5 Obtencin de la aprobacin de la gestin para iniciar un proyecto de

SGSI
5.1 Resumen de la aprobacin de la gerencia para iniciar el proyecto SGSI
Hay varios factores que deben tenerse en cuenta a la hora de implementar un
SGSI. Para hacer frente a estos factores, la direccin debe entender el modelo
de negocio de un proyecto de implantacin del SGSI y aprobarlo. Por lo tanto el
objetivo de esta fase es:
Objetivo:
Obtener la aprobacin de la gestin para iniciar el proyecto SGSI mediante la
definicin de un modelo de negocio y el plan del proyecto.
Con el fin de adquirir la aprobacin de la administracin, una organizacin debe
crear un modelo de negocio que incluye las prioridades y objetivos para
implementar un SGSI, adems de la estructura de la organizacin para el
SGSI. El plan inicial de SGSI proyecto tambin debe ser creado.
El trabajo realizado en esta fase permitir a la organizacin a comprender la
importancia de un SGSI, y aclarar las funciones de seguridad de la informacin
y las responsabilidades dentro de la organizacin necesaria para un proyecto
de SGSI.
El resultado esperado de esta fase ser la aprobacin preliminar de la gestin,
y el compromiso de poner en prctica, un SGSI y realizar las actividades
descritas en esta Norma Internacional. Los resultados de esta clusula incluyen
un caso de negocio y un plan de proyecto de SGSI proyecto con hitos clave.
Figura 3 ilustra el proceso para obtener la aprobacin de la gestin para iniciar
el proyecto SGSI.
NOTA: La salida de la clusula 5 (documentados compromiso de la direccin
para planificar e implementar un SGSI) y una de las salidas de la Clusula 7
(resumen del documento de la situacin de seguridad de la informacin) no son
requisitos de la norma ISO / IEC 27001:2005. Sin embargo, los resultados de
estas actividades se recomienda de entrada a otras actividades descritas en
este documento.
5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI
Actividad
Los objetivos para implementar un SGSI debe ser incluido por considerar las
prioridades de la organizacin la informacin y requisitos de seguridad.
Entrada
a) los objetivos estratgicos de la organizacin

b) Listado de los sistemas de gestin existentes

c) una lista de requisitos de seguridad legal, regulatorio y contractual de
informacin aplicables a la organizacin
Orientacin
Con el fin de iniciar el proyecto de SGSI, la aprobacin de la gestin es
generalmente necesario. Por lo tanto, la primera actividad que debe realizar es
recoger la informacin pertinente que ilustra el valor de un SGSI a la
organizacin. La organizacin debe aclarar por qu un SGSI es necesario y
decidir los objetivos de la implementacin del SGSI y poner en marcha el
Proyecto SGSI.
Los objetivos para la implementacin de un SGSI puede ser determinado por
contestar las siguientes preguntas:
a) Gestin de riesgo - Cmo un SGSI generar una mejor gestin de los
riesgos de seguridad de la informacin?
b) Eficacia - Cmo puede un SGSI mejorar la gestin de seguridad de la
informacin?
c) las ventajas de negocio - Cmo puede un SGSI crear una ventaja
competitiva para la organizacin?
Para responder a las preguntas anteriores, las prioridades de seguridad de la
organizacin y los requisitos son tratados por los posibles factores siguientes:
a) crtica de las empresas y reas de la organizacin:
1. Cules son los negocios crticos y las reas de la organizacin?
2. Qu reas de la organizacin proporcionar a la empresa y con qu
enfoque?
3. Qu relaciones de terceras partes y los acuerdos existentes?
4. Hay servicios que han sido externalizados?
b) la informacin confidencial o de valor:
1. Qu informacin es fundamental para la organizacin?
2. Cules seran las posibles consecuencias si cierta informacin fuera a ser
revelada a terceros no autorizados (por ejemplo, la prdida de ventajas
competitivas, el dao a la marca o la reputacin, accin legal, etc)?
c) Las leyes que exigen medidas de seguridad de la informacin:
1. Qu leyes relativas al riesgo para la seguridad del tratamiento y la
informacin que se aplican a la organizacin?
2. Forma parte la organizacin de un organismo pblico global que se
requiere para tener la informacin financiera externa?
d) los acuerdos contractuales o de organizacin relativos a seguridad de la
informacin:
1. Cules son los requisitos de almacenamiento (incluyendo los perodos de
retencin) para el almacenamiento de datos?
2. Hay requisitos contractuales relativas a la privacidad o la calidad (por
ejemplo, Service Level Agreement, SLA)?

