Nte Inen Iso-iec 27003

INSTITUTO ECUATORIANO DE NORMALIZACIN

Quito - Ecuador

NORMA TCNICA ECUATORIANA NTE INEN-ISO/IEC 27003:2011

NMERO DE REFERENCIA ISO/IEC 27003:2010(E)

TECNOLOGIA DE LA INFORMACIN TECNICAS DE

SEGURIDAD GUIA DE IMPLEMENTACIN DEL SISTEMA DE

GESTIN DE LA SEGURIDAD DE LA INFORMACIN.

Primera Edicin

INFORMATION TECHNOLOGY SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEM IMPLEMENTATION GUIDANCE.

First Edition

DESCRIPTORES: Tecnologa de la informacin, grupos de caracteres y cdigos de informacin, tcnicas de seguridad, gua de implementacin, sistema de gestin de la seguridad de la informacin. TI 01.01-301 CDU: 65.012.8 CIIU: 8329 ICS: 35.040

CDU: 65.012.8 CIIU: 8329 ICS: 35.040 TI 01.01-301

2011-684 -ii-

Contenido

Pgina

Prlogo...................................................................................................................................... iv

Introduccin...................................................................................................................................... v

1 Alcance...................................................................................................................................... 1

2 Referencias normativas........................................................................................................... 1

3 Trminos y definiciones........................................................................................................ 1

4 Estructura de esta Norma....................................................................................................... 2

4.1 Estructura general de las clusulas ................................................................................. 2 4.2 Estructura general de una clusula ..................................................................................... 3

4.3 Diagramas ............................................................................................................................... 4

5 Obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI .... 5 5.1 Perspectiva general de la obtencin de aprobacin de la Direccin para iniciar un

proyecto de SGSI... 5 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI ................................ 6

5.3 Definir el alcance preliminar del SGSI ............................................................................... 9 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la Direccin.. 11

6 Definir el alcance del SGSI, lmites y polticas del SGSI ........................................... 12 6.1 Perspectiva general de la definicin del alcance, lmites y polticas del SGSI ................. 12

6.2 Definir el alcance y lmites organizacionales................................................................... 15 6.3 Definir el alcance y lmites de las Tecnologas de la Informacin y Comunicacin (TIC) 16 6.4 Definir el alcance y lmites fsicos ........................................................................................... 17

6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI . 18 6.6 Desarrollarla poltica del SGSI y obtener la aprobacin de la Direccin................... 19

7 Realizar el anlisis de los requerimientos de seguridad de la informacin................. .. 20 7.1 Perspectiva general de la realizacin del anlisis de los requerimientos de

seguridad de la informacin........................................................................................ 20 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI 21 7.3 Identificar los activos dentro del alcance del SGSI ...... 23 7.4 Realizar una evaluacin de la seguridad de la informacin.... 23

8 Realizar la evaluacin del riesgo y la planificacin del tratamiento del riesgo. 25 8.1 Perspectiva general de la realizacin de la evaluacin del riesgo y la planificacin del

tratamiento del riesgo 25 8.2 Realizarla evaluacin del riesgo...... 27 8.3 Seleccionar los objetivos de control y los controles.. 28 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI........................ 29

9 Diseo del SGSI.......................................................................................................................... 30 9.1 Perspectiva general del diseo del SGSI .............................................................................. 30 9.2 Disear la seguridad de la informacin organizacional........................................................ 33

9.3 Disear la seguridad de la informacin de las TIC y fsica .... 38 9.4 Disear la seguridad de la informacin especfica del SGSI................................................ 40

9.5 Producir del plan final del proyecto del SGSI ........................................................................ 44

Anexo A (informativo) Descripcin del listado de verificacin....................................................

45

Anexo B (informativo) Funciones y responsabilidades de la seguridad de la informacin 49

Anexo C (informativo) Informacin relativa a la Auditora Interna.............................................. 53

CDU: 65.012.8 CIIU: 8329 ICS: 35.040 TI 01.01-301

2011-684 -iii-

Anexo D (informativo) Estructura de las polticas..................................................................... 55

Anexo E (informativo) Monitoreo y medicin.......................................................................... 60

Bibliografa.................................................................................................................................... 66

Apndice Z .. 67

CDU: 65.012.8 CIIU: 8329 ICS: 35.040 TI 01.01-301

2011-684 -iv-

Prlogo ISO (la Organizacin Internacional de Normalizacin) e IEC (la Comisin Electrotcnica Internacional) conforman el sistema especializado para la normalizacin a nivel mundial. Los organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas Internacionales a travs de comits conformados por la respectiva organizacin para manejar los campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales, en coordinacin con ISO e IEC, t a m b i n p a r t i c i p a n e n e l t r a b a j o . E n e l c a m p o d e l a t e c n o l o g a d e l a i n f o r m a c i n , ISO e IEC han establecido un comit tcnico conjunto, ISO/IEC JTC 1.

Las Normas Internacionales son emitidas de acuerdo con las regulaciones constantes en el Instructivo ISO/IEC, Parte 2.

La tarea principal del comit conjunto es preparar las Normas Internacionales. El Borrador de las Normas Internacionales adoptadas por el comit tcnico conjunto se lo circula entre los organismos nacionales para someterlo a votacin. La publicacin como Norma Internacional requiere de la aprobacin de al menos el 75% de los organismos nacionales que emiten un voto.

Se llama la atencin a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no sern responsables por la identificacin de alguno o todos aquellos derechos de patente.

La Norma ISO/IEC 27003 fue preparada por el Comit Tcnico Conjunto de Tecnologa de la Informacin, ISO/IEC JTC 1, Subcomit SC 27, IT Security techniques. NOTA DEL INEN: La NTE INEN-ISO/IEC 27003:2011 es idntica a la norma ISO/IEC 27003 de 2010.

CDU: 65.012.8 CIIU: 8329 ICS: 35.040 TI 01.01-301

2011-684 -v-

Introduccin La finalidad de esta Norma Internacional es proveer una gua prctica en el desarrollo del plan de implementacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) dentro de una organizacin de acuerdo con la Norma NTE INEN-ISO/IEC 27001. La implementacin real de un SGSI se ejecuta generalmente como un proyecto. El proceso descrito dentro de esta Norma Internacional ha sido diseado para proveer soporte a la implementacin de la NTE INEN ISO/IEC 27001; (partes relevantes de las Clusulas 4, 5, y 7) y documenta:

a) la preparacin para iniciar un plan de implementacin de un SGSI en una organizacin, la definicin de la estructura organizacional para el proyecto, y la obtencin de la respectiva aprobacin por parte de la Direccin,

b) las actividades crticas del proyecto del SGSI y,

c) ejemplos para lograr los requerimientos de la Norma NTE INEN-ISO/IEC 27001.

Mediante el uso de esta Norma, la organizacin ser capaz de desarrollar un proceso para la gestin de la seguridad de la informacin, proveyendo a los interesados la seguridad de que los riesgos de los activos de informacin se mantengan permanentemente dentro de lmites aceptables de seguridad de la informacin definidos por parte de la organizacin.

Esta Norma no cubre las actividades operacionales y otras actividades del SGSI, pero s cubre los conceptos sobre cmo disear las actividades que resultarn despus de que las operaciones del SGSI comiencen. El concepto resulta en el plan final de implementacin del proyecto del SGSI. La ejecucin efectiva de la parte organizacional especfica de un proyecto de SGSI est fuera del alcance de esta Norma. La implementacin del proyecto de SGSI debera ser realizado utilizando metodologas estandarizadas para gestin de proyectos (para mayor informacin, favor ver las Normas ISO e ISO/IEC y NTE INEN que tratan la gestin de proyectos).

CDU: 65.012.8 CIIU: 8329 ICS: 35.040 TI 01.01-301

2011-684 -1-

Norma Tcnica

Ecuatoriana

TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD GUA DE IMPLEMENTACIN DEL SISTEMA DE

GESTIN DE LA SEGURIDAD DE LA INFORMACIN

NTE INEN-

ISO/IEC

27003:2011

1 Objeto Esta Norma se enfoca en los aspectos crticos requeridos para el diseo e implementacin exitosa de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) de acuerdo con la NTE INEN ISO/IEC 27001. Esta describe el proceso de especificaciones del SGSI y el diseo desde el inicio hasta la produccin de planes de implementacin. Esta describe el proceso para obtener la aprobacin de parte de la Direccin para implementar un SGSI, define un proyecto para implementar un SGSI (referido en esta Norma como el proyecto de SGSI), y provee guas respecto a cmo planificar un proyecto de SGSI, que resulte en un plan final de implementacin del proyecto de SGSI.

Esta Norma tiene el propsito de ser usada por las organizaciones que se encuentren implementando un SGSI. Es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias de gobierno, organizaciones sin fines de lucro) de todos los tamaos. La complejidad de cada organizacin y riesgos son nicos, y sus necesidades especficas son las que conducirn la implementacin del SGSI. Las organizaciones ms pequeas encontrarn que las actividades contenidas en esta Norma son aplicables a ellas y pueden ser simplificadas. Las organizaciones grandes o complejas pueden encontrar que una organizacin o sistema de gestin estratificado se requiere para manejar las actividades de esta Norma de forma efectiva. No obstante lo anterior, en ambos casos, las actividades relevantes pueden planificarse mediante la aplicacin de esta Norma.

