PMG SSI: Primera fase de la norma ISO 27001: Diagnóstico

PMG SSI. ISO 27001

ISO 27001

La implantación del Plan de Mejora de la Gestión del Sistema de Seguridad de la Información  consta de 4 fases.

Hoy vamos a centrarnos en la primera fase, el Diagnóstico institucional.

Las acciones que se van a realizar en esta fase son:

  • Priorización e identificación de los activos de la información de la Institución de los procedimientos de provisión, teniendo en cuenta tanto a las personas, como sus características e infraestructura.
  • Observación de la criticidad de dichos activos reconocidos conforme  a los niveles de integridad, disponibilidad y confidencialidad, con la finalidad de obtener un inventario de activos de la información mediante el estableciendo de la prioridad según su criticidad.
  • Verificación de los riesgos más esenciales para los activos reconocidos con una criticidad alta o media, especificando los controles a establecer para paliarlos. Según la propuesta de la NCH-ISO 27001 y el Decreto Supremo Nº83, tratados en anteriores artículos.
  • Comprobación del cumplimiento de dichos controles por la institución.
  • Reconocimiento de las iniciativas y brechas a emprender en el Plan General de Seguridad de la Información Institucional, para paliar los riesgos detectados.

En esta fase existen entregables resultado de las acciones previas. Estos son:

  • Oficio del Alcance del SSI: este oficio con el análisis del alcance del SSI debe entregarse a la Red de Expertos-DIPRES y estar de conformidad con las definiciones estratégicas especificadas por la institución.
  • Inventario de Activos de la Información: es una planilla donde se plasman los activos, sus características y su criticidad. Se centra en activos reconocidos con una criticidad alta y media. Tanto el encargado del PMG/MEI-SSI, como los funcionarios se encargan de este inventario.
  • Planilla de Análisis de Riesgos: se incorpora al inventario anterior, ya que se añaden los riesgos que ponen en peligro a los activos previamente identificados. En esta planilla se cuantifica el nivel de austeridad del riesgo, así como el tratamiento que se debe realizar a la base de ISO27001. Aquí hay que reconocer si los controles se han implantado o no e identificar brechas. De esta manera se ve el nivel de cumplimiento del servicio por cada Dominio.

Los controles han de estar justificados con su correspondiente evidencia.

Tras esta primera fase, el siguiente paso será la Planificación que la veremos próximamente.

ISOTools facilita la implantación del PMG SSI, permitiendo en esta primera fase de Diagnóstico, el reconocimiento de activos, el análisis de su criticidad en cuanto a la confidencialidad, disponibilidad e integridad, identificación de riesgos, establecimiento y seguimiento de controles, etc…todo ello de la forma más sencilla y evitando riesgos y errores por una mala gestión.

¿Desea saber más?

Entradas relacionadas

Circular 3335
Ha entrado en vigor la nueva circular 3335 sobre seguridad laboral
9 abril, 2018

Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…

Ver más
Software Para Gestionar El Sistema De Cumplimiento
4 preguntas básicas a la hora de comprar un software para gestionar el Sistema de Cumplimiento
28 diciembre, 2017

Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…

Ver más
Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias
27 diciembre, 2017

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Automatización Del Control De Documentos
4 pasos para una mejor automatización del control de documentos
26 diciembre, 2017

La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…

Ver más
Volver arriba