viernes, 18 de enero de 2008

Guia para la elaboración del marco normativo SGSI

Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:

  • Made policies are easy de Charles Cresson Wood.

  • Writing Information Security Policies de Scott Barman.

  • Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier


El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.
 
;