domingo, junio 20, 2010

ISO 27001 e ISO 27002: Manual del Sistema de Gestión de Seguridad de la Información


Otra duda frecuente al enfrentarse a la documentación de un SGSI, es que incluir en el Manual de Seguridad de Información. Aquí hay varios puntos a tener en cuenta:

Si ya existe un Sistema de Gestión previo, lo ideal es manejar un Sistema de Gestión Integrado que consolide los sistemas existentes quedando bajo un solo modelo por ejemplo calidad y seguridad de la información, o ambiental y seguridad de la información, etc.

Si no existe un manual previo, pues habrá que definir una Norma Cero o Guía de documentación que establezca como documentar todo lo perteneciente al SGSI, y una vez se inicie la documentación, poder entonces desarrollar el Manual de Seguridad de la Información.

En cualquiera de los dos casos, les sugiero manejar la siguiente tabla de contenido para su Manual de Seguridad de la Información:

1. Organización
2. Introducción
3. Manual de Seguridad de la información
3.1 Objetivo
3.2 Alcance del SGSI
3.3 Control de Cambios y Aprobación
4. Marco legal
5. Glosario
6. Política de Seguridad
6.1 Compromiso De La Dirección
6.2 Política de seguridad de la Organización
6.3 Revisión de la Política
6.4 Conformidad Con la Política de Seguridad y los estándares de Control
6.5 Objetivos De La Gestión De Seguridad De Información
7. Normas y políticas del Sistema de Gestión de Seguridad de la Información
7.1 Organización del SGSI
7.2 Gestión de Activos
7.3 Recursos Humanos
7.4 Seguridad Física y Ambiental
7.5 Comunicaciones y Operaciones
7.6 Control de Acceso
7.7 Desarrollo de Software
7.8 Gestión Incidentes
7.9 Continuidad del Negocio
7.10 Cumplimiento
8. Determinación de requerimientos de seguridad de la información
8.1 Identificación de Activos de seguridad de la Información
8.2 Descripción de la metodología de evaluación del riesgo
8.3 Reporte de evaluación del riesgo y Plan de tratamiento del riesgo
8.4 Declaración de Aplicabilidad
9. Roles y Responsabilidades
9.1 Grupo de Sistemas/IT
9.2 Usuario
9.3 Propietario de Información
9.4 Auditoría Interna
10. Autoridades Y Entidades Externas Relevantes Al Negocio
11. Compañías consultoras en SGSI
12. Bibliografía

Espero que esta guía les sirva de utilidad, pues cuando yo inicie mi implementación esta información no estaba pude encontrarla en ningún sitio, y haciendo hincapie en que esta tabla de contenido es las que yo implemente, pudiendo Uds modificarla de acuerdo a las necesidades del SGSI en el que esten trabajando.

7 comentarios:

g_ingelect dijo...

Buenas tardes, Leonardo, quisiera saber si ya existe un manual estandar de sgsi aquí en Colombia, ya que es el tema de mi proyecto de grado, agradeceria cualquier ayuda que pueda brindarme, gracias.

Leonardo Camelo dijo...

Hola

Podrías ser mas especifico en tu pregunta? En Colombia existe la NTC ISO 27000, 27001 y 27002. Ahora, si quieres un libro que hable de como implementar un SGSI te recomiendo esta entrada:

http://seguridadinformacioncolombia.blogspot.com/2010/02/libros-recomendados-para-implementar-un.html

Anónimo dijo...

hola este manueal me puede servir para implementar lanorma iso 27001??? donde lo puedo comprar?? soy ing de sistemas y quiero postularme a un puesto de trabajo como auditor y requieren que tenga conocimeinto de esta norma...ete libro me puede servir porque no conozco nada del tema

Leonardo Camelo dijo...

Hola Fari

Este no es un manual que este en venta, es simplemente una tabla de contenido que puede servirles de quia a las personas que quieran documentar un Manual en sus Empresas.

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Unknown dijo...

Buenas noches, quisiera saber si existe una lista o documento o sitio oficial donde encuentre informacion real y especifica de las empresas en Colombia que tengan implementada la norma ISO 27002, ya que al no ser certificable no se encuentra informacion al respecto.

Gracias

Leonardo Camelo dijo...

Buenos Días

Desde mi experiencia, considero que si una empresa esta certificada en la ISO 27001, necesariamente tuvo que haber implementado la ISO 27002 que son todos los controles que requiere la organización después de una validación con la Declaración de Aplicabilidad.

Asi las cosas, te debe ser de utilidad un listado de empresas que esten certificadas en ISO 27001, pues para tal fin habran tenido que implementar los controles que les corresponda de la 27002.