[ Logo de la organización]

[Nombre de la organización]

PLAN DEL PROYECTO

Para la implementación del Sistema de Gestión de Seguridad de la
Información (SGSI)

Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de confidencialidad: Alta Media Baja
[nombre de la organización]

Historial de modificaciones

Fecha Versión Creado por Descripción de la modificación

13/06/2022 0.1 Juan Pérez Descripción básica del documento
[nombre de la organización]

Tabla de Contenido
1. Objetivo, alcance y usuarios.......................................................................................................4
2. Documentos de referencia.........................................................................................................4
3. Proyecto de implementación del SGSI.......................................................................................4
4. Gestión de registros guardados con base a este documento.....................................................4
5. Validez y gestión de documentos...............................................................................................4
[nombre de la organización]

1. Objetivo, alcance y usuarios

1.1 Definir claramente el propósito del proyecto de implementación del SGSI.

1.2 Departamentos y/o sistemas incluidos en el SGSI
- Descripción detallada de las instalaciones y ubicaciones que forman parte del alcance.
- Descripción de la ubicación de los activos (puede ser con planos de planta para
describir el perímetro)
- Descripción de las unidades organizativas, por ejemplo, mediante organigramas

1.3 Incluir mapa de procesos (no sólo los procesos de seguridad de TI, sino que
debemos considerar todos los procesos de negocio definidos dentro del alcance del
SGSI

Una vez determinados los procesos y los distintos departamentos y sus dependencias o
instalaciones deberemos identificar relaciones e interfaces entre los distintos procesos y
departamentos o instalaciones. Para identificar estas interfaces o elementos de interrelación entre
procesos debemos fijarnos en las entradas y salidas de éstos.

- Identificar los puntos finales sujetos a control (por ejemplo, en una red local los
routers suelen ser el punto final de control de una red a partir del cual ya no
ejercemos control; esto puede significar un punto de entrada o salida según seamos
un proveedor de servicios TI o un receptor de dichos servicios).
- Definir las características de alto nivel de las interfaces (determine las funciones de
alto nivel relacionadas con la información y que se refieren a las personas, los
procesos y las tecnologías.
o Personas:
 Usuarios de software
[nombre de la organización]

 Desarrolladores de software
 Procesos de selección de personal
 Procesos de contratación
 Definición de responsabilidades
o Procesos
 Procesos de soporte
 Resolución de incidencias
 Mantenimiento de software
 Procesos de desarrollo
o Tecnologías
 Aplicaciones de software de escritorio
 Aplicaciones de software para desarrollo
 Sistemas operativos
 Aplicaciones de comunicaciones (Email, FTP, etc.)

2. Documentos de referencia

- Norma ISO/IEC 27001

- NOM-003-SEGOB-2011, Señales y avisos para protección civil

3. Proyecto de implementación del SGSI

- Equipo del proyecto (La función del equipo es ayudar en diversos aspectos de la
implementación del proyecto, realizar tareas preestablecidas y tomar decisiones sobre
diversos temas que requieren un enfoque multidisciplinario. El equipo del proyecto se
reúne antes de completar la versión final del documento y/o cuando el gerente del
proyecto lo considere necesario.

Nombre Área o Cargo Teléfono Correo electrónico

departamento

- Identificar servicios tanto internos como externos de la organización

- ¿Qué información necesita para desarrollar los servicios?
- ¿Qué infraestructura está involucrada en la prestación de servicios?
o Hardware (computadoras de escritorio, laptops, servidores, impresoras,
teléfonos fijos, teléfonos móviles, discos duros externos, memorias USB, etc.)
o Infraestructura (oficinas, electricidad, aire acondicionado, etc.)
- ¿Aplicaciones software involucradas en la prestación de los servicios?
- Actividades subcontratadas
o Servicios legales
o Servicios de limpieza
[nombre de la organización]

o Servicios en la nube
o Servicios de correo
o Etc.
- Determinar los medios por los que se transmite la información
- Identificar soportes en los que se encuentra la información (soportes electrónicos
como base de datos, archivos PDF, Word, Excel, y otros formatos, soportes en físico
como documentos impresos)
- Elaborar un catálogo de amenazas considerando como tales a cualquier intento o
evento capaz de alterar la seguridad de la información.
o Para encontrar las amenazas que pueden afectar a una organización en
concreto, se deben conocer las fuentes de amenazas y las áreas específicas del
sistema que pueden verse afectadas, así como los activos de seguridad de la
información que se pueden proteger por adelantado.
- Tratamiento de riesgos
o Elaborar un plan para el tratamiento de los riesgos identificados
o Identificar al propietario de los riesgos quien deberá intervenir en la toma de
decisiones del tratamiento que se va a realizar para cada amenaza y riesgo
identificado.
- La última etapa consiste en identificar los controles de seguridad que vamos a aplicar a
los activos que hemos determinado para el tratamiento de mitigación de riesgos.
o Realizar un análisis de aplicabilidad o declaración de aplicabilidad tomando en
cuenta todos los controles del Anexo A en orden para verificar que no se ha
dejado fuera ningún control que se pueda aplicar a la protección de este
activo.
- *FORMATO INVENTARIO DE ACTIVOS

4. Gestión de registros guardados con base a este documento

Persona Controles para la
Ubicación de
Nombre del registro responsable del protección del Tiempo de retención
archivo
archivo registro
Informe de Carpeta Gerente del Sólo el gerente Los informes son
implementación compartida para proyecto del proyecto está almacenados por
del proyecto (en actividades autorizado a el plazo de 3
formato relacionadas con editar datos años
electrónico) el proyecto (link)

5. Validez y gestión de documentos

Este documento es válido hasta el [fecha]

El propietario de este documento es [nombre completo, cargo]

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los

siguientes criterios:
[nombre de la organización]

- Si todos los empleados involucrados en el proyecto realizan actividades en

conformidad con este documento
- Si se cumplen todos los plazos del proyecto

[firma]

[nombre]

[cargo]