Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Introducción....................................................................................................................
2 Compromiso de la Alta Dirección...................................................................................
3 Designación del equipo...................................................................................................
4 Capacitación de concientización del personal..............................................................
5 Decide el alcance de tu SGSI.........................................................................................
6 Realizar una evaluación de brechas...............................................................................
7 Revisión inicial de activos y recopilación de datos.......................................................
8 Planificación de la implementación...............................................................................
9 Desarrollo de Documentación.........................................................................................
10 Implementación..............................................................................................................
11 Consejos prácticos para cumplir con la ISO 27001.....................................................
12 Evaluación y Certificación............................................................................................
P á g i n a |1
Guía paso a paso ISO 27001:2013
1 Introducción
Felicitaciones por su decisión de construir un Sistema de Gestión de Seguridad de la Información
(SGSI) centrado en el cliente para su organización y nuestros mejores deseos para una
implementación exitosa del proyecto ISO27001:2013.
Estas pautas brindan una descripción general de cómo desarrollar e implementar un SGSI compatible
con ISO 27001 para su organización y, si desea o requiere el reconocimiento de un tercero
independiente, obtenga la certificación de un organismo de certificación acreditado.
Persona o grupo de personas, que dirige y controla una organización al más alto nivel.
Nota:
aclarar a la organización la importancia de cumplir con los requisitos del cliente, legales y
reglamentarios,
Identificar y comunicar los objetivos clave a lograr a través del SGSI, tales como:
P á g i n a |2
Guía paso a paso ISO 27001:2013
Finalmente, demuestre su compromiso convocando una reunión de todos los gerentes sénior e
informando luego sobre la decisión de la organización de optar por ISO27001, la designación del
ISMR (ver más abajo) y también sobre el plazo de finalización del proyecto.
El ISMR debería:
tener la capacidad y presencia para influir en el personal en todos los niveles y funciones de
la organización
tener una amplia comprensión de los procesos que subyacen a las operaciones comerciales
ISO 27001 requiere que el ISMR tenga una responsabilidad clara para:
1. garantizar que el SGSI se defina, implemente, mantenga y mejore de conformidad con los
requisitos de la norma ISO 27001
2. informar a la alta dirección sobre qué tan bien o mal está funcionando el SGSI, incluida la
identificación de cualquier necesidad de mejora
P á g i n a |3
Guía paso a paso ISO 27001:2013
Los programas de capacitación deben estructurarse para diferentes categorías de personal: gerentes
superiores, gerentes de nivel medio, supervisores y operativos. Esta formación debe cubrir:
los procesos de trabajo modificados y las probables implicaciones de la cultura laboral del
SGSI
Además, la capacitación inicial también puede ser necesaria en temas como el mapeo de procesos.
No importa cómo o dónde se almacene esta información, usted se propone proteger esta
información sin importar dónde, cómo y quién acceda a esta información.
Si opta por la certificación, el auditor verificará si todos los elementos del SGSI funcionan bien dentro
de su alcance, no verificará los departamentos o sistemas que no están incluidos en su alcance.
Básicamente, ISO 27001 dice que debe hacer lo siguiente al definir el alcance:
considerar las interfaces y dependencias entre lo que sucede dentro del alcance del SGSI y el
mundo exterior
Aunque no es requerido por el estándar, a menudo es útil incluir una breve descripción de su
ubicación (podría usar planos de planta para describir el perímetro) y unidades organizativas (p. ej.,
organigramas) en su alcance documentado.
5.2 dependencias
Para visualizar mejor esto, dibuje sus procesos (todos los procesos comerciales, no solo los procesos
de seguridad o TI) que están incluidos en el alcance de su SGSI, y luego, fuera de este círculo, dibuje
los procesos que se proporcionan desde fuera de su alcance.
P á g i n a |4
Guía paso a paso ISO 27001:2013
Una vez que conoce las dependencias, debe identificar las interfaces. Una vez que haya identificado
las interfaces y sus entradas/salidas, puede incluirlas en el alcance si tienen un impacto en la
seguridad de la información.
El alcance del SGSI incluye todos los procesos comerciales realizados por el departamento de
TI de XYS Motors. Todas las demás unidades de negocio están excluidas del alcance.
qué políticas y procedimientos existentes deben modificarse para cumplir con los requisitos
de ISO 27001
P á g i n a |5
Guía paso a paso ISO 27001:2013
qué políticas y procedimientos adicionales deben crearse para cumplir con los requisitos de
ISO 27001
Su kit de herramientas de documentos de Doxonomy es de gran ayuda para llevar a cabo esta tarea,
ya que esencialmente "desempaqueta" la norma ISO 27001 en forma de un borrador del manual y
los procedimientos de seguridad de la información que establecen los requisitos de la norma 27001
de manera clara.
