ISO 27001
La implantación del Plan de Mejora de la Gestión del Sistema de Seguridad de la Información consta de 4 fases.
Hoy vamos a centrarnos en la primera fase, el Diagnóstico institucional.
Las acciones que se van a realizar en esta fase son:
- Priorización e identificación de los activos de la información de la Institución de los procedimientos de provisión, teniendo en cuenta tanto a las personas, como sus características e infraestructura.
- Observación de la criticidad de dichos activos reconocidos conforme a los niveles de integridad, disponibilidad y confidencialidad, con la finalidad de obtener un inventario de activos de la información mediante el estableciendo de la prioridad según su criticidad.
- Verificación de los riesgos más esenciales para los activos reconocidos con una criticidad alta o media, especificando los controles a establecer para paliarlos. Según la propuesta de la NCH-ISO 27001 y el Decreto Supremo Nº83, tratados en anteriores artículos.
- Comprobación del cumplimiento de dichos controles por la institución.
- Reconocimiento de las iniciativas y brechas a emprender en el Plan General de Seguridad de la Información Institucional, para paliar los riesgos detectados.
En esta fase existen entregables resultado de las acciones previas. Estos son:
- Oficio del Alcance del SSI: este oficio con el análisis del alcance del SSI debe entregarse a la Red de Expertos-DIPRES y estar de conformidad con las definiciones estratégicas especificadas por la institución.
- Inventario de Activos de la Información: es una planilla donde se plasman los activos, sus características y su criticidad. Se centra en activos reconocidos con una criticidad alta y media. Tanto el encargado del PMG/MEI-SSI, como los funcionarios se encargan de este inventario.
- Planilla de Análisis de Riesgos: se incorpora al inventario anterior, ya que se añaden los riesgos que ponen en peligro a los activos previamente identificados. En esta planilla se cuantifica el nivel de austeridad del riesgo, así como el tratamiento que se debe realizar a la base de ISO27001. Aquí hay que reconocer si los controles se han implantado o no e identificar brechas. De esta manera se ve el nivel de cumplimiento del servicio por cada Dominio.
Los controles han de estar justificados con su correspondiente evidencia.
Tras esta primera fase, el siguiente paso será la Planificación que la veremos próximamente.
ISOTools facilita la implantación del PMG SSI, permitiendo en esta primera fase de Diagnóstico, el reconocimiento de activos, el análisis de su criticidad en cuanto a la confidencialidad, disponibilidad e integridad, identificación de riesgos, establecimiento y seguimiento de controles, etc…todo ello de la forma más sencilla y evitando riesgos y errores por una mala gestión.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…