Declaración de aplicabilidad
※ Download: Declaracion de aplicabilidad iso 27001
Políticas y objetivos de seguridad de la información La política de seguridad de la información generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Por otra parte es normal que muchos de estos controles ya son implantados por la empresa, porque de modo natural ya existen numerosas salvaguardas de seguridad desarrolladas en una compañía. Procedimientos de la continuidad del negocio Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperación para el sector comercial de la organización y planes de recuperación ante desastres planes de recuperación para infraestructura de TI.
El SoA puede encontrarse en el formato que más convenga a una organización; lo relevante es su contenido, que en general debe incluir los objetivos de control y controles seleccionados del estándar, las razones por las cuales han sido seleccionados y medidas de seguridad adicionales si es el caso. Los Paquetes de Documentos sobre ISO 27001 e ISO 22301 fueron desarrollados especialmente para pequeñas y medianas empresas para minimizar el tiempo y los costes de implementación.
¿Qué es una Declaración de Aplicabilidad (SoA) y para qué sirve? - Para llevar a cabo el SoA, una posibilidad es utilizar PILAR, una vieja conocida de todos los que en este mundillo hemos tenido que realizar un análisis de riesgos y que nos permite establecer los controles derivados de la LOPD, del Anexo II del ENS y Anexo A de la ISO 27001. De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información.
La declaración de aplicabilidad es uno de los tantos documentos que tienen que ser redactados por exigencia de la norma ISO27001. Se trata de una declaración de aplicabilidad documentada que detalla los objetivos de control aplicables al Sistema de Gestión de Seguridad de la Información SGSI. Estos objetivos se basan en el rendimiento de los medios de valoración y tratamiento de los riesgos, responsabilidades contractuales y requisitos legales o del negocio de la empresa para la seguridad de la información. Hoy en día la información es un activo esencial para el funcionamiento de una organización. La existencia de cualquier tipo de contrariedad de la seguridad de la información en la organización no podrá volverse a obtener. Este es el principal motivo por el que se hace necesaria la implantación de este sistema de la norma ISO-27001, para tener la certeza de que la seguridad de la información empresarial está bien protegida. Asiduamente en las empresas existe una gestión descoordinada de la seguridad de la información, por ello la implantación de un SGSI logra una armonización dirigida a orientar los recursos y esfuerzos hacia la consecución de los objetivos establecidos por las empresas. Una vez examinados los efectos que pueden tener lugar dependiendo del tratamiento de los posibles riesgos sobre los activos de la empresa, un SGSI respalda una apropiada gestión de la seguridad empresarial. La gestión de la seguridad tiene que ser un proceso constante de mejora y adecuación a las variaciones de las empresas relacionadas con las tecnologías o los procesos del negocio. El desarrollo de la seguridad de la información se lleva a cabo a partir de tres dimensiones: la integridad, la disponibilidad y la confidencialidad. La Plataforma Tecnológica es una herramienta perfecta que prepara el proceso de implementación del SGSI de acuerdo con la norma ISO 27001, mediante la automatización, gestión y control del sistema de gestión. Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra.
Por último, los controles seleccionados llevan consigo unas salvaguardas que habrá que identificar y valorar según el estado de la organización ya que éstas mitigan el riesgo. Algunos se preguntan o nos hemos preguntado en alguna ocasión: ¿por qué tengo que justificar los controles que implanto. Además, su empresa de tarjeta de crédito también tiene medidas de seguridad en caso de compras fraudulentas. ¿Qué ventajas se obtienen al formular un SoA. ¿De qué me sirve tener un listado completo de los controles. Con nuestra sencilla estructura de preguntas y respuestas verá una representación visual de qué secciones concretas del Sistema de Gestión de Calidad ya ha aplicado, y las que aún le quedan por hacer. Toda la información personal, como el nombre, número de tarjeta de crédito y dirección, está encriptada para que no pueda ser leída durante la transmisión. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento política, declaracion de aplicabilidad iso 27001, instrucciones de funcionamiento, etc.
