Sistema de Gestión de Seguridad de la Información y Ciberseguridad
1. Servicio de Implementación NTP ISO/IEC 27001:2022
1.1 Objetivo
El objetivo del servicio es implementar un SGSI-C según la Norma NTP ISO/IEC:27001:2022 para el gobierno de la seguridad de la información en base a una gestión de riesgos y siguiendo un proceso de mejora continua. Un SGSI-C contribuye a la prevención de incidentes y a la continuidad del negocio.
1.2. Estrategia
Nuestro servicio se basa en la capacitación de las partes interesadas en la Norma y en el uso de la aplicación AVANRISK para ágil y efectivo levantamiento de información de parte de todos los coordinadores de los procesos que formarán parte del alcance del SGSI-C.
1.3. Actividades
Realizamos una implementación personalizada del SGSI-C en base un reconocimiento de la cultura organizacional del cliente, de sus procesos e infraestructura tecnológica para un desarrollo de controles cumplibles y medibles.
1.4. Entregables
Los principales entregables de nuestro servicio son:
o Objetivo y alcance del SGSI-C
o Estructura organizacional de seguridad de la información
o Declaración de aplicabilidad
o Políticas y procedimientos de seguridad de la información
o Inventario de activos de información
o Matriz de riesgos y oportunidades de seguridad de la información
o Plan de tratamiento de riesgos y oportunidades de seguridad de la información
o Informes de efectividad de controles y de oportunidades de mejora
o Presentaciones y actas de comités de seguridad de la información
1.5. Sobre el Servicio de Implementación SGSI-C
• El servicio de implementación como su nombre lo dice, implementa un SGSI-C, más no lo opera en sus 4 fases.
• AVANSEC ofrece el servicio de Operación de Seguridad de la Información con el cual podemos hacernos responsable de la operación del SGSI-C y acompañar en su proceso de certificación.
• AVANSEC no ofrece el servicio de certificación oficial ISO 27001.
1.6. AVANRISK
AVANRISK facilitará el levantamiento de información y seguimiento del servicio sin crear dependencia en la operación del SGSI-C ya que toda la información es exportable.
1.7. Requisitos del Servicio
• Mapa de procesos
• Catálogo de productos
• Inventario de software y hardware
• Listado de sitios web de la organización
• Muestra de formatos utilizados en documentos oficiales de la empresa
• Modelos de contratos utilizados con trabajadores, clientes y proveedores
• Reuniones de levantamiento de información con representantes de cada área de la organización
• Participación síncrona o asíncrona de todo el personal de la organización en charla de concientización
1.8. Exclusiones del Servicio
• Actividades de ethical hacking para el análisis de riesgos
• Soporte ante incidentes de seguridad de la información durante la ejecución del servicio
• Implementación de soluciones tecnológicas como parte del proceso de tratamiento de riesgos
1.9. Servicios Complementarios
• Extensión de soporte a implementación del SGSI-C
• Licenciamiento de aplicación de gestión de riesgos y gobierno de ciberseguridad AVANRISK
• Auditoría del SGSI-C
• Curso de Especialización en Implementación, Operación y Certificación de un SGSI-C
• Acompañamiento en proceso de certificación oficial del SGSI-C