e) los requisitos de la industria que se especifican en particular los controles de

seguridad de la informacin o medidas:
1. Qu requisitos especficos de cada sector se aplican a la organizacin?
f) El entorno de amenazas:
1. Qu tipo de proteccin es necesaria, y contra qu amenazas?
2. Cules son las distintas categoras de informacin que requieren
proteccin?
3. Cules son los distintos tipos de actividades de informacin que deben ser
protegidos?
g) Los conductores competitivas:
1. Cules son las necesidades del mercado mnimo para seguridad de la
informacin?
2. Qu otros controles de seguridad de la informacin debe proporcionar una
ventaja competitiva para la organizacin?
h) los requisitos de continuidad de negocio
1. Cules son los procesos crticos de negocio?
2. Por cunto tiempo puede la organizacin tolerar interrupciones en cada
proceso de negocio crtico?
El alcance del SGSI preliminares se puede determinar la respuesta a la
informacin anterior. Esto tambin es para neededin para crear un modelo de
negocio y el plan general del proyecto SGSI para la aprobacin de la gerencia.
El alcance del SGSI detallada se definir durante el proyecto de SGSI.
Los requisitos se seala en la norma ISO / IEC 27001:2005 de referencia 4.2.1
a esboza el alcance en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, los activos y la tecnologa. La informacin
resultante de lo anterior apoya esta determinacin.
Algunos de los temas que deberan tenerse en cuenta al tomar las decisiones
iniciales sobre el alcance incluyen:
a) Cules son los mandatos de gestin de la informacin de seguridad
establecidas por la direccin de organizacin y las obligaciones impuestas
externamente en la organizacin?
b) Es la responsabilidad de los sistemas propuestos en el mbito de
aplicacin-en poder de equipo de gestin a ms de uno (por ejemplo, personas
en diferentes filiales o departamentos diferentes)?
c) Cmo los documentos relacionados con el SGSI se comunicar a travs de
la organizacin (por ejemplo, en papel oa travs de la intranet de la empresa)?
d) Pueden los sistemas de gestin actuales necesidades de apoyo de la
organizacin? Es plenamente operativo, est bien mantenido y funcionando
segn lo previsto?
Ejemplos de objetivos de gestin que pueden utilizarse como entrada para
definir el alcance del SGSI preliminares incluyen:

a) facilitar la continuidad de negocio y recuperacin ante desastres

b) mejorar la capacidad de resistencia a los incidentes
c) abordar el cumplimiento legal o contractual o pasivos
d) permitir la certificacin frente a otros estndares ISO / IEC
e) la evolucin que permite la organizacin y la posicin
f) reducir los costes de los controles de seguridad
g) la proteccin de los activos de valor estratgico
h) el establecimiento de un entorno de control interno sano y eficaz
i) ofrecer garantas a los interesados que los activos de informacin estn
debidamente protegidas
Salida
Los resultados de esta actividad son:
a) un documento que resume los objetivos, las prioridades de seguridad de la
informacin y los requisitos de organizacin de un SGSI.
b) una lista de los requisitos legales, contractuales, y la industria relacionada
con la seguridad de la informacin de la organizacin.
c) caractersticas enumeradas de la empresa, la organizacin, su ubicacin,
activos y tecnologa.
Ms informacin
ISO / IEC 9001:2000, ISO / IEC 14001:2004, ISO / IEC 20000-1:2005.
5.3 Definir el alcance del preliminar SGSI
5.3.1 Elaborar el anteproyecto de alcance del SGSI
Actividad
Los objetivos para la aplicacin del SGSI debe incluir la definicin preliminar de
SGSI mbito de aplicacin, lo cual es necesario para el proyecto de SGSI.
De entrada
La produccin de Actividad 5.2 Aclarar las prioridades de la organizacin para
desarrollar un SGSI.
Orientacin
Para ejecutar el proyecto de implementacin del SGSI, la estructura de una
organizacin para el SGSI debe ser definido. El alcance preliminar del SGSI
debe ahora definir para proporcionar a la direccin de orientacin para las
decisiones de aplicacin, y para apoyar otras actividades.
El alcance del SGSI preliminar es necesaria para crear el modelo de negocio y
el plan de proyecto propuesto para la aprobacin de la gerencia.
La salida de esta etapa ser un documento que define el alcance preliminar del

