Si recién está comenzando con ISO 27001, le proponemos 8 pasos para ayudarlo en la iniciativa de implementar un Sistema de Gestión de Seguridad de la Información (SGSI)

 

Paso 1: Reúna un equipo de implementación.

Su primera tarea es nombrar un líder de proyecto y-o comité para supervisar y liderar la implementación del SGSI. El líder debe tener conocimiento sobre seguridad de la información y guiarse por: ¿qué esperamos lograr?, ¿cuánto tiempo tomará?, ¿estimación de la inversión?, ¿tiene el proyecto apoyo de gestión?

Paso 2: Formular, sensibilizar e iniciar con el plan de implementación

Definir plan, actividades, cronograma para las fases: inicial, gestión de riesgos y formación, gobierno. El equipo de implementación utilizará su mandato del proyecto para crear un esquema más detallado de la implementación, plan, comunicación, sensibilización y entrenamiento. 

Paso 3: Definir política general y alcance del SGSI

El siguiente paso es obtener un sentido más amplio del marco del SGSI. El proceso para hacer esto se describe en las cláusulas 4 y 5 de la norma ISO 27001. Si su alcance es demasiado pequeño, entonces deja la información expuesta, poniendo en peligro la seguridad de su organización. Pero si su alcance es demasiado amplio, el SGSI se volverá demasiado complejo de administrar.

Paso 4: Identifique su línea de base de seguridad

La línea de base de seguridad de una organización es el nivel mínimo de actividad requerido para realizar negocios de forma segura. Pueden identificar su línea de base de seguridad con la información recopilada en la evaluación de riesgos ISO 27001, la línea base le ayudará a identificar también las vulnerabilidades de seguridad de su organización.

Paso 5: Establecer un proceso de gestión de riesgos y evaluar los riesgos

La gestión de riesgos alineada con los activos de información para priorizar las medidas a tomar de salvaguarda. Para asegurarse de que estos controles sean efectivos, deberá verificar que el personal pueda operar o interactuar con los controles y que esté al tanto de sus obligaciones de seguridad de la información.

Paso 6: Implementar un plan de tratamiento de riesgos

La implementación del plan de tratamiento de riesgos es el proceso de construcción de los controles de seguridad que protegerán los activos de información de su organización. Para asegurarse de que estos controles sean efectivos, deberá verificar que el personal pueda operar o interactuar con los controles y que esté al tanto de sus obligaciones de seguridad de la información.

Paso 7: Medir, monitorear y revisar el SGSI

Para saber si su SGSI está funcionando o no realice la auditoría interna y el plan de acción para las acciones correctivas y oportunidades de mejora. No existe una forma específica de realizar una auditoría ISO 27001, lo que significa que es posible realizar la evaluación para cada área. Esto ayuda a evitar pérdidas significativas de productividad y garantiza que los esfuerzos de su equipo no se distribuyan demasiado en varias tareas.

Paso 8: Certifique su SGSI

Una vez que el SGSI esté operando, puede optar por buscar la certificación ISO 27001, en cuyo caso debe prepararse para una auditoría externa. Las auditorías de certificación se llevan a cabo en dos etapas, la auditoría inicial determina si el SGSI de la organización se ha desarrollado de acuerdo con los requisitos de ISO 27001. Si el auditor está conforme, realizará una investigación más exhaustiva.

 

¿Obtener consultoría para la implementación de ISO 27001?

La consultoría para la implementación de ISO 27001 de Logopolis le permite desarrollar capacidad instalada, disponemos de formación virtual:

  • Líder Implementador ISO 27001, curso virtual de autoformación de 24 horas
  • Auditor de TI, curso virtual de autoformación de 24 horas

 

 

 

Nuestros Clientes