top of page

E.1. Diseñar la seguridad de la información organizacional

Propósito
Diseñar la estructura organizacional, un marco de trabajo, políticas, procedimientos y estándares para la seguridad de la información.
Entradas
  • Salidas de la actividad A.1. Clarificar las prioridades de la organización.
  • Salidas de la actividad A.2. Definir un alcance preliminar del SGSI.
  • Salidas de la actividad A.3. Crear el caso de negocio y plan del proyecto.
  • Salidas de la actividad B.4. Integrar cada uno de los alcances y límites.
  • Salidas de la actividad B.5. Desarrollar las políticas del SGSI y obtener aprobación de la dirección.
  • Salidas de la actividad C.1. Definir los requerimientos de SI.
  • Salidas de la actividad C.2. Identificar activos dentro del alcance del SGSI.
  • Salidas de la actividad C.3. Conducir una evaluación de SI.
  • Salidas de la actividad D.1. Realizar la valoración de riesgos.
  • Salidas de la actividad D.2. Seleccionar los objetivos de control y controles.
  • ISO/IEC 27002:2005.
Herramientas y técnicas
  • Generación de alternativas: Descrito en el punto D.2.
  • Juicio de expertos: Descrito en el punto A.3.
  • Entrevistas: Descrito en el punto A.2.
  • Análisis de contextos: Descrito en el punto A.1.
Recomendaciones

La estructura para operaciones del SGSI debería ser diseñado considerando las siguientes preguntas:

  • ¿Es necesario cada rol para la implementación de las operaciones del SGSI?

  • ¿Qué otros roles deben ser considerados en la implementación del SGSI?

 

Tomando en consideración que la documentación es fundamental para un adecuado control, para el diseño de los registros del SGSI, debería considerarse lo siguiente:

  • Un marco de trabajo describiendo los procedimientos, formatos, rutas de almacenamientos y principios para la gestión.

  • Diseñar los requerimientos de documentación

  • Diseñar los requerimientos de registros

  • Establecer procedimientos administrativos para la gestión de la documentación SGSI.

  • Los controles de documentación deben permitir la identificación, almacenamiento, protección, búsqueda, desecho de fatos actualización.

 

Los representantes de las unidades de la organización que se encuentran dentro de alcance del SGSI deberían participar en la elección de:

  • Los gerentes de seguridad de la información

  • Propietarios de los sistemas de información

  • Propietarios de los procesos de estratégicos.

Salidas

  • Estructura de la organización, sus roles y responsabilidades.

  • Documento que consolida los requerimientos para los registros y control de documentación del SGSI.

  • Repositorios y plantillas para los registros del SGSI.

  • Documento de las políticas de SI.

  • Plan para los controles de seguridad organizacional.

  • Procedimientos de SI.

bottom of page