Varias preguntas relacionadas con la implementación de la ISO 22301

1. En el documento comprado en el párrafo documentos de referencia se menciona el plan de tratamiento del riesgos, el plan de preparación para continuidad del negocio y procedimiento para medidas correctivas. Este último entiendo que se desarrollara más adelante (paso 11 de paquete), pero el plan de preparación para la continuidad del negocio, ¿Qué contiene?. Respecto al plan de tratamiento de riesgo, no tenemos un área de riesgos!!!, ¿Cómo construyo este plan de riesgos?, lo único que tengo a partir de la implementación de la ISO 27001 es un inventario de activos de información y en esta planilla se realiza una análisis de riesgos para cada activo junto con las medidas de mitigación.

2. En el documento se indica que el cargo debe ser de la alta dirección. Somos una empresa mediana, con el gerente general y una línea de gerentes. El encargado de seguridad depende del gerente de operaciones. ¿Quién se sugiere como cargo?.

3. Somos una empresa que entrega servicios de tecnología y comunicaciones, prestamos servicios al sector de salud. Tenemos 2 sistemas para la atención primaria y hospitalaria, además disponemos de la infraestructura (data center) y servicios de soporte para el uso y mejoras de funcionalidades. Dado esto:

a. Si quisiéramos No abarcar toda la organización, ¿qué proceso me sugiere para implementar un SGCN acotado?.

b. ¿Podemos certificarnos con un alcance acotado?

Respuestas:
1. El plan de preparación se desarrolla como parte de la Estrategia de continuidad de negocio, y se prepara después de realizar el Análisis de Impacto en el Negocio (BIA) y el tratamiento de riesgo. Por otra parte, no necesitas tener un área específica en tu organización para desarrollar el plan de tratamiento de riesgos, porque este documento es muy sencillo. Simplemente tienes que incluir por cada riesgo identificado durante el análisis de riesgos, las acciones que son necesarias llevar a cabo para reducir los riesgos, los recursos, los responsables de las acciones, plazos, etc. Si has comprado nuestro paquete de documentos, puedes encontrar en el portal de usuario (sección Video tutorials of https://epps.c**************) este tutorial “ISBCA-VT-EN-109: How to Write ISO 27001 Risk Treatment Plan”. Y también puedes usar nuestra plantilla: “Plan de tratamiento de riesgo”. Clickeando en la pestaña “Demo gratis” puedes ver una versión gratuita : https://advisera.com/27001academy/es/documentation/plan-de-tratamiento-de-riesgos/

2. No se muy bien a qué cargo te refieres, pero la alta dirección debería estar presente en las decisiones que tengan que ver con el SGCN. En cualquier caso, en tu caso específico deberías definir un coordinador de continuidad de negocio, que podría ser por ejemplo el encargado de seguridad, mientras que el gerente general podría ser el jefe de proyecto. Este artículo te puede resultar interesante "Who should be your project manager for ISO 27001/ISO 22301?" : https://advisera.com/27001academy/blog/2014/12/01/who-should-be-your-project-manager-for-iso-27001-iso-22301/

3.
a. Procesos que sean relevantes desde el punto de vista de la continuidad de negocio. Por ejemplo, en tu caso específico: el proceso de TI, el proceso de comunicaciones, etc.

b. Sí, puedes limitar el alcance, aunque no es nuestra recomendación. Para mayor información sobre este punto, te recomiendo que leas este artículo sobre la definición del alcance, aunque es para ISO 27001, pero los requerimientos principales aplican también a ISO 22301 (cuestiones internas/externas, partes interesadas, interfaces, dependencias, etc) “How to define the ISMS scope” : https://advisera.com/27001academy/knowledgebase/how-to-define-the-isms-scope/

Hola antonio, respecto al plan de tratamiento de riesgos, creo que estaba confundido, pensaba que eran los riesgos que se tienen que levantar en el proyecto de continuidad. Te comento que en el proyecto del sistema de seguridad de la información que esta en ejecución, se realizó un diagnóstico que incluía una evaluación de todos los controles de la ISO 27001, luego una priorización de brechas y riesgos asociados a cada control. A partir de esto de armo el programa de trabajo donde se identificaron responsables, plazos y recursos monetarios. Uno de las iniciativas que se planifico fue el inventario de activos de información. Aquí se esta trabajando en identificar todos los activos críticos que se caracterizarán y se realizará un análisis de riesgos y mitigación para cada uno. Creo que me estaría faltando el documento de evaluación de riesgos, que resuma todo lo realizado en materia de riesgos en el SSI. Recién comenzamos con el proyecto de continuidad, ¿aquí se identifican otros riesgos o sw toman los del SSI?. saludos.

Generalmente con el BCM tratas actividades y procesos críticos, y esto es lo correcto con respecto al estándar ISO 22301, aunque también puedes tratar con activos (de la misma manera que en ISO 27001), lo cual te dará más información detallada sobre dónde están las vulnerabilidades. Este artículo te puede interesar “Can ISO 27001 risk assessment be used for ISO 22301?” : https://advisera.com/27001academy/blog/2013/03/11/can-iso-27001-risk-assessment-be-used-for-iso-22301/

Y también nuestra base de conocimiento relativa a gestión de riesgos : https://advisera.com/27001academy/knowledgebase-category/risk-management/