ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

Política de Gestión de Incidentes de Seguridad de la Información

Plantilla y estructura para crear una política de gestión de incidentes de seguridad de la información basada en la NCH 27.001.

El control 16 de la NCH 27.001, siempre resulta un desafío si no se sabe por dónde partir, es por eso que pensando en colaborar con la comunidad, presento una plantilla de la Política de Gestión de Incidentes de Seguridad de la Información, para completar con las normativas internas de la organización, en la cual pudieran utilizarla. (Ya los basic deberían estar implementados, pero ¡nunca es tarde!)

La estructura es:

ÍNDICE

CAPÍTULO

DECLARACIÓN INSTITUCIONAL

{Detalla la importancia para la institución y alineación con el negocio}

PRINCIPIOS

{Detalla Integridad, Confidencialidad, Disponibilidad, Mejora Continua}

CONTENIDOS

{Detalla qué contiene este documento, de fácil entendimiento para lector, también se puede detallar palabras técnicas que pudiesen mencionar el documento}

OBJETIVO DE LA POLÍTICA

{Detalle por qué es imperativo crear este documento}

ALCANCE

{Detalle quién está obligado a cumplirla, sea claro}

ROLES Y RESPONSABILIDADES

{Describa cada rol que participe en desarrollo o implementación de esta política}

ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN

{Describa cada aspecto de la NCH 27.002 adquirida previamente, que tengan impacto en el negocio, previamente debe conocer cuáles son sus riesgos, es necesario tener dicho documento, puesto los objetivos de control de cada documento figuran ahí}

Responsabilidades y procedimientos

{Describa la exigencia de este punto, con base al debera.}

Reporte de eventos de seguridad de la información

{Describa la exigencia de este punto, con base al debera.}

Reporte de debilidades de seguridad de la información

{Describa la exigencia de este punto, con base al debera.}

Evaluación y decisión sobre los eventos de seguridad de información

{Describa la exigencia de este punto, con base al debera.}

Respuesta a incidentes de seguridad de la información

{Describa la exigencia de este punto, con base al debera.}

Aprendiendo de los incidentes de seguridad de la información

{Describa la exigencia de este punto, con base al debera.}

Recolección de evidencia

{Describa la exigencia de este punto, con base al debera.}

CONTROL NORMATIVO

{Describa la legislación nacional o interna, que faculta la exigencia de este documento}

EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA

{Describa cada cuándo se revisa, y quién debe hacerlo}

DIFUSIÓN

{Describa cómo, quién y cada cuánto se difundirá este documento}

NO CUMPLIMIENTO Y SANCIONES

{Describa cuáles son las sanciones legales e internas, por no cumplir esta política}

CONTROL DE CAMBIOS

{Describa quién, cuándo, qué cambió y a qué versión quedó este documento}

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo