MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4. Compon<strong>en</strong>tes Principales de un Sistema de Gestión de la Seguridad<br />
de la Información –SGSI<br />
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los sigui<strong>en</strong>tes<br />
docum<strong>en</strong>tos (<strong>en</strong> cualquier formato o tipo de medio):<br />
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluy<strong>en</strong>do una<br />
id<strong>en</strong>tificación clara de las dep<strong>en</strong>d<strong>en</strong>cias, relaciones y límites que exist<strong>en</strong> <strong>en</strong>tre el alcance y aquellas<br />
partes que no hayan sido consideradas (<strong>en</strong> aquellos casos <strong>en</strong> los que el ámbito de influ<strong>en</strong>cia del<br />
SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos,<br />
sistemas o tareas concretas).<br />
• Política y objetivos de seguridad: docum<strong>en</strong>to de cont<strong>en</strong>ido g<strong>en</strong>érico que establece el<br />
compromiso de la Alta Dirección y el <strong>en</strong>foque de la organización <strong>en</strong> la gestión de la seguridad de la<br />
información.<br />
• Estándares, Procedimi<strong>en</strong>tos, y Guías que soportan el SGSI: aquellos docum<strong>en</strong>tos y<br />
mecanismos que regulan el propio funcionami<strong>en</strong>to del SGSI. Docum<strong>en</strong>tación necesaria para<br />
asegurar la planificación, operación y control de los procesos de seguridad de la información, así<br />
como para la medida de la eficacia de los controles implantados -Métricas.<br />
• Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se<br />
realizará la evaluación de las am<strong>en</strong>azas, vulnerabilidades, probabilidades de ocurr<strong>en</strong>cia e impactos<br />
<strong>en</strong> relación a los activos de información cont<strong>en</strong>idos d<strong>en</strong>tro del alcance seleccionado), tratami<strong>en</strong>to y<br />
desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.<br />
• Informe de evaluación de riesgos –Risk Assessm<strong>en</strong>t: estudio resultante de aplicar la<br />
metodología de evaluación anteriorm<strong>en</strong>te m<strong>en</strong>cionada a los activos de información de la<br />
organización.<br />
• Plan de tratami<strong>en</strong>to de riesgos: docum<strong>en</strong>to que id<strong>en</strong>tifica las acciones de la Alta Dirección, los<br />
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la<br />
información, <strong>en</strong> función de las conclusiones obt<strong>en</strong>idas de la evaluación de riesgos, de los objetivos<br />
de control id<strong>en</strong>tificados, de los recursos disponibles, etc.<br />
Página 18 de 207