SGSI, que incluye:

a) un resumen de los mandatos para la gestin de la informacin de seguridad
establecidas por la direccin de organizacin, as como las obligaciones
impuestas externamente en la organizacin;
b) una descripcin de cmo el rea (s) en el mbito de aplicacin interactuar
con otros sistemas de gestin;
c) una lista de los objetivos de negocio de gestin de seguridad de la
informacin (tal como se desprende del artculo 5.2);
d) una lista de los procesos crticos de negocio, sistemas activos de
informacin, estructuras organizativas y ubicaciones geogrficas a las que el
SGSI se aplicar.
e) la relacin de los sistemas de gestin existentes, cumplimiento de normas, y
objetivos de la organizacin;
f) las caractersticas del negocio, la organizacin, su ubicacin, los activos y la
tecnologa.
Los elementos comunes y las diferencias de funcionamiento entre los procesos
de cualquier sistema de gestin existente (s) y el SGSI propuesto debera ser
identificados.
Salida
El entregable es un documento que describe el alcance preliminar del SGSI.
Ms informacin
No hay informacin especfica.
Nota Especial atencin debe ser elaborado que en el caso de los requisitos de
certificacin de la documentacin especfica de la norma ISO / IEC 27001:2005
como por el alcance del SGSI se ejerce con independencia de los sistemas de
gestin en su lugar dentro de la organizacin.
5.3.2 Definir las funciones y responsabilidades para la preliminar alcance
del SGSI
Actividad
Las funciones y responsabilidades generales de la preliminar alcance del SGSI
debe ser definido.
De entrada
una salida) de la Actividad 5.3.1 Elaborar el anteproyecto de alcance del SGSI
b) Lista de interesados que se beneficiarn de los resultados del proyecto
SGSI.
Orientacin
Con el fin de ejecutar el proyecto de SGSI, el papel de una organizacin para el

proyecto debe ser determinada. La funcin general es diferente en cada

organizacin, debido a la cantidad de personas que se ocupan de seguridad de
la informacin. La estructura organizativa y los recursos para la seguridad de la
informacin varan en funcin del tamao, tipo y estructura de la organizacin.
Por ejemplo, en una organizacin ms pequea, varias funciones pueden ser
llevadas a cabo por la misma persona. Sin embargo, la gestin debe identificar
explcitamente el papel (por lo general jefe de seguridad de la informacin,
Information Security Manager o similar) con la responsabilidad general de
gestin de seguridad de la informacin, y el personal deben ser las funciones y
responsabilidades asignadas sobre la base de la habilidad requerida para
realizar el trabajo. Esto es crtico para asegurar que las tareas se llevan a cabo
de manera eficiente y eficaz.
Las consideraciones ms importantes en la definicin de los roles en la gestin
de seguridad de la informacin son:
a) la responsabilidad global de las tareas que se mantiene en el nivel de
gestin,
b) una persona (generalmente el Chief Information Security Officer) es
designado para promover y coordinar el proceso de seguridad de la
informacin,
c) cada empleado es igualmente responsable de su tarea original y para el
mantenimiento de seguridad de la informacin en el lugar de trabajo y en la
organizacin.
Las funciones de gestin de seguridad de la informacin deben trabajar juntos,
lo que puede ser facilitado por un Foro de Seguridad de la Informacin, u
organismo similar.
La colaboracin con especialistas de negocio apropiado debera llevarse a
cabo (y documentadas) en todas las etapas del desarrollo, implementacin,
operacin y mantenimiento del SGSI.
Representantes de los departamentos en el mbito identificadas (tales como la
gestin de riesgo) son potenciales miembros del equipo de implementacin del
SGSI. Este equipo debe mantenerse en el tamao prctico ms pequeo para
la velocidad y el uso eficaz de los recursos. Estas zonas no son slo los que
estn directamente incluidos en el alcance del SGSI, sino tambin las
divisiones indirectos, tales como la gestin jurdica, el riesgo y los
departamentos administrativos.
Salida
El entregable es un documento o una tabla que describe las funciones y
responsabilidades con los nombres y la organizacin necesaria para aplicar
con xito un SGSI.
Otra informacin
El anexo B se dan detalles de las funciones y responsabilidades necesarias en

una organizacin para implementar con xito un SGSI.

