Etapas de la implementación para la certificación ISO 27001.
Etapa 1:
- Diagnosticar la situación de la seguridad de la información institucional
- Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2013 y el nivel en que la organización se encuentra con respecto de ellos.
- Determinar las brechas (GAP ANALISIS) en el Plan General de Seguridad de la Información de la empresa
Etapa 2:
- Definir el Plan General de Seguridad de la Información institucional, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2013.
- Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:20013 que se alcanzará para el año, hitos, cronograma, plazos y responsables.
- Plan de mitigación de riesgos, que defina los riesgos asociados al Plan y sus acciones para resolverlos.
- Difusión y capacitación para la sensibilización a todo el personal asociado al plan de seguridad de la información y su programa de trabajo.
Etapa 3
- Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el plan general de seguridad de la información y el porcentaje de cumplimiento de la norma ISO/IEC 27001:2013 comprometido.
- Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión, sensibilización y capacitación y las modificaciones realizadas según lo programado.