¿Cómo hacer una Política General de Seguridad de la Información?
Estructura y capítulos recomendados para elaborar una política robusta de seguridad de la información basada en la NCH 27.001.
En nuestro rol de encargados de la seguridad de la información entre las cientos de tareas que se buscan o confían en nuestras personas, una de las principales es la realización del conjunto de documentos que serán oficializados al grado de políticas internas, generalmente basados en la NCH 27.001 con el propósito de alinear el programa de seguridad de la información con el giro del negocio en la búsqueda de mitigar los riesgos que puedan impactarnos en la disponibilidad, confidencialidad e integridad de la información.
Es por lo anterior que me gustaría compartir mi visión de los capítulos que debiese tener una política robusta de seguridad de la información.
CAPÍTULOS A DESARROLLAR:
- DECLARACIÓN INSTITUCIONAL
- PRINCIPIOS
- CONTENIDOS
- OBJETIVO DE LA POLÍTICA
- ALCANCE
- GOBERNANZA
- Comité de seguridad de la información
- Comité técnico de seguridad de la información
- Encargado(a) de Seguridad de la Información
- ROLES Y RESPONSABILIDADES
- ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN
- Organización de la Seguridad
- Gestión de Activos de Información
- Seguridad Ligada a las Personas
- Seguridad Física y Ambiental
- Seguridad en las Comunicaciones y Operaciones
- Seguridad en el Acceso a la Información
- Seguridad en la adquisición, desarrollo y mantención de sistemas de información
- Gestión de Incidentes de Seguridad
- Seguridad en las Relaciones con los proveedores
- Seguridad y Criptografía
- Seguridad y Conformidad
- Gestión de la Continuidad de Negocio
- CONTROL NORMATIVO
- EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
- DIFUSIÓN
- CUMPLIMIENTO Y SANCIONES
- CONTROL DE VERSIONES