Sistema de Gestión de la Seguridad de la Información (SGSI)
Enviado por nati0 • 28 de Agosto de 2013 • Informe • 523 Palabras (3 Páginas) • 560 Visitas
Sistema de Gestión de la Seguridad de la Información
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según la norma ISO 27001.
Ventajas
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:
• Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
• Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
• Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
• El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora.
Cuatro fases del sistema de gestión de seguridad de la información
La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.
Las fases son las siguientes:
• La Fase de planificación: esta fase sirve para planificar la organización básica
...