Se presentan a continuación las líneas que se consideran de especial interés para la aplicación de esta norma.
Los párrafos siguientes son una breve descripción de los puntos que se considerarán en este texto para
poder llegar finalmente y avalando la importancia de la documentación que es necesaria preparar y
mantener.
Se consideró importante el mantener la misma puntuación que emplea el Estándar Internacional, para que, si fuera necesario, se pueda acceder directamente al mismo, para ampliar cualquier aspecto, por lo tanto, la numeración que sigue a continuación, no respeta la de este texto, pero sí la de la norma.
Introducción:
General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones.
Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización.
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.
Este estándar internacional adopta también el modelo Plan-Do-Check-Act (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:
Aplicación:
Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma.
Estas cláusulas son:
4. ISMS.
5. Responsabilidades de la Administración
6. Auditoría Interna del ISMS
7. Administración de las revisiones del ISMS
8. Mejoras del ISMS.
(Estas cláusulas realmente conforman el cuerpo principal de esta norma)
Cualquier exclusión a los controles detallados por la norma y denominados como necesarios para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente.
Normativas de referencia:
Para la aplicación de este documento, es indispensable tener en cuenta la última versión de:
ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management
Se consideró importante el mantener la misma puntuación que emplea el Estándar Internacional, para que, si fuera necesario, se pueda acceder directamente al mismo, para ampliar cualquier aspecto, por lo tanto, la numeración que sigue a continuación, no respeta la de este texto, pero sí la de la norma.
Introducción:
General:
Este estándar fue confeccionado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación, ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las soluciones.
Aproximación (o aprovechamiento) del modelo:
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización.
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.
Este estándar internacional adopta también el modelo Plan-Do-Check-Act (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:
- Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.
- Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
- Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
- Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.
Aplicación:
Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no son aceptables cuando una organización solicite su conformidad con esta norma.
Estas cláusulas son:
4. ISMS.
5. Responsabilidades de la Administración
6. Auditoría Interna del ISMS
7. Administración de las revisiones del ISMS
8. Mejoras del ISMS.
(Estas cláusulas realmente conforman el cuerpo principal de esta norma)
Cualquier exclusión a los controles detallados por la norma y denominados como necesarios para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente.
Normativas de referencia:
Para la aplicación de este documento, es indispensable tener en cuenta la última versión de:
ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management
Alejandro Corletti Estrada