5.4 Crear el modelo de negocio y el plan del proyecto para la aprobacin
de la gerencia
Actividad
La aprobacin de la gerencia y el compromiso de recursos para la ejecucin del
proyecto SGSI debe ser obtenido mediante la creacin del modelo de negocio y
la propuesta de proyecto SGSI.
De entrada
una salida) de la Actividad 5.2 Aclarar las prioridades de la organizacin para
desarrollar un SGSI
b) la salida de la Actividad 5.3 Definir el alcance del SGSI preliminar - El
documentado:
preliminar
1. SGSI alcance y
2. funciones y responsabilidades asociadas.
Orientacin
La informacin para el caso de negocio y el plan inicial del proyecto SGSI debe
incluir la lnea de tiempo estimado, recursos, y los hitos necesarios para las
actividades principales se indica en las clusulas 6 a 9 de esta Norma
Internacional.
El caso de negocio y el plan inicial del proyecto SGSI servir como la base del
proyecto, sino que tambin garantiza el compromiso de la gestin y aprobacin
de los recursos necesarios para la implantacin del SGSI. La forma en que el
SGSI implementado apoyar los objetivos del negocio contribuye a la eficacia
de los procesos de organizacin y aumenta la eficiencia de la empresa.
El caso empresarial para la implementacin de un SGSI debe incluir
declaraciones breves vinculados a los objetivos de la organizacin y cubrir los
siguientes temas:
a) Metas y objetivos especficos
b) se benefician a la organizacin
c) el alcance preliminar de SGSI incluyendo los procesos de negocio afectados
d) los procesos crticos y los factores para alcanzar los objetivos del SGSI
e) informacin general de alto nivel de los proyectos
f) Plan de implementacin inicial
g) las funciones y responsabilidades definidas
h) los recursos necesarios (tanto de la tecnologa y la gente)
i) Consideraciones de implementacin, incluyendo seguridad de la informacin
existente
j) la lnea de tiempo con hitos clave
k) los costos esperados

l) Los factores crticos de xito

m) cuantificar los beneficios a la organizacin
El plan del proyecto debe incluir las actividades pertinentes de las fases en la
Clusula 9.6 establecidos en esta Norma Internacional.
Los individuos en este sentido, o se ven afectados por el SGSI debe ser
identificado y se deja tiempo suficiente para revisar y comentar sobre el caso
de negocios SGSI y la propuesta de proyecto de SGSI. El caso de negocio y la
propuesta de proyecto de SGSI debe actualizarse cuando sea necesario se
proporciona como entrada. Una vez que se gana el apoyo suficiente, el negocio
caso y la propuesta de proyecto SGSI debe ser presentado a la gerencia para
su aprobacin.
La administracin debe aprobar el modelo de negocio y el plan inicial del
proyecto con el fin de lograr el compromiso completo de la organizacin y
comenzar la ejecucin del proyecto SGSI.
Los beneficios esperados de compromiso de la direccin para la
implementacin de un SGSI son los siguientes:
a) conocimiento y aplicacin de las leyes, regulaciones, obligaciones
contractuales y normas relativas a la seguridad de la informacin, dando lugar
a la evasin de responsabilidades y sanciones de incumplimiento,
b) la utilizacin eficiente de los mltiples procesos de seguridad de la
informacin,
c) la estabilidad y mayor confianza para crecer a travs de una mejor gestin
de los riesgos de seguridad de la informacin,
d) la identificacin y proteccin de la informacin crtica para el negocio.
Salida
Los resultados de esta actividad son:
a) una aprobacin documentada por la administracin para ejecutar el proyecto
SGSI con los recursos asignados
b) un caso de negocio documentado
c) una propuesta de proyecto inicial del SGSI, con hitos, tales como la
realizacin de la evaluacin de riesgos, implementacin, auditoras internas y
revisin por la direccin)
Otra informacin
ISO / IEC 27000:2009 para ver ejemplos de factores crticos de xito para
apoyar los argumentos comerciales SGSI.

