Sistema de gestin de la seguridad de la

informacin
ENISA: Gestin de riesgo y actividades del SGSI.
Un sistema de gestin de la seguridad de la informacin (SGSI) (en ingls: Information
Security Management System, ISMS) es, como el nombre lo sugiere, un conjunto de polticas de
administracin de la informacin. El trmino es utilizado principalmente por la ISO/IEC 27001,
aunque no es la nica normativa que utiliza este trmino o concepto.
Un SGSI es para una organizacin el diseo, implantacin, mantenimiento de un conjunto de
procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la
vez los riesgos de seguridad de la informacin.
Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptndose a los cambios internos de la organizacin as como los externos del entorno.

ndice

1 PDCA
2 Otros SGSI
3 Otros marcos de trabajo
4 Vase tambin
5 Enlaces externos

PDCA
Artculo principal: PDCA

Crculo de Deming.
La ISO/IEC 27001 por lo tanto incorpora el tpico "Plan-Do-Check-Act" (PDCA) que
significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de
seguridad de la informacin y la seleccin de controles adecuados.
Do (hacer): es una fase que envuelve la implantacin y operacin de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo
(eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta
el SGSI a mximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estndares publicados
por la International Organization for Standardization (ISO) y la International
Electrotechnical Commission (IEC). JJO tambin define normas estandarizadas de distintos
SGSI

Otros SGSI

TLLJO, este SGSI permite un mayor control sobre el sistema a un precio

moderadamente reducido
SOGP es otro SGSI que compite en el mercado es el llamado "Information Security
Forum's Standard of Good Practice" (SOGP). Este SGSI es ms una "best practice"
(buenas prcticas), basado en las experiencias del ISF(Foro de la seguridad de la
informacin).
ISM3: Information Security Management Maturity Model ("ISM3") (conocida como
ISM-cubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001,
CMM, ISO/IEC 27001, e informacin general de conceptos de seguridad de los
gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras
que la ISO/IEC 27001 est basada en controles. ISM3 est basada en procesos e incluye
mtricas de proceso.

Otros marcos de trabajo

En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a
cuestiones de seguridad.
PRINCE2 es otro marco de trabajo de buenas prcticas, en este caso relacionadas con la
gestin de proyectos, siendo sta, ampliamente utilizada.

Vase tambin

Ley Orgnica de Proteccin de Datos de Carcter Personal de Espaa

Seguridad de la informacin
PDCA
ISO/IEC 27000-series
ISO/IEC 27001
ISO/IEC 27002
ISO 9001

Enlaces externos

udea Expertos en SGSI Consultora, auditota y formacin en SGSI

Curso Impantador, Curso Lead Auditor, Curso Auditora de SGSI Cursos TIC Seguridad
British Standards Institution BSI, informacin en Espaol
Information Security Forum (ISF) (en Ingls)
ITIL Security (en Ingls)
Information Security Management Maturity Model (ISM3) (en Ingls)
www.iso27000.es - www.iso27001.es: Portal con informacin en espaol sobre la serie
27000 y los sistemas de gestin de seguridad de la informacin.
www.iso27002.es Wiki en espaol sobre los controles en los sistemas de gestin de
seguridad de la informacin.
Guia SGSI de INTECO-CERT VideoGuia en espaol, de INTECO_CERT sobre los
sistemas de gestin de seguridad de la informacin.
[http://www.inmunosuite.com Suite que automatiza cabalmente todos los requisitos de
la norms ISO 27001.