0 evaluări0% au considerat acest document util (0 voturi)
41 vizualizări3 pagini
El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información. [NTP-ISO/IEC 27001]
Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información. [NTP-ISO/IEC 27001]
Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información. [NTP-ISO/IEC 27001]
Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
2 Definir el alcance y los lmites de la organizacin
Actividad El mbito de organizacin y los lmites deben ser definidos. De entrada una salida) de la Actividad 5.3 Definir el alcance del SGSI preliminar - El alcance documentado preliminar del SGSI que se refiere a: 1. relacin de los sistemas de gestin existentes, cumplimiento de normas, y objetivos de la organizacin; 2. caractersticas del negocio, la organizacin, su ubicacin, los activos y la tecnologa. b) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI - La aprobacin documentada por la administracin para implementar un SGSI e iniciar el proyecto con los recursos necesarios asignados. Orientacin La cantidad de esfuerzo necesario para implementar un SGSI depende de la magnitud del alcance al que se va a aplicar. Esto tambin puede afectar todas las actividades relacionadas con el mantenimiento de la seguridad de la informacin de los artculos comprendidos en el estudio (tales como procesos, instalaciones fsicas, los sistemas de TI y personas), incluyendo la implementacin y el mantenimiento de los controles, la gestin de operaciones, y llevar a cabo tareas como la identificacin de los activos de informacin y evaluar el riesgo. Si la administracin decide excluir a ciertas partes de la organizacin del alcance del SGSI, sus razones para hacerlo debe ser documentado. Cuando el alcance del SGSI se define, es importante que sus fronteras son lo suficientemente claros para explicar a aquellos que no participaron en su definicin. Algunas disposiciones en materia de seguridad de la informacin puede estar ya en existencia como resultado de la implementacin de otros sistemas de gestin. Estos se deben tomar en cuenta al planificar el SGSI, pero no necesariamente indica los lmites de la posibilidad de que el SGSI actual. Uno de los mtodos de definicin de lmites de la organizacin es identificar las
reas de responsabilidad que estn superpuestas dentro de una organizacin.
Responsabilidades directamente relacionadas con los activos de informacin o procesos de negocio incluido en el alcance del SGSI debe ser seleccionado como parte de la organizacin que est bajo el control del SGSI. Si bien la definicin de lmites de la organizacin los siguientes factores deben ser considerados: un foro) SGSI debe consistir en la gestin de los directivos que participan directamente en el alcance del SGSI. b) el miembro de la administracin responsable del SGSI debe ser el que es el responsable ltimo de todas las reas de responsabilidad afectados (es decir, su papel suele ser dictados por su tramo de control y la responsabilidad dentro de una organizacin). c) En caso de que el papel responsable de la gestin del SGSI no es miembro de la alta direccin, un patrocinador de la alta direccin es esencial para representar los INTERESES de seguridad de la informacin y actuar como el defensor del SGSI en los niveles ms altos de la organizacin. d) El alcance y los lmites deben ser definidos para asegurar que todos los activos relevantes se toman en cuenta en la evaluacin del riesgo, y para hacer frente a los riesgos que puedan surgir a travs de estos lmites. Con base en el enfoque, los lmites organizacionales evidenciadas debe identificar todo el personal afectado por el SGSI, y esto debe ser incluido en el mbito de aplicacin. La identificacin del personal puede estar vinculado a los procesos y / o funciones dependiendo del enfoque seleccionado. Si algunos procesos dentro del mbito de aplicacin se subcontratan a los terceros las dependencias deben estar claramente documentados. Estas dependencias sern objeto de anlisis en el proyecto de implementacin del SGSI. Salida Los resultados de esta actividad son: a) Descripcin de los lmites de la organizacin para el SGSI, incluidas las justificaciones para las porciones de la organizacin que han sido excluidos del alcance del SGSI, b) las funciones y la estructura de las partes de la organizacin en el mbito de aplicacin del SGSI, c) la informacin intercambiada en el marco y la informacin intercambiada a travs de las fronteras d) los procesos de organizacin y las responsabilidades de los activos de informacin de alcance y el mbito exterior,
e) Proceso para la jerarqua de la toma de decisiones as como la estructura
dentro del SGSI. Ms informacin No hay informacin especfica.