[logo de la organizacin]

[nombre de la organizacin]

PLAN DEL PROYECTO

para la implementacin del Sistema de gestin de
Seguridad de la informacin
Cdigo:
Versin:
Fecha de la
versin:
Creado por:
Aprobado por:
Nivel de
confidencialidad:

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de
confidencialidad]

Historial de modificaciones
Fecha

Versi
n

Creado
por

Descripcin de la modificacin

10/01/201
3

0.1

Dejan
Kosutic

Descripcin bsica del documento

Tabla de contenido
1.

OBJETIVO, ALCANCE Y USUARIOS...............................................................3

2.

DOCUMENTOS DE REFERENCIA..................................................................3

3.

PROYECTO DE IMPLEMENTACIN DEL SGSI.................................................3

3.1. OBJETIVO DEL PROYECTO............................................................................................. 3
3.2. RESULTADOS DEL PROYECTO........................................................................................3
3.3. PLAZOS................................................................................................................... 5
3.4. ORGANIZACIN DEL PROYECTO.....................................................................................5
3.4.1.
Promotor del proyecto...................................................................................5
3.4.2.
Gerente del proyecto.....................................................................................5
3.4.3.
Equipo del proyecto.......................................................................................6

CUADRO DE PARTICIPANTES DEL PROYECTO.....................................................6

3.5.
3.6.

PRINCIPALES RIESGOS DEL PLAN...................................................................................6

HERRAMIENTAS PARA IMPLEMENTACIN DEL PROYECTO Y GENERACIN DE INFORMES................6

4.

GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO...........7

5.

VALIDEZ Y GESTIN DE DOCUMENTOS.......................................................7

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 2 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de
confidencialidad]

1. Objetivo, alcance y usuarios

El objetivo del Plan del proyecto es definir claramente el propsito del proyecto
de implementacin del Sistema de Gestin de Seguridad de la Informacin
(SGSI), los documentos que se redactarn, los plazos y las funciones y
responsabilidades del proyecto.
El Plan del proyecto se aplica a todas las actividades realizadas en el proyecto de
implementacin del SGSI.
Los usuarios de este documento son los miembros de la [alta direccin] y los
miembros del equipo del proyecto.

2. Documentos de referencia

Norma ISO/IEC 27001

Norma ISO 22301
Norma BS 25999-2
[decisin u otro documento similar que establezca el lanzamiento del
proyecto]
[metodologa para la gestin del proyecto]

3. Proyecto de implementacin del SGSI

3.1. Objetivo del proyecto
Para implementar el Sistema de Gestin de Seguridad de la Informacin en
conformidad con la norma ISO 27001, a ms tardar, hasta el [fecha].

3.2. Resultados del proyecto

Durante el proyecto de implementacin del SGSI, se redactarn los siguientes
documentos (algunos de los cuales contienen apndices no mencionados aqu en
forma expresa):
Procedimiento para control de documentos y registros:
procedimiento que establece las reglas bsicas para la redaccin,
aprobacin, distribucin y actualizacin de documentos y registros.
Procedimiento para identificacin de requisitos: procedimiento para
identificar obligaciones legales, normativas, contractuales y de otra ndole.
Alcance del Sistema de Gestin de Seguridad de la Informacin: un
documento que define en forma precisa los activos, ubicaciones,
tecnologa, etc. que forman parte del alcance.
Plan del proyecto para la implementacin
del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 3 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de
confidencialidad]

Poltica de seguridad de la informacin: este es un documento clave

que utiliza la direccin para controlar la gestin de la seguridad de la
informacin.
Metodologa de evaluacin y tratamiento de riesgos: describe la
metodologa para gestionar los riesgos de la informacin.
Cuadro de evaluacin de riesgos: el cuadro es el resultado de la
evaluacin del valor, de las amenazas y vulnerabilidades de los activos.
Cuadro de tratamiento de riesgos: un cuadro en el que se seleccionan
los controles de seguridad adecuados para cada riesgo inaceptable.
Informe sobre evaluacin de riesgos y tratamiento del riesgo: un
documento que incluye todos los documentos clave generados en el
proceso de evaluacin y tratamiento de riesgos.
Declaracin de aplicabilidad: un documento que determina los
objetivos y la aplicabilidad de cada control establecido en el Anexo A de la
norma ISO 27001.
Procedimiento para Auditora interna: define cmo se seleccionan los
auditores, cmo se redactan los programas de auditora, cmo se realizan
las auditoras y cmo se informan los resultados de las mismas.
Procedimiento para acciones correctivas: describe el proceso de
implementacin para acciones correctivas y preventivas.
Formulario para minutas de revisin por parte de la direccin: un
formulario que se utiliza para crear minutas de las reuniones que la
direccin realiza para revisar la adecuacin del SGSI.
Plan de tratamiento del riesgo: un documento que especifica los
controles que se deben implementar, quin es responsable de la
implementacin, de los plazos y de los recursos.

En el Plan de tratamiento del riesgo se especifican otros documentos que deben

redactarse durante la implementacin del SGSI.
Durante el proyecto de implementacin de gestin de continuidad del negocio se
redactarn los siguientes documentos (algunos de los cuales contienen
apndices no mencionados aqu en forma expresa):
Poltica de la gestin de continuidad del negocio: establece un
marco bsico para el SGCN, determina el alcance y las responsabilidades.
Cuestionarios de Anlisis de impactos en el negocio (AIN): anlisis
de impactos cualitativos y cuantitativos sobre el negocio, de recursos
necesarios, etc.
Estrategia de continuidad del negocio: define actividades crticas,
interdependencias, objetivos de tiempo de recuperacin, estrategia para
gestionar y garantizar la continuidad del negocio, estrategia para
recuperacin de recursos, estrategia para actividades crticas individuales.
Plan de continuidad del negocio: una descripcin detallada de cmo
responder ante desastres u otras interrupciones del negocio, y cmo
recuperar todas las actividades crticas.
Plan de capacitacin y concienciacin: un resumen detallado de cmo
los empleados deben ser capacitados para ejecutar tareas planificadas y
de cmo se los har tomar conciencia sobre la importancia de la
continuidad del negocio.
Plan del proyecto para la implementacin
del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 4 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

3.3.