Guiado por el documento Apéndice A Controles "Controles de gestión de activos" incluido, lleve a
cabo un primer escaneo inicial de los activos de información:
- Red de área local (computadora del servidor, software del sistema operativo del
servidor, enrutadores, computadoras cliente, etc.)
- programa ERP
Luego observe los activos de información dentro de cada departamento (tanto en formato
electrónico como en papel), tales como:
- software CRM
- diseños y especificaciones
- bases de datos
P á g i n a |6
Guía paso a paso ISO 27001:2013
ISO 27001 establece el proceso que debe adoptar para identificar, analizar, evaluar y tratar los
riesgos de sus activos de información:
Guiado por el Procedimiento de Control de Riesgos y Oportunidades, realice una evaluación inicial
de riesgos para cada área funcional para:
cuantificar el riesgo
Además del enfoque simple de evaluación de riesgos que hemos incluido, existen muchos marcos de
gestión de riesgos maduros, como: ISO/IEC 27005, ISO 31000, NIST SP800-37 (RMF)
P á g i n a |7
Guía paso a paso ISO 27001:2013
En sus consideraciones:
Teniendo en cuenta la lista de riesgos identificados, revise la lista de verificación de control (basada
en el Anexo A de la norma) e identifique aquellos objetivos de control y controles que son aplicables
y por qué y también registre aquellos que considera que no son aplicables y por qué.
Revisar los resultados de la evaluación de riesgos inicial y preparar un plan de tratamiento de riesgos
inicial.
8 Planificación de la implementación
Después de la evaluación de brechas, debe tener una idea clara de cómo su SGSI existente se
compara con el estándar ISO 27001.
Luego se debe desarrollar un plan de implementación detallado que identifique y describa las tareas
requeridas para que su SGSI cumpla completamente con el estándar. Este plan debe ser minucioso y
específico, e incluir:
entrenamiento requerido
recursos requeridos
El tiempo necesario para pasar de una decisión de implementación a la certificación final depende
de muchos factores. Es esencial que el plan no sea apresurado ni tan lento que se pierda la energía y
el impulso.
Un plan de acción típico de implementación de alto nivel, para una implementación modesta, podría
(en términos muy generales) verse como:
Número de mes
Actividad
1 2 3 4 5 6 7 8 9 10 11 12
Designar líder ISMS y
establecer equipo
P á g i n a |8
Guía paso a paso ISO 27001:2013
Capacitación de
concientización del
personal
Evaluación de brechas y
planificación
Desarrollar
Documentación
Selección de certificador
Implementar EMS y
capacitar al personal
Auditorías internas
Acciones correctivas
Auditoría de certificación
de etapa 2
9 Desarrollo de Documentación
Felicitaciones: ¡habiendo comprado el kit de herramientas de documentación ISO 27001:2013 de
Doxonomy, esta fase va a ser mucho más fácil de lo que podría haber sido de otra manera!
Consulte nuestras "Instrucciones - Doxonomy ISO 27001 2013 Toolkit" para conocer los pasos
prácticos que debe seguir en el contexto de configurar la documentación proporcionada por
Doxonomy según las necesidades de su organización.
10 Implementación
10.1 Implementación y Capacitación de Empleados
El SGSI recientemente documentado ya está listo para implementarse en toda su organización.
P á g i n a |9
Guía paso a paso ISO 27001:2013
Al elegir un organismo de certificación para llevar a cabo su auditoría de certificación ISO 27001,
considere lo siguiente:
Las auditorías internas ayudan con la implementación de su SGSI y también se requiere una auditoría
interna completa antes de que pueda aprobar su auditoría de certificación.
Al menos dos de sus empleados deberán estar capacitados como auditores internos. Los auditores
internos deben poder ser objetivos e imparciales y no pueden auditar su propio trabajo.
P á g i n a |10
Guía paso a paso ISO 27001:2013
Es útil realizar revisiones de gestión con bastante frecuencia una vez que el SGSI se vuelve operativo
y solo alargar los períodos entre cada revisión una vez que esté seguro de que el SGSI está
funcionando satisfactoriamente, según lo confirmen las auditorías internas y externas.
no se deje llevar, alinéese con las demandas de seguridad realistas y actuales para garantizar
una superficie de ataque mínima
BESO
12 Evaluación y Certificación
12.1 Auditoría de evaluación previa
Cuando su SGSI haya estado en funcionamiento durante algunos meses y se haya estabilizado,
puede programar una auditoría de certificación inicial de 'evaluación previa' para que la realice el
organismo de certificación seleccionado.
P á g i n a |11
Guía paso a paso ISO 27001:2013
requisitos de la norma y/o sus propias prácticas de trabajo documentadas) señaladas por el
auditores de certificación durante la auditoría de evaluación previa.
resultados de la auditoría
revisión de gestión
P á g i n a |12