Que Es Un SGSI

Enviado por Maverick • 2 de Agosto de 2011 • 1.261 Palabras (6 Páginas) • 679 Visitas

Página 1 de 6

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:

Documentos de Nivel 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

Documentos de Nivel 3

Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Documentos de Nivel 4

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

• Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.

• Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.

• Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

• Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.

• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

• Declaración

...

Descargar como (para miembros actualizados) txt (9 Kb)

Leer 5 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

¿Qué Es Un SGSI?
¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el

3 Páginas • 736 Visualizaciones
: DISEÑO, DESARROLLO, DOCUMENTACIÓN E IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI
La información, es uno de los más importantes activos no solo para las empresas y organizaciones, sino para cada individuo. Por este motivo la misma

2 Páginas • 986 Visualizaciones
Caso Practico SGSI
Caso práctico: Enunciado Paso 1 Para el caso práctico se ha tomado como ejemplo de organización una asesoría fiscal y laboral, "Asesoría Ejemplo". El inventario

7 Páginas • 1444 Visualizaciones
Sistema de Gestión de la Seguridad de la Información (SGSI)
Sistema de Gestión de la Seguridad de la Información El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el

3 Páginas • 536 Visualizaciones
Que Es SGSI
¿Qué es un SGSI? Explicar. Un SGSI nos ayuda a llevar un control de todo los movimientos que se realizan de la información de la

2 Páginas • 244 Visualizaciones
SEGURIDAD DE INFORMACION SGSI BANCO
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN BANCO DE LA NACION Versión 2.0 ÍNDICE 1. INTRODUCCIÓN 4 2. VISIÓN Y MISIÓN 4 3.

11 Páginas • 1231 Visualizaciones
El desarrollo y la implementación SGSI en la organización
operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). La adopción de un SGSI debería ser

2 Páginas • 241 Visualizaciones
POLÍTICA DE SEGURIDAD DEL SGSI
POLÍTICA DE SEGURIDAD DEL SGSI La Política de Seguridad de la Información es la declaración general que representa la posición de la administración de _NOMBRE

3 Páginas • 211 Visualizaciones
Manual de Procedimientos del SGSI V5
Borrado Seguro de Discos Código SIG-PR-001 Procedimiento Uso Interno 1 de 29 Clasificación Página 1. Objetivo Asegurar que todos los datos sensibles y software licenciado

18 Páginas • 388 Visualizaciones
Análisis de Seguridad de la información y alineamiento estratégico del SGSI
Universidad Don Bosco Centro de estudios de Postgrado. Fundamentos de la Seguridad de la Información. Tema: Análisis de Seguridad de la información y alineamiento estratégico

15 Páginas • 108 Visualizaciones