Beruflich Dokumente
Kultur Dokumente
documento:
Estado: Aprobado
Clase: General
Ubicación: Archivo Documentario – Implementación del SGSI
Elaborado por: Gerente del Proyecto SGSI
Revisado por: División de [NOMBRE DIVISION] (CARGO DEL ENCARGADO
ENTIDAD)
División de Proyectos (CARGO DEL ENCARGADO DE DP ENTIDAD)
Aprobado por: Gerente del Proyecto XX-[ENTIDAD PUBLICA]
División de [NOMBRE DIVISION] (CARGO DEL JR ENTIDAD)
División de [NOMBRE DIVISION]
Fecha de vigencia:
Revisión Histórica
Fecha Versión Descripción de los cambios Propietario Ubicación
No aplica No aplica No aplica No aplica No aplica
Lista de Distribución
Grupo a distribuir Medio de Difusión Fecha de Difusión
___________________________________________________________________________
SENSIBLE XX- 2009
1. RESUMEN EJECUTIVO
La implementación de los controles del SGSI está regulada por las normas ISO/IEC 17799:2005 e
ISO/IEC 27001:2005. Con la observancia de dichas normas, la Seguridad de la Información estará
garantizada en base a la aplicación de procedimientos; en lugar de confiar sólo en la compra de
productos o nueva tecnología
Se ha definido el Plan de Implementación del SGSI tomando en cuenta las normas señaladas en la
Guía de Fundamentos de la Dirección de Proyectos (PMBOK), de tal forma que se adapte a las
necesidades del servicio de verificación del XX en la [ENTIDAD PUBLICA].
a) Objetivo general:
b) Objetivo especifico:
___________________________________________________________________________
SENSIBLE XX- 2009
Elaborar e implementar la normativa y documentación que permita planear, operar,
mantener y mejorar continuamente la gestión de la seguridad de la información.
Implementar una gestión adecuada que permita mantener los riesgos debajo de un nivel
aceptable por la Institución.
Mantener y operar un sistema de gestión alineado al modelo PDCA que le permita, ser
perfectible, auditable y cumplir con los requisitos de la NTP ISO/IEC 27001:2008.
“Definir el alcance y los límites del SGSI en términos de las características del negocio, la
organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de
cualquier exclusión del alcance” - ISO/IEC 27001:2005 clausula 4.2.1 (a)
Para definir la presente propuesta de alcance del SGSI, se han analizado los procesos del SAT
considerando:
En la etapa estratégica, se han identificado los procesos que mayor impacto tienen en los factores
de éxito de la institución. Entre ellos está el candidato sobre el cual definir el alcance del SGSI.
Para definir el alcance del SGSI, se ha tomado en consideración que el (los) proceso(s) elegidos
sobre el(los) cuale(s) se implementara el sistema no deben de ser demasiado complejos, el SGSI
aplicado sobre un proceso puede ser replicado gradualmente hacia otros procesos más complejos,
esto se conoce como implantación por procesos del modelo.
___________________________________________________________________________
SENSIBLE XX- 2009
3.1 Alcance del Proyecto SGSI – Sucursales
El sistema cubrirá los procesos y activos de información de las siguientes sucursales del XX:
3.2 Alcance del Proyecto SGSI – Análisis del servicio prestado por el XX
Formará parte del Alcance del Proyecto SGSI el Macroproceso XXXX, que está conformado por:
Procesos Operativos.
Áreas de Apoyo.
Áreas de Gestión: Jefatura de Operaciones y Gerencia del Proyecto SGSI.
Las tareas relacionadas con el proceso de xxxx , incluyendo solamente aquellos pasos realizados
por el personal del XX.
___________________________________________________________________________
SENSIBLE XX- 2009
Excluye:
Los procesos o tareas realizadas por personal del XX, que no estén relacionados directamente con
la XXXX; como son: [NOMBRE DE LOS PROCESOS].
