Planear 4.1. Requerimientos Generales (Establecer, implementar, operar, monitorear, mantener y mejorar continuamente el SGSI) 4.

2 Establecer y Mejorar el SGSI 4.2.1 Establecer el SGSI a) Definir alcance y limites del SGSI b) Definir Poltica de Seguridad: 1) incluir marco referencial; 2) requerimientos comerciales, legales o reguladores y obligaciones de seguridad contractual; 3) alineado con el contexto de la gestin de riesgo estratgico de la organizacin 4) criterio con que se evaluara el riesgo; 5) aprobacin de la gerencia. c) Definir el enfoque de evaluacin del riesgo de la organizacin: 1) Identificar una metodologa; 2) Desarrollar los criterios para aceptar los riesgos. d) Identificar Riesgos: 1)Identificar activos dentro del alcance del SGSI; 2) Identificar amenazas; 3) Identificar vulnerabilidades; 4) Identificar los impactos. e) Analizar y evaluar el riesgo: 1) Calcular el impacto comercial; 2) Calcularla probabilidad realista; 3) Calcular los niveles de riesgo; 4) Determinar la aceptacin del riesgo o su tratamiento. f) Identificar y evaluar opciones para tratar los riesgos: 1) Aplicar controles apropiados; 2) Aceptar riesgos consciente y objetivamente; 3) evitar riesgos; 4) Transferir riesgos comerciales. g) Seleccionar objetivos de control y controles para el tratamiento de riesgos. h) Obtener aprobacin de la gerencia para riesgos residuales propuestos. i) Obtener autorizacin de la gerencia para implementar y operar el SGSI. j) Preparar una Declaracin de Aplicabilidad: 1) Objetivos de control y controles seleccionados en 4.2.1.g; 2) Objetivos de control y controles implementados actualmente (4.2.1.e .2; 3)exclusin de cualquier objetivo de control y su justificacin.

Hacer 4.2.2. Implementar y operar el SGSI a) Formular plan de tratamiento de riesgo. b) Implementar plan de tratamiento de riesgo.

c) Implementar los controles seleccionados en 4.2.1.g. d) Definir como medir la efectividad de los controles. e) Implementar programas de capacitacin y de conocimiento. f) Manejar las operaciones del SGSI. g) Manejar recursos para el SGSI h) Implementar los procedimientos y otros controles capaces de permitir pronta deteccin y respuesta a incidentes de seguridad. 5. Responsabilidad de la Gerencia

Revisar 4.2.3 Monitorear y Revisar el SGSI