Alcance de un SGSI
Assign topic to the user
Tambien tengo la duda, sobre que tan detallado debo definir el alcance, como es una empresa pequeña pienso declarar en el documento que el alcance será toda la empresa, luego de manera detallada indicar cuales departamentos, cuales servicios y cuales procesos serán contemplados. Mi duda es si tengo que entrar en detalle de especificar por ejemplo: cuales equipos , dispositivos móviles, personas, documentos, serán incluidos?
Por último, ¿debo crear un apartado que se llame interfaces y dependencias? y que debo indicar en ese apartado? tengo la idea que se debe analizar todos los canales por donde fluye la información al exterior, como en el caso del router que conecta con el proveedor de TI .
Respuestas:
Con respecto a la primera pregunta, lo importante para la ISO 27001 es la protección de la información, independientemente de donde esté. Por tanto, tu router puede estar incluido en el alcance, pero también el servidor (si lo controlas tú), porque también contiene información, aunque algunas cosas son gestionadas por tu proveedor, puedes establecer algunas políticas a tu proveedor que tendrá que implementar. Y puedes incluir una sección "Conexiones e interfaces" en tu documento de alcance, incluyendo cómo está conectada tu infraestructura con la infraestructura de tu proveedor.
Con respecto a la segunda pregunta, no es necesario que especifiques personas, documentos. etc. simplemente puedes definir áreas, procesos o departamentos, etc.
Con respecto a la tercera pregunta, sí, puedes incluir en tu documento de alcance una sección "Interfaces y dependencias" (aunque esto no es obligatorio en el estándar), y básicamente tienes que considerar las interfaces y las dependencias entre el alcance de tu SGSI y el exterior. Por ejemplo, puedes dibujar en un diagrama tus procesos dentro de un círculo, y todos los procesos externos (proporcionados por tu proveedor), en otro círculo.
Este artículo te puede resultar útil “How to define the ISMS scope” : https://advisera.com/27001academy/knowledgebase/how-to-define-the-isms-scope/
Y también este otro “Problems with defining the scope in ISO 27001” : https://advisera.com/27001academy/blog/2010/06/29/problems-with-defining-the-scope-in-iso-27001/
Finalmente, estos materiales te ayudarán a conocer más sobre cómo definir el alcance:
- free online training ISO 27001 Foundations Course https://advisera.com/training/iso-27001-foundations-course/
- book Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own https://advisera.com/books/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own/
Comment as guest or Sign in
Sep 27, 2016