DYNAMIS SOLUTIONS PROPUESTA DE PROYECTO PARA IMPLEMENTACIÓN DE ISO 27001
Giovanni A Soto GuidottiTrabajo20 de Junio de 2019
4.038 Palabras (17 Páginas)136 Visitas
DYNAMIS SOLUTIONS
PROPUESTA DE PROYECTO PARA IMPLEMENTACIÓN DE ISO 27001
Código: | JK3108PQ |
Versión: | 1.2 |
Fecha de versión: | 23/3/17 |
Creado por: | Jhon Paría |
Aprobado por: | |
Nivel de confidencialidad: | Alto |
Historial de cambios
Fecha | Versión | Creado por | Descripción del cambio |
22/03/2017 | 1.0 | Jhon Paría | Creación de la propuesta |
23/03/2017 | 1.1 | Karina Hancco | Modificación Roles |
23/03/2017 | 1.2 | Giovanni Soto | Anexo 2, supuestos |
23/03/2017 | 1.3 | Jhon Paría | Afinación de los entregables |
23/03/2017 | 1.4 | Jhon Paría | Mejora cuestionario |
Tabla de contenidos
1. Propósito 4
2. Justificación de la implementación 4
3. Objetivos del proyecto 4
4. Alcance 4
5. Estructura y duración del proyecto 5
6. Responsabilidades 5
7. Recursos 7
8. Entregables 8
9. Anexos 10
Propósito
El propósito de este documento es proponer el proyecto de implementación de un sistema de gestión de la seguridad de la información según el ISO 27001 a la alta gerencia.
Este documento no es un plan de proyecto, el plan de proyecto será desarrollado una vez el proyecto haya sido formalmente aprobado.
Justificación de la implementación
Las razones principales para la implementación de la ISO 27001 are:
- Cumplir con las leyes y los reglamentos en cuanto a la información
- Menores costos en incidentes
- Optimizar procesos
- Menor dependencia de los individuos
Objetivos del proyecto
Los objetivos del proyecto son:
- La implementación de ISO 27001 en 18 meses
- La implementación de seguridad de la información no interrumpa las actividades normales operativas
- Los miembros del comité del proyecto puedan hacer uso del 80% de su tiempo en este proyecto.
Alcance
La empresa IT Soluciones tiene como objetivo ofrecer soluciones globales en asesorías a empresa y organizaciones con necesidades tecnología de información.
Para alcanzar estos objetivos establecemos como primer paso la Gestión de un Sistema de Calidad según la Norma ISO 9000
Prerrequisitos
IT soluciones debe proveer un espacio físico para el trabajo del equipo
Supuestos
IT soluciones cuenta con acceso dedicado a internet
Validar (e identificar ajustes requeridos) a los procedimientos y estrategias del plan.
Obtener información acerca de los tiempos de implementación de la recuperación (para demostrar qué tan rápido, por ejemplo, puede recuperarse una aplicación crítica)
Demostrar el rendimiento de los sistemas y aplicaciones que se encuentran en el Centro de Cómputo Alterno, en comparación al rendimiento durante la operación normal.
Familiarizar a los equipos definidos en el Plan de Continuidad con sus roles definidos.
Estructura y duración del proyecto
La implementación del proyecto está dividida en las siguientes fases:
- Organización
- Planificación
- Despliegue
- Revisión de la gestión
- Auditoría
Main milestones of the implementation project are:
Fases | Duración |
Organización | 3 meses |
Planificación | 4 meses |
Despliegue | 4 meses |
Revisión | 4 meses |
Auditoría | 3 meses |
Contenido detallado de las fases se mostrarán en el plan de proyecto una vez aprobada la propuesta.
Responsabilidades
El área de Sistemas de Información y Telecomunicaciones es el responsable de generar la Política y mantenerla actualizada, además es responsable de administrar los controles relacionados con el ambiente físico y las investigaciones relacionadas con incidentes de seguridad. El área de Auditoría Externa será la responsable de verificar el cumplimiento de las políticas, procedimientos y normas legales aplicables con respecto a la seguridad de la información. La Alta Gerencia Universitaria es la responsable de iniciar acciones judiciales, administrativas y/o disciplinarias en caso de violación de la Política y/o las regulaciones de seguridad de la información por parte de los Colaboradores o Terceros.
- Roles y responsabilidades
Para garantizar la gestión de la seguridad de información cada persona vinculada con la UCSS que utiliza su información, puede estar obligada según las responsabilidades propias de uno o varios de los roles que se definen a continuación:
Roles | Descripción | Responsable(s) |
Rol de Usuario de la información | Responsable de conocer y cumplir la Política de Seguridad de la Información, los procedimientos, estándares y legislación aplicable; entender los requerimientos de seguridad y comprometerse con su cumplimiento al acceder y utilizar información en el ejercicio de sus funciones y responsabilidades en la UCSS. | Empleados de la UCSS relacionados al proceso de “Registro”. |
Rol de Responsable de la Información | Responsable de mantener un nivel adecuado de seguridad de la información que genera o mantiene su área, información que debe clasificar de acuerdo con los criterios de clasificación consignados en esta política. |
|
Rol de Administrador de un sistema de información | Se recomienda que cada sistema de información tenga al menos un administrador autorizado. El administrador es responsable de almacenar información, implementar sistemas de control de acceso (para prevenir divulgación no autorizada), la administración de los usuarios (creación, eliminación, cambio de perfil y depuración de los usuarios) que ingresan al (los) sistema(s) a su cargo y la correcta operación del (los) mismo(s) y ejecutar periódicamente copias de respaldo (para asegurar que la información crítica esté disponible). El administrador también es responsable de desarrollar, aplicar, mantener y revisar las medidas de seguridad definidas por cada Responsable de la información y por el Alta Gerencia Universitaria. | |
Rol de Usuario Líder del Sistema de información | Responsable de identificar e implementar mecanismos que controlen el acceso a la información del módulo o aplicación a su cargo teniendo en cuenta las definiciones de seguridad definidas a través de la presente política o por los procedimientos establecidos por la Alta Gerencia Universitaria para prevenir la divulgación no autorizada. También es responsable de velar porque existan controles que aseguren la disponibilidad de la información crítica. | |
Rol de Auditor de Sistemas | Verificar el cumplimiento de las políticas y normas del área de informática de la UCSS. Cabe mencionar que el área de auditoría interna de la UCSS no cuenta con auditores de sistemas, es por eso que la responsabilidad incluirá la contratación ya sea permanente o temporal de un auditor de sistemas externo (a responsabilidad de Dynamis S.A.) dependiendo de la demanda requerida, para la evaluación de la parte de informática y velar por el cumplimiento de políticas y normas. | Jhon Paría Luján (Auditor Semi Senior ISO 27001) Karina lvarez Hancco (Auditor Junior ISO 270001) Ángel Quiroz Cerva (Practicante) Yuri Nizama Casas (Tester) |
...