l Propietario del Patrocinador del Proyecto SGSI

documento:
Estado: Aprobado
Clase: General
Ubicación: Archivo Documentario – Implementación del SGSI
Elaborado por: Gerente del Proyecto SGSI
Revisado por: División de [NOMBRE DIVISION] (CARGO DEL ENCARGADO
ENTIDAD)
División de Proyectos (CARGO DEL ENCARGADO DE DP ENTIDAD)
Aprobado por: Gerente del Proyecto XX-[ENTIDAD PUBLICA]
División de [NOMBRE DIVISION] (CARGO DEL JR ENTIDAD)
División de [NOMBRE DIVISION]
Fecha de vigencia:

Revisión Histórica
Fecha Versión Descripción de los cambios Propietario Ubicación
No aplica No aplica No aplica No aplica No aplica

Lista de Distribución
Grupo a distribuir Medio de Difusión Fecha de Difusión

Equipo del Proyecto SGSI Copia Magnética del Documento

de Alcance Aprobado. Enviado
por correo electrónico y/o
incluido en la carpeta
compartida raíz:
\\[DIRECTORIO]\[CARPETA
COMPARTIDA]

___________________________________________________________________________
SENSIBLE XX- 2009
1. RESUMEN EJECUTIVO

El Presente Proyecto es la base de la implementación de un Sistema de Seguridad de la

Información (SGSI) en el Macroproceso de XXXX, servicio que brinda el XXXX (XX) para
[ENTIDAD PUBLICA].

La implementación de los controles del SGSI está regulada por las normas ISO/IEC 17799:2005 e
ISO/IEC 27001:2005. Con la observancia de dichas normas, la Seguridad de la Información estará
garantizada en base a la aplicación de procedimientos; en lugar de confiar sólo en la compra de
productos o nueva tecnología

Se ha definido el Plan de Implementación del SGSI tomando en cuenta las normas señaladas en la
Guía de Fundamentos de la Dirección de Proyectos (PMBOK), de tal forma que se adapte a las
necesidades del servicio de verificación del XX en la [ENTIDAD PUBLICA].

La certificación ISO-27001 se convertirá, en un futuro cercano, en una obligación para cualquier

empresa que se considere competitiva, lo cual es lógico, pues si se desea intercambiar información
sensible entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y
adecuados de seguridad de información.

2. OBJETIVO DEL PROYECTO SGSI

a) Objetivo general:

Iimplementar, en el Servicio de Administración Tributaria (SAT), un Sistema de Gestión de

Seguridad de la Información (SGSI) aplicando lo dispuesto por la NTP-ISO/IEC 27001:2008 EDI
“Tecnología de la Información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la
Informacion. Requisitos”, e implementando las recomendaciones de la NTP-ISO/IEC 17799:2007
EDI “Tecnología de la Informacion. Código de buenas prácticas para la gestión de la seguridad de
la información. 2da Edición”.

b) Objetivo especifico:

 Conocer la situación actual de la seguridad de la información y los riesgos que puedan

afectar la confidencialidad, disponibilidad e integridad de los activos de información
relacionados con los procesos definidos en el alcance.

 Establecer la estructura base para una implementación adecuada de la gestión de la

seguridad de la información.

___________________________________________________________________________
SENSIBLE XX- 2009
  Elaborar e implementar la normativa y documentación que permita planear, operar,
mantener y mejorar continuamente la gestión de la seguridad de la información.

 Diseñar un modelo de sensibilización adecuado para el personal y de acuerdo a la cultura

de la Institución.

 Implementar una gestión adecuada que permita mantener los riesgos debajo de un nivel
aceptable por la Institución.

 Elaborar un modelo de gestión de incidentes que permita responder, contener y solucionar

los incidentes de seguridad de la información que se presenten.

 Mantener y operar un sistema de gestión alineado al modelo PDCA que le permita, ser
perfectible, auditable y cumplir con los requisitos de la NTP ISO/IEC 27001:2008.

3. ALCANCE DEL PROYECTO SGSII

“Definir el alcance y los límites del SGSI en términos de las características del negocio, la
organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de
cualquier exclusión del alcance” - ISO/IEC 27001:2005 clausula 4.2.1 (a)

Para definir la presente propuesta de alcance del SGSI, se han analizado los procesos del SAT
considerando:

 Su impacto en el logro de los objetivos estratégicos

 La interrelación con otros procesos internos y externos
 Ámbito de ejecución y complejidad del proceso
 Implementación de otros sistemas de gestión sobre el proceso

El análisis se ha desarrollado en dos etapas, una estratégica en la cual se a utilizado la “Matriz

para despliegue del SGSI” y otra táctica utilizando la “Metodología de las elipses”.