Esta Norma provee recomendaciones y explicaciones; sta no especifica requisitos. Esta Norma tiene el propsito de ser utilizada en conjunto con las Normas NTE INEN ISO/IEC 27001 e NTE INEN ISO/IEC 27002, pero no tiene el propsito de modificar y/o reducir los requisitos especificados en la NTE INEN ISO/IEC 27001 o las recomendaciones provistas en la NTE INEN ISO/IEC 27002. N o e s a p r o p i a d o s o l i c i t a r c o n f o r m i d a d c o n e s t a N o r m a .

2 Referencias normativas Los siguientes documentos de referencia son indispensables para la aplicacin de este documento. Para referencia con fecha, solamente la edicin citada aplica. Para referencias que no cuentan con fecha, la ltima versin del documento de referencia aplica.

NTE INEN-ISO/IEC 27000, Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin Descripcin general y vocabulario. NTE INEN-ISO/IEC 27001, Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin - Requisitos

3 Trminos y definiciones Para los fines de este documento, los trminos y definiciones dados en la Normas NTE INEN ISO/IEC 27000, NTE INEN ISO/IEC 27001, y los siguientes aplican.

3.1

Proyecto de SGSI Actividades estructuradas asumidas por una organizacin para implementar un SGSI

(Contina) DESCRIPTORES: Tecnologa de la informacin, grupos de caracteres y cdigos de informacin, tcnicas de seguridad, gua de implementacin, sistema de gestin de la seguridad de la informacin.

Ins

titu

to E

cu

ato

rian

o d

e N

orm

ali

zaci

n,

INE

N

Casil

la 1

7-0

1-3

999

Baq

ue

rizo

Mo

ren

o E

8-2

9 y

Alm

ag

ro

Qu

ito

-Ecu

ad

or

P

roh

ibid

a l

a r

ep

rod

uc

ci

n

NTE INEN-ISO/IEC 27003

2011-684 -2-

4 Estructura de esta Norma

4.1 Estructura general de las clusulas La implementacin de un SGSI es una actividad importante y es generalmente ejecutada como un proyecto en una organizacin. Este documento explica la implementacin del SGSI enfocndose en la iniciacin, planificacin, y definicin del proyecto. El proceso de planificacin de la implementacin final del SGSI tiene cinco fases y cada fase est representada por una clusula separada. Todas las clusulas tienen una estructura similar, segn se describe a continuacin. Las cinco fases son: a) Obtencin de aprobacin de la Direccin para la iniciacin de un proyecto de SGSI (Clusula 5) b) Definicin del Alcance del SGSI y de la Poltica del SGSI (Clusula 6) c) Realizacin del Anlisis de la Organizacin (Clusula 7) d) Realizacin de la Evaluacin del Riesgo y planificacin del Tratamiento del Riesgo (Clusula 8) e) Diseo del SGSI (Clusula 9) La Figura 1 ilustra las cinco fases de la planificacin del proyecto del SGSI de acuerdo a las normas NTE INEN ISO/IEC y a los principales documentos de salida.

Figura 1 Fases del proyecto de SGSI

Obtencin de

aprobacin de la

direccin para iniciar un

proyecto de SGSI

5

Definicin del alcance,

lmites y polticas del

SGSI.

6

Realizacin del anlisis

de requerimientos de

seguridad de la

informacin

7

Realizacin de la

evaluacin del riesgo y

planificacin del

tratamiento del riesgo

8

Diseo el ISMS

9

9

Aprobacin de

la Direccin

para la

iniciacin del

Proyecto de

SGSI

El Alcance y

lmites del SGSI

Requerimientos

de seguridad de

la informacin

Aprobacin

escrita de la

direccin para la

implementacin

del SGSI

Plan final de

implementacin

del proyecto de

SGSI

Poltica del

SGSI

Declaracin de

aplicabilidad,

incluyendo los

objetivos control

y los controles

seleccionados

Activos de

informacin

Resultados de la

evaluacin de la

seguridad de la

informacin

Plan de

tratamiento del

riesgo

Plazo


2011-684 -3-

Informacin adicional consta en los anexos. Estos anexos son:

Anexo A. Resumen de actividades con referencias de acuerdo con la NTE INEN ISO/IEC 27001 Anexo B. Roles y responsabilidades de la seguridad de la informacin Anexo C. Informacin sobre planificacin de las auditoras internas Anexo D. Estructura de las polticas Anexo E. Informacin sobre planificacin de monitoreo y medicin

4.2 Estructura general de una clusula Cada clusula contiene: a) uno o ms objetivos determinando qu se espera lograr, indicados en un cuadro de texto al inicio

de cada clusula. y

b) una o ms actividades necesarias para lograr el o los objetivos de la fase. Cada actividad est descrita en una sub-clusula. Las descripciones de actividades en cada sub-clusula estn estructuradas de la siguiente forma:

Actividad La actividad define qu se requiere para satisfacer esta actividad, la cual logra todo o parte de los objetivos de la fase.

Entrada La entrada describe el punto de inicio, tal como la existencia de decisiones documentadas o salidas de otras actividades descritas en esta norma. Las entradas pueden ser referidas como la salida completa de una actividad, nicamente sealando la clusula pertinente, o la informacin especfica de una actividad puede ser agregada luego de la clusula referida.

Gua La gua provee informacin detallada para posibilitar la ejecucin de esta actividad. Algunas de las guas pueden no ser apropiadas en todos los casos y otras formas de lograr los resultados pueden ser ms apropiadas.

Salida La salida describe el/los resultado(s) o entregable(s) al completarse la actividad; por ejemplo, un documento. Las salidas son las mismas, independientemente del tamao de la organizacin o del alcance del SGSI.

Otra informacin La otra informacin provee cualquier informacin adicional que pueda ayudar en la ejecucin de la actividad, por ejemplo, referencias a otras normas. NOTA Las fases y actividades descritas en este documento incluyen una secuencia sugerida para ejecutar las actividades, basada en las dependencias identificadas a travs de cada una de las descripciones de Entrada y Salida de las actividades. Sin embargo, dependiendo de muchos factores diferentes (por ejemplo, eficacia del sistema de gestin actual, comprensin en relacin a la importancia de la seguridad de la informacin, razones para implementar un SGSI), una organizacin podra seleccionar cualquier actividad en cualquier orden, segn sea necesario, para prepararse para el establecimiento e implementacin del SGSI.


2011-684 -4-

4.3 Diagramas Un proyecto est generalmente ilustrado en forma de grficos o diagramas que muestran una visin general de las actividades y de las salidas. La Figura 2 muestra la leyenda de los diagramas que estn ilustrados en una sub-clusula de descripcin general de cada fase. Los diagramas proveen una descripcin general de alto nivel de las actividades incluidas en cada fase.

Figura 2 Leyenda de diagrama de flujo

Las fases de planificacin de un proyecto de SGSI

Plazo

Fase

X

Fase

Y

Fase

Z

Z

Documento

Documento

Plazo

Document

o

Document

o

Document

o

Document

o

Documento Documento

Actividad

B

B

Actividad

A

Actividad

C

C


2011-684 -5-

El cuadro superior ilustra las fases de planificacin de un proyecto de SGSI. La fase explicada en la clusula especfica es entonces enfatizada con sus documentos claves de salida. El diagrama inferior (actividades de la fase) muestra las actividades claves que estn incluidas en la fase enfatizada del cuadro superior, y los principales documentos de salida de cada actividad. El Plazo en el cuadro inferior se basa en la Plazo del cuadro superior. La Actividad A y la Actividad B pueden ejecutarse al mismo tiempo. La Actividad C debera iniciarse despus de que se concluyan las Actividades A y B.

5 Obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI.

5.1 Perspectiva general de la obtencin de aprobacin de la Direccin para iniciar un proyecto

de SGSI

Existen varios factores que deberan ser tomados en cuenta cuando se decida implementar un SGSI. Con el fin de tratar estos factores, la Direccin debera entender el caso de negocio de un proyecto de implementacin de SGSI y aprobarlo, por lo tanto, el objetivo de esta fase es:

Objetivo:

Obtener aprobacin de la Direccin para iniciar el proyecto de SGSI mediante la definicin de un caso de negocio y el plan del proyecto.

Para obtener la aprobacin de la Direccin, una organizacin debera crear un caso de negocio, que incluya las prioridades y objetivos, para implementar un SGSI, adems de la estructura de la organizacin para el SGSI. Tambin, se debe crear el plan inicial del proyecto de SGSI . El trabajo realizado en esta fase har posible que la organizacin entienda la importancia de un SGSI, y aclara las funciones y responsabilidades de seguridad de la informacin dentro de la organizacin que requiere un proyecto de SGSI. La salida esperada de esta fase ser la aprobacin preliminar, y el compromiso, por parte de la Direccin para implementar un SGSI y ejecutar las actividades descritas en esta Norma. Los entregables de esta clusula incluyen un caso de negocio y un borrador del plan del proyecto de SGSI con hitos claves. La Figura 3 ilustra el proceso para obtener aprobacin de la Direccin para iniciar el proyecto de SGSI. NOTA La salida de la Clusula 5 (El compromiso documentado de la Direccin para planificar e implementar un SGSI) y uno de las salidas de la Clusula 7 (Resumen documentado del estado de la seguridad de la informacin) no son requerimientos de la NTE INEN-ISO/IEC 27001. Sin embargo, los resultados de estas actividades son entradas recomendados para otras actividades descritas en este documento.