6.2 Definir el alcance y los lmites de la organizacin

Actividad
El mbito de organizacin y los lmites deben ser definidos.
De entrada
una salida) de la Actividad 5.3 Definir el alcance del SGSI preliminar - El
alcance documentado preliminar del SGSI que se refiere a:
1. relacin de los sistemas de gestin existentes, cumplimiento de normas, y
objetivos de la organizacin;
2. caractersticas del negocio, la organizacin, su ubicacin, los activos y la
tecnologa.
b) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para
desarrollar un SGSI - La aprobacin documentada por la administracin para
implementar un SGSI e iniciar el proyecto con los recursos necesarios
asignados.
Orientacin
La cantidad de esfuerzo necesario para implementar un SGSI depende de la
magnitud del alcance al que se va a aplicar. Esto tambin puede afectar todas
las actividades relacionadas con el mantenimiento de la seguridad de la
informacin de los artculos comprendidos en el estudio (tales como procesos,
instalaciones fsicas, los sistemas de TI y personas), incluyendo la
implementacin y el mantenimiento de los controles, la gestin de operaciones,
y llevar a cabo tareas como la identificacin de los activos de informacin y
evaluar el riesgo. Si la administracin decide excluir a ciertas partes de la
organizacin del alcance del SGSI, sus razones para hacerlo debe ser
documentado.
Cuando el alcance del SGSI se define, es importante que sus fronteras son lo
suficientemente claros para explicar a aquellos que no participaron en su
definicin.
Algunas disposiciones en materia de seguridad de la informacin puede estar
ya en existencia como resultado de la implementacin de otros sistemas de
gestin. Estos se deben tomar en cuenta al planificar el SGSI, pero no
necesariamente indica los lmites de la posibilidad de que el SGSI actual.
Uno de los mtodos de definicin de lmites de la organizacin es identificar las
reas de responsabilidad que estn superpuestas dentro de una organizacin.
Responsabilidades directamente relacionadas con los activos de informacin o
procesos de negocio incluido en el alcance del SGSI debe ser seleccionado
como parte de la organizacin que est bajo el control del SGSI. Si bien la
definicin de lmites de la organizacin los siguientes factores deben ser
considerados:

un foro) SGSI debe consistir en la gestin de los directivos que participan

directamente en el alcance del SGSI.
b) el miembro de la administracin responsable del SGSI debe ser el que es el
responsable ltimo de todas las reas de responsabilidad afectados (es decir,
su papel suele ser dictados por su tramo de control y la responsabilidad dentro
de una organizacin).
c) En caso de que el papel responsable de la gestin del SGSI no es miembro
de la alta direccin, un patrocinador de la alta direccin es esencial para
representar los INTERESES de seguridad de la informacin y actuar como el
defensor del SGSI en los niveles ms altos de la organizacin.
d) El alcance y los lmites deben ser definidos para asegurar que todos los
activos relevantes se toman en cuenta en la evaluacin del riesgo, y para hacer
frente a los riesgos que puedan surgir a travs de estos lmites.
Con base en el enfoque, los lmites organizacionales evidenciadas debe
identificar todo el personal afectado por el SGSI, y esto debe ser incluido en el
mbito de aplicacin. La identificacin del personal puede estar vinculado a los
procesos y / o funciones dependiendo del enfoque seleccionado. Si algunos
procesos dentro del mbito de aplicacin se subcontratan a
los terceros las dependencias deben estar claramente documentados. Estas
dependencias sern objeto de anlisis en el proyecto de implementacin del
SGSI.
Salida
Los resultados de esta actividad son:
a) Descripcin de los lmites de la organizacin para el SGSI, incluidas las
justificaciones para las porciones de la organizacin que han sido excluidos del
alcance del SGSI,
b) las funciones y la estructura de las partes de la organizacin en el mbito de
aplicacin del SGSI,
c) la informacin intercambiada en el marco y la informacin intercambiada a
travs de las fronteras
d) los procesos de organizacin y las responsabilidades de los activos de
informacin de alcance y el mbito exterior,
e) Proceso para la jerarqua de la toma de decisiones as como la estructura
dentro del SGSI.
Ms informacin
No hay informacin especfica.