5 Obtencin de la aprobacin de la gestin para iniciar un proyecto de SGSI 5.

1 Resumen de la aprobacin de la gerencia para iniciar el proyecto SGSI Hay varios factores que deben tenerse en cuenta a la hora de implementar un SGSI. Para hacer frente a estos factores, la direccin debe entender el modelo de negocio de un proyecto de implantacin del SGSI y aprobarlo. Por lo tanto el objetivo de esta fase es: Objetivo: Obtener la aprobacin de la gestin para iniciar el proyecto SGSI mediante la definicin de un modelo de negocio y el plan del proyecto. Con el fin de adquirir la aprobacin de la administracin, una organizacin debe crear un modelo de negocio que incluye las prioridades y objetivos para implementar un SGSI, adems de la estructura de la organizacin para el SGSI. El plan inicial de SGSI proyecto tambin debe ser creado. El trabajo realizado en esta fase permitir a la organizacin a comprender la importancia de un SGSI, y aclarar las funciones de seguridad de la informacin y las responsabilidades dentro de la organizacin necesaria para un proyecto de SGSI. El resultado esperado de esta fase ser la aprobacin preliminar de la gestin, y el compromiso de poner en prctica, un SGSI y realizar las actividades descritas en esta Norma Internacional. Los resultados de esta clusula incluyen un caso de negocio y un plan de proyecto de SGSI proyecto con hitos clave. Figura 3 ilustra el proceso para obtener la aprobacin de la gestin para iniciar el proyecto SGSI. NOTA: La salida de la clusula 5 (documentados compromiso de la direccin para planificar e implementar un SGSI) y una de las salidas de la Clusula 7 (resumen del documento de la situacin de seguridad de la informacin) no son requisitos de la norma ISO / IEC 27001:2005. Sin embargo, los resultados de estas actividades se recomienda de entrada a otras actividades descritas en este documento. 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Actividad Los objetivos para implementar un SGSI debe ser incluido por considerar las prioridades de la organizacin la informacin y requisitos de seguridad. Entrada a) los objetivos estratgicos de la organizacin

b) Listado de los sistemas de gestin existentes c) una lista de requisitos de seguridad legal, regulatorio y contractual de informacin aplicables a la organizacin Orientacin Con el fin de iniciar el proyecto de SGSI, la aprobacin de la gestin es generalmente necesario. Por lo tanto, la primera actividad que debe realizar es recoger la informacin pertinente que ilustra el valor de un SGSI a la organizacin. La organizacin debe aclarar por qu un SGSI es necesario y decidir los objetivos de la implementacin del SGSI y poner en marcha el Proyecto SGSI. Los objetivos para la implementacin de un SGSI puede ser determinado por contestar las siguientes preguntas: a) Gestin de riesgo - Cmo un SGSI generar una mejor gestin de los riesgos de seguridad de la informacin? b) Eficacia - Cmo puede un SGSI mejorar la gestin de seguridad de la informacin? c) las ventajas de negocio - Cmo puede un SGSI crear una ventaja competitiva para la organizacin? Para responder a las preguntas anteriores, las prioridades de seguridad de la organizacin y los requisitos son tratados por los posibles factores siguientes: a) crtica de las empresas y reas de la organizacin: 1. Cules son los negocios crticos y las reas de la organizacin? 2. Qu reas de la organizacin proporcionar a la empresa y con qu enfoque? 3. Qu relaciones de terceras partes y los acuerdos existentes? 4. Hay servicios que han sido externalizados? b) la informacin confidencial o de valor: 1. Qu informacin es fundamental para la organizacin? 2. Cules seran las posibles consecuencias si cierta informacin fuera a ser revelada a terceros no autorizados (por ejemplo, la prdida de ventajas competitivas, el dao a la marca o la reputacin, accin legal, etc)? c) Las leyes que exigen medidas de seguridad de la informacin: 1. Qu leyes relativas al riesgo para la seguridad del tratamiento y la informacin que se aplican a la organizacin? 2. Forma parte la organizacin de un organismo pblico global que se requiere para tener la informacin financiera externa? d) los acuerdos contractuales o de organizacin relativos a seguridad de la informacin: 1. Cules son los requisitos de almacenamiento (incluyendo los perodos de retencin) para el almacenamiento de datos? 2. Hay requisitos contractuales relativas a la privacidad o la calidad (por ejemplo, Service Level Agreement, SLA)?