Plazo

Plazo

Obtener aprobacin

Gerencia para

iniciar proyecto

ISMS 5

Aprobacin gerencia

iniciar proyecto

ISMS

Definir alcance,

limites y poltica

ISMS

6

Realizar anlisis

requisitos seguridad

informacin 7

Conducir evaluacin

riesgo y planificar

tratamiento riesgos

8

Disear el ISMS

9


2011-684 -6-

Figure 3 Overview of obtaining management approval for initiating an SGSI project

Figura 3 Perspectiva general para la obtencin de aprobacin para iniciar un proyecto de SGSI

5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI

Actividad

Los objetivos para implementar un SGSI deben incluirse tomando en consideracin las prioridades y requerimientos de seguridad de la informacin de la organizacin.

Plazo

Bosquejo

caractersticas

negocio

Caso negocio

Objetivos para un

ISMS resumidos

Descripcin papeles

y responsabilidades

para implementar

ISMS

Caractersticas

negocio

bosquejadas

Definir papeles y

responsabilidades

alcance preliminar

ISMS 5.3.2

Aclarar prioridades

organizacin para

desarrollar ISMS 5.2

Desarrollar

alcance

preliminar ISMS

5.3.1

5.3.1

Crear caso negocio

y plan de proyecto

para manejo

aprobacin 5.4

Definir alcance

preliminar ISMS

5.3

5.3

Lista restricciones

legales contractuales

y de industria

pertinentes a

seguridad informacin

de organizacin

Propuesta

proyecto ISMS

Aprobacin de

un proyecto

ISMS


2011-684 -7-

Entrada

a) los objetivos estratgicos de la organizacin b) visin general de los sistemas de gestin existentes c) una lista de requerimientos legales, regulatorios y contractuales respecto a la seguridad de la informacin aplicable a la organizacin

Gua

Con el fin de iniciar el proyecto de SGSI, en general, se necesita aprobacin de la Direccin. Consecuentemente, la primera actividad que debera ser realizada es recopilar la informacin relevante que ilustre el valor de un SGSI para la organizacin. La organizacin debera aclarar por qu necesita un SGSI y decidir los objetivos de la implementacin del SGSI e iniciar el proyecto de SGSI. Los objetivos para implementar un SGSI pueden determinarse respondiendo las siguientes preguntas: a) manejo de riesgos Cmo un SGSI generar mejor gestin de los riesgos de seguridad de la informacin? b) eficiencia Cmo puede un SGSI mejorar la gestin de la seguridad de la informacin? c) ventaja para el negocio Cmo puede un SGSI crear ventaja competitiva para la organizacin? Con el fin de contestar las anteriores preguntas, las prioridades y requerimientos de seguridad de la organizacin estn indicados por los siguientes factores posibles: a) negocios y reas organizacionales crticas:

1. Cules son los negocios y las reas organizacionales crticas? 2. Qu reas organizacionales proveen al negocio y con qu enfoque? 3. Qu relaciones y acuerdos con terceros existen? 4. Existen servicios que hayan sido subcontratados?

b) informacin sensible o valiosa:

1. Qu informacin es crtica para la organizacin? 2. Cules seran las posibles consecuencias si cierta informacin fuera revelada a personas no

autorizadas (por ejemplo, prdida de ventaja competitiva, dao a la marca o a la reputacin, accin legal, etc.)?

c) leyes que disponen medidas de seguridad de la informacin:

1. Qu leyes relacionadas con el tratamiento de los riesgos o seguridad de la informacin aplican a la organizacin?

2. Es la organizacin parte de una organizacin pblica global a la que se le requiere contar con

informes financieros externos?

d) acuerdos contractuales u organizacionales relacionados con la seguridad de la informacin:

1. Cules son los requerimientos de almacenamiento (incluyendo los perodos de retencin) para almacenamiento de datos?

2. Existen requerimientos contractuales relacionados con la privacidad o la calidad (por ejemplo,

Acuerdos de Nivel de Servicio (Service Level Agreements - SLA)?


2011-684 -8-

e) requerimientos de la industria que especifiquen controles o medidas particulares de la seguridad de la informacin:

1. Qu requerimientos especficos sectoriales aplican a la organizacin? f) El entorno de amenazas:

1. Qu clase de proteccin se necesita, y contra qu amenazas? 2. Cules son las distintas categoras de informacin que requieren proteccin? 3. Cules son los diferentes tipos de actividades de informacin que requieren proteccin?

g) Factores Competitivos:

1. Cules son los requerimientos mnimos del mercado para la seguridad de la informacin? 2. Qu controles adicionales de seguridad de la informacin deberan proveer una ventaja

competitiva para la organizacin? h) Requerimientos de continuidad del negocio

1. Cules son los procesos crticos del negocio? 2. Por cunto tiempo puede la organizacin tolerar interrupciones para cada proceso crtico del

negocio? El alcance preliminar del SGSI puede determinarse respondiendo a la informacin anterior. Tambin se necesita, con el fin de crear un caso de negocio y un plan general del proyecto de SGSI para aprobacin de la Direccin. El alcance detallado del SGSI se definir durante el proyecto de SGSI. Los requisitos sealados en la NTE INEN ISO/IEC 27001 referencia 4.2.1 a) bosqueja el alcance en trminos de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa. La informacin resultante respalda esta determinacin. Algunos tpicos que podran considerarse cuando se tomen las primeras decisiones relativas al alcance incluyen: a) Cules son los mandatos para la gestin de la seguridad de la informacin establecidos por la

Direccin organizacional y las obligaciones impuestas externamente en la organizacin? b) Recae la responsabilidad de los sistemas propuestos, que se encuentran dentro del alcance, en

ms de un grupo de gestin (por ejemplo, gente en diferentes subsidiarias o en diferentes departamentos)?

c) Cmo los documentos relacionados con el SGSI sern comunicados a travs de la organizacin

(por ejemplo, impresos o a travs de la red interna de la corporacin)? d) Puede el actual sistema de gestin respaldar las necesidades de la organizacin? Es ste

totalmente operativo, bien mantenido y funciona como se espera?

Ejemplos del manejo de objetivos que pueden utilizarse como entrada para definir el alcance preliminar del SGSI incluyen:

a) facilitar la continuidad del negocio y la recuperacin de desastres

b) mejorar la resistencia a incidentes

c) sealar las responsabilidades/cumplimientos legales/contractuales

d) permitir la certificacin frente a otras normas NTE INEN ISO/IEC

e) permitir la evolucin y posicin organizacional

f) reducir costos de controles de seguridad


2011-684 -9-

g) proteger los activos de valor estratgico

h) establecer un entorno de control interno saludable y efectivo

i) asegurar a los interesados que los activos de informacin estn apropiadamente protegidos.

Salida Los entregables de esta actividad son: a) un documento que resume los objetivos, prioridades de la seguridad de la informacin de seguridad

y requerimientos organizacionales de un SGSI. b) una lista de requerimientos regulatorios, contractuales y propios de la industria relacionados con la

seguridad de la informacin de la organizacin. c) Bosquejo de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.

Otra informacin Normas NTE INEN ISO/IEC 9001, ISO/IEC 14001:2004, NTE INEN ISO/IEC 20000-1

5.3 Definir el alcance preliminar del SGSI

5.3.1 Desarrollar el alcance preliminar del SGSI

Actividad Los objetivos para implementar el SGSI debera incluir la definicin preliminar del alcance del SGSI, que es necesario para el proyecto del SGSI.

Entrada

La salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI.

Gua Con el fin de ejecutar la implementacin de un proyecto de SGSI, la estructura de una organizacin para el SGSI debera definirse. El alcance preliminar del SGSI debera ser definido para proveer manejo orientado de las decisiones de implementacin, y para respaldar actividades posteriores. Se requiere el alcance preliminar del SGSI con el fin de crear el caso de negocio y el plan del proyecto propuesto, para aprobacin por parte de la Direccin. La salida de esta etapa ser un documento que defina el alcance preliminar del SGSI, lo que incluye: a) un resumen de los mandatos de la seguridad de la informacin determinada por la administracin

organizacional, y las obligaciones impuestas externamente en la organizacin; b) una descripcin de cmo interacta(n) el/las rea(s) de alcance con otros sistemas de gestin; c) una lista de los objetivos de negocio de gestin de la seguridad de la informacin (segn se deriva en la clusula 5.2); d) una lista de procesos de negocio, sistemas, activos de informacin, estructuras organizacionales y

ubicaciones geogrficas crticas a las cuales el SGSI ser aplicado. e) la relacin de los actuales sistemas de gestin, regulaciones, cumplimiento, y objetivos de la

organizacin; f) las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.


2011-684 -10-

Los elementos comunes y las diferencias operacionales entre los procesos de cualquier sistema(s) existente de gestin y el SGSI propuesto deberan ser identificados.

Salida El entregable es un documento que describe el alcance preliminar del SGSI.

Otra informacin Ninguna otra informacin especfica. NOTA Se debera poner especial atencin de que en caso de los requerimientos de documentacin especfica de certificacin de la NTE ISO/IEC 27001, as como los constantes en el alcance del SGSI, deben cumplirse sin importar los sistemas de gestin que tengan lugar dentro de la organizacin.

5.3.2 Definir funciones y responsabilidades para el alcance preliminar del SGSI

Actividad Se deberan definir las funciones y responsabilidades generales para el alcance preliminar del SGSI.

Entrada a) salida de la Actividad 5.3.1 Desarrollar el alcance preliminar del SGSI b) lista de interesados quienes se beneficiarn de los resultados del proyecto del SGSI.

Gua Con el fin de ejecutar el proyecto del SGSI, se debe determinar el rol de una organizacin para el proyecto. El rol es generalmente diferente en cada organizacin, en razn del nmero de personas involucradas con la seguridad de la informacin. La estructura organizacional y los recursos para la seguridad de la informacin varan de acuerdo con el tamao, tipo y estructura de la organizacin. Por ejemplo, en una organizacin ms pequea, una misma persona puede estar a cargo de varios roles. Sin embargo, la gestin debe explcitamente identificar el rol (tpicamente Jefe de Seguridad de la Informacin, Gerente de Seguridad de la Informacin o similares) con responsabilidad general de gestin de la seguridad de la informacin, y al personal debe asignrsele roles y responsabilidades en base a la aptitud requerida para desempear el trabajo. Esto es crtico para asegurarse de que las tareas asignadas sean ejecutadas eficiente y efectivamente. Las consideraciones ms importantes para definir los roles en la gestin de la seguridad de la informacin son: a) la responsabilidad general de las tareas recae en el nivel directivo, b) una persona (generalmente el Jefe de Seguridad de la Informacin) es designada para promover y

coordinar el proceso de seguridad de la informacin, c) cada uno de los empleados es igualmente responsable de su tarea original y de mantener la

seguridad de la informacin en el lugar de trabajo y en la organizacin. Los roles para la gestin de la seguridad de la informacin deberan trabajar conjuntamente; esto se puede facilitar realizando un Foro sobre Seguridad de la Informacin, o algo similar. Se debe comprometer (y documentar) la colaboracin de especialistas de negocio apropiados en todas las etapas del desarrollo, implementacin, operacin y mantenimiento del SGSI. Los representantes de los departamentos dentro del alcance identificado (tal como manejo de riesgos) son potenciales miembros del equipo de implementacin del SGSI. Este tamao del equipo debera ser mantenerse en un nmero ptimo, que sea prctico para efectos de velocidad y uso efectivo de los recursos. Tales reas no son solamente aquellas directamente incluidas en el alcance del SGSI sino tambin las divisiones indirectas, tales como los departamentos legales, de manejo de riesgos y administrativos.


2011-684 -11-

Salida El entregable es un documento o tabla que describe las funciones y las responsabilidades con los nombres y la organizacin requerida para implementar de manera exitosa un SGSI.

Otra informacin El Anexo B provee detalles de las funciones y responsabilidades requeridas en una organizacin para implementar de manera exitosa un SGSI.

5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la direccin.

Actividad La aprobacin de la Direccin y el compromiso de recursos para la implementacin del proyecto del SGSI deberan ser obtenidos mediante la creacin del modelo de negocio y la propuesta de proyecto del SGSI.

Entrada a) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI b) la salida de la Actividad 5.3 Definir el alcance preliminar del SGSI Los documentados:

1. alcance preliminar del SGSI y 2. roles y responsabilidades preliminares asociadas.

Gua La informacin para el caso de negocio y el plan inicial de proyecto del SGSI debera incluir un cronograma, recursos e hitos estimados, requeridos para las actividades principales detalladas en las Clusulas 6 a 9 de esta Norma. El caso de negocio y el plan inicial del proyecto de SGSI sirven como base del proyecto, pero tambin asegura el compromiso de la Direccin y la aprobacin de los recursos necesarios para la implementacin del SGSI. La manera en la cual el SGSI implementado dar soporte a los objetivos del negocio contribuye a la efectividad de los procesos organizacionales e incrementa la eficiencia del negocio. El caso de negocio para la implementacin de un SGSI debera incluir sentencias cortas ligadas a los objetivos de la organizacin y cubrir los siguientes asuntos:

a) metas y objetivos especficos

b) beneficio para la organizacin

c) alcance preliminar del SGSI incluyendo los procesos de negocio afectados

d) procesos y factores crticos para lograr los objetivos del SGSI

e) visin general de alto nivel del proyecto

f) plan inicial de implementacin

g) roles y responsabilidades definidas

h) recursos requeridos (tecnolgicos y humanos)

i) consideraciones de implementacin incluyendo la seguridad de la informacin existente

j) cronograma con hitos claves

k) costos esperados

l) factores crticos de xito

m) cuantificar los beneficios para la organizacin


2011-684 -12-

El plan del proyecto debera incluir actividades relevantes de las fases de las Clusulas 6 a la 9 establecidas en esta Norma. Las personas que efectan o son afectadas por el SGSI deben ser identificadas y permitirles un tiempo prudencial para revisar y comentar sobre el caso de negocio del SGSI y la propuesta de proyecto del SGSI. El caso de negocio y la propuesta de proyecto del SGSI deberan ser actualizados cada vez que sea necesario, en razn de nuevas entradas. Una vez que se logra suficiente respaldo, el caso de negocio y la propuesta de proyecto del SGSI deberan presentarse a la Direccin para su aprobacin. La Direccin debe aprobar el caso de negocio y el plan inicial del proyecto con el fin de lograr un compromiso total de la organizacin e iniciar la ejecucin del proyecto del SGSI. Los beneficios esperados del compromiso de la Direccin para implementar un SGSI son:

a) conocimiento e implementacin de leyes, regulaciones, obligaciones contractuales y normas pertinentes relacionadas con la seguridad de la informacin, que permitan evitar responsabilidades y multas en razn del incumplimiento.

b) uso eficiente de mltiples procesos para la seguridad de la informacin,

c) estabilidad y elevada confianza para crecer a travs de una mejor gestin de los riesgos de la seguridad de la informacin,

d) identificacin y proteccin de la informacin crtica del negocio.

Salida Los entregables de esta actividad son: a) una aprobacin documentada por parte de la Direccin para ejecutar el proyecto del SGSI con los

recursos asignados b) un caso de negocio documentado c) una Propuesta inicial de Proyecto del SGSI, con hitos, tales como realizacin de una evaluacin del

riesgo, implementacin, auditoras internas y revisin por parte de la Direccin.

Otra informacin La Norma NTE INEN-ISO/IEC 27000 contiene ejemplos de factores crticos de xito para respaldar el caso de negocio del SGSI.

6 Definir el alcance del SGSI, lmites y polticas del SGSI

6.1 Perspectiva general de la definicin del alcance, lmites y polticas del SGSI La aprobacin de la Direccin para la implementacin de un SGSI se basa en el alcance preliminar, el caso de negocio y el plan inicial del proyecto del SGSI. La definicin detallada del alcance y lmites del SGSI, la definicin de la poltica del SGSI, y la aceptacin y el respaldo por parte de la Direccin son los factores primarios claves para una implementacin exitosa del SGSI. Consecuentemente, los objetivos de esta fase son:

Objetivos:

Definir el alcance, los lmites detallados del SGSI, desarrollar la poltica del SGSI y obtener aprobacin de la Direccin.

NTE ISO/IEC 27001 clusulas 4.2.1 a) y 4.2.1 b)


2011-684 -13-

Con el fin de lograr el objetivo de Definir el alcance y los lmites detallados del SGSI, son necesarias las siguientes actividades. a) definir el alcance y los lmites organizacionales, b) definir el alcance y los lmites de las Tecnologas de la Informacin y Comunicacin (TIC) y c) definir el alcance y los lmites fsicos. d) las caractersticas especificadas en la NTE INEN ISO/IEC 27001 clusulas 4.2.1 a) negocio,

organizacin, ubicacin, activos y aspectos tecnolgicos del alcance y los lmites; y 4.2.1 b) la poltica estn determinados en el proceso de definicin de estos alcances y lmites.

e) integrar el alcance y los lmites elementales para obtener el alcance y los lmites del SGSI. Para lograr la definicin de la poltica del SGSI y obtener la aceptacin por parte de la Direccin, es necesaria una sola actividad. Para construir un sistema de gestin efectivo para la organizacin, se debera determinar el alcance detallado del SGSI mediante la consideracin de activos de informacin crticos de la organizacin. Es importante contar con una terminologa y un enfoque sistemtico comunes para identificar los activos de informacin y evaluar los mecanismos de seguridad viables. Esto facilita la comunicacin y promueve entendimientos consistentes a lo largo de todas las fases de la implementacin. Tambin, es importante para asegurar que las reas crticas de la organizacin estn incluidas en el alcance. Es posible definir el alcance de un SGSI para abarcar a toda la organizacin, o una parte de la misma, tal como una divisin o una subsidiaria claramente delimitada. Por ejemplo, en el caso de servicios provistos a los clientes, el alcance del SGSI puede ser un servicio, o un sistema transversal de gestin (una divisin completa o una parte de una divisin). Los requerimientos de la NTE INEN-ISO/IEC 27001 deben cumplirse totalmente para la certificacin, a pesar de los sistemas de gestin existentes dentro de la organizacin. El alcance y los lmites organizacionales; el alcance y los lmites de las TIC (6.3); y el alcance y lmites fsicos (6.4) no siempre se los realiza de manera secuencial. Sin embargo, es til hacer referencia del alcance y los lmites ya obtenidos cuando se definen otros alcances y lmites.

Aprobacin gerencia

iniciar proyecto

ISMS 5

Aprobacin

gerencia inicio

proyecto ISMS

Definir alcance

limites y poltica

ISMS 6

Anlisis requisitos

seguridad

informacin 7

Evaluacin riesgo y

planificacin

tratamiento riesgo

8

Disear ISMS

Alcance y

limites ISMS

Poltica ISMS


2011-684 -14-

Figura 4 Perspectiva general de la definicin del alcance, los lmites y la poltica del SGSI

Definir alcance y limites

organizacionales

6.2

Limite

organizacional para

ISMS

Definir comunicacin de

informacin alcance y

limite tecnologa

6.3

Alcance y limites

ICT

Definir alcance fsico y

limites

6.4

Alcance fsico y

limites

Integrar alcance y

limites para obtener

alcance y lmites ISMS

6.5

alcance y

limites ISMS

Desarrollar poltica

ISMS y obtener

aprobacin gerencia

6.6

Poltica ISMS

Plazo


2011-684 -15-

6.2 Definir el alcance y lmites organizacionales

Actividad El alcance y los lmites organizacionales deberan ser definidos.

Entrada a) la salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El alcance preliminar

documentado del SGSI que seala:

1. relacin de sistemas de gestin, regulacin, cumplimiento, y objetivos de la organizacin; 2. caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.

b) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI La

aprobacin documentada por parte de la administracin para implementar un SGSI e iniciar el proyecto con los recursos necesarios asignados.

Gua La cantidad de esfuerzo requerido para implementar un SGSI depende de la magnitud del alcance al cual el mismo ser aplicado. Esto tambin puede impactar todas las actividades relacionadas con el mantenimiento de la seguridad de la informacin en los tems incluidos en el alcance (tales como procesos, ubicaciones fsicas, sistemas de TI y personas), incluyendo los controles de implementacin y mantenimiento, la gestin de las operaciones, y la realizacin de tareas tales como: la identificacin de activos de informacin y la evaluacin del riesgo. Si la administracin decide excluir ciertas partes de la organizacin del alcance del SGSI, sus razones para hacerlo deberan ser debidamente documentadas. Cuando el alcance del SGSI est definido, es importante que sus lmites sean lo suficientemente claros para explicarlos a aquellos que no estuvieron involucrados en su definicin. Algunos controles relacionados con la seguridad de la informacin podran ya existir como resultado de la implementacin de otros sistemas de gestin. Estos deben ser tomados en cuenta cuando se planifica el SGSI, pero no necesariamente indicarn los lmites del alcance para el SGSI actual . Un mtodo para definir los lmites organizacionales es identificar aquellas reas de responsabilidad que estn sobreponindose, y as, facilitar la asignacin de responsabilidades dentro de una organizacin. Las responsabilidades directamente relacionadas con los activos de informacin o procesos del negocio incluidos en el alcance del SGSI deberan seleccionarse como parte de la organizacin que se encuentra bajo control del SGSI. Cuando se definen los lmites organizacionales, se deben tomar en cuenta los siguientes factores: a) el foro de gestin del SGSI debera estar conformado por los directores involucrados directamente en

el alcance del SGSI. b) el miembro de la Direccin encargado del SGSI debera ser el mismo que finalmente est a cargo

de todas las reas de responsabilidad afectadas (es decir, su posicin estar generalmente impuesta por su campo de control y responsabilidad dentro de una organizacin).

c) En el caso que la posicin responsable de la gestin del SGSI no sea un miembro de la alta

Direccin, es esencial contar con un auspiciante de dicho nivel, para representar los intereses de la seguridad de la informacin y actuar como defensor del SGSI en los ms altos niveles de la organizacin.

d) el alcance y los lmites necesitan ser definidos para asegurar que todos los activos pertinentes son

tomados en cuenta al realizar la evaluacin del riesgo, y para determinar los riesgos que puedan surgir a travs estos lmites.


2011-684 -16-

Basados en el enfoque, los lmites organizacionales analizados deberan identificar a todo el personal afectado por el SGSI, y esto debera estar incluido en el alcance. La identificacin del personal podra estar ligada a procesos y/o funciones, dependiendo del enfoque seleccionado. Si algunos procesos dentro del alcance estn subcontratados, aquellas dependencias deben estar claramente documentadas. Dichas dependencias estarn sujetas a posterior anlisis durante la implementacin del proyecto del SGSI.

Salida Los entregables de esta actividad son: a) descripcin de los lmites organizacionales para el SGSI, incluyendo cualquier justificacin para

partes de la organizacin que han sido excluidas del alcance del SGSI, b) funciones y estructura de aquellas partes de la organizacin dentro del alcance del SGSI, c) identificacin de la informacin intercambiada dentro del alcance e informacin intercambiada a

travs de los lmites d) procesos y responsabilidades organizacionales para los activos de informacin dentro del alcance y

fuera del mismo, e) proceso para la jerarqua de la toma de decisiones, as como, para la estructura dentro del SGSI.

Otra informacin No existe otra informacin especfica.

6.3 Definir el alcance y lmites de las tecnologas de la informacin y comunicacin (TIC)

Actividad El alcance y los lmites de los elementos de la tecnologa de la informacin y comunicacin (TIC) y otros tems de tecnologa cubiertos por el SGSI deberan definirse.

Entrada a) salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El documento para el

alcance preliminar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales

Gua La definicin del alcance y los lmites de las TIC se puede obtener a travs de un enfoque de sistema de informacin (en lugar de un enfoque basado en TI). Una vez que exista una decisin de la direccin para incluir los procesos de sistemas de informacin del negocio en el alcance del SGSI, todos los elementos relacionados con las TIC deberan tambin ser considerados. Esto incluye todas las partes de la organizacin que almacenan, procesan o transportan informacin crtica, activos, o lo que sea crtico para las partes de la organizacin consideradas en el alcance. Los sistemas de informacin pueden cruzar los lmites organizacionales o nacionales. De ser este el caso, debera considerarse lo siguiente:

a) situacin socio-cultural b) requerimientos legales, regulatorios y contractuales aplicables a las organizaciones c) responsabilidad sobre funciones claves d) restricciones tcnicas (por ejemplo, ancho de banda disponible, disponibilidad de servicio, etc.)


2011-684 -17-

Tomando en consideracin lo anterior, los lmites de las TIC deberan incluir una descripcin de lo siguiente, cuando sea aplicable: a) la infraestructura de las comunicaciones, en donde la responsabilidad de su manejo recaiga en la

organizacin, incluyendo tecnologas diferentes (por ejemplo, redes inalmbricas, de telefona fija o de voz y datos).

b) software dentro de los lmites organizacionales, que sea usado y controlado por la organizacin c) hardware de las TIC requerido por la red o redes, aplicaciones o sistemas de produccin

d) roles y responsabilidades relativas al hardware de las TIC, red y software Si uno o ms de los puntos mostrados arriba no estn bajo control de la organizacin, las dependencias de terceros deben estar documentadas. Ver la Gua del tema 6.2.

Salida Los entregables de esta actividad son: a) informacin intercambiada dentro del alcance e informacin intercambiada a travs de los lmites b) Los lmites de las TIC para el SGSI, incluyendo cualquier justificacin para la exclusin de las

TIC bajo control de la organizacin que han sido excluidas del alcance del SGSI. c) los sistemas de informacin y las redes de telecomunicaciones, que describen lo que est en el

alcance, junto con las roles y responsabilidades para estos sistemas. Los sistemas que estn fuera del alcance deberan ser resumidos brevemente.


6.4 Definir el alcance y lmites fsicos

Actividad El alcance y los lmites fsicos que deberan ser cubiertos por el SGSI, deberan ser definidos.


alcance preliminar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales. c) salida de la Actividad 6.3 Definir el alcance y lmites de las tecnologas de la informacin y

comunicacin (TIC)

Gua La definicin del alcance y las limitaciones fsicas consiste en la identificacin de los locales, ubicaciones o instalaciones dentro de una organizacin que deberan ser parte del SGSI. Es ms complejo tratar con sistemas de informacin, que cruzan los lmites fsicos, que necesitan: a) instalaciones remotas b) interfaces a los sistemas de informacin del cliente y a servicios provistos por terceros c) interfaces apropiadas aplicables y niveles de servicio. Tomando en consideracin lo anterior, los lmites fsicos deberan incluir la descripcin de lo siguiente, cuando sea aplicable:


2011-684 -18-

a) descripcin de funciones o procesos considerando su ubicacin fsica y la medida en que la

organizacin los controla b) instalaciones especiales utilizadas que contienen o almacenan el hardware de las TIC o datos

dentro del alcance (por ejemplo, cintas de respaldo), basados en la cobertura de los lmites de las TIC

Si una o ms de los puntos indicados arriba no es controlado por la organizacin, las dependencias de terceros se deberan documentar. Ver la Gua del tema 6.2.

Salida Los entregables de esta actividad son: a) descripcin de los lmites fsicos del SGSI, incluyendo cualquier justificacin de la exclusin de

lmites fsicos bajo la gestin de la organizacin y que han sido excluidos del alcance del SGSI, b) descripcin de la organizacin y sus caractersticas geogrficas pertinentes al alcance.


6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI

Actividad El alcance y los lmites del SGSI deberan obtenerse mediante la integracin de cada uno de los alcances y lmites.


alcance preliminar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales c) salida de la Actividad 6.3 Definir el alcance y lmites de las tecnologas de la informacin y

comunicacin(TIC) d) salida de la Actividad 6.4 Definir el alcance y lmites fsicos

Gua El alcance de un SGSI se puede describir y justificar de muchas formas. Por ejemplo, una ubicacin fsica, tal como un centro de datos u oficina, podra ser seleccionada y los procesos crticos listados, cada uno de los cuales involucre reas fuera de ese centro de datos pero incluyndolas en el alcance. Uno de tales procesos crticos podra ser, por ejemplo, el acceso mvil a un sistema central de informacin.

Salida El entregable de esta actividad es un documento que describa el alcance y los lmites del SGSI y que contiene la siguiente informacin: a) las caractersticas claves de la organizacin (su funcin, estructura, servicios, activos y el alcance y

los lmites de la responsabilidad de cada activo) b) los procesos organizacionales incluidos en el alcance c) la configuracin de equipamiento y redes incluidos en el alcance d) una lista preliminar de activos de informacin incluidos en el alcance e) una lista de activos de las TIC incluidos en el alcance (por ejemplo, servidores)


2011-684 -19-

f) mapas de los sitios incluidos en el alcance, indicando las limitaciones fsicas del SGSI. g) descripciones de las funciones y responsabilidades dentro del SGSI y sus relaciones con la

estructura organizacional

h) detalles y justificacin para cualquier exclusin del alcance del SGSI


6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la direccin

Actividad La poltica del SGSI debera ser desarrollada y la aprobacin de la Direccin debera ser obtenida.

Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del

SGSI El alcance y los lmites documentados del SGSI b) salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Los

objetivos documentados para implementar el SGSI c) salida de la Actividad 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la

Direccin Los documentas de:

1. requerimientos de la organizacin y prioridades de la seguridad de la informacin, 2. el plan inicial del proyecto para la implementacin del SGSI, con hitos, tales como la

realizacin de la evaluacin del riesgo, implementacin, au ditoras internas y revisin de la Direccin

Gua Al definir la poltica del SGSI, se deberan tomar en cuenta los siguientes aspectos: a) establecer los objetivos del SGSI en base a los requerimientos organizacionales y las prioridades

de seguridad de la informacin de la organizacin b) establecer el enfoque general y la gua de accin para lograr los objetivos del SGSI c) considerar los requerimientos de la organizacin, legales o regulatorios y las obligaciones

contractuales relacionadas con la seguridad de la informacin d) el contexto de la gestin del riesgo dentro de la organizacin e) establecer los criterios de evaluacin de los riesgos (ver NTE INEN ISO/IEC 27005) y definir una

estructura de evaluacin del riesgo f) aclarar las responsabilidades de la alta Direccin en relacin al SGSI h) obtener la aprobacin de la Direccin.

Salida El entregable es un documento que describe la poltica del SGSI aprobada por la Direccin y debidamente documentada. Este documento debera ser re-confirmado en una fase posterior del proyecto por cuanto es dependiente del resultado de la evaluacin del riesgo.

Otra informacin La NTE INEN-ISO/IEC 27005 provee informacin adicional sobre los criterios para la evaluacin de riesgos.


2011-684 -20-

7 Realizar el anlisis de los requerimientos de seguridad de la informacin

7.1 Perspectiva general de la realizacin del anlisis de los requerimientos de

seguridad de la informacin El anlisis de la situacin actual en la organizacin es importante, por cuanto hay requerimientos existentes y activos de informacin que deberan ser considerados cuando se implemente un SGSI. Las actividades descritas en esta fase pueden ser emprendidas en paralelo con aquellas descritas en la Clusula 6 por razones de eficiencia y practicidad.

Objetivos: Definir los requerimientos pertinentes para ser respaldados por el SGSI, identificar los activos de informacin y obtener el estado actual de la seguridad de la informacin dentro del alcance.

NTE INEN-ISO/IEC 27001 clusulas 4.2.1.c)1) parcialmente, 4.2.1. d), 4.2.1. e)

La informacin recopilada a travs del anlisis de la seguridad de la informacin debera: a) proveer a la Direccin de un punto de inicio (es decir, datos bsicos correctos) b) identificar y documentar las condiciones para la implementacin c) proveer entendimiento claro y bien establecido de las instalaciones de la organizacin d) considerar las circunstancias particulares y la situacin de la organizacin e) identificar el nivel de proteccin deseado de la informacin f) determinar la compilacin de la informacin requerida para toda o parte de una empresa dentro del

alcance de implementacin propuesto.

Obtener aprobacin

gerencia inicio

proyecto ISMS

5

Aprobacin

gerencia para

iniciar proyecto

ISMS

Definir alcance,

limites y poltica

ISMS

6

Anlisis requisitos

seguridad

informacin

7

Evaluacin riesgo y

planificacin

tratamiento riesgo

8

Disear el ISMS

9

Alcance y limites

del ISMS

Poltica ISMS

Resultados

evaluacin

seguridad

informacin

Activos

informacin

Requisitos

seguridad de la

Informacin

Plazo


2011-684 -21-

Figura 5 Descripcin general para ejecutar fase de requisitos de seguridad de la informacin

7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI

Actividad Los requerimientos detallados de la seguridad de la informacin para el proceso del SGSI deberan ser analizados y definidos.

Entrada a) salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Los

documentos:

1. que resumen los objetivos, prioridades de la seguridad de la informacin, y requerimientos de la organizacin para el SGSI

2. que listen las restricciones regulatorias, contractuales y de la industria pertinentes a la seguridad

de la informacin de la organizacin

Activos

identificados

Requisitos

seguridad

informacin

Resumen estado

seguridad de

organizacin

clasificacin

procesos / activos

Identificar activos

dentro alcance y limites

ISMS 7.3

Define requisitos


para proceso ISMS 7.2

Conducir evaluacin


7.4

Plazo


2011-684 -22-

b) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del

SGSI El alcance y los lmites del SGSI c) salida de la Actividad 6.6 D e s a r r o l l a r l a p o l t i c a d e l SGSI y o b t e n e r l a a p r o b a c i n

d e l a D i r e c c i n L a p o l t i c a d e l SGSI

Gua El primer paso requiere la recoleccin de toda la informacin de respaldo para el SGSI. Para cada proceso organizacional y tarea especializada, se necesita tomar una decisin en trminos de qu tan crtica es la informacin, es decir, el nivel de proteccin requerido. Una variedad de condiciones internas podra afectar la seguridad de la informacin y estas deberan ser determinadas. En esta etapa temprana no es importante describir la tecnologa de la informacin en detalle. Debera haber un resumen bsico de la informacin analizada para un proceso organizacional y las aplicaciones y sistemas de TIC asociados. El anlisis de los procesos de la organizacin provee sentencias acerca de los efectos de los incidentes de seguridad de la informacin en la actividad de la organizacin. En muchos casos, es adecuado trabajar con una descripcin muy bsica de los procesos de la organizacin. Los procesos, funciones, ubicaciones, sistemas de informacin y redes de comunicaciones necesitan ser identificados y documentados, si es que no han sido ya incluidos como parte del alcance del SGSI. Lo siguiente debera ser considerado para obtener los requerimientos detallados de la seguridad de la informacin para el SGSI: a) identificacin preliminar de activos de informacin importantes y su proteccin actual de la

seguridad de la informacin. b) identificar visiones de la organizacin y determinar el efecto de las visiones identificadas en

futuros requerimientos de procesamiento de informacin c) analizar las formas actuales de procesamiento de la informacin, aplicaciones del sistema, redes

de comunicacin, ubicacin de actividades y recursos de TI, etc. d) identificar todos los requerimientos esenciales (por ejemplo, requerimientos legales y normativos,

obligaciones contractuales, requerimientos organizacionales, normas de la industria, acuerdos con clientes y proveedores, condiciones de aseguramiento, etc.)

e) identificar el nivel de concientizacin sobre seguridad de la informacin y, desde ah, derivar los

requerimientos de capacitacin y educacin, en trminos de cada unidad operativa y administrativa.

Salida Los entregables de esta actividad son: a) identificacin de los procesos, funciones, ubicaciones, sistemas de informacin y redes de

comunicacin principales b) identificacin de los activos de informacin de la organizacin c) clasificacin de los procesos/activos crticos d) requerimientos de seguridad de la informacin derivados de los requerimientos legales,

regulatorios, y contractuales de la organizacin. e) lista de vulnerabilidades pblicamente conocidas que sern consideradas como un resultado de los

requerimientos de seguridad f) requisitos organizacionales de capacitacin y educacin sobre seguridad de la informacin



2011-684 -23-

7.3 Identificar los activos dentro del alcance del SGSI

Actividad Se deberan identificar los activos a ser respaldados por el SGSI.


SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin

La poltica del SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso

del SGSI.

