roles y responsabilidades en seguridad de la información.
- Comunicando a la organización la importancia de lograr los objetivos de seguridad, de cumplir sus responsabilidades y de buscar el mejoramiento continúo en seguridad.
- Proporcionar todos los recursos necesarios para una adecuada implementación del SGSI.
- Asegurar que todo el personal a quien se asignó las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas
La definición de la política del SGSI para ___________, incluye los siguientes tópicos:
Cualquier violación de la presente política podrá dar lugar a medidas disciplinarias, incluyendo despido.
- Organización de la Seguridad, que busca establecer un modelo de gerenciamiento para controlar la implementación del sistema y la definición clara de funciones y responsabilidades.
- Gestión de activos, destinado a mantener una adecuada protección de los activos, con base en los niveles requeridos y tratamiento especial que se de acuerdo a su clasificación.
- Seguridad de los recursos humanos, orientado a reducir los riesgos en el manejo de información y el establecimiento de compromisos y mecanismos necesarios para fortalecer las debilidades en materia de seguridad a este respecto.
- Seguridad física y del entorno, destinado a impedir accesos no autorizados, daños o alteraciones en la infraestructura que compone a __________.
- Gestión de las comunicaciones y las operaciones, dirigido a mantener disponible y en correcto funcionamiento las instalaciones de ____________.
- Control de acceso, orientado a validar, verificar y proveer el acceso lógico a la información (aplicaciones, bases de datos y servicios en general) de forma adecuada.
- Desarrollo y mantenimiento de los sistemas de información, en donde se definirán las medidas necesarias para crear ambientes propios de desarrollo, implementación y mantenimiento de los sistemas de información y los controles de seguridad de cada uno.
- Gestión de la continuidad del negocio, orientado a minimizar el impacto causado por interrupciones en las actividades ejecutadas dentro del proyecto, protegiendo los procesos críticos de eventos significativos funestos que pudieran presentarse.
- Cumplimiento, destinado a impedir posibles infracciones o violaciones a las normas, reglamentos, contratos y requisitos de seguridad de información que se establezcan como parte de la implementación del SGSI de ___________.
2 comentarios:
Excelente documento
Gracias!
Publicar un comentario