¿Qué documentación implica un Sistema de Gestión de Seguridad de la Información?

Sistema de Gestión de la Seguridad de Información

Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.

La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.

Uno de los requerimientos que exige un SGSI es el Control de la Documentación,  de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada ha dicho SGSI.

Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.

¿Cuáles son los documentos obligatorios de un SGSI?

Se trata de los siguientes:

• Alcance del SGSI:

Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc abarca el SGSI.

• Política del SGSI:

Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.

• Metodologías para la gestión del Riesgo:

Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.).

• Informe de Evaluación del Riesgo:

Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.

• Plan de Tratamiento de Riesgos:

Es un documento en el que a partir de la evaluación del riesgo y los objetivos  de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.

• Declaración de Aplicabilidad:

Es un documento  en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.

• Procedimientos para el control de la documentación:

Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.

• Registros:

Son documentos que evidencien el constante y correcto funcionamiento de SGSI.

• Autorización y compromiso de la Dirección con el SGSI

Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.

Software ISOTools

El software ISOTools es una herramienta de gestión integral de los SGSI, que permite gestionar el Ciclo de Vida de la documentación propia del sistema, con la posibilidad de gestionar las alertas que avisen a los responsables, distribución de la documentación, control de versiones y responsabilidades, etc.