Please enable JavaScript.
Coggle requires JavaScript to display documents.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI Sistema-de…
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI 
El Sistema de Gestión de Seguridad de la Información tiene como objetivo evaluar todos los riesgos asociados con los datos e información que se manejan en una empresa.
El SGSI es un elemento fundamental de la norma internacional ISO 27001 (Sistemas de Gestión de la Seguridad de la Información), que persigue asegurar la integridad y confidencialidad de los datos y los sistemas encargados de procesarlos.
FASES
Para implantar el SGSI se debe utilizar el Ciclo de Deming o PDCA (Plan, Do, Check, Act) que hace referencia a la serie planea, implementa, comprueba y actúa. Se trata de un sistema que está diseñado para implementar una mejora continua en la gestión y ejecución de procesos.
Planificar (Plan). En la fase inicial se realiza una evaluación de todos los riesgos y amenazas sobre la información que se producen en las distintas áreas de la empresa. Se deben establecer los controles oportunos para medir el nivel de riesgo de los datos en su flujo interno y externo y definir las políticas necesarias para el cumplimiento de las medidas de seguridad.
Hacer (Do). En esta fase se implementa la selección de controles adecuados para medir los riesgos. En esta fase se pone en marcha el sistema SGSI para la detección y evaluación de los riesgos y amenazas.
Comprobar (Check). En esta fase se debe evaluar y revisar la eficiencia y la eficacia. Mediante KPI (métricas asociadas a objetivos) y el análisis de feedback se puede determinar si se están alcanzando los objetivos fijados. Es la etapa donde se detectan fallos o errores que deben ser corregidos.
Actuar (Act). En esta última fase se aplican las correcciones o cambios necesarios en el sistema para sacar el máximo rendimiento y que fueron detectados en la fase anterior de comprobación.
GESTIONES
-
-
-
Gestión del Cumplimiento
identificar y administrar los riesgos de carácter jurídico que puede afrontar la organización, con respecto a incidentes presentados sobre sus activos de información.
-
-
-
-