Establecer e Implementar el SGSI

Requisitos Generales
La organizacin debe establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la documentacin del SGSI en el contexto de las actividades de negocios global de la organizacin y se corren altos riesgos.

Establecer y gestionar el SGSI

Establecer el SGSI a) Definir el alcance y los lmites del SGSI en trminos de caractersticas de negocios, la organizacin, su lugar, los activos y la tecnologa, incluyendo los detalles y la justificacin de cualquier exclusin del mbito de aplicacin. b) Definir una poltica de SGSI en trminos de las caractersticas de las empresas, la organizacin, su ubicacin, los activos y la tecnologa que:

1. Incluye un marco para establecer objetivos y establecer una direccin general y los principios para la accin relacionados con la seguridad de la informacin. 2. Tiene en cuentas comerciales, legales y / o reglamentarias y las obligaciones contractuales de seguridad. 3. Se alinea con el contexto estratgico para la gestin de riesgos de la organizacin en la que el establecimiento y el mantenimiento del SGSI se producir. 4. Establecer los criterios en que se evaluar el riesgo. 5. Ha sido aprobado por la direccin.

c) Definir el enfoque de anlisis / evaluacin de riesgos de la organizacin.

1. Identificar una metodologa para la evaluacin de anlisis de riesgo / que es adecuado para el SGSI y los requisitos informacin legal, reglamentario y de seguridad detectadas por la empresa. 2. Desarrollar criterios de riesgos aceptables y determinar niveles aceptables de riesgo. La metodologa de anlisis / evaluacin de riesgos debe garantizar que el anlisis seleccionado / evaluaciones de riesgos producir resultados comparables y reproducibles.

d) Identificar los riesgos.

1. Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. 2. Identificar las amenazas a los activos. 3. Identificar las vulnerabilidades que pueden ser explotadas por las amenazas. 4. Identificar los impactos que la prdida de confidencialidad, integridad y disponibilidad pueden causar para los activos.

e)

Revisar y evaluar los riesgos.

1. Evaluar los impactos de negocio de la organizacin que pueden resultar de fallas de seguridad, lo en cuenta las consecuencias de una prdida de confidencialidad, integridad o disponibilidad activos. 2. Evaluar la probabilidad realista de la ocurrencia de violaciones de seguridad a la luz de las amenazas y vulnerabilidades prevalente, y los impactos asociados a estos activos y los controles aplicados en la actualidad. 3. Estimacin de los niveles de riesgo. 4. Determinar si los riesgos son aceptables o si requiere tratamiento con los criterios de aceptacin de riesgo establecidos.

f) Identificar y evaluar opciones para el tratamiento de los riesgos. Las acciones posibles incluyen:
1. Aplicar controles adecuados. 2. Aceptar los riesgos que a sabiendas y de manera objetiva, clara, siempre que cumplan las polticas de organizacin y los criterios para la aceptacin de los riesgos. 3. Evitar los riesgos. 4. La transferencia de los riesgos asociados con el negocio a otras partes, por ejemplo, los aseguradores y proveedores.

g) Seleccione los objetivos de control y controles para el tratamiento del riesgo. Los objetivos de control y los controles deben seleccionarse y aplicarse para cumplir los requisitos identificados por anlisis de evaluacin y riesgo y el proceso de manejo de riesgos. Esta seleccin debe considerar los criterios para la aceptacin de riesgos (vase 4.2.1c) 2)), as como los requisitos legales, reglamentos y contratos.

Los objetivos de control y controles en el Anexo A deben ser seleccionados como parte de este proceso como adecuados para cubrir estos requisitos. Los objetivos de control y controles que se enumeran en el anexo A no son exhaustivos, y los objetivos de control y controles adicionales tambin se pueden seleccionar.

h) Obtener la aprobacin de la gestin de los riesgos residuales propuestos. i) Obtener autorizacin de la administracin para implementar y operar el SGSI.

j) Elaborar una Declaracin de Aplicabilidad. Una Declaracin de Aplicabilidad sern preparados, incluyendo las siguientes: 1. Los objetivos de control y controles seleccionados y las razones para su seleccin. 2. Los objetivos de control y los controles implementados en la actualidad. 3. La exclusin de cualquier objetivo de control y controles en el anexo A y la justificacin de su exclusin.

NOTA: La Declaracin de Aplicabilidad ofrece un resumen de las decisiones relativas al tratamiento de los riesgos. La justificacin de las exclusiones proporciona un control cruzado que no hay control se omiti involuntariamente.

Implementar y operar el SGSI

La organizacin debe: a) Formular un plan de tratamiento de riesgo que identifica la accin adecuada gestin, recursos, responsabilidades y las prioridades para la gestin de los riesgos de seguridad. b) Aplicar el plan de tratamiento del riesgo para alcanzar los objetivos de control identificados ,incluyendo consideraciones de financiacin y la asignacin de roles y responsabilidades. c) Implementar controles seleccionados para cumplir con los objetivos de control.

d) Definir cmo medir la eficacia de los controles o grupos de controles seleccionados y especificar cmo medidas deben ser utilizados para evaluar la eficacia de los controles con el fin de obtener resultados comparables y reproducible. NOTA: La medicin de la eficacia de los controles permiten a los administradores y el personal para determinar cmo lleg a los controles satisfactoriamente los objetivos de control previstos.

e) Implementar la formacin y programas de sensibilizacin. f) Gestionar las operaciones del SGSI. g) Administrar los recursos para el SGSI.

Supervisar y revisar el SGSI

La organizacin debe: a) Aplicar procedimientos de seguimiento y revisin y otros controles para:

1. 2. 3.

4.

5.

Rpidamente detectar errores en los resultados del tratamiento. Identificar rpidamente intento de violaciones de seguridad y xito, y los incidentes de seguridad informacin. Que la direccin pueda determinar si las actividades de proteccin en las personas en o informacin implementado a travs de tecnologa de la informacin se realiza como se esperaba. Para ayudar a detectar los eventos de seguridad y prevencin de incidentes de seguridad de informacin informacin mediante el uso de indicadores . Determinar si las medidas adoptadas para resolver una violacin de la seguridad son eficaces.

b) Llevar a cabo revisiones peridicas de la eficacia de los SGSI (reuniones, incluyendo la poltica y los objetivos SGSI y revisin de los controles de seguridad), teniendo en cuenta los resultados de las auditoras de la seguridad de la informacin, los incidentes de seguridad de la informacin, los resultados de eficacia de las medidas sugerencias y comentarios de todos los interesados. c) Medir la eficacia de los controles para verificar que los requisitos de seguridad se han cumplido.

d) Revisar los anlisis y evaluaciones de riesgo a intervalos planificados y el anlisis de los riesgos residual y aceptables niveles de riesgo identificados, teniendo en cuenta los cambios a:
1. 2. 3. 4. 5. 6. La organizacin. Las tecnologas. Los objetivos y procesos de negocio. Las amenazas identificadas. La eficacia de los controles implementados. Los acontecimientos externos, como cambios en el entorno legal o reglamentario, los cambios en obligaciones contractuales y los cambios en el clima social.

e) La realizacin de auditoras internas del SGSI en intervalos planificados. NOTA Las auditoras internas, a veces llamado auditoras de primera parte son realizadas por o en nombre de propia organizacin para fines internos. f) Llevar a cabo una revisin del SGSI de forma regular para garantizar que el alcance sigue siendo apropiada y que las mejoras se identifican en el proceso de SGSI. g) Actualizacin de seguridad de la informacin tiene previsto tener en cuenta los resultados de las actividades seguimiento y revisin.