Iso 27001







[logo de la organización]
[nombre de la organización]


PLAN DEL PROYECTO
para la implementación del Sistema de gestión de Seguridad de la información

Código:

Versión:

Fecha de la versión:

Creado por:

Aprobado por:

Nivel de confidencialidad:



Historial de modificaciones
Fecha
Versión
Creado por
Descripción de la modificación
10/01/2013
0.1Dejan Kosutic
Descripción básica del documento


























Tabla de contenido




1. Objetivo, alcance y usuarios
El objetivo del Plan del proyecto es definir claramente el propósito del proyecto de implementación del Sistema de Gestión de Seguridad de la Información (SGSI), los documentos que se redactarán, los plazos y las funciones yresponsabilidades del proyecto.
El Plan del proyecto se aplica a todas las actividades realizadas en el proyecto de implementación del SGSI.
Los usuarios de este documento son los miembros de la [alta dirección] y los miembros del equipo del proyecto.

2. Documentos de referencia
Norma ISO/IEC 27001
Norma ISO 22301
Norma BS 25999-2
[decisión u otro documento similar que establezca el lanzamiento delproyecto]
[metodología para la gestión del proyecto]

3. Proyecto de implementación del SGSI
3.1. Objetivo del proyecto
Para implementar el Sistema de Gestión de Seguridad de la Información en conformidad con la norma ISO 27001, a más tardar, hasta el [fecha].

3.2. Resultados del proyecto
Durante el proyecto de implementación del SGSI, se redactarán los siguientes documentos(algunos de los cuales contienen apéndices no mencionados aquí en forma expresa):
Procedimiento para control de documentos y registros: procedimiento que establece las reglas básicas para la redacción, aprobación, distribución y actualización de documentos y registros.
Procedimiento para identificación de requisitos: procedimiento para identificar obligaciones legales, normativas, contractuales yde otra índole.
Alcance del Sistema de Gestión de Seguridad de la Información: un documento que define en forma precisa los activos, ubicaciones, tecnología, etc. que forman parte del alcance.
Política de seguridad de la información: este es un documento clave que utiliza la dirección para controlar la gestión de la seguridad de la información.
Metodología de evaluación y tratamiento deriesgos: describe la metodología para gestionar los riesgos de la información.
Cuadro de evaluación de riesgos: el cuadro es el resultado de la evaluación del valor, de las amenazas y vulnerabilidades de los activos.
Cuadro de tratamiento de riesgos: un cuadro en el que se seleccionan los controles de seguridad adecuados para cada riesgo inaceptable.
Informe sobre evaluación de riesgos y tratamientodel riesgo: un documento que incluye todos los documentos clave generados en el proceso de evaluación y tratamiento de riesgos.
Declaración de aplicabilidad: un documento que determina los objetivos y la aplicabilidad de cada control establecido en el Anexo A de la norma ISO 27001.
Procedimiento para Auditoría interna: define cómo se seleccionan los auditores, cómo se redactan los programas deauditoría, cómo se realizan las auditorías y cómo se informan los resultados de las mismas.
Procedimiento para acciones correctivas: describe el proceso de implementación para acciones correctivas y preventivas.
Formulario para minutas de revisión por parte de la dirección: un formulario que se utiliza para crear minutas de las reuniones que la dirección realiza para revisar la adecuación delSGSI.
Plan de tratamiento del riesgo: un documento que especifica los controles que se deben implementar, quién es responsable de la implementación, de los plazos y de los recursos.

En el Plan de tratamiento del riesgo se especifican otros documentos que deben redactarse durante la implementación del SGSI.

Durante el proyecto de implementación de gestión de continuidad del negocio se...