Sistema de gestió de la seguretat de la informació

De Viquipèdia
Jump to navigation Jump to search
ENISA: Gestió de risc i activitats del SGSI.

Un sistema de gestió de la seguretat de la informació (SGSI) (en anglès: information security management system, ISMS) és, com el nom ho suggereix, un conjunt de polítiques d'administració de la informació. El terme és utilitzat principalment per la ISO/IEC 27001, encara que no és l'única normativa que utilitza aquest terme o concepte.

Un SGSI és per a una organització el disseny, implantació, manteniment d'un conjunt de processos per gestionar eficientment l'accessibilitat de la informació, buscant assegurar la confidencialitat, integritat i disponibilitat dels actius d'informació minimitzant alhora els riscos de seguretat de la informació.

Com tot procés de gestió, un SGSI ha de seguir sent eficient durant un llarg temps adaptant-se als canvis interns de l'organització així com els externs de l'entorn.

PDCA[modifica]

La ISO/IEC 27001 per tant incorpora el típic Pla-Do-Check-Act (PDCA) que significa "Planificar-Fer-Controlar-Actuar" sent est un enfocament de millora contínua:

  • Pla (planificar): és una fase de disseny del SGSI, realitzant l'avaluació de riscos de seguretat de la informació i la selecció de controls adequats .
  • Do (fer): és una fase que embolica la implantació i operació dels controls.
  • Check (controlar): és una fase que té com a objectiu revisar i avaluar l'acompliment (eficiència i eficàcia) del SGSI.
  • Act (actuar): en aquesta fase es realitzen canvis quan sigui necessari per portar de tornada el SGSI a màxim rendiment.

SGSI és descrit per la ISO/IEC 27001 i ISO/IEC 27002 i relaciona els estàndards publicats per la International Organization for Standardization (ISO) i la International Electrotechnical Commission (IEC). JJO també defineix normes estandarditzades de diferents SGSI.

Altres SGSI[modifica]

  • TLLJO, aquest SGSI permet un major control sobre el sistema a un preu moderadament reduït
  • SOGP és un altre SGSI que competeix al mercat és l'anomenat "Information Security Forum's Standard of Good Practice" (SOGP). Aquest SGSI és més una best practice (bona pràctica), basat en les experiències del Fòrum de la seguretat de la informació (ISF).
  • ISM3: Information Security Management Maturity Model (ISM3) (coneguda com ISM-cubed o ISM3) està construït en estàndards com ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, i informació general de conceptes de seguretat dels governs ISM3 pot ser usat com a plantilla per a un ISO 9001 compliant. Mentre que la ISO/IEC 27001 està basada en controls. ISM3 està basada en processos i inclou mètriques de procés.

Altres marcs de treball[modifica]

  • En el cas de ITIL (sobretot la v.3) té molts punts de contacte respecte a qüestions de seguretat.
  • PRINCE2 és un altre marc de treball de bones pràctiques, en aquest cas relacionades amb la gestió de projectes, sent aquesta, àmpliament utilitzada.

Vegeu també[modifica]

Enllaços externs[modifica]

  • Áudea Experts en SGSI Consultoria, auditotía i formació en SGSI
  • Curs Impantador, Curs Lead Auditor, Curso Auditoria de SGSI Cursos TIC Seguretat
  • British Standards Institution BSI, informació en espanyol
  • Information Security Forum (ISF) (en anglès)
  • ITIL Security (en anglès)
  • Information Security Management Maturity Model (ISM3) (en anglès)
  • www.iso27000.es - www.iso27001.es: Portal amb informació en espanyol sobre la sèrie 27000 i els sistemes de gestió de seguretat de la informació.
  • www.iso27002.es Wiki en espanyol sobre els controls en els sistemes de gestió de seguretat de la informació.
  • Guia SGSI de INTECO-CERT VideoGuia en espanyol, de INTECO_CERT sobre els sistemes de gestió de seguretat de la informació.
  • [http://www.inmunosuite.com Suite que automatitza totalment tots els requisits de la norms ISO 27001.