ISO 27001 ¿Cómo implantar un SGSI en una PYME? Parte II

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001 ¿Cómo debe abordar una PYME el ciclo PHVA? Planificar y Hacer

ISO 27001 ¿Cómo debe abordar una PYME el ciclo PHVA? Planificar y Hacer

ISO 27001

El SGSI, basado en las normas ISO 27001 e ISO 27002, posibilita la prevención o reducción de forma eficaz del nivel de riesgo a través de la implantación de controles adecuados, para preparar a la organización a actuar ante posibles emergencias y garantizar la continuidad del negocio.

Este sistema aplica el proceso PHVA conformando un modelo de gestión que orienta el tratamiento de los riesgos del negocio.

ISO 27001

En este artículo vamos a tratar las dos primeras fases de este ciclo: planificar (P) y hacer (H).

Planificar: planificación de la gestión del servicio.

Es vital en esta fase planificar la implementación y prestación de la seguridad, como mínimo esta planificación debe contener:

  • Objetivos y requisitos que se deben alcanzar con la seguridad.
  • Procesos que se van a ejecutar.
  • Alcance de la seguridad.
  • Marco de roles y responsabilidades de la dirección.
  • El enfoque a dar a la identificación, evaluación y gestión de actividades y riesgos para lograr conseguir los objetivos definidos.
  • Interfaces entre procesos de seguridad y la forma de coordinar actividades.
  • El enfoque de proyectos que estén creando o modificando la seguridad.
  • Herramientas necesarias para soportar los procesos.
  • Recursos, equipamiento y presupuestos requeridos para poder lograr los objetivos definidos.
  • Modo en que se va a gestionar, auditar y mejorar la seguridad.

Cualquier plan específico de un proceso determinado debe ser compatible con este plan de seguridad.

Hacer: Implementación de los procesos de seguridad y provisión de la misma.

Esta fase se centra en implementar objetivos y el plan de gestión de seguridad, normalmente por cuenta del responsable de seguridad asignado en la organización, éste debe incluir:

  • Asignación de responsabilidades y roles.
  • Asignación de fondos y presupuesto.
  • Documentación y mantenimiento de políticas, planes, procedimientos y definiciones.
  • Gestión de la fuerza de trabajo.
  • Identificación y gestión de riesgos para la seguridad.
  • Gestión del presupuesto y del equipamiento.
  • Informe sobre el progreso en comparación con los planes elaborados.
  • Gestión de equipos de personas.
  • Coordinación de los procesos de seguridad.

La Plataforma Tecnológica ISOTools automatiza el SGSI de ISO 27001 bajo este ciclo PHVA, cuidando la eficacia de cada una de sus fases y su correcta ejecución.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...