Gua Para identificar los activos dentro del alcance del SGSI la siguiente informacin debera ser identificada y enlistada: a) nombre nico del proceso b) descripcin del proceso y de las actividades relacionadas (creadas, almacenadas, transmitidas,

eliminadas) c) ponderacin del proceso para la organizacin (crtico, importante, de respaldo) d) propietario del proceso (unidad de la organizacin) e) procesos que proveen entradas y salidas de este proceso f) aplicaciones de TI que respaldan el proceso g) clasificacin de la informacin (confidencialidad, integridad, disponibilidad, control de acceso, no

repudio, y / u otras propiedades importantes para la organizacin, por ejemplo, por cunto tiempo podra almacenarse la informacin)

Salida Los entregables de esta actividad son: a) activos de informacin identificados de los principales procesos de la organizacin dentro del

alcance del SGSI b) clasificacin de la seguridad de la informacin de los procesos y activos de informacin crticos


7.4 Realizar una evaluacin de la seguridad de la informacin

Actividad La evaluacin de seguridad de la informacin debera realizarse comparando el estado actual de la seguridad de la informacin de la organizacin con los objetivos deseados por la organizacin.


2011-684 -24-


SGSI El alcance y los lmites del SGSI b) salida d e l a Actividad 6.6 Desarrollar la poltica del SGSI y o b t e n e r a p r o b a c i n d e l a

D i r e c c i n L a p o l t i c a d e l SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso

del SGSI d) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI

Gua La evaluacin de la seguridad de la informacin es la actividad para identificar el nivel existente de seguridad de la informacin (es decir, los actuales procedimientos de la organizacin de manejo de la proteccin de la informacin). La finalidad fundamental de la evaluacin de la seguridad de la informacin es proveer informacin que respalde la descripcin requerida para el sistema de gestin, en la forma de polticas y las directrices. Obviamente, es necesario asegurarse que las deficiencias identificadas se las maneja en forma paralela mediante un plan de accin priorizado. Todas las partes involucradas deberan estar familiarizadas con los resultados del anlisis de la organizacin, los documentos normativos, y tener acceso al personal de gestin pertinente. Las evaluaciones de la seguridad de la informacin analizan la situacin actual de la organizacin y determinan el estado actual de la seguridad de la informacin y la vulnerabilidad de documentos, utilizando la siguiente informacin: a) estudiando hechos de fondo basados en procesos crticos b) clasificacin de los activos de informacin c) requerimiento organizacional de seguridad de la informacin. Los resultados de la evaluacin de la seguridad de la informacin, junto con los objetivos de la organizacin, son a menudo una parte importante del incentivo para trabajo futuro en seguridad de la informacin. La evaluacin de la seguridad de la informacin debera ser realizada por un recurso interno o externo que sea independiente de la organizacin. La participacin en la evaluacin de la seguridad debera incluir a personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que sea pertinente en trminos de seguridad de la informacin. Estas personas deberan ser seleccionadas para representar un amplio espectro dentro de la organizacin e incluir: a) gerentes de lnea (por ejemplo, jefes de unidad de la organizacin) b) propietarios de proceso (es decir, quienes representen reas importantes de la organizacin) c) otras personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que

sea pertinente en trminos de seguridad de la informacin. Por ejemplo, usuarios de procesos de negocio, y funciones operativas, administrativas y legales.

Las siguientes acciones son importantes para una evaluacin exitosa de la seguridad de la informacin: a) identificar y enlistar las normas pertinentes de la organizacin (por ejemplo, La NTE INEN-

ISO/IEC 27002). b) identificar requerimientos de control conocidos que surjan de las polticas, de los requerimientos

legales y regulatorios, de las obligaciones contractuales, de los resultados de auditoras pasadas o de resultados de evaluaciones del riesgo realizadas en el pasado.

c) utilizarlas como documentos de referencia con el fin de realizar una estimacin aproximada de los

requerimientos actuales de la organizacin relativos a su nivel de seguridad de la informacin.


2011-684 -25-

La priorizacin realizada en conjuncin con el anlisis de la organizacin constituye la base para la cual se deberan considerar precauciones de seguridad y verificaciones (controles). El siguiente es el enfoque para la realizacin de la evaluacin de la seguridad de la informacin : a) seleccionar los procesos organizacionales de negocio importantes y los pasos de proceso relativos

a los requerimientos de seguridad de la informacin, b) crear un flujograma completo que cubra los principales procesos de la organizacin incluyendo

infraestructura (lgica y tcnica), si es que ste no existe ya o fue realizado durante el anlisis de la organizacin.

c) discutir con personal apropiado y clave, y analizar la situacin actual de la organizacin en relacin

con los requerimientos de seguridad de la informacin. Por ejemplo, qu procesos son crticos?, qu tan bien trabajan actualmente? (Los resultados son utilizados posteriormente en la evaluacin del riesgo).

d) determinar las deficiencias de control mediante la comparacin de los controles existentes con

requerimientos de control previamente identificados. e) completar y documentar el estado actual.

Salida El entregable de esta actividad es: a) un documento que resume el estado evaluado de la seguridad de la organizacin, y las

vulnerabilidades evaluadas.

Otra informacin La evaluacin de la seguridad de la informacin realizada en esta etapa, nicamente entregar informacin preliminar sobre el estado de la seguridad de la informacin de la organizacin y las vulnerabilidades, ya que el conjunto completo de polticas y normas de seguridad de la informacin es desarrollado en una etapa posterior (ver Clusula 9), y una evaluacin del riesgo an no ha sido realizada.

8 Realizar la evaluacin del riesgo y la planificacin del tratamiento del riesgo

8.1 Perspectiva general de la realizacin de la evaluacin del riesgo y la planificacin del

tratamiento del riesgo La implementacin de un SGSI debera sealar riesgos relevantes de la seguridad de la informacin. La identificacin, evaluacin y tratamiento planificado de los riesgos, y la seleccin de los objetivos de control y los controles, son pasos importantes par a la implementacin de un SGSI y que deberan ser manejados en esta fase. La NTE INEN ISO/IEC 27005 provee directrices especficas para la Gestin de Riesgos de la Seguridad de la Informacin y debera ser referida en toda la Clusula 8. Se asume que la Direccin se ha comprometido a la implementacin del SGSI; que el alcance del SGSI y la poltica del SGSI han sido definidos; y que los activos de informacin son conocidos al igual que los resultados de la evaluacin de la seguridad de la informacin.

Objetivo: Definir la metodologa de evaluacin del riesgo; identificar, analizar y evaluar los riesgos de la seguridad de la informacin, para seleccionar las opciones de tratamiento del riesgo y los objetivos de control y los controles.

Norma NTE INEN ISO/IEC 27001 clusulas 4.2.1 c) a 4.2.1 j)


2011-684 -26-

Plazo

Figura 6 Descripcin general de la fase de evaluacin del riesgo

Obtener aprobacin

gerencia iniciar

proyecto ISMS

5

Aprobacin

gerencia inicio

proyecto ISMS

definir alcance,

limites y poltica

ISMS

6

Anlisis requisitos

seguridad

informacin

7

Evaluacin riesgo y

planificacin

tratamiento riesgo

8

Disear el ISMS

9

Alcance y

limitaciones ISMS

Poltica ISMS

Resultados

evaluacin

seguridad de

informacin

Informacin de

activos

Requisitos

seguridad de

informacin

SOA, Incluyendo

control objetivos

y controles

seleccionados

Plan

tratamiento

riesgo

Notificacin escrita

gerencia aprobacin

ejecucin ISMS

Resultado

evaluacin

riesgo

Metodologas

evaluacin

riesgo

Plan

tratamiento

riesgo

Lista controles

seleccionados y

objetivos control

Seleccionar objetivos

control y controles

8.3

Evaluacin riesgo

8.2

Autorizacin gerencia

implementacin y operacin

ISMS 8.4

Aceptacin

riesgos

residuales

SoA, incluyendo

control objetivo y

control

seleccionado

Aprobacin

implementacin

ISMS

Plazo

Plazo


2011-684 -27-

8.2 Realizar la evaluacin del riesgo

Actividad Se debera realizar la evaluacin del riesgo.

Entrada a) salidas de la Actividad de la clusula 7 Realizar el anlisis de los requerimientos de seguridad de

la informacin La informacin relacionada con:

1. resumen del estado de la seguridad de la informacin 2. activos de informacin identificados

b) salida de la Actividad de la clusula 6 Definir el alcance del SGSI, lmites y polticas del SGSI Los

documentos de:

1. alcance del SGSI 2. poltica del SGSI

c) NTE INEN ISO/IEC 27005

Gua La realizacin de una evaluacin del riesgo dentro del contexto del negocio en apoyo del alcance del SGSI, es esencial para el cumplimiento e implementacin exitosa del SGSI de acuerdo con la NTE INEN ISO/IEC 27001. La evaluacin del riesgo debera: a) identificar amenazas y sus fuentes b) identificar controles existentes y planificados c) identificar las vulnerabilidades que pueden ser explotadas por las amenazas, para causar

daos a los activos o a la organizacin d) identificar las consecuencias que las prdidas de confidencialidad, integridad, disponibilidad, no

repudio y otros requerimientos de seguridad, podran tener sobre los activos e) evaluar el impacto al negocio que podra resultar de incidentes de seguridad de la informacin

anticipados o reales f) evaluar la probabilidad de escenarios de incidentes g) estimar el nivel de riesgo h) comparar los niveles de riesgo frente a los criterios de evaluacin del riesgo y los criterios de

aceptacin del riesgo La participacin en la evaluacin del riesgo debera incluir a personas con profundos conocimientos de los objetivos de la organizacin y entendimiento de seguridad (por ejemplo, una buena visin sobre lo que es relevante actualmente en trminos de amenazas de los objetivos de la organizacin). Estas personas deberan seleccionarse para representar un amplio espectro dentro de la organizacin. Para referencia, ver Anexo B, Roles y Responsabilidades. Una organizacin podra emplear una metodologa de evaluacin del riesgo que sea especfica para un proyecto, compaa o norma del sector.


