El establecimiento del Sistema de Gestión de Seguridad de la Información es un proceso muy laborioso. Sin embargo, establecer estándares sobre cómo garantizar la seguridad de la información y cómo proteger mejor la información es un resultado crucial para esa organización.

Sistema de gestión de seguridad de la información La forma en que cada organización seguirá es casi la misma.

Alcance del estudio de seguridad de la información.

Lo primero que debe hacer es determinar el alcance y los límites del estudio. Se puede configurar un sistema para una organización completa o para un departamento en particular. En cualquier caso, los límites del estudio deben estar completos y correctamente definidos. El alcance debe determinarse de acuerdo con la decisión de la alta dirección y los objetivos de seguridad de la información de la organización.

Política de seguridad de la información

Esta política está determinada por la alta dirección y establece los objetivos del estudio y determina los riesgos que deben evaluarse y los criterios para la gestión de riesgos. La alta dirección siempre debe respaldar la política de seguridad de la información.

Método de evaluación de riesgos

Un método de evaluación de riesgos debe identificarse de acuerdo con la política de seguridad de la información. En consecuencia, deben identificarse niveles de riesgo aceptables y deben establecerse criterios. La información que debe protegerse mediante la creación de un mapa de riesgo debe determinarse de acuerdo con el grado de impacto y la probabilidad de que ocurra el riesgo.

Identificación de riesgos.

Los riesgos que amenazan la existencia de información deben identificarse utilizando el método de evaluación de riesgos que se determine. En este estudio, se preparará un inventario de activos de información. Los activos de información que se incluirán en el Sistema de gestión de seguridad de la información se enumerarán de acuerdo con su tipo y gravedad. La aparición de información de alto secreto puede hacer un gran daño a la organización, pero hacer que la misma información sea inutilizable puede ser menos perjudicial.

Evaluación de riesgos

Las medidas a tomar para los riesgos a determinar se deciden en este paso. El riesgo puede eliminarse o reducirse a niveles aceptables mediante controles apropiados. O bien, se eliminan los factores de riesgo y se evita el riesgo.

Aprobación de la alta dirección

Una vez completado el estudio de administración de riesgos, es necesario obtener la aprobación de la alta gerencia para aplicarla.

Si un riesgo no puede eliminarse por completo, puede ser un riesgo aceptable a discreción de la alta gerencia.

Sistema de gestión de seguridad de la información ISO 27001Las organizaciones pueden solicitar a los gerentes y empleados experimentados de la organización de certificación TURCERT servicios de consultoría.