En la etapa estratégica, se han identificado los procesos que mayor impacto tienen en los factores
de éxito de la institución. Entre ellos está el candidato sobre el cual definir el alcance del SGSI.

En la etapa táctica, analizamos los componentes de cada proceso, sus interrelaciones y

dependencias, complejidad y ámbito.

Para definir el alcance del SGSI, se ha tomado en consideración que el (los) proceso(s) elegidos
sobre el(los) cuale(s) se implementara el sistema no deben de ser demasiado complejos, el SGSI
aplicado sobre un proceso puede ser replicado gradualmente hacia otros procesos más complejos,
esto se conoce como implantación por procesos del modelo.

___________________________________________________________________________
SENSIBLE XX- 2009
3.1 Alcance del Proyecto SGSI – Sucursales

El sistema cubrirá los procesos y activos de información de las siguientes sucursales del XX:

 [UBICACIÓN ENTIDAD PUBLICA ] – Oficinas [NUMERO DE LA OFICINA]

 Local Externo ([UBICACION])
 [OTROS LOCALES] (UBICACION – Numero de la Oficina)

3.2 Alcance del Proyecto SGSI – Análisis del servicio prestado por el XX

Formará parte del Alcance del Proyecto SGSI el Macroproceso XXXX, que está conformado por:

 Procesos Operativos.

 Áreas de Apoyo.
 Áreas de Gestión: Jefatura de Operaciones y Gerencia del Proyecto SGSI.

 Las tareas relacionadas con el proceso de xxxx , incluyendo solamente aquellos pasos realizados
por el personal del XX.

___________________________________________________________________________
SENSIBLE XX- 2009
Excluye:

 Los procesos o tareas realizadas por personal del XX, que no estén relacionados directamente con
la XXXX; como son: [NOMBRE DE LOS PROCESOS].

Gráfico 3.1: Macroproceso de XXXX– Nivel Operacional

Gráfico 3.2: Macroproceso de XXXX – Nivel Operacional, Apoyo y Gestión

___________________________________________________________________________
SENSIBLE XX- 2009
 Gráfico 3.3: Ubicación del Alcance del SGSI - Elipses

3.3 Alcance del Proyecto SGSI – Entregables del Proyecto SGSI:

FASE: Establecimiento del SGSI

1. Compendio de Estructuras Documentarias SGSI.
2. Documento del Alcance del proyecto SGSI
3. Plan de Gestión del Proyecto SGSI
4. Documento de Políticas y Objetivos de la Seguridad de la Información.
5. Documento de Metodología de Gestión de Riesgos.
6. Informe de Análisis de Evaluación de Riesgos
7. Informe de Tratamiento de los Riesgos.
8. Acta de Aprobación de la Gerencia de los Riesgos Residuales.
9. Documento de Declaración de Aplicabilidad.
10. Documento de Procedimiento para Actualizar el Manual de Seguridad

De los documentos mencionados anteriormente, el Manual de Seguridad incluye el

Compendio de Estructuras Documentarias, el Documento de Políticas y Objetivos de la
Seguridad de la Información, Documento de Metodología de Gestión de Riesgos; y el
Procedimiento para Actualizar el Manual de Seguridad.

___________________________________________________________________________
SENSIBLE XX- 2009
FASE: Implementación y Uso del SGSI
11. Plan de Implementación de Tratamiento de Riesgos y Controles.
12. Documentación de la Implementación de los Dominios 5, 6, 7.
13. Documentación de la Implementación de los Dominios 8, 9.
14. Documentación de la Implementación del Dominio 10.
15. Documentación de la Implementación de los Dominios 11, 13.
16. Documentación de la Implementación del Dominio 15.
17. Manual de Procedimientos de Seguridad de la Información (compendio de todos los
procedimientos de seguridad de información a elaborarse).
18. Manual de Métricas de Seguridad de Información (compendio de todas las métricas de los
procedimientos de seguridad de información a elaborarse).
19. Programa de Concienciación.
20. Documento de Gestión de las Operaciones del SGSI.
21. Documento de Gestión de los Recursos asignados al SGSI.
22. Documento de Procedimientos y Controles de los Incidentes de Seguridad.
23. Documento de Gestión de Revisiones del SGSI.

Excluye:

 Puesto que los servicios del Macroproceso de XXXX actualmente son soportados con
aplicativos mantenidos y diseñados por la [ENTIDAD PUBLICA], no ejecutándose dentro
de las oficinas del XX ninguna labor ligada al desarrollo de Sistemas, no se ha
considerado el dominio 12 de la norma ISO/IEC 17799:2005, Adquisición, Desarrollo y
Mantenimiento de Sistemas.

 Para el dominio 14 de la norma ISO/IEC 17799:2005, Gestión de la Continuidad del

Negocio, puesto que existe un Plan de Contingencias ya desarrollado, nos limitaremos a
analizar el nivel de cumplimiento que tiene dicho plan con respecto a las normas ISO.
Producto de dicho análisis, se desarrollarán procedimientos alineados al Plan de
Contingencia de TI.

 El nivel de detalle de las actualizaciones de los siguientes documentos no han sido

incluidos, puesto que se viene desarrollando actualmente:

o Plan de contingencia.
o Contrato del Personal.

 El XXXX no está obligado a adquirir equipos de seguridad; ya que, según las bases, se
indica textualmente: “El Contratista, respecto al servicio a desarrollar, deberá
implementar un Sistema de Gestión de Seguridad de la Información (SGSI), sobre la base
de la aplicación de la norma técnica peruana NTP lSO/lEC 17799:2004 - Código de
Buenas Practicas para la Gestión de la Seguridad de la Información (Resolución
___________________________________________________________________________
SENSIBLE XX- 2009
 Ministerial N° 224-2OO4-PCM), respecto a los dominios y controles que correspondan y
siguiendo el modelo PDCA indicado en el norma BS-7799 -2:2002. Este sistema puede o
no contar con soporte informático.”

Nota: Cualquier referencia que no haya sido incluida explícitamente en la Declaración de

Alcance del Proyecto SGSI, está implícitamente excluida del Proyecto SGSI.

4. DESCRIPCIÓN DEL PROYECTO SGSI

4.1 Equipo del Proyecto SGSI y Funciones

El equipo del Proyecto SGSI está conformado por los siguientes papeles:

Equipo de Proyecto SGSI por parte del CET

Patrocinador del Proyecto SGSI por parte del XX ([NOMBRE PATROCINADOR]): El

Gerente del Proyecto XX-[ENTIDAD PUBLICA], su función básica es aprobar los
Entregables del Proyecto SGSI, revisar los Reportes de Gestión de Proyecto SGSI y apoyar al
Equipo del Proyecto SGSI en lo que juzgue necesario.

Gerente del Proyecto SGSI ([NOMBRE DEL GP]): Perteneciente al área de Mejora Continua
del XX, su función básica es participar de los Comités de Sistemas, coordinar con el Equipo
del Proyecto SGSI – [ENTIDAD PUBLICA] la aprobación preliminar de los entregables,
generar el Reporte de Gestión del Proyecto SGSI, en general, gestionar las actividades del
Proyecto SGSI.

Ejecutores del Proyecto SGSI: Su función básica es llevar a cabo las tareas del Proyecto
SGSI, contempladas en el cronograma (incluido en el Plan de Gestión del Proyecto).

Asesores del Proyecto SGSI: Su función básica es asesorar al personal del XX en la

implementación del SGSI y en la observancia de las normas ISO-17799 e ISO-27001.

Equipo de Proyecto SGSI por parte de la [ENTIDAD PUBLICA]

Jefe de División de [NOMBRE DIVISION] ([NOMBRE DEL JDR]): Su función básica es

aprobar los Entregables del Proyecto SGSI y apoyar al Equipo del Proyecto SGSI en lo que
juzgue necesario.

___________________________________________________________________________
SENSIBLE XX- 2009
Representante de la División de []NOMBRE DIVISION ([NOMBRE DEL
REPRESENTANTE DE DAS]): Con el cargo de [CARGO ENTIDAD], su función básica
consiste en participar de los Comités de Sistemas, así como revisar y aprobar preliminarmente
los entregables generados por el equipo del XX. Decide, conjuntamente con el Profesional de
la División de Proyectos, si es necesario que un entregable deba ser elevado al Comité
Gerencial para su aprobación.

Representante de la División de Proyectos ([NOMBRE DE REPRESENTANTE DP]): Su

función básica consiste en participar de los Comités de Sistemas, hacer un seguimiento del
desarrollo del Proyecto SGSI y decidir si un entregable es elevado al Comité Gerencial para
su aprobación.

