PMG SSI: Etapa II – La Planificación
PMG SSI
ISO 27001 |
En el post anterior vimos la primera de las cuatro etapas de la implementación del Plan de Mejora de la Gestión del Sistema de Seguridad de la Información, el Diagnóstico.
Hoy nos dedicaremos a revisar la segunda etapa: La Planificación
Las acciones a realizar en esta segunda etapa son las siguientes:
– Manifiesto de la Política General de Seguridad de la Información, que debe quedar establecida a través de una Resolución por el Jefe Superior del Servicio.
– Designación a través de una Resolución del Encargado de Seguridad de la Información.
– Formación del Comité de Seguridad de la Información.
– Establecimiento del Plan General de Seguridad de la Información institucional del año en curso y siguientes, basándose en los controles no cumplidos.
– Realización del Programa de Trabajo Anual que guiará la implementación.
– Definición de los indicadores que van a evaluar el cumplimiento o no de la eficacia del Sistema.
En esta fase de Planificación, al igual que en el resto hay una serie de entregables que mencionamos a continuación, siendo acumulativos:
ISO 27001 |
– Política General de Seguridad de la Información (PGSI)
Esta puede ser un documento y/o resolución que garantice la declaración de compromiso de la institución de acuerdo a los objetivos marcados.
– Resolución del nombramiento del Encargado de Seguridad
Esta resolución queda en el marco de la PGSI y en ella el Jefe de Servicio designa al Encargado de Seguridad que se encargará velar por la correcta implementación de las políticas de seguridad, coordinar la respuesta ante posibles incidentes y ser el punto de enlace entre los distintos organismos públicos expertos externos para mantenerse actualizado en materia de SI.
– Resolución o Acta de Constitución del Comité de Seguridad.
Se debe establecer un Comité presidido por el Encargado de Seguridad, un Jefe Operaciones o Tecnologías de Información, un Jefe de Recursos Humanos, un Encargado de Calidad, Encargado de Riesgos, un Asesor Jurídico y Jefes de Áreas Funcionales o encargados de procesos.
– Planilla del Plan General de Seguridad de la Información.
Esta debe elaborarse para el año en curso y los siguientes y en base a la política general de la institución, el nombramiento del Encargado y la conformación del CSI.
Para la elaboración de este documento se deben tener en cuenta los resultados de la etapa I: diagnóstico, riesgos responsables del desarrollo, plazos y brechas detectados en dicha etapa.
– Programa de Trabajo Anual.
En él deben de detallarse las actividades del año con hitos, plazos, responsables, acciones, etc. a cumplir por los funcionarios.
– Planilla de Definición de indicadores.
Los indicadores nos van a servir para evaluar la efectividad de la implantación del SSI, por ello se analizarán los resultados en la etapa de Evaluación, para lograr el mejoramiento continuo.
Software para ISO 27001
La Herramienta ISOTools permite la implementación del PMG SSI, destacando para esta segunda fase de Planificación la potencia que tiene en cuanto al establecimiento, medición y seguimiento de indicadores para la toma de decisiones.