"...la calidad en los procesos relacionados con la seguridad y la lopd..."
 Servicio de Consultoría: Implantación de la ISO/IEC 27001
La familia de normas ISO 27000 define que la seguridad de la información se establece mediante la implementación de una serie de controles entre los que se encuentran políticas, prácticas, procedimientos y definición de una estructura organizativa. Estos controles necesitan ser establecidos para asegurar que los objetivos de seguridad específicos, que se han fijado para una determinada organización, se cumplan.
Los objetivos de seguridad pueden variar considerablemente dependiendo del sector en el que se encuentre la organización, pero de forma general estos objetivos están directamente ligados a la seguridad de procesos organizativos, procesos de producción, al ciclo de vida de la información y obviamente, al cumplimiento de la legislación vigente.
La gestión de riesgos de infraestructura y la continuidad del negocio, son requisitos exigidos por esta norma que consiste en una de las razones de su alto grado de aceptación en el mercado mundial.
|
|
Descripción detallada del servicio para la implantación de la norma ISO 27001
Se trata de un servicio de consultoría para la implantación de la norma ISO/IEC 27001, que se lleva a cabo mediante la definición de SGSI (Sistema de Gestión de la Seguridad de la Información), el análisis y gestión de riesgos y finalmente, con la creación del Plan Director de Seguridad.
El servicio incluye las siguientes actividades:
 Definición del alcance y diseño del SGSI. Donde se establecerán los límites del SGSI definiendo de forma detallada los mismos de acuerdo a las características de los sistemas de información de la corporación.
Definición de política y organización del SGSI. Se definirá la política de seguridad y la organización asociada para la correcta puesta en marcha del SGSI.
Implantación de la herramienta SGSI. Instalación y formación en la herramienta suministrada.
Definición de Plan de Gestión de Riesgos. Se realiza la identificación y evaluación de las opciones o combinación de opciones para la gestión de cada riesgo: Asumirlo, Evitarlo, Transferirlo, Reducirlo.
Selección de controles para tratamiento de riesgos: Plan de implantación de controles. Teniendo en cuenta los requisitos de seguridad identificados (legales, de negocio, análisis de riesgos, entre otros.). Se propondrá una selección de controles basada en la ISO 27002 y proporcionales a los niveles de riesgo con el objetivo de reducir los riesgos identificados. Si fuera necesario se seleccionarán controles adicionales.
Elaboración de declaración de aplicabilidad, es decir, describir una relación justificada de controles a aplicar: i. Controles seleccionados; ii. Objetivos del control; iii. Razones para la elección y exclusión.
Elaboración de documentación. Se proporcionará la documentación necesaria estableciendo los procedimientos necesarios para realizar un control y protección eficientes de la documentación, que incluya: desarrollo y aprobación de la documentación, gestión de cambios, control de versiones, disponibilidad, control de distribución, control de cronología, entre otros.
Definición de métricas e indicadores. Se establecerá un conjunto de medidas que permitan a la corporación medir la eficacia de los controles seleccionados, como son: i. Métricas: datos cuantitativos que permitan evaluar la eficacia, eficiencia y madurez de un control; ii. Indicadores: agregaciones realizadas con las métricas para obtener información útil.
Monitorización y revisión periódica. Se debe establecer un procedimiento para la revisión y mantenimiento de todo el SGSI, y en particular, un procedimiento para la revisión y mantenimiento del análisis de riesgos.
Elaboración de un Plan Director de Seguridad.
Para conocer más sobre este servicio, mande un correo a info@tcpsi.es
|
