El control 16 de la nCH 27.001, siempre resulta un desafío si no se sabe por donde partir, es por eso que pensando en colaborar con la comunidad, presento una plantilla de la Política de Gestión de Incidentes de Seguridad de la información, para completar con las normativas internas de la organización, en la cual pudieran utilizarla. (¡Ya los basic deberían estar implementados, pero nunca es tarde!)
La estructura es:
ÍNDICE
CAPÍTULO
DECLARACIÓN INSTITUCIONAL
{Detalla la importancia para la institución y alineación con el negocio}
PRINCIPIOS
{Detalla Integridad,Confidencialidad:,Disponibilidad,Mejora Continua}
CONTENIDOS
{Detalla que contiene este documento, de fácil entendimiento para lector, también se puede detallar palabras técnicas que pudiesen mencionar el documento}
OBJETIVO DE LA POLÍTICA
{Detalle porque, es imperativo crear este documento}
ALCANCE
{Detalle quien está obligado a cumplirla, sea claro}
ROLES Y RESPONSABILIDADES
{Describa cada rol que participe en desarrollo o implementación de esta política }
ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN
{Describa cada aspecto de la NCH 27.002 adquirida previamente, que tengan impacto en el negocio, previamente debe conocer cuales son sus riesgos, es necesario tener dicho documento, puesto los objetivos de control de cada documento figuran ahí}
- Responsabilidades y procedimientos
- {Describa la exigencia de este punto, con base al deberá.}
- Reporte de eventos de seguridad de la información
- {Describa la exigencia de este punto, con base al deberá.}
- Reporte de debilidades de seguridad de la información
- {Describa la exigencia de este punto, con base al deberá.}
- Evaluación y decisión sobre los eventos de seguridad de información
- {Describa la exigencia de este punto, con base al deberá.}
- Respuesta a incidentes de seguridad de la información
- {Describa la exigencia de este punto, con base al deberá.}
- Aprendiendo de los incidentes de seguridad de la información
- {Describa la exigencia de este punto, con base al deberá.}
- Recolección de evidencia
- {Describa la exigencia de este punto, con base al deberá.}
CONTROL NORMATIVO
{Describa la legislación nacional o interna, que faculta la exigencia de este documento}
EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
{Describa cada cuando se revisa, y quien debe hacerlo}
DIFUSIÓN
{Describa cómo, quien y cada cuanto se difundirá este documento}
NO CUMPLIMIENTO Y SANCIONES
{Describa con detalle qué sucede al no respetar lo establecido en este documento}
CONTROL DE VERSIONES
{Detalle quien modificó el documento, cuando y que cambio}
| Nombre | Modificación | Fecha |
GLOSARIO TÉCNICO
Para comentar debe estar registrado.