4.2 Criterio del Cierre del Proyecto SGSI de Implementación

El cierre del Proyecto SGSI dependerá de la aprobación de todos los documentos entregables
por parte del Patrocinador del Proyecto SGSI y de los Interesados claves del Proyecto SGSI
([CARGO ENTIDAD], Jefe División de [NOMBRE DIVISION]), así también, se deberá
cerrar todos los contratos que se hayan realizado en el transcurso del Proyecto de
Implementación del SGSI en el Macroproceso de XXXX [ENTIDAD PUBLICA]

4.3 Asunciones

 La gerencia del Macroproceso de XXXX está comprometida con el desarrollo y ejecución

del Proyecto de Implementación del Sistema de Gestión de Seguridad de la Información,
para lo cual dispondrá de los recursos de personal necesarios para la ejecución, pero no
está obligada a disponer de los recursos necesarios para adquirir equipos y tecnologías con
el fin de realizar controles de seguridad de la información, puesto que esto no se encuentra
dentro de la propuesta técnica del Proyecto [ENTIDAD PUBLICA] - XXXX.

 El Proyecto de Implementación del Sistema de Gestión de Seguridad de la Información se

desarrollará según Cronograma de Trabajo (incluido en el Documento del Plan de Gestión
del Proyecto).
 Los ambientes de trabajo estarán totalmente equipados para la realización de la
Implementación del Sistema de Gestión de Seguridad de la Información.

 La documentación requerida deberá estar disponible por parte del XXXX y [ENTIDAD
PUBLICA].

___________________________________________________________________________
SENSIBLE XX- 2009
4.4 Restricciones

 El Alcance y el Cronograma del Proyecto SGSI de Implementación del Sistema de Gestión

de Seguridad de la Información.

 El cumplimiento del Cronograma se encuentra sujeto a la aprobación de los entregables

por parte de los integrantes de la [ENTIDAD PUBLICA] que conforman el Equipo del
Proyecto SGSI.

 Luego de que el XX ha remitido oficialmente al Equipo del Proyecto-[ENTIDAD

PUBLICA] un Entregable del Proyecto SGSI, por medio de una Carta de Entrega, el plazo
que tienen los integrantes de [ENTIDAD PUBLICA] para revisar y dar sus observaciones
es de 5 días útiles. Transcurrido ese plazo, el Equipo del Proyecto SGSI-XX asumirá que
el entregable ha sido aprobado.

 Luego de ser atendidas las observaciones, el Equipo del Proyecto-[ENTIDAD PUBLICA]

tendrá 2 días útiles para aprobar el entregable, o elevar el mismo al Comité Gerencial de
fecha más próxima. Transcurrido ese plazo, el Equipo del Proyecto SGSI (XX) asumirá
que el entregable ha sido aprobado.

5. REVISIÓN GENERAL DEL PROYECTO SGSI

5.1 Planes Iniciales

En el Plan de Gestión del Proyecto SGSI se detallan los siguientes planes:

 Gestión de Tiempos (Cronograma, Entregables)

 Gestión de Cambios
 Gestión de Riesgos
 Gestión de Problemas
 Gestión de las Comunicaciones
5.2 Reuniones planificadas

Reunión Propósito Frecuencia

___________________________________________________________________________
SENSIBLE XX- 2009
 Comité Gerencial
Comité de Sistemas
Extraordinaria
Revisar y aprobar los documentos entregables del Cuando existan
Proyecto SGSI de Implementación del Sistema de entregables terminados,
Gestión de Seguridad de la Información en el que el Equipo de
Macroproceso de XXXX en la [ENTIDAD PUBLICA] Proyecto SGSI juzgue
necesario elevarlos al
Comité Gerencial.
Verificar y controlar el avance del Proyecto SGSI de Reuniones quincenales
Implementación del Sistema de Gestión de Seguridad de los días miércoles a las
la Información en el Macroproceso de XXXX en la 15:00 horas.
[ENTIDAD PUBLICA], a un nivel técnico. Aprobar en
forma preliminar los entregables. El Comité de Sistemas
lo conforma el Equipo de Proyecto SGSI (XX y
[ENTIDAD PUBLICA]) a excepción del Patrocinador
del Proyecto y del Jefe de Recaudación [ENTIDAD
PUBLICA].
Realizar un cambio imprevisto por parte de los Cuando ocurra un
interesados claves del Proyecto SGSI. evento inesperado.

5.3 Informes planificados

Informes Propósito Frecuencia

Reporte de Gestión del Informar de la gestión del Proyecto SGSI de Fechas del Comité de
Proyecto SGSI Implementación del SGSI en el Macroproceso de Sistemas
Verificación, a los interesados claves.
Documentos Entregar la documentación del Sistema de Gestión de Establecido en el
Entregables Seguridad de la Información. cronograma del Proyecto
SGSI.

5.4 Gestión de Riesgos

 Los riesgos identificados serán inmediatamente informados a través de un Memorando de

Riesgo, el cual es un documento para informar sobre alguna situación futura-cercana que
va a afectar los objetivos del Proyecto SGSI, sobretodo los ligados al cronograma del
Proyecto SGSI y cumplimiento de entregables.

5.5 Gestión de Cambios

___________________________________________________________________________
SENSIBLE XX- 2009
 Los procedimientos de control de cambios según el documento del Plan de Gestión de
Cambios del Proyecto SGSI, serán consistentes con los siguientes procesos.

 Una bitácora de control de cambios será establecido por el Gerente del Proyecto SGSI
para realizar un seguimiento a todos los cambios asociados con el esfuerzo del Proyecto
SGSI.

 Todos los requerimientos de cambios, enviados vía la plantilla de Control de Cambios

serán evaluados para determinar alternativas posibles y costos.

 Los requerimientos de cambio serán revisados y aprobados por el Patrocinador del

Proyecto SGSI.

 Los efectos de aprobación de los requerimientos de cambios en alcance y cronograma del

Proyecto SGSI serán reflejados en actualizaciones al plan del Proyecto SGSI.

 La bitácora de requerimientos de cambios será actualizada para reflejar el estado actual de

estos.

5.6 Gestión de Comunicaciones

Las siguientes estrategias han sido establecidas para promover la comunicación efectiva sobre
los interesados del Proyecto SGSI. Las Políticas de comunicación específicas serán
documentadas en el Plan de Gestión de las Comunicaciones del Proyecto SGSI.

 El Gerente del Proyecto SGSI presentará el Reporte de Estado del Proyecto SGSI.

 El Patrocinador será notificado por correo electrónico de todos los problemas urgentes. La
notificación de incidentes incluirá las restricciones en los tiempos e impactos, los cuales
identificaran la urgencia de requerimiento del servicio.

 Toda documentación electrónica, como parte de los entregables del Proyecto SGSI será
guardada en un repositorio central accesible por todos los interesados del Proyecto SGSI.
6. AUTORIZACIONES

 Los Entregables del Proyecto SGSI serán aprobados por:

o Gerente del Proyecto XX-[ENTIDAD PUBLICA]
o Jefe de la División de Recaudación [ENTIDAD PUBLICA]
o Oficial de Seguridad de la [ENTIDAD PUBLICA] – División de Administración
de Sistemas

___________________________________________________________________________
SENSIBLE XX- 2009
 Cuando el Equipo del Proyecto lo juzgue necesario, elevará el entregable al Comité
Gerencial, para la aprobación del mismo por parte de los integrantes de dicho comité.

___________________________________________________________________________
SENSIBLE XX- 2009
7. APROBACIÓN DEL ALCANCE DEL PROYECTO SGSI / RÚBRICAS
Nombre completo Implementación del Sistema de Gestión de Seguridad de la Información
del Proyecto SGSI: para el Macroproceso de XXXX, que realiza el XX para la [ENTIDAD
PUBLICA].
Gerente del Proyecto
SGSI – [ENTIDAD [NOMBRE DE GP ENTIDAD]
PUBLICA]

Gerente del Proyecto

[NOMBRE DE GP ]
SGSI – XX
El propósito de este documento es proveer un vehículo para documentar el esfuerzo inicial de
planificar el Proyecto SGSI. Es usado para alcanzar un nivel satisfactorio de mutuo acuerdo
respecto a la Gestión del Proyecto SGSI, antes de incurrir en realizar gastos significativos de
recursos.

He leído el contenido del presente Alcance del Proyecto SGSI y estoy de acuerdo:

Fecha
Nombre Rol Rúbrica
(dd/mm/aa)
Gerente del Proyecto XX-
[ENTIDAD PUBLICA]

Jefe de División de
Recaudación [ENTIDAD
PUBLICA]

[CARGO ENTIDAD]
Gerente del Proyecto SGSI –
[ENTIDAD PUBLICA]

Gerente del Proyecto SGSI

Profesional de la División de
Proyectos [ENTIDAD
PUBLICA]

___________________________________________________________________________
SENSIBLE XX- 2009
Las rúbricas indican un entendimiento del propósito y contenido de este documento. Al
firmarlo, acuerdan que el presente documento es el documento formal del Alcance del
Proyecto SGSI.

___________________________________________________________________________
SENSIBLE XX- 2009