ISO 27001

Implementación de Sistemas de Gestión la Seguridad de la Información

Servicio de Implementación Norma ISO 27001:2013 Seguridad de la Información

Implementación del sistema de gestión de seguridad de la información SGSI bajo las directrices de la norma ISO 27001

El servicio tiene por objetivo general, realizar las actividades de implementación de un sistema de seguridad de la información, utilizando como base la metodología de implementación de la norma ISO/IEC 27000.

El desarrollo de esta consultoría garantiza a nivel organizacional la madurez requerida para enfrentar el proceso de certificación de la norma ISO 27001:2013 por la casa certificadora.

Descripción del servicio:

El Sistema de Gestión de Seguridad de la Información (SGSI) permite identificar amenazas y vulnerabilidades que afectan a los activos de información vinculados a cada proceso de la compañía.

El énfasis de esta consultoría está en el desarrollo de un plan para el tratamiento de riesgos asociados a sus activos de información, incluyendo: equipos, infraestructura tecnológica, bases de datos, softwares instalados, recursos humanos y la información que manejan en cualquier formato, ya sea físico o digital.

Al implementar el servicio su empresa podrá contra con niveles adecuados de integridad, confidencialidad y disponibilidad de los activos de información de su empresa, con el fin de asegurar la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a sus clientes, proveedores, personal y otros stakeholders.

Etapas de la implementación para la certificación ISO 27001.

Etapa 1:

  • Diagnosticar la situación de la seguridad de la información institucional
  • Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2013 y el nivel en que la organización se encuentra con respecto de ellos.
  • Determinar las brechas (GAP ANALISIS) en el Plan General de Seguridad de la Información de la empresa

Etapa 2:

  • Definir el Plan General de Seguridad de la Información institucional, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2013.
  • Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:20013 que se alcanzará para el año, hitos, cronograma, plazos y responsables.
  • Plan de mitigación de riesgos, que defina los riesgos asociados al Plan y sus acciones para resolverlos.
  • Difusión y capacitación para la sensibilización a todo el personal asociado al plan de seguridad de la información y su programa de trabajo.

Etapa 3

  • Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el plan general de seguridad de la información y el porcentaje de cumplimiento de la norma ISO/IEC 27001:2013 comprometido.
  • Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión, sensibilización y capacitación y las modificaciones realizadas según lo programado.

Etapa 4

  • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.
  • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.
  • Diseñar el Programa de Seguimiento a partir de las recomendaciones formuladas.
  • Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas.
  • Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.