Guia para la elaboración del marco normativo SGSI
Durante el año 2007, Firma-E, Proyectos y Formación ha trabajado en la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.
Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, desde Firma, Proyectos y Formación S.L. hemos considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos. Hemos creído interesante comentar lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos nuestra recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica desde la experiencia que Firma, Proyectos y Formación ha desarrollado en la ejecución de este tipo de proyectos y otros similares relacionados con el desarrollo de normas y procedimientos de seguridad de la información.
Descargar Guía
Fuente: Firma-e
Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, desde Firma, Proyectos y Formación S.L. hemos considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos. Hemos creído interesante comentar lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos nuestra recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica desde la experiencia que Firma, Proyectos y Formación ha desarrollado en la ejecución de este tipo de proyectos y otros similares relacionados con el desarrollo de normas y procedimientos de seguridad de la información.
Descargar Guía
Fuente: Firma-e
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!