[nivel de
confidencialidad]

Plan de prueba y verificacin de la continuidad del negocio:

describe cmo se deben probar y verificar los planes con el objetivo de
identificar las acciones correctivas necesarias y de mejorarlos.
Plan de mantenimiento y revisin del SGCN: un resumen detallado de
cmo se deben mantener los planes y otros documentos de SGCN para
garantizar su funcionamiento ante el caso de un interrupcin del negocio.
Formulario de revisin post-incidente: un formulario que se utiliza
para revisar la eficacia de los planes luego de un incidente.

Plazos

Los plazos de aceptacin de documentos individuales en el transcurso de la

implementacin del SGSI son los siguientes:
Documento
Plazos de aceptacin
del documento

Los plazos de aceptacin de documentos individuales en el transcurso de la

implementacin del SGCN son los siguientes:
Documento
Plazos de aceptacin
del documento

La presentacin final de los resultados del proyecto est prevista para el [fecha].

3.4. Organizacin del proyecto

3.4.1.Promotor del proyecto
Cada proyecto tiene asignado un "promotor", que no participa activamente en el
mismo. El gerente del proyecto del proyecto debe informar regularmente al
promotor del proyecto acerca del estado del mismo; ste interviene si el proyecto
est paralizado.
El [nombre, cargo] ha sido designado promotor del proyecto.
3.4.2.Gerente del proyecto
Plan del proyecto para la implementacin
del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 5 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de
confidencialidad]

La funcin del gerente del proyecto es coordinar el proyecto, garantizar los

recursos necesarios para su implementacin del proyecto, informar al promotor
sobre el progreso del proyecto y realizar trabajos administrativos relacionados
con el mismo. La autoridad del gerente del proyecto debe ser tal que garantice la
implementacin ininterrumpida del proyecto dentro de los plazos establecidos.
El [nombre, cargo] ha sido designado gerente del proyecto.
3.4.3. Equipo del proyecto
La funcin del equipo del proyecto es ayudar en diversos aspectos de la
implementacin del proyecto, realizar tareas preestablecidas y tomar decisiones
sobre diversos temas que requieren un enfoque multidisciplinario. El equipo del
proyecto se rene antes de completar cada versin final de un documento de la
seccin 2 de este Plan del proyecto y, en otros casos, cuando el gerente del
proyecto lo considere necesario.
Cuadro de participantes del proyecto
Nombre
Unidad
Cargo
organizativa

Telfono

Correo
electrnico

3.5. Principales riesgos del plan

Los principales riesgos en la implementacin del proyecto son los siguientes:
1. Extensin de los plazos en la fase de evaluacin de riesgos.
2. Extensin de los plazos durante el desarrollo de los planes de continuidad
del negocio.
3. Realizacin de actividades que producen gastos innecesarios y prdidas de
tiempo.
4. Seleccin de demasiados controles y/o muy caros.
Algunas medidas para reducir los riesgos mencionados anteriormente son las
siguientes:
El gerente del proyecto supervisa que todas las actividades del proyecto
sean realizadas dentro de los plazos definidos y solicita a tiempo la
intervencin del promotor del proyecto.
Contratacin de un consultor que asegure que los tiempos y los recursos
no sean utilizados en actividades que no son importantes para el proyecto
y que las actividades individuales no sean encaminadas en una direccin
incorrecta.
Contratacin de un consultor que proponga los controles ms rentables.

3.6. Herramientas para implementacin del proyecto y

generacin de informes
Plan del proyecto para la implementacin
del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 6 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.

[nombre de la organizacin]

[nivel de
confidencialidad]

Se crear, en la red local, una carpeta compartida que incluya todos los
documentos generados durante el proyecto. Todos los miembros del equipo del
proyecto tendrn acceso a esos documentos. Slo el gerente del proyecto [y
miembros del equipo del proyecto] estarn autorizados a realizar modificaciones
y a borrar archivos.
El gerente del proyecto elaborar mensualmente un informe sobre la
implementacin del proyecto y se lo enviar al promotor del proyecto.

4. Gestin de registros guardados en base a este

documento
Nombre del
registro

Ubicacin de
archivo

Persona
responsable
del archivo

Controles para la
proteccin del registro

Tiempo de
retencin

Informe de
implementaci
n del proyecto
(en formato
electrnico)

Carpeta
compartida
para
actividades
relacionadas
con el
proyecto

Gerente del
proyecto

Slo el gerente del

proyecto est
autorizado a editar
datos

Los
informes
son
almacena
dos por el
plazo de 3
aos.

5. Validez y gestin de documentos

Este documento es vlido hasta el [fecha].
El propietario de este documento es el [cargo].
Al evaluar la efectividad y adecuacin de este documento, es necesario tener en
cuenta los siguientes criterios:

Si todos los empleados involucrados en el proyecto realizan sus

actividades en conformidad con este documento.
Si se cumplen todos los plazos del proyecto.

[cargo]
[nombre]

_________________________
[firma]

Plan del proyecto para la implementacin

del SGSI [SGCN]

ver. [versin] del

[fecha]

Pgina 7 de 7

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.