Implantación del SGSI

ISO 27001 exige que el SGSI contemple los siguientes puntos:

• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
• Mejora continua del SGSI.

La documentación del SGSI deberá incluir:

• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo.
• Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de  seguridad de la información y de medición de la eficacia de los controles.
• Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-).
• Procedimiento de gestión de toda la documentación del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:

• Política de seguridad.
• Asignación de responsabilidades de seguridad.
• Formación y capacitación para la seguridad.
• Registro de incidencias de seguridad.
• Gestión de continuidad del negocio.
• Protección de datos personales.
• Salvaguarda de registros de la organización.
• Derechos de propiedad intelectual.