Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.
La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.
Uno de los requerimientos que exige un SGSI es el Control de la Documentación, de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada a dicho SGSI.
Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.
Pero la duda de muchas organizaciones a la hora de establecer un SGSI es: ¿Cuáles son los documentos obligatorios de un SGSI?
Se trata de los siguientes:
- Alcance del SGSI:
Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc. abarca el SGSI.
- Política del SGSI:
Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.
- Metodología para evaluar el Riesgo:
Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.)
- Informe de Evaluación del Riesgo:
Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.
- Plan de Tratamiento del Riesgo:
Es un documento en el que a partir de la evaluación del riesgo y los objetivos de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.
- Declaración de Aplicabilidad:
Es un documento en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.
- Procedimientos para el control de la documentación:
Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.
- Registros:
Son documentos que evidencien el constante y correcto funcionamiento de SGSI.
- Autorización y compromiso de la Dirección con el SGSI:
Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.
Tomado de: https://www.isotools.org
No hay comentarios.:
Publicar un comentario