Modelo PDCA 5 Requerimientos mandatorios del Standard:
Todos los Sistemas de Gestión de la Seguridad de la Informa-
ción se basan en la necesidad de que la Seguridad de la Infor- 1 Sistema de Gestión de Seguridad de la Información mación esté en continua evolución y que, además, dicha evolu- Requerimientos generales ción esté documentada y justificada.El modelo en el que se basa Establecimiento y Gestión del SGSI (por el SGSI es denominado Modelo PDCA ("Plan-Do-Check-Act") ejemplo Gestión de Riesgos) que se representa en la siguiente figura: Requerimientos de Documentación Sistema de Gestión de Seguridad Este estándar Internacional ha sido preparado para proporcio- 2 Responsables de la Gestión nar un modelo para establecer, implementar, operar, monitore- Compromiso ar, revisar, mantener y mejorar un Sistema de Gestión de Se- Gestión de Recurso (por ejemplo : entre- guridad de la Información (SGSI). namiento, concientización) 3 Auditorías internas del SGSI ISO/IEC 27001 Es la norma principal de REQUISITOS del sistema de gestión 4 Revisión de la gestión del SGSI de seguridad de la información. Tiene su origen en la BS 7799- 2:2002 y es la norma con arreglo a la cual se certifican por Revisión entradas (por ejemplo Auditor- auditores externos los SGSI de las organizaciones. En su ías, Médiciones, Recomendaciones) Anexo A, enumera en forma de resumen los objetivos de con- Revisión salidas (por ejemplo Plan Actua- trol y controles que desarrolla la ISO 27002, para que sean lizado de Análisis de Riesgos, Nuevos seleccionados por las organizaciones en el desarrollo de sus recursos) SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización de- 5 Mejora contínua del SGSI berá argumentar sólidamente la no aplicabilidad de los contro- les no implementados. Acciones correctivas Acciones preventivas ISO/IEC 27002 Es una GUIA DE BUENAS PRACTICAS que describe los ob- jetivos de control y controles recomendables en cuanto a Gestión de Riesgos seguridad de la información. No es certificable. Contiene: Identificar y evaluar alternativas posibles para tratar los riesgos. 39 objetivos de control Seleccionar e implantar los controles correctos que le permitan a 133 controles, agrupados en la organización reducir el riesgo a un nivel aceptable. Redactar el 11 dominios. Enfoque del Proceso documento de declaración de aplicabilidad (documento de selec- Este estándar Internacional promueve la adopción de un enfoque ción de controles), que debe ser firmado por Dirección. del proceso para establecer, implementar, operar, monitorear, Identificar los riesgos residuales que han quedado sin cubrir y Los 11 Dominios de la ISO 27002 revisar, mantener y mejorar el SGSI de una organización. obtener la firma de Dirección. Preparar el Plan de Tratamiento de Una organización necesita identificar y manejar muchas activida- Riesgos Preparar procedimientos para implantar los controles. des para poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la transformación Riesgo: ƒ(Impacto, Amenaza, Vulnerabilidad, Probabilidad) de Insumos en outputs, se puede considerar un proceso. Con frecuencia el output de un proceso forma directamente el Insumo del siguiente proceso. La aplicación de un sistema de procesos dentro de una organiza- ción, junto con la identificación y las interacciones de estos pro- cesos, y su gestión, puede considerarse un ‘enfoque del proceso’.