___________________________________________________________________________
SENSIBLE XX- 2009
Gráfico 3.3: Ubicación del Alcance del SGSI - Elipses
___________________________________________________________________________
SENSIBLE XX- 2009
FASE: Implementación y Uso del SGSI
11. Plan de Implementación de Tratamiento de Riesgos y Controles.
12. Documentación de la Implementación de los Dominios 5, 6, 7.
13. Documentación de la Implementación de los Dominios 8, 9.
14. Documentación de la Implementación del Dominio 10.
15. Documentación de la Implementación de los Dominios 11, 13.
16. Documentación de la Implementación del Dominio 15.
17. Manual de Procedimientos de Seguridad de la Información (compendio de todos los
procedimientos de seguridad de información a elaborarse).
18. Manual de Métricas de Seguridad de Información (compendio de todas las métricas de los
procedimientos de seguridad de información a elaborarse).
19. Programa de Concienciación.
20. Documento de Gestión de las Operaciones del SGSI.
21. Documento de Gestión de los Recursos asignados al SGSI.
22. Documento de Procedimientos y Controles de los Incidentes de Seguridad.
23. Documento de Gestión de Revisiones del SGSI.
Excluye:
Puesto que los servicios del Macroproceso de XXXX actualmente son soportados con
aplicativos mantenidos y diseñados por la [ENTIDAD PUBLICA], no ejecutándose dentro
de las oficinas del XX ninguna labor ligada al desarrollo de Sistemas, no se ha
considerado el dominio 12 de la norma ISO/IEC 17799:2005, Adquisición, Desarrollo y
Mantenimiento de Sistemas.
o Plan de contingencia.
o Contrato del Personal.
El XXXX no está obligado a adquirir equipos de seguridad; ya que, según las bases, se
indica textualmente: “El Contratista, respecto al servicio a desarrollar, deberá
implementar un Sistema de Gestión de Seguridad de la Información (SGSI), sobre la base
de la aplicación de la norma técnica peruana NTP lSO/lEC 17799:2004 - Código de
Buenas Practicas para la Gestión de la Seguridad de la Información (Resolución
___________________________________________________________________________
SENSIBLE XX- 2009
Ministerial N° 224-2OO4-PCM), respecto a los dominios y controles que correspondan y
siguiendo el modelo PDCA indicado en el norma BS-7799 -2:2002. Este sistema puede o
no contar con soporte informático.”
El equipo del Proyecto SGSI está conformado por los siguientes papeles:
Gerente del Proyecto SGSI ([NOMBRE DEL GP]): Perteneciente al área de Mejora Continua
del XX, su función básica es participar de los Comités de Sistemas, coordinar con el Equipo
del Proyecto SGSI – [ENTIDAD PUBLICA] la aprobación preliminar de los entregables,
generar el Reporte de Gestión del Proyecto SGSI, en general, gestionar las actividades del
Proyecto SGSI.
Ejecutores del Proyecto SGSI: Su función básica es llevar a cabo las tareas del Proyecto
SGSI, contempladas en el cronograma (incluido en el Plan de Gestión del Proyecto).
___________________________________________________________________________
SENSIBLE XX- 2009
Representante de la División de []NOMBRE DIVISION ([NOMBRE DEL
REPRESENTANTE DE DAS]): Con el cargo de [CARGO ENTIDAD], su función básica
consiste en participar de los Comités de Sistemas, así como revisar y aprobar preliminarmente
los entregables generados por el equipo del XX. Decide, conjuntamente con el Profesional de
la División de Proyectos, si es necesario que un entregable deba ser elevado al Comité
Gerencial para su aprobación.
El cierre del Proyecto SGSI dependerá de la aprobación de todos los documentos entregables
por parte del Patrocinador del Proyecto SGSI y de los Interesados claves del Proyecto SGSI
([CARGO ENTIDAD], Jefe División de [NOMBRE DIVISION]), así también, se deberá
cerrar todos los contratos que se hayan realizado en el transcurso del Proyecto de
Implementación del SGSI en el Macroproceso de XXXX [ENTIDAD PUBLICA]
4.3 Asunciones
La documentación requerida deberá estar disponible por parte del XXXX y [ENTIDAD
PUBLICA].
