Un sistema de gestión incluye elementos de planeación, asignación, comunicación, retroalimentación, evaluación y medición. Desde la Teoría General de Sistemas y su perspectiva funcional, incluyen: diagnostico, memoria, mantenimiento, decisión, operación, autoorganización, información, finalización, coordinación y control.
Desde el punto de vista de la ISO 27000, un Sistema de Gestión de Seguridad de la Información (SGSI) es un enfoque sistemático para administrar información confidencial de la compañía para que permanezca segura, incluye: personas, procesos y sistemas de TI mediante la aplicación de un proceso de gestión de riesgos.
El Sistema cubre: seguridad de los recursos humanos, seguridad de la información, gestión de recursos, seguridad física y del entorno TI, gestión de sistemas de información, gestión de operaciones y comunicaciones, gestión de la continuidad del negocio y conformidad. Los datos, la información para los grupos de interés y la propiedad intelectual son sus propósitos.
La estructura de documentación del SGSI incluye un nivel inicial con: Política de SI, Organización del recurso humano para gestionar la SI, Marco de Referencia para los riesgos y declaración de alcances. Un nivel dos describe los procesos (quien, que, cuando y donde) y un nivel tres describe las tareas y actividades a realizar, finalmente se valoran los registros (evidencias) de cumplimiento de requerimientos del SGSI. Consulte aquí ISO 27002 (técnicas) e ISO 27003 (guía de implementación) e ISO 27004 (métricas).
Contáctenos para darles acceso al curso virtual de auditor interno de SGSI con todas las herramientas y guías digitales para gestionar el SGSI en su empresa y organización.
