Marco Normativo (Normas y politicas) de un SGSI

Cuando se quiere implementar un SGSI, se debe estructurar un Modelo Normativo que incluya cada uno de los dominios de la ISO 27001 (Anexo 1) e ISO 27002 (Numerales 5 a 15), los cuales pueden ser incluidos por ejemplo, en el Manual de Seguridad que se desarrolle en la implementación del SGSI.

Este modelo normativo puede estructurarse documentando una política por cada dominio, y normas que complementen a la política y que aglomeren los objetivos de control que exista en la ISO 27002, teniendo así 10 Políticas, y aproximadamente 30 o mas Normas para cubrir completamente lo incluido en esta Norma. En realidad el número de Normas no es tan relevante como el contenido, así que es posible manejar este tema como brinde mayor comodidad a la persona que este implementando el SGSI. A continuación les muestro un modelo de marco normativo:

Organización del SGSI
1. Norma Organización Interna Seguridad Información
2. Norma Seguridad Información Relacion Terceras Partes
3. Norma Seguridad Información Acuerdos Confidencialidad
4. Norma Seguridad Información Acceso Terceros
5. Norma Seguridad Contratos con Terceros

Gestión de Activos
1. Norma de responsabilidad sobre los activos de información
2. Norma sobre clasificación de la información y responsabilidades sobre su manejo.

Recursos Humanos
1. Norma sobre requerimientos de seguridad de la información en el proceso de contratación.

Seguridad Física y Ambiental
1. Norma sobre áreas seguras.
2. Norma sobre seguridad de equipos informáticos y telecomunicaciones.
3. Norma Seguridad Trabajo Areas Seguras.

Comunicaciones y Operaciones
1. Norma sobre documentación de procedimientos operativos
2. Norma para la gestión de servicios tercerizados
3. Norma sobre planeación y aceptación de sistemas
4. Norma sobre protección contra virus, código malicioso y móvil
5. Norma sobre gestión de respaldo y recuperación
6. Norma sobre gestión de seguridad en redes
7. Norma para el manejo de medios de información
8. Norma sobre Intercambio de información
9. Norma sobre el servicio de comercio electrónico
10. Norma sobre monitoreo de actividades de seguridad de la información.

Control de Acceso
1. Requisitos del negocio para el control del acceso

2. Gestión del acceso de usuarios

3. Responsabilidades de los usuarios

4. Control de acceso a las redes

5. Control de acceso al sistema operativo

6. Control de acceso a las aplicaciones y a la información

7. Computación móvil y trabajo remoto

Desarrollo de Software
1. Norma para adquisición, desarrollo y mantenimiento de sistemas de información
2. Norma Instalación Software Ambiente Operativo
3. Norma Acceso Código Fuente
4. Norma Especificaciones Funcionales Seguridad Aplicaciones.

Gestión Incidentes
1. Norma para la gestión de incidentes de seguridad de la información.

Continuidad del Negocio
1. Norma Continuidad Negocio.

Cumplimiento
1. Norma de Cumplimiento con Requisitos Legales y Reglamentarios

Para finalizar, les comento que a partir de este modelo normativo, iniciare una serie de entradas sobre cada uno de los Dominios de la Norma en los que profundizare mas sobre que dicen las ISO 27001 y 27002 y como interpretarlo satisfactoriamente.