sin nimo de lucro) e independientemente de su tamao (pequea, mediana o gran empresa), tipo o naturaleza. (Avellaneda) General: Este estndar fue confeccionado para proveer un modelo para el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del ISMS, la adopcin del ISMS debe ser una decisin estratgica de la organizacin, pues el mismo est influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamao y la estructura de la empresa, la dinmica que implica su aplicacin, ocasionar en muchos casos la escalada del mismo, necesitando la misma dinmica para las soluciones. Una organizacin necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentacin de los mismos. Este estndar internacional adopta tambin el modelo Plan-DoCheck-Act (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente: Plan (Establecer el ISMS): Implica, establecer a poltica ISMS, sus objetivos, procesos, procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad de la informacin, entregando resultados acordes a las polticas y objetivos de toda la organizacin. Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la poltica, controles, procesos y procedimientos. Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relacin a la poltica del ISMS, evaluar objetivos, experiencias e informar los resultados a la administracin para su revisin. Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditoras internas y revisiones del ISMS o cualquier otra informacin relevante para permitir la continua mejora del ISMS. Aplicacin: Estas clusulas son: 1) ISMS. 2) Responsabilidades de la Administracin 3) Auditora Interna del ISMS 4) Administracin de las revisiones del ISMS 5) Mejoras del ISMS.
(Estas clusulas realmente conforman el cuerpo principal de esta
norma) Cualquier exclusin a los controles detallados por la norma y denominados como necesarios para satisfacer los criterios de aceptacin de riegos, debe ser justificada y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estndar internacional, no ser aceptable, a menos que dicha exclusin no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de informacin que se hayan determinado a travs de la evaluacin de riesgos, y sea a su vez aplicable a las regulaciones y legislacin vigente. NOTA: el ISMS incluye las polticas, planes, actividades, responsabilidades, prcticas, procedimientos, procesos y recursos. ISMS (Information Security Managemet System). Requerimientos generales: La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y mejorar un documentado ISMS en el contexto de su propia organizacin para las actividades globales de su negocio y de cara a los riesgos. Para este propsito esta norma el proceso est basado en el modelo PDCA Control de documentos: Todos los documentos requeridos por el ISMS sern protegidos y controlados. Un procedimiento documentado deber establecer las acciones de administracin necesarias para: Aprobar documentos y prioridades o clasificacin de empleo. Revisiones, actualizaciones y reprobaciones de documentos. Asegurar que los cambios y las revisiones de documentos sean identificados. Asegurar que las ltimas versiones de los documentos aplicables estn disponibles y listas para ser usadas. Asegurar que los documentos permanezcan legibles y fcilmente identificables. Asegurar que los documentos estn disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificacin. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribucin de documentos. Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificacin para poder acceder a ellos y que queden almacenados para cualquier propsito Responsabilidades de administracin:
La administracin proveer evidencias de sus compromisos para el
establecimiento, implementacin, operacin, monitorizacin, mantenimiento y mejora del ISMS a travs de: Anlisis de ISO-27001:205 - Establecimiento de la poltica del ISMS - Asegurar el establecimiento de los objetivos y planes del ISMS. - Establecer roles y responsabilidades para la seguridad de la informacin. - Comunicar y concienciar a la organizacin sobre la importancia y apoyo necesario a los objetivos propuestos por la poltica de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto. - Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS - Decidir los criterios de aceptacin de riesgos y los niveles del mismo. - Asegurar que las auditoras internas del ISMS, sean conducidas y a su vez conduzcan a la administracin para la revisin del ISMS Formacin, preparacin y competencia: La organizacin asegurar que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y est en capacidad de ejecutar las tareas requeridas, para ello deber proveer las herramientas y capacitacin necesaria Auditora interna del ISMS: La organizacin realizar auditoras internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podr auditar su propio trabajo, ni cualquier otro que guarde relacin con l. Administracin de las revisiones del ISMS: Las revisiones mencionadas en el punto anterior debern llevarse a cabo al menos una vez al ao para asegurar su vigencia, adecuacin y efectividad. Estas revisiones incluirn valoracin de oportunidades para mejorar o cambiar el ISMS incluyendo la poltica de seguridad de la informacin y sus objetivos. Los resultados de estas revisiones, sern claramente documentados. Mejoras al ISMS La organizacin deber mejorar continuamente la eficiencia del ISMS a travs del empleo de la poltica de seguridad de la informacin, sus objetivos, el resultado de las auditoras, el anlisis y monitorizacin de eventos, las acciones preventivas y correctivas y las revisiones de administracin. Acciones correctivas: La organizacin llevar a cabo acciones para eliminar las causas que no estn en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos.