Política de Gestión de incidentes de Seguridad de la Información

El control 16 de la nCH 27.001, siempre resulta un desafío si no se sabe por donde partir, es por eso que pensando en colaborar con la comunidad, presento una plantilla de la Política de Gestión de Incidentes de Seguridad de la información, para completar con las normativas internas de la organización, en la cual pudieran utilizarla. (¡Ya los basic deberían estar implementados, pero nunca es tarde!)

La estructura es:

ÍNDICE

CAPÍTULO

DECLARACIÓN INSTITUCIONAL 

{Detalla la importancia para la institución y alineación con el negocio}

PRINCIPIOS

{Detalla  Integridad,Confidencialidad:,Disponibilidad,Mejora Continua}

CONTENIDOS 

{Detalla que contiene este documento, de fácil entendimiento para lector, también se puede detallar palabras técnicas que pudiesen mencionar el documento}


OBJETIVO DE LA POLÍTICA 

{Detalle porque, es imperativo crear este documento}

ALCANCE 

{Detalle quien está obligado a cumplirla, sea claro}

ROLES Y RESPONSABILIDADES 

{Describa cada rol que participe en desarrollo o implementación de esta política }

ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN 

{Describa cada aspecto de la NCH 27.002 adquirida previamente, que tengan impacto en el negocio, previamente debe conocer cuales son sus riesgos, es necesario tener dicho documento, puesto los objetivos de control de cada documento figuran ahí}

  • Responsabilidades y procedimientos
  • {Describa la exigencia de este punto, con base al deberá.}
  • Reporte de eventos de seguridad de la información
  • {Describa la exigencia de este punto, con base al deberá.}
  • Reporte de debilidades de seguridad de la información
  • {Describa la exigencia de este punto, con base al deberá.}
  • Evaluación y decisión sobre los eventos de seguridad de información
  • {Describa la exigencia de este punto, con base al deberá.}
  • Respuesta a incidentes de seguridad de la información
  • {Describa la exigencia de este punto, con base al deberá.}
  • Aprendiendo de los incidentes de seguridad de la información
  • {Describa la exigencia de este punto, con base al deberá.}
  • Recolección de evidencia
  • {Describa la exigencia de este punto, con base al deberá.}

CONTROL NORMATIVO 

{Describa la legislación nacional o interna, que faculta la exigencia de este documento}


EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA 

{Describa cada cuando se revisa, y quien debe hacerlo}

DIFUSIÓN 

{Describa cómo, quien y cada cuanto se difundirá este documento}

NO CUMPLIMIENTO Y SANCIONES 

{Describa con detalle qué sucede al no respetar lo establecido en este documento}


CONTROL DE VERSIONES 

{Detalle quien modificó el documento, cuando y que cambio}

NombreModificaciónFecha



GLOSARIO TÉCNICO

Consulte: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

Consulte: http://www.iso27000.es/glosario.html

DESCARGAR PLANTILLA

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .