SGSI
Sistema de gestión de seguridad de la Información
C.1. Definir los requerimientos de SI
Propósito
Precisar detalladamente los requerimientos de seguridad de la información, para que sean analizados y definidos en los procesos del SGSI.
Entradas
- Documento de objetivos y prioridad de la SI.
- Lista de requerimientos regulatorios.
- Salidas de la actividad B.4. Integrar cada uno de los alcances y límites
- Salidas de la actividad B.5. Desarrollar las políticas del SGSI y obtener aprobación de la dirección.
Herramientas y técnicas
-
Análisis de contextos: Descrito en el punto A.1.
-
Análisis del producto: Descrito en el punto A.1.
-
Análisis de los requisitos de la información: El análisis de los requerimientos determina las necesidades de información de los interesados del proyecto.
-
Entrevistas: Descrito en el punto A.2.
Recomendaciones
Para un exitoso proyecto SGSI resulta imprescindible tener los requerimientos de Seguridad de la Información claramente definidos, esto se logrará a través de:
-
Identificación de los activos de información críticos de la organización y el análisis de su actual nivel de protección de seguridad.
-
Establecer una línea de tiempo, y proyectarse en cuanto a futuros requerimientos de SI
-
Examinar los procedimientos actuales en cuanto a sistemas de aplicación, redes de comunicación, procesamiento de información, etc.
-
Precisar los requerimientos fundamentales relevantes en cuanto SI para la organización.
-
Identificar los niveles de protección de seguridad, así como la futura instrucción y entrenamientos de estos requerimientos a cada empleado según su participación.
Salidas
-
Identificación de procesos principales, funciones, locaciones, sistemas de información y redes de comunicación.
-
Activos de información de la organización.
-
Clasificación de los procesos/activos críticos.
-
Requerimientos de SI derivados de los requerimientos legales.
-
Lista de vulnerabilidades.
-
Requerimientos de educación y entrenamiento de SI.