Versión 3 enero 2009
Copyright © 2009
Foro de implementación ISO 27k
www.ISO27001security.com
Política del SGSI
1. Obtener soporte
directivo
0. Inicio
Caso de negocio
Metodología de
Valoración de
Riesgos
ISO/IEC 27002
2. Definir alcance
del SGSI
Registros de las
decisiones de la
Dirección
Procedimiento de
control documental
4a. Definir
metodologías de
valoración de
riesgos
3. Inventariar
activos de
información
Reportes de
Valoración de
Riesgos
5a. Preparar la
declaración de
aplicabilidad
Declaración de
Aplicabilidad (SoA)
5b. Preparar plan de
tratamiento de
riesgos
Plan de Tratamiento
de Riesgos
4b. Realizar
valoración de
riesgos de SI
Alcance del SGSI
6. Desarrollar
programa de
implementación del
SGSI
Inventario
Registros de la
revisión al SGSI por
parte de la Dirección
Procedimientos
de SI
8. Sistema de
Gestión de
Seguridad de la
Información
Política
del SGSI
Estándares
Procedimientos
Guías
Conciencia,
formación, reporte
de pruebas, etcétera.
ISO/IEC 27001
Plan de proyecto
Procedimiento de
auditoría interna del
SGSI
Desarrollar plan de
auditoría interna del
SGSI
Procedimiento de
acción preventiva
7. Programa de
implementación del SGSI
Métricas de SI
Ciclo PDCA
(uno de muchos)
10. Revisión del
cumplimiento
Cumplimiento y
reportes de auditoría,
etcétera.
Plan de proyecto
Plan de proyecto
9. Herramientas de
operación del SGSI
Bitácoras de
seguridad, etcétera.
Plan de proyecto
11. Acciones
correctivas
Procedimiento
operativo del SGSI
Procedimiento de
acción correctiva
Procedimiento de
control de registros
12. Valoración de
pre-certificación
13. Auditoría de
certificación
Documentación de
controles
Claves
Certificado
ISO/IEC 27001
Documento
obligatorio
Planear
Implementar
(Hacer, ejecutar)
Norma
ISO/IEC
Actuar (mejorar)
Verificar (revisar)
14. Festejar!!
ISO/IEC 27002
1. Obtener gestión
de soporte
0. Inicio
2. Definir alcance
del SGSI
3. Inventariar
activos de
información
5a. Preparar la
declaración de
aplicabilidad
Declaración de
Aplicabilidad (SoA)
5b. Preparar plan de
tratamiento de
riesgos
Plan de Tratamiento
de Riesgos
4. Realizar
valoración de
riesgos de SI
Alcance del SGSI
Caso de negocio
6. Desarrollar
programa de
implementación del
SGSI
Inventario
N
Plan de proyecto
N-1
9. Artefactos operacionales
del SGSI
Bitácoras del SGSI,
etc.
Políticas
Estándares
Procedimientos
Guías
8. Sistema de
Gestión de
Seguridad de la
Información
Plan de proyecto
Desarrollar plan de
auditoría interna del
SGSI
Plan de proyecto
7. Programa de
implementación del SGSI
Ciclo PDCA
(uno de muchos)
Cumplimiento y
reportes de auditoría,
etc.
10. Revisión del
cumplimiento
11. Acciones
correctivas
Conciencia,
formación, reporte
de pruebas, etc.
Claves
12. Evaluación de la
pre-certificación
Versión 3 enero 2009
Copyright © 2009
Foro de implementación ISO 27k
www.ISO27001security.com
ISO/IEC 27001
13. Auditoría de
certificación
Actividad
Certificado
ISO/IEC 27001
14. Festejar!!
Documento de
salida
Base de datos
Norma
ISO/IEC