Guest user Created: Sep 27, 2016 Last commented: Sep 27, 2016

Alcance de un SGSI

Hola, estoy haciendo el planeamiento de las actividades requeridas para implementar el SGSI, la duda que tengo es, la empresa para la que trabajo tiene tercerizado TI, es decir, toda la información de la empresa se almacena y procesa en los datacenters del proveedor, así mismo, este proveedor de hecho da todo el soporte al negocio, administración de bases de datos, mantenimiento de los sistemas, resolución del problema, redes, etc. Donde trabajo es una empresa pequeña que solo cuenta con un cuarto de comunicaciones, por lo que en este aspecto, el control lo tengo hasta un router, luego de ahi la información fluye hacia el proveedor. Mi pregunta es ¿en el alcance, solo debo indicar ese router dentro de un apartado de conexiones e interfaces? o debo incluir las instalaciones del proveedor?

0 0

Assign topic to the user

Select user

Guest

Antonio Jose Segovia Sep 27, 2016

Tambien tengo la duda, sobre que tan detallado debo definir el alcance, como es una empresa pequeña pienso declarar en el documento que el alcance será toda la empresa, luego de manera detallada indicar cuales departamentos, cuales servicios y cuales procesos serán contemplados. Mi duda es si tengo que entrar en detalle de especificar por ejemplo: cuales equipos , dispositivos móviles, personas, documentos, serán incluidos?

Por último, ¿debo crear un apartado que se llame interfaces y dependencias? y que debo indicar en ese apartado? tengo la idea que se debe analizar todos los canales por donde fluye la información al exterior, como en el caso del router que conecta con el proveedor de TI .

Respuestas:
Con respecto a la primera pregunta, lo importante para la ISO 27001 es la protección de la información, independientemente de donde esté. Por tanto, tu router puede estar incluido en el alcance, pero también el servidor (si lo controlas tú), porque también contiene información, aunque algunas cosas son gestionadas por tu proveedor, puedes establecer algunas políticas a tu proveedor que tendrá que implementar. Y puedes incluir una sección "Conexiones e interfaces" en tu documento de alcance, incluyendo cómo está conectada tu infraestructura con la infraestructura de tu proveedor.

Con respecto a la segunda pregunta, no es necesario que especifiques personas, documentos. etc. simplemente puedes definir áreas, procesos o departamentos, etc.

Con respecto a la tercera pregunta, sí, puedes incluir en tu documento de alcance una sección "Interfaces y dependencias" (aunque esto no es obligatorio en el estándar), y básicamente tienes que considerar las interfaces y las dependencias entre el alcance de tu SGSI y el exterior. Por ejemplo, puedes dibujar en un diagrama tus procesos dentro de un círculo, y todos los procesos externos (proporcionados por tu proveedor), en otro círculo.

Este artículo te puede resultar útil “How to define the ISMS scope” : https://advisera.com/27001academy/knowledgebase/how-to-define-the-isms-scope/

Y también este otro “Problems with defining the scope in ISO 27001” : https://advisera.com/27001academy/blog/2010/06/29/problems-with-defining-the-scope-in-iso-27001/

Finalmente, estos materiales te ayudarán a conocer más sobre cómo definir el alcance:
- free online training ISO 27001 Foundations Course https://advisera.com/training/iso-27001-foundations-course/
- book Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own https://advisera.com/books/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own/

Quote

0 0

Comment as guest or Sign in

HTML tags are not allowed

Name *

Email *

I accept the Privacy and Terms

Notify me when someone replies

Sep 27, 2016

Expert Advice Community