e) los requisitos de la industria que se especifican en particular los controles de seguridad de la informacin o medidas: 1. Qu requisitos especficos de cada sector se aplican a la organizacin? f) El entorno de amenazas: 1. Qu tipo de proteccin es necesaria, y contra qu amenazas? 2. Cules son las distintas categoras de informacin que requieren proteccin? 3. Cules son los distintos tipos de actividades de informacin que deben ser protegidos? g) Los conductores competitivas: 1. Cules son las necesidades del mercado mnimo para seguridad de la informacin? 2. Qu otros controles de seguridad de la informacin debe proporcionar una ventaja competitiva para la organizacin? h) los requisitos de continuidad de negocio 1. Cules son los procesos crticos de negocio? 2. Por cunto tiempo puede la organizacin tolerar interrupciones en cada proceso de negocio crtico? El alcance del SGSI preliminares se puede determinar la respuesta a la informacin anterior. Esto tambin es para neededin para crear un modelo de negocio y el plan general del proyecto SGSI para la aprobacin de la gerencia. El alcance del SGSI detallada se definir durante el proyecto de SGSI. Los requisitos se seala en la norma ISO / IEC 27001:2005 de referencia 4.2.1 a esboza el alcance en trminos de las caractersticas del negocio, la organizacin, su ubicacin, los activos y la tecnologa. La informacin resultante de lo anterior apoya esta determinacin. Algunos de los temas que deberan tenerse en cuenta al tomar las decisiones iniciales sobre el alcance incluyen: a) Cules son los mandatos de gestin de la informacin de seguridad establecidas por la direccin de organizacin y las obligaciones impuestas externamente en la organizacin? b) Es la responsabilidad de los sistemas propuestos en el mbito de aplicacin-en poder de equipo de gestin a ms de uno (por ejemplo, personas en diferentes filiales o departamentos diferentes)? c) Cmo los documentos relacionados con el SGSI se comunicar a travs de la organizacin (por ejemplo, en papel oa travs de la intranet de la empresa)? d) Pueden los sistemas de gestin actuales necesidades de apoyo de la organizacin? Es plenamente operativo, est bien mantenido y funcionando segn lo previsto? Ejemplos de objetivos de gestin que pueden utilizarse como entrada para definir el alcance del SGSI preliminares incluyen:

a) facilitar la continuidad de negocio y recuperacin ante desastres b) mejorar la capacidad de resistencia a los incidentes c) abordar el cumplimiento legal o contractual o pasivos d) permitir la certificacin frente a otros estndares ISO / IEC e) la evolucin que permite la organizacin y la posicin f) reducir los costes de los controles de seguridad g) la proteccin de los activos de valor estratgico h) el establecimiento de un entorno de control interno sano y eficaz i) ofrecer garantas a los interesados que los activos de informacin estn debidamente protegidas Salida Los resultados de esta actividad son: a) un documento que resume los objetivos, las prioridades de seguridad de la informacin y los requisitos de organizacin de un SGSI. b) una lista de los requisitos legales, contractuales, y la industria relacionada con la seguridad de la informacin de la organizacin. c) caractersticas enumeradas de la empresa, la organizacin, su ubicacin, activos y tecnologa. Ms informacin ISO / IEC 9001:2000, ISO / IEC 14001:2004, ISO / IEC 20000-1:2005. 5.3 Definir el alcance del preliminar SGSI 5.3.1 Elaborar el anteproyecto de alcance del SGSI Actividad Los objetivos para la aplicacin del SGSI debe incluir la definicin preliminar de SGSI mbito de aplicacin, lo cual es necesario para el proyecto de SGSI. De entrada La produccin de Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI. Orientacin Para ejecutar el proyecto de implementacin del SGSI, la estructura de una organizacin para el SGSI debe ser definido. El alcance preliminar del SGSI debe ahora definir para proporcionar a la direccin de orientacin para las decisiones de aplicacin, y para apoyar otras actividades. El alcance del SGSI preliminar es necesaria para crear el modelo de negocio y el plan de proyecto propuesto para la aprobacin de la gerencia. La salida de esta etapa ser un documento que define el alcance preliminar del

SGSI, que incluye: a) un resumen de los mandatos para la gestin de la informacin de seguridad establecidas por la direccin de organizacin, as como las obligaciones impuestas externamente en la organizacin; b) una descripcin de cmo el rea (s) en el mbito de aplicacin interactuar con otros sistemas de gestin; c) una lista de los objetivos de negocio de gestin de seguridad de la informacin (tal como se desprende del artculo 5.2); d) una lista de los procesos crticos de negocio, sistemas activos de informacin, estructuras organizativas y ubicaciones geogrficas a las que el SGSI se aplicar. e) la relacin de los sistemas de gestin existentes, cumplimiento de normas, y objetivos de la organizacin; f) las caractersticas del negocio, la organizacin, su ubicacin, los activos y la tecnologa. Los elementos comunes y las diferencias de funcionamiento entre los procesos de cualquier sistema de gestin existente (s) y el SGSI propuesto debera ser identificados. Salida El entregable es un documento que describe el alcance preliminar del SGSI. Ms informacin No hay informacin especfica. Nota Especial atencin debe ser elaborado que en el caso de los requisitos de certificacin de la documentacin especfica de la norma ISO / IEC 27001:2005 como por el alcance del SGSI se ejerce con independencia de los sistemas de gestin en su lugar dentro de la organizacin. 5.3.2 Definir las funciones y responsabilidades para la preliminar alcance del SGSI Actividad Las funciones y responsabilidades generales de la preliminar alcance del SGSI debe ser definido. De entrada una salida) de la Actividad 5.3.1 Elaborar el anteproyecto de alcance del SGSI b) Lista de interesados que se beneficiarn de los resultados del proyecto SGSI. Orientacin Con el fin de ejecutar el proyecto de SGSI, el papel de una organizacin para el

proyecto debe ser determinada. La funcin general es diferente en cada organizacin, debido a la cantidad de personas que se ocupan de seguridad de la informacin. La estructura organizativa y los recursos para la seguridad de la informacin varan en funcin del tamao, tipo y estructura de la organizacin. Por ejemplo, en una organizacin ms pequea, varias funciones pueden ser llevadas a cabo por la misma persona. Sin embargo, la gestin debe identificar explcitamente el papel (por lo general jefe de seguridad de la informacin, Information Security Manager o similar) con la responsabilidad general de gestin de seguridad de la informacin, y el personal deben ser las funciones y responsabilidades asignadas sobre la base de la habilidad requerida para realizar el trabajo. Esto es crtico para asegurar que las tareas se llevan a cabo de manera eficiente y eficaz. Las consideraciones ms importantes en la definicin de los roles en la gestin de seguridad de la informacin son: a) la responsabilidad global de las tareas que se mantiene en el nivel de gestin, b) una persona (generalmente el Chief Information Security Officer) es designado para promover y coordinar el proceso de seguridad de la informacin, c) cada empleado es igualmente responsable de su tarea original y para el mantenimiento de seguridad de la informacin en el lugar de trabajo y en la organizacin. Las funciones de gestin de seguridad de la informacin deben trabajar juntos, lo que puede ser facilitado por un Foro de Seguridad de la Informacin, u organismo similar. La colaboracin con especialistas de negocio apropiado debera llevarse a cabo (y documentadas) en todas las etapas del desarrollo, implementacin, operacin y mantenimiento del SGSI. Representantes de los departamentos en el mbito identificadas (tales como la gestin de riesgo) son potenciales miembros del equipo de implementacin del SGSI. Este equipo debe mantenerse en el tamao prctico ms pequeo para la velocidad y el uso eficaz de los recursos. Estas zonas no son slo los que estn directamente incluidos en el alcance del SGSI, sino tambin las divisiones indirectos, tales como la gestin jurdica, el riesgo y los departamentos administrativos. Salida El entregable es un documento o una tabla que describe las funciones y responsabilidades con los nombres y la organizacin necesaria para aplicar con xito un SGSI. Otra informacin El anexo B se dan detalles de las funciones y responsabilidades necesarias en

una organizacin para implementar con xito un SGSI. 5.4 Crear el modelo de negocio y el plan del proyecto para la aprobacin de la gerencia Actividad La aprobacin de la gerencia y el compromiso de recursos para la ejecucin del proyecto SGSI debe ser obtenido mediante la creacin del modelo de negocio y la propuesta de proyecto SGSI. De entrada una salida) de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI b) la salida de la Actividad 5.3 Definir el alcance del SGSI preliminar - El documentado: preliminar 1. SGSI alcance y 2. funciones y responsabilidades asociadas. Orientacin La informacin para el caso de negocio y el plan inicial del proyecto SGSI debe incluir la lnea de tiempo estimado, recursos, y los hitos necesarios para las actividades principales se indica en las clusulas 6 a 9 de esta Norma Internacional. El caso de negocio y el plan inicial del proyecto SGSI servir como la base del proyecto, sino que tambin garantiza el compromiso de la gestin y aprobacin de los recursos necesarios para la implantacin del SGSI. La forma en que el SGSI implementado apoyar los objetivos del negocio contribuye a la eficacia de los procesos de organizacin y aumenta la eficiencia de la empresa. El caso empresarial para la implementacin de un SGSI debe incluir declaraciones breves vinculados a los objetivos de la organizacin y cubrir los siguientes temas: a) Metas y objetivos especficos b) se benefician a la organizacin c) el alcance preliminar de SGSI incluyendo los procesos de negocio afectados d) los procesos crticos y los factores para alcanzar los objetivos del SGSI e) informacin general de alto nivel de los proyectos f) Plan de implementacin inicial g) las funciones y responsabilidades definidas h) los recursos necesarios (tanto de la tecnologa y la gente) i) Consideraciones de implementacin, incluyendo seguridad de la informacin existente j) la lnea de tiempo con hitos clave k) los costos esperados

l) Los factores crticos de xito m) cuantificar los beneficios a la organizacin El plan del proyecto debe incluir las actividades pertinentes de las fases en la Clusula 9.6 establecidos en esta Norma Internacional. Los individuos en este sentido, o se ven afectados por el SGSI debe ser identificado y se deja tiempo suficiente para revisar y comentar sobre el caso de negocios SGSI y la propuesta de proyecto de SGSI. El caso de negocio y la propuesta de proyecto de SGSI debe actualizarse cuando sea necesario se proporciona como entrada. Una vez que se gana el apoyo suficiente, el negocio caso y la propuesta de proyecto SGSI debe ser presentado a la gerencia para su aprobacin. La administracin debe aprobar el modelo de negocio y el plan inicial del proyecto con el fin de lograr el compromiso completo de la organizacin y comenzar la ejecucin del proyecto SGSI. Los beneficios esperados de compromiso de la direccin para la implementacin de un SGSI son los siguientes: a) conocimiento y aplicacin de las leyes, regulaciones, obligaciones contractuales y normas relativas a la seguridad de la informacin, dando lugar a la evasin de responsabilidades y sanciones de incumplimiento, b) la utilizacin eficiente de los mltiples procesos de seguridad de la informacin, c) la estabilidad y mayor confianza para crecer a travs de una mejor gestin de los riesgos de seguridad de la informacin, d) la identificacin y proteccin de la informacin crtica para el negocio. Salida Los resultados de esta actividad son: a) una aprobacin documentada por la administracin para ejecutar el proyecto SGSI con los recursos asignados b) un caso de negocio documentado c) una propuesta de proyecto inicial del SGSI, con hitos, tales como la realizacin de la evaluacin de riesgos, implementacin, auditoras internas y revisin por la direccin) Otra informacin ISO / IEC 27000:2009 para ver ejemplos de factores crticos de xito para apoyar los argumentos comerciales SGSI.

