Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento No
XX-XXX-XX-XXX
Estado de revisión
00
Fecha efectiva
Aprobado por
Firma
Fecha
2. LISTA DE ABREVIATURAS
4. VISIÓN GENERAL
Los beneficios de seguridad de la información solo se logran si la estructura de gobierno de la
seguridad de la información se integra de manera efectiva y adecuada en las diversas unidades
operativas / centros y funciones de soporte en toda la empresa X. La seguridad de la información
debe ubicarse estratégicamente dentro de la empresa X para objetivos estratégicos clave, mientras
se protegen los recursos de información de la COMPAÑÍA X.
Debe haber un cambio en la función de seguridad de la información desde un nivel operacional a un
nivel estratégico. Esto es para alinearse mejor con los objetivos de la organización, sin perder de
vista y apoyar las operaciones de seguridad de las TIC. Este cambio estratégico se respalda
mediante la definición de controles de seguridad de la información mensurables y procesos
operacionales, con métricas y mecanismos de información apropiados.
Este cambio de enfoque dará como resultado el establecimiento de las siguientes áreas funcionales
clave dentro de la Oficina de Seguridad de la Información de la EMPRESA X, como se muestra en la
Figura 1.
Mientras el CISO informa al CIO, su oficina es una oficina separada bajo el CIO. El CISO,
por lo tanto, no forma parte directamente del equipo de gestión de ICT, y la Oficina de SI no
es parte de los Servicios de ICT. Esto es para garantizar la independencia en términos de
cuestiones policiales de seguridad de la información dentro de los servicios ICT y de la
COMPAÑÍA X en su conjunto. Sin embargo, el CISO participará en reuniones relacionadas
con la gestión de las ICT a fin de garantizar que la seguridad de la información se considere
dentro de la gestión y / o las decisiones estratégicas.
En relación con la Oficina de Seguridad de la Información, los Servicios de ICT deberán:
• Asegurarse de que todos los servicios de ICT cumplan con los requisitos de
seguridad de la información y cumplan con la política, los estándares, los
procesos y los procedimientos de seguridad de la información.
• Asegurarse de que los requisitos de seguridad de TI se hayan incorporado,
incorporado y / o abordado adecuadamente en todos los sistemas y servicios
de ICT
• Implementar estándares de seguridad de la información técnica e incorporar
controles de seguridad de la información en todos los servicios ICT.
• Consultar con la oficina de SI sobre todos los cambios dentro del entorno de
las ICT, incluidos los operativos y / o estratégicos, para determinar el impacto
del cambio en la seguridad de la información, los riesgos asociados y
cualquier requisito de seguridad adicional que deba abordarse
• Involucrar los recursos de SI en la etapa más temprana de todos los
proyectos para garantizar que los requisitos de seguridad de la información
se aborden desde el inicio de los proyectos.
• Apoyar la capacitación de los Campeones de Seguridad de la Información e
impulsar una cultura de seguridad de la información en la COMPAÑÍA X
• Haga que el personal necesario esté disponible para respaldar las
evaluaciones, auditorías, pruebas y / o revisiones de SI.
Los grupos de interés especial (SIG) consisten en un grupo de miembros que comparten
información o investigación dentro de un campo especializado de estudio o experiencia. Los
SIG son comunidades con un interés compartido en el avance de un área específica de
conocimiento, y pueden cooperar para producir soluciones, comunicarse, reunirse y
organizar conferencias.
Los grupos de intereses especiales relacionados con la seguridad de la información a los
que la EMPRESA X y / o la Oficina de SI pueden suscribirse o participar incluyen:
• Gartner
• Foro de seguridad de la información (ISF)
• Asociación de Auditoría y Control de Sistemas de Información (ISACA)
• Asociación de Seguridad de Sistemas de Información (AISS)
• SANS Institute
6.4. Buenas prácticas de seguridad de la información
Mediante la alineación o referencia a las mejores prácticas, IS Office puede garantizar que
las capacidades y controles que se implementan se comparan y alinean con los que están
probados, aceptados y / o prescritos por la industria para la seguridad de la información
dentro de una organización.
Las mejores prácticas con las que se puede alinear la EMPRESA X y / o la oficina de SI
incluyen:
• Centro de Seguridad de la Información (CIS)
• Objetivos de control de ISACA para información y tecnologías relacionadas
(COBIT)
• Organización Internacional de Normalización (ISO)
• Biblioteca de Infraestructura de Tecnología de la Información (ITIL)
• Instituto Nacional de Estándares y Tecnología (NIST)
• SANS Institute
6.5. Requisitos Regulatorios y Legislativos
El universo de cumplimiento de la seguridad de la información dentro de Sudáfrica está
evolucionando y madurando con la redacción de una serie de nuevas leyes o reglamentos y
discutido. El universo normativo y legislativo actual de la EMPRESA X ha sido detallado
dentro de la Estrategia de Seguridad de la Información. Los comités y foros que deben
establecerse, o en los que debe participar la oficina de SI, se detallaron en las secciones a
continuación.
El CISO administrará:
• Implementación de la estrategia de I + D
• Unidades operativas y centros de investigación
• Centros de investigación
• Desarrollo de negocios
• Gestión de los interesados
• Asociaciones estratégicas
• Servicios de información
• Desarrollo del capital humano
• Licencias y Joint Ventures
Cuando sea necesario, un representante de la oficina de SI deberá presentar asuntos que
impacten en las operaciones de la COMPAÑÍA X, tales como nuevas amenazas y riesgos,
proyectos o capacidades diseñadas y / o implementadas, proporcionar retroalimentación
sobre incidentes de seguridad de la información u obtener compra -in y apoyo para
iniciativas de seguridad de la información.