Tips auditoria

Solo disponible en BuenasTareas
  • Páginas : 19 (4607 palabras )
  • Descarga(s) : 0
  • Publicado : 8 de enero de 2011
Leer documento completo
Vista previa del texto
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Lista de apoyo para implementación de ISO 27001
Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberáseguir si desea obtener la certificación ISO 27001:
1. Obtener el apoyo de la dirección
Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen enel proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)
2. Tomarlo como un proyecto
Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que sehará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.
3. Definir el alcance
Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance dela norma ISO 27001)
4. Redactar una Política de SGSI
La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de laInformación: ¿qué nivel de detalle debería tener?)
5. Definir la metodología de Evaluación de riesgos
La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas noestán definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)
6. Realizar la evaluación y el tratamiento de riesgos
Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar estatarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.
El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).
En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados duranteel proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.
7. Redactar la Declaración de aplicabilidad
Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero,probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.
La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la...
tracking img