¿Qué documentación implica un Sistema de Gestión de la Seguridad de la Información? - Software ISO
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

¿Qué documentación implica un Sistema de Gestión de la Seguridad de la Información?

Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.

La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.

Uno de los requerimientos que exige un SGSI es el Control de la Documentación,  de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada a dicho SGSI.

Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.

Pero la duda de muchas organizaciones a la hora de establecer un SGSI es: ¿Cuáles son los documentos obligatorios de un SGSI?

Se trata de los siguientes:

  • Alcance del SGSI:

Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc.  abarca el SGSI.

  • Política del SGSI:

Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.

Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.)

  • Informe de Evaluación del Riesgo:

Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.

  • Plan de Tratamiento del Riesgo:

Es un documento en el que a partir de la evaluación del riesgo y los objetivos  de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.

  • Declaración de Aplicabilidad:

Es un documento  en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.

  • Procedimientos para el control de la documentación:

Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.

  • Registros:

Son documentos que evidencien el constante y correcto funcionamiento de SGSI.

  • Autorización y compromiso de la Dirección con el SGSI

Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.

ISOTools es una herramienta de gestión integral de los SGSI, que permite gestionar el Ciclo de Vida de la documentación propia del sistema, con la posibilidad de gestionar las alertas que avisen a los responsables, distribución de la documentación, control de versiones y responsabilidades, etc.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top