Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodologia de Implantacion
Metodologia de Implantacion
1. Introducción
3.5. Documentación
Tal como lo establece la norma ISO/IEC 27001, se requiere de un respaldo
documentado de las decisiones tomadas así como una trazabilidad o correspon-
dencia entre las decisiones de la gerencia de alto nivel en cuanto a objetivos, po-
líticas, principios y lineamientos de la seguridad de la información, y las acciones
tomadas en referencia a la definición de procedimientos, criterios de evaluación
de riesgos, registros, etc.
Los registros son la evidencia, de que los controles surgen de la evaluación de
la mejor alternativa como consecuencia del análisis de riesgos y responden a ob-
jetivos de control fijados previamente. Los registros permiten hacer esta cadena
de decisiones y definiciones, además de trazables, reproducibles y sirven además
como referencia en la comunicación y coordinación con la empresa principal del
grupo.
En esta sección, se describen las características del software que apoye el es-
tablecimiento, gestión y mejora de un SGSI en una empresa de las características
que nos ocupa. No se especifican formalmente los requerimientos, sino tan sólo
se brindan una lista de funcionalidades deseables de acuerdo a lo analizado en
las secciones anteriores.
El software referido debería brindar funcionalidades que permitan:
5. Conclusiones
Referencias
1. International Organization for Standarization. Information technology - Security
techniques - Information security management system - Requirements (ISO/IEC
27001:2005), 2005.
2. CRAMM. Information security toolkit. http://www.cramm.com, 04 2009.
3. British Standards Institute. Information Security Management Systems.Guidelines
for information security risk management (BS 7799-3:2006), 2002.
4. International Organization for Standarization. Information technology - Security
techniques - Information security risk management (ISO/IEC 27005:2008), 2005.
5. MEHARI. Information risk analysis and management methodology. htt-
ps://www.clusif.asso.fr/en/production/mehari/, 04 2009.
6. María Eugenia Corti. Análisis y automatización de la implantación de SGSI en
Empresas Uruguayas. Tesis de maestría, Universidad de la República, Facultad de
Ingeniería, 2006.
7. G. Betarte M. E. Corti, R. de la Fuente. Hacia una Implementación Exitosa
de un SGSI. In Actas del 3o Congreso Iberoamericano de seguridad Informática
(CIBSI’05), pages 457–471, 2005.
8. Krzysztof Lisek Andrzej Bialas. Integrated, business-oriented, two-stage risk analy-
sis. In Proceedings of the International Multiconference on Computer Science and
Information Techonology, pages 617–628. Institute of Innovations and Information
Society, 2007.
9. ISM3. Information Security Management Maturity Model. http://www.ism3.com/,
04 2009.
10. Federal Office for Information security - Germany. BSI Standard 100-2 IT-
Grundschutz Methodology, 04 2009.
11. International Organization for Standarization. Information technology - Security
techniques - Information security management system implementation guidance
(ISO/IEC FCD 27003), 2005.
12. Telecommunication Standardization Sector (ITU-T). Recommendation X.805
Security architecture for systems providing end-to-end communications.
http://www.itu.int/rec/T-REC-X.805-200310-I/en, 2009.