Cómo establecer un sistema de gestión de seguridad de la información
2. Determinar el ámbito de aplicación del sistema de gestión de seguridad de la información.
3. Investigación de la situación actual y evaluación de riesgos
4.
5. Recopilación de documentos del sistema de gestión de seguridad de la información
6. Operación y mejora del sistema de gestión de seguridad de la información
7. >
1. Planificación y elaboración del sistema de gestión de seguridad de la información. La etapa de planificación y preparación consiste principalmente en realizar diversos preparativos para establecer el sistema de gestión de seguridad de la información. El contenido incluye educación y capacitación, planificación, investigación del desarrollo de la gestión de la seguridad y la asignación y gestión de recursos humanos.
2. Determinar el ámbito de aplicación del sistema de gestión de seguridad de la información. El alcance del sistema de gestión de seguridad de la información es el área de seguridad que requiere una gestión enfocada. Las organizaciones deben implementarlo en toda la organización o en departamentos o áreas individuales de acuerdo con sus propias condiciones reales. En esta etapa, la organización debe dividirse en diferentes áreas de control de seguridad de la información para facilitar que la organización lleve a cabo una gestión adecuada de la seguridad de la información en áreas con diferentes necesidades. Al definir el alcance de la aplicación, se debe centrar la atención en el entorno aplicable de la organización, el personal aplicable, la tecnología de TI existente y los activos de información existentes.
3. Investigación y evaluación de riesgos. De acuerdo con los estándares pertinentes de gestión y tecnología de seguridad de la información, investigar y evaluar los atributos de seguridad tales como la confidencialidad, la integridad y la disponibilidad de los sistemas de información y la información procesada, transmitida y almacenada, evaluar las amenazas que enfrentan los activos de información y la posibilidad de desencadenar incidentes de seguridad. combinado con El valor de los activos de información involucrados en incidentes de seguridad se determina para determinar el impacto en la organización una vez que ocurre un incidente de seguridad.
4. Establecer un marco de gestión de seguridad de la información: para establecer un sistema de gestión de seguridad de la información, es necesario planificar y establecer un marco de gestión de seguridad de la información razonable y llevar a cabo la construcción general de seguridad desde todos los niveles del sistema de información. desde una perspectiva general y global, el propio sistema de información establece una lista de activos de información, realiza análisis de riesgos, análisis de necesidades, selecciona controles de seguridad, prepara declaraciones de aplicabilidad y otros pasos basados en la naturaleza del negocio, las características organizativas, el estado de los activos de información y las condiciones técnicas. establece un sistema de seguridad y propone soluciones de seguridad.
5. Documentación del sistema de gestión de seguridad de la información: Establecer y mantener un sistema de gestión de seguridad de la información documentado es un requisito general de la norma ISO/IEC27001:2005. La documentación del sistema de gestión de seguridad de la información es el trabajo básico para establecer el sistema de gestión de seguridad de la información. También es una base indispensable para que la organización controle los riesgos, evalúe y mejore el sistema de gestión de seguridad de la información y logre una mejora continua. Los documentos establecidos en el sistema de gestión de seguridad de la información deben incluir: documentos de política de seguridad, documentos de alcance de aplicación, documentos de evaluación de riesgos, documentos de implementación y control, y documentos de declaración de aplicabilidad.
6. Operación y mejora del sistema de gestión de seguridad de la información. Una vez compilados los documentos del sistema de gestión de seguridad de la información, la organización debe revisarlos y aprobarlos de acuerdo con los requisitos de control de los documentos, y emitirlos e implementarlos. En este punto, el sistema de gestión de seguridad de la información entrará en la etapa operativa. Durante este período, la organización debe fortalecer las operaciones, aprovechar al máximo las funciones del sistema en sí, descubrir rápidamente problemas en la planificación del sistema, identificar las causas fundamentales de los problemas, tomar medidas correctivas y realizar cambios en el sistema de acuerdo con los requisitos. de los procedimientos de control de cambios y mejorar aún más el sistema de gestión de seguridad de la información.
7. Auditoría del sistema de gestión de seguridad de la información. Una auditoría de sistema es un proceso de inspección sistemático, independiente y documentado para obtener evidencia de auditoría, evaluar objetivamente el sistema y determinar en qué medida se cumplen los criterios de auditoría. La auditoría del sistema incluye auditoría interna y auditoría externa (auditoría de terceros). Las auditorías internas generalmente se realizan en nombre de la organización y pueden usarse como base para la inspección de autocalificación de la organización; las auditorías externas son realizadas por agencias externas independientes que pueden proporcionar una certificación o registro que cumpla con los requisitos (como ISO/IEC27001). ).