___________________________________________________________________________
SENSIBLE XX- 2009
4.4 Restricciones
___________________________________________________________________________
SENSIBLE XX- 2009
Comité Gerencial Revisar y aprobar los documentos entregables del Cuando existan
Proyecto SGSI de Implementación del Sistema de entregables terminados,
Gestión de Seguridad de la Información en el que el Equipo de
Macroproceso de XXXX en la [ENTIDAD PUBLICA] Proyecto SGSI juzgue
necesario elevarlos al
Comité Gerencial.
Comité de Sistemas Verificar y controlar el avance del Proyecto SGSI de Reuniones quincenales
Implementación del Sistema de Gestión de Seguridad de los días miércoles a las
la Información en el Macroproceso de XXXX en la 15:00 horas.
[ENTIDAD PUBLICA], a un nivel técnico. Aprobar en
forma preliminar los entregables. El Comité de Sistemas
lo conforma el Equipo de Proyecto SGSI (XX y
[ENTIDAD PUBLICA]) a excepción del Patrocinador
del Proyecto y del Jefe de Recaudación [ENTIDAD
PUBLICA].
Extraordinaria Realizar un cambio imprevisto por parte de los Cuando ocurra un
interesados claves del Proyecto SGSI. evento inesperado.
___________________________________________________________________________
SENSIBLE XX- 2009
Los procedimientos de control de cambios según el documento del Plan de Gestión de
Cambios del Proyecto SGSI, serán consistentes con los siguientes procesos.
Una bitácora de control de cambios será establecido por el Gerente del Proyecto SGSI
para realizar un seguimiento a todos los cambios asociados con el esfuerzo del Proyecto
SGSI.
Las siguientes estrategias han sido establecidas para promover la comunicación efectiva sobre
los interesados del Proyecto SGSI. Las Políticas de comunicación específicas serán
documentadas en el Plan de Gestión de las Comunicaciones del Proyecto SGSI.
El Gerente del Proyecto SGSI presentará el Reporte de Estado del Proyecto SGSI.
El Patrocinador será notificado por correo electrónico de todos los problemas urgentes. La
notificación de incidentes incluirá las restricciones en los tiempos e impactos, los cuales
identificaran la urgencia de requerimiento del servicio.
Toda documentación electrónica, como parte de los entregables del Proyecto SGSI será
guardada en un repositorio central accesible por todos los interesados del Proyecto SGSI.
6. AUTORIZACIONES
___________________________________________________________________________
SENSIBLE XX- 2009
Cuando el Equipo del Proyecto lo juzgue necesario, elevará el entregable al Comité
Gerencial, para la aprobación del mismo por parte de los integrantes de dicho comité.
___________________________________________________________________________
SENSIBLE XX- 2009
7. APROBACIÓN DEL ALCANCE DEL PROYECTO SGSI / RÚBRICAS
Nombre completo Implementación del Sistema de Gestión de Seguridad de la Información
del Proyecto SGSI: para el Macroproceso de XXXX, que realiza el XX para la [ENTIDAD
PUBLICA].
Gerente del Proyecto
SGSI – [ENTIDAD [NOMBRE DE GP ENTIDAD]
PUBLICA]
He leído el contenido del presente Alcance del Proyecto SGSI y estoy de acuerdo:
Fecha
Nombre Rol Rúbrica
(dd/mm/aa)
Gerente del Proyecto XX-
[ENTIDAD PUBLICA]
Jefe de División de
Recaudación [ENTIDAD
PUBLICA]
[CARGO ENTIDAD]
Gerente del Proyecto SGSI –
[ENTIDAD PUBLICA]
Profesional de la División de
Proyectos [ENTIDAD
PUBLICA]
___________________________________________________________________________
SENSIBLE XX- 2009
Las rúbricas indican un entendimiento del propósito y contenido de este documento. Al
firmarlo, acuerdan que el presente documento es el documento formal del Alcance del
Proyecto SGSI.
___________________________________________________________________________
SENSIBLE XX- 2009