6.2 Definir el alcance y los lmites de la organizacin Actividad El mbito de organizacin y los lmites deben ser definidos. De entrada una salida) de la Actividad 5.3 Definir el alcance del SGSI preliminar - El alcance documentado preliminar del SGSI que se refiere a: 1. relacin de los sistemas de gestin existentes, cumplimiento de normas, y objetivos de la organizacin; 2. caractersticas del negocio, la organizacin, su ubicacin, los activos y la tecnologa. b) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI - La aprobacin documentada por la administracin para implementar un SGSI e iniciar el proyecto con los recursos necesarios asignados. Orientacin La cantidad de esfuerzo necesario para implementar un SGSI depende de la magnitud del alcance al que se va a aplicar. Esto tambin puede afectar todas las actividades relacionadas con el mantenimiento de la seguridad de la informacin de los artculos comprendidos en el estudio (tales como procesos, instalaciones fsicas, los sistemas de TI y personas), incluyendo la implementacin y el mantenimiento de los controles, la gestin de operaciones, y llevar a cabo tareas como la identificacin de los activos de informacin y evaluar el riesgo. Si la administracin decide excluir a ciertas partes de la organizacin del alcance del SGSI, sus razones para hacerlo debe ser documentado. Cuando el alcance del SGSI se define, es importante que sus fronteras son lo suficientemente claros para explicar a aquellos que no participaron en su definicin. Algunas disposiciones en materia de seguridad de la informacin puede estar ya en existencia como resultado de la implementacin de otros sistemas de gestin. Estos se deben tomar en cuenta al planificar el SGSI, pero no necesariamente indica los lmites de la posibilidad de que el SGSI actual. Uno de los mtodos de definicin de lmites de la organizacin es identificar las reas de responsabilidad que estn superpuestas dentro de una organizacin. Responsabilidades directamente relacionadas con los activos de informacin o procesos de negocio incluido en el alcance del SGSI debe ser seleccionado como parte de la organizacin que est bajo el control del SGSI. Si bien la definicin de lmites de la organizacin los siguientes factores deben ser considerados:

un foro) SGSI debe consistir en la gestin de los directivos que participan directamente en el alcance del SGSI. b) el miembro de la administracin responsable del SGSI debe ser el que es el responsable ltimo de todas las reas de responsabilidad afectados (es decir, su papel suele ser dictados por su tramo de control y la responsabilidad dentro de una organizacin). c) En caso de que el papel responsable de la gestin del SGSI no es miembro de la alta direccin, un patrocinador de la alta direccin es esencial para representar los INTERESES de seguridad de la informacin y actuar como el defensor del SGSI en los niveles ms altos de la organizacin. d) El alcance y los lmites deben ser definidos para asegurar que todos los activos relevantes se toman en cuenta en la evaluacin del riesgo, y para hacer frente a los riesgos que puedan surgir a travs de estos lmites. Con base en el enfoque, los lmites organizacionales evidenciadas debe identificar todo el personal afectado por el SGSI, y esto debe ser incluido en el mbito de aplicacin. La identificacin del personal puede estar vinculado a los procesos y / o funciones dependiendo del enfoque seleccionado. Si algunos procesos dentro del mbito de aplicacin se subcontratan a los terceros las dependencias deben estar claramente documentados. Estas dependencias sern objeto de anlisis en el proyecto de implementacin del SGSI. Salida Los resultados de esta actividad son: a) Descripcin de los lmites de la organizacin para el SGSI, incluidas las justificaciones para las porciones de la organizacin que han sido excluidos del alcance del SGSI, b) las funciones y la estructura de las partes de la organizacin en el mbito de aplicacin del SGSI, c) la informacin intercambiada en el marco y la informacin intercambiada a travs de las fronteras d) los procesos de organizacin y las responsabilidades de los activos de informacin de alcance y el mbito exterior, e) Proceso para la jerarqua de la toma de decisiones as como la estructura dentro del SGSI. Ms informacin No hay informacin especfica.