2011-684 -28-

Salida Los entregables de esta actividad son: a) la descripcin de las metodologas de evaluacin del riesgo b) los resultados de la evaluacin del riesgo

Otra informacin Anexo B informacin sobre Roles y Responsabilidades. NOTA Un escenario de incidente es la descripcin de una amenaza que explote cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de seguridad de la informacin. La NTE INEN ISO/IEC 27001 describe la ocurrencia de escenarios de incidentes como fallas de seguridad. (ver NTE INEN ISO/IEC 27005)

8.3 Seleccionar los objetivos de control y los controles

Actividad Las opciones para el tratamiento de los riesgos, al igual que la seleccin de los controles apropiados, deberan ser identificadas de acuerdo con las opciones de tratamiento del riesgo identificadas.

Entrada a) salida de Actividad 8.2 Realizar la evaluacin del riesgo El resultado de la evaluacin del riesgo b) NTE INEN ISO/IEC 27005 c) NTE INEN ISO/IEC 27002

Gua Es importante especificar la relacin que existe entre los riesgos y las opciones seleccionadas para el tratamiento de los mismos (por ejemplo, un plan de tratamiento del riesgo), por cuanto este proveer un resumen del tratamiento del riesgo. Las posibles opciones para el tratamiento de los riesgos estn enumeradas en la NTE INEN ISO/IEC 27001. Clusula 4.2.1 f). El Anexo A (normativa) Objetivos de control y controles" de la NTE INEN ISO/IEC 27001 es utilizado para seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Si no existen objetivos de control o controles apropiados en el Anexo A, los objetivos de control y los controles adicionales deberan ser especificados y utilizados. Es importante demostrar como los controles seleccionados mitigarn riesgos segn lo requiere el plan de tratamiento de riesgos. Los datos provistos en el Anexo A de la NTE INEN ISO/IEC 27001 no intentan ser exhaustivos. Controles de un sector especfico podran ser identificados para apoyar las necesidades especficas del negocio, as como del SGSI. En el caso de la reduccin del riesgo, el manejo de la relacin entre cada riesgo y los objetivos de control y los controles seleccionados, es beneficioso para el diseo de la implementacin del SGSI. Esto podra ser agregado a la lista que describe la relacin entre los riesgos y las opciones de tratamiento del riesgo seleccionadas. Para facilitar las auditorias, la organizacin debera compilar una lista de controles que han sido seleccionados como pertinentes y aplicables al SGSI de la organizacin. Esto tiene la ventaja agregada de mejorar las relaciones del negocio, tales como subcontratacin electrnica, mediante la provisin de un resumen de controles en prctica.


2011-684 -29-

Es importante tomar en cuenta que el resumen de los controles es muy probable que contenga informacin sensible. Por lo tanto, se debera tomar la debida precaucin cuando se hace un resumen de los controles disponibles a los beneficiarios, tanto internos como externos. En realidad podra ser apropiado tomar en cuenta la informacin generada como parte de la creacin del SGSI para la definicin de los activos.

Salida Los entregables de esta actividad son: a) una lista de los controles y objetivos de control seleccionados b) El Plan de Tratamiento del Riesgo, con:

1. Una descripcin de la relacin entre los riesgos y la opcin de tratamiento del riesgo seleccionada

2. Una descripcin de la relacin entre los riesgos y los objetivos de control y los controles

seleccionados (especialmente en el caso de reduccin del riesgo)

Otra informacin NTE INEN-ISO/IEC 27002

8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI

Actividad La aprobacin de la Direccin debera obtenerse para implementar un SGSI, as como documentar la aceptacin de los riesgos residuales.

Entrada a) Salida de las Actividades de la clusula 5.4 Crear el caso de negocio y el plan del proyecto para

aprobacin de la Direccin - La aprobacin inicial por parte de la Direccin del Proyecto del SGSI b) salidas de las Actividades en la clusula 6 Definir el alcance del SGSI, lmites y polticas del

SGSI Las declaraciones documentadas de:

1. las polticas y objetivos del SGSI 2. el alcance del SGSI

c) salida de la Actividad 8.2 Realizar la evaluacin del riesgo Los documentos de:

1. la descripcin de las metodologas de evaluacin del riesgo 2. el resultado de la evaluacin del riesgo

d) salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles El Plan de

Tratamiento del Riesgo

Gua Para obtener aprobacin de la Direccin, los documentos descritos como las entradas de esta clusula deberan ser preparados para evaluacin y toma de decisiones de la Direccin. Las preparaciones para la Declaracin de Aplicabilidad (SoA Statement of Applicability) deberan incluirse como parte de los esfuerzos de gestin de la seguridad de la informacin. El nivel de detalle en el cual los controles estn especificados, debera cumplir con los requerimientos necesitados para respaldar la aprobacin del SGSI por parte de la Direccin de la organizacin.


2011-684 -30-

Se debera obtener aprobacin de la alta Direccin para la decisin de aceptar riesgos residuales, y autorizacin para la operacin real del SGSI. Estas decisiones deberan basarse en una evaluacin de los riesgos y oportunidades que podran ocurrir como resultado de la implementacin del SGSI, comparado con aquellos que resulten de no implementarlo.

Salida Los entregables de esta actividad son: a) notificacin escrita de la aprobacin de la Direccin para implementar el SGSI b) aceptacin de la Direccin de los riesgos residuales. c) declaracin de aplicabilidad, incluyendo los objetivos de control y los controles seleccionados


9 Diseo del SGSI

9.1 Perspectiva general del diseo del SGSI Un diseo detallado del proyecto del SGSI y las actividades planificadas para su implementacin deberan ser desarrollados ahora. El plan final del proyecto del SGSI ser nico en su detalle para la organizacin especfica, dependiendo de los resultados de las actividades anteriores, as como de los resultados de las actividades especficas en la fase de diseo descrita en esta clusula. El plan especfico final de implementacin del proyecto del SGSI, es la salida de esta clusula. En base a este plan, el proyecto del SGSI puede ser lanzado en la organizacin como parte de la primera fase HACER del ciclo PHVA descrito en la NTE INEN ISO/IEC 27001. Se entiende que la Direccin se ha comprometido a la implementacin del SGSI que est definido en el alcance y en la poltica del SGSI. Los activos de informacin, al igual que los resultados de la evaluacin de la seguridad de la informacin, se asumen disponibles. Adicionalmente, el plan de tratamiento del riesgo que describa los riesgos, las opciones de tratamiento del riesgo, con los objetivos de control y controles seleccionados e identificados, tambin deberan estar disponibles. El diseo del SGSI descrito aqu, se enfoca en la estructura interna y requerimientos del SGSI. Se debera tomar en cuenta que, en ciertos casos, el diseo del SGSI podra tener un impacto directo o indirecto del diseo de los procesos del negocio. De igual manera, se debera tomar en cuenta que generalmente existe la necesidad de integrar los componentes del SGSI con acuerdos de gestin e infraestructura pre-existentes.

Objetivo: Completar el plan final de implementacin para el SGSI mediante: el diseo de la seguridad organizacional en base a las opciones de tratamiento del riesgo seleccionadas, al igual que los requerimientos relativos al registro y documentos; y el diseo de los controles, integrando provisiones de seguridad para las TIC, los procesos fsicos y organizacionales; y el diseo de los requerimientos especficos del SGSI.

NTE INEN ISO/IEC 27001 clusulas: 4.2.2 a)-e), h)

En el diseo del SGSI, los siguientes asuntos deberan ser tomados en cuenta: a) seguridad organizacional cubre los aspectos administrativos de la seguridad de la informacin,

incluyendo la responsabilidad de la operacin de la organizacin para el tratamiento del riesgo. Esto debera formar parte del grupo de actividades que resultan en las polticas, objetivos, procesos y procedimientos para manejar y mejorar la seguridad de la informacin, en relacin con las necesidades y riesgos de la organizacin.


2011-684 -31-

b) seguridad de las TIC cubre los aspectos de seguridad de la informacin especficamente

relacionados con la responsabilidad de las operaciones de las TIC para la reduccin del riesgo. Esto es para cumplir con los requerimientos establecidos por la organizacin y con la implementacin tcnica de controles para reducir los riesgos.

c) seguridad fsica cubre los aspectos de la seguridad de la informacin especficamente

relacionados con la responsabilidad del manejo del ambiente fsico, tal como edificios y su infraestruct

Nte Inen Iso-iec 27003

Documents

Transcript of Nte Inen Iso-iec 27003