SGSI

By kmontenegro
  • Period: to

    ETAPA I: PLANIFICAR (P)

    ESTABLECER EL SGSI
    Se define la estructura del SGSI, se valida el alcance, los objetivos y se identifican los criterios para la evaluación de riesgos de seguridad de la información

  • 2. Acta de constitución del Proyecto

    Documento en el que se define el alcance, los objetivos y los participantes del proyecto.

  • 1. Plan del Proyecto del SGSI

    Documento donde se define el Proyecto de Implementación del Seguridad de la Información (SGSI), los documentos que se redactarán, los plazos, las funciones y responsabilidades del proyecto

  • 3. Procedimiento para el control de documentos y registros

    Documento que detalla la forma de redactar, aprobar, distribuir y actualizar los documentos y registros.

  • 4. Registro: Lista de requisitos legales, normativos, contractuales y de otra índole relacionados con la seguridad de la información

    Documento que describe los requisitos legales, normativos, contractuales y de otra índole relacionados con la seguridad de la información.

  • 6. Política General de Seguridad de la Información

    Es un documento o puede ser un capitulo dentro de otro documento que define la forma en que la dirección controla la gestión de la seguridad de la información.

  • 7. Informe de Análisis de brechas - GAP

    Documento que permite identificar el nivel de cumplimiento en relación a la ISO 27001.

  • 5. Alcance del SGSI

    Es un documento o puede ser un capitulo dentro de otro documento que define los activos, ubicaciones, tecnología, etc... que forman parte del SGSI.

  • 8. Metodología para la evaluación y tratamiento de riesgos

    Describe los métodos, procedimientos y parámetros para gestionar los riesgos de la información.

  • 9. Evaluación de riesgos

  • 10. Matriz de evaluación de riesgos

    Es el resultado de la evaluación del valor, de amenazas y vulnerabilidades de los activos.

  • 11. Informe de la evaluación y tratamiento de riesgo

    Documento resultante del proceso de evaluación de riesgos. Describe la base establecida para la toma de decisiones y la planificación del tratamiento de los riesgos que están expuestos.

  • 12. Declaración de aplicabilidad

    Documento que determina los objetivos y la aplicabilidad de cada control establecido en el Anexo A de la norma NTP ISO/IEC 27001:2014.
  • Period: to

    ETAPA II: HACER (H)

    IMPLANTAR Y OPERAR EL SGSI
    Se desarrollan los controles que integran la Declaración de Aplicabilidad, asimismo, se lleva a cabo la ejecución del programa de concientización de los usuarios y el equipo de administración, y se inicia la operación del SGSI.

  • 1. Plan de tratamiento del riesgo

    Documento donde se detallan los controles de seguridad adecuados para cada riesgo inaceptable de tal forma que se evidencia su tratamiento.

  • 2. Inventario de avtivos de información

    Documento que detalla la verificación, identificación y ubicación de cada uno de los bienes que la institución posee en el marco del alcance del SGSI.

  • 3. Política para el Uso aceptable de los activos

  • 4. Política para el control de acceso

  • 5. Elaboración de estándares, procedimientos, políticas y controles específicos

  • 6. Procedimiento para la gestión de incidentes

  • 7. Procedimientos para la continuidad del negocio

  • 8. Plan de sensibilización de Seguridad de la Información

    Documento que establece los propósitos, estrategias, actividades, variables, y lineamientos a seguir para lograr que las personas entiendan y se comprometan con todos los aspectos relacionados con la seguridad de la información.

  • 9. Sensibilización al personal en Seguridad de la Información

  • 10. Informe de las capacitaciones, experiencias y calificaciones

  • Period: to

    ETAPA III: VERIFICAR (V)

    MONITOREAR Y REVISAR EL SGSI
    Se realizan revisiones y auditorías al SGSI para detectar áreas de oportunidad en la eficiencia de implantación de controles de seguridad, y se determina el grado de apego del SGSI a los objetivos institucionales del INEI.

  • 1. Resultados de medición y supervisión

  • 2. Programa de auditoría interna

    Documento que establece las actividades y plazos para la ejecución de una auditoría interna.

  • 3. Ejecución auditoría interna

  • 4. Informe de la auditoría interna

  • 5.Minutas de la Revisión de la evaluación por parte del CGSI

  • Period: to

    ETAPA IV: ACTUAR (A)

    MANTENER Y MEJORAR EL SGSI
    Se realizan las correcciones necesarias con base a las observaciones de la Etapa anterior.

  • 1. Procedimiento de acciones correctivas

    Describe el proceso de implementación para acciones correctivas.

  • 2. Informe de la implementación de las mejoras identificadas del SGSI

  • 3. Informe de acciones correctivas y preventivas a implementar

    Descripción detallada de las actividades que deben realizarse como parte de las acciones correctivas y preventivas.

  • 4. Seguimiento a las no conformidades