PLAN DEL PROYECTO PARA LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE

SEGURIDAD DE LA INFORMACIN

Cdigo:

SGSI-001

Versin:

00

Fecha de la versin:

09/08/2016

Creado por:

Sandra Ruiz

Aprobado por:
Nombre del archivo:

SGSI-001 - Plan del Proyecto

Nivel de confidencialidad:

Baja

COPIA NO CONTROLADA

Pgina 1 of 6

Contenido
1.

Objetivo, alcance y usuarios..............................................................................3

1.1 Objetivos...................................................................................................... 3
1.2 Alcance........................................................................................................ 3
1.3 Usuarios....................................................................................................... 3

2.

Documentos de referencia................................................................................3

3.

Proyecto de implementacin del SGSI................................................................3

3.1.

Objetivo del proyecto..................................................................................3

3.2.

Entregables del proyecto............................................................................ 3

3.4.

Organizacin del proyecto...........................................................................5

3.4.1.

Promotor del proyecto..........................................................................5

3.4.2.

Gerente del proyecto...........................................................................5

3.4.3.

Equipo del proyecto.............................................................................5

3.5.

Riesgos del plan........................................................................................ 5

3.6.

Recursos a utilizar en el proyecto.................................................................6

COPIA NO CONTROLADA

Pgina 2 of 6

1. Objetivo, alcance y usuarios

1.1. Objetivos
Definir el proyecto de implementacin del Sistema de Gestin de Seguridad de la
Informacin (SGSI), los documentos que se redactarn, los plazos y las funciones y
responsabilidades del proyecto.
1.2. Alcance
Se aplica a todas las actividades que sern realizadas dentro del proyecto de
implementacin del SGSI.
1.3. Usuarios

Miembros de la alta direccin

Miembros del equipo del proyecto SGSI
Oficial de Seguridad de la Informacin

2. Documentos de referencia

ISO/IEC 27001:2013
ISO/IEC 27002:2013
SGSI-004 Glosario del SGSI

3. Proyecto de implementacin del SGSI

3.1. Objetivo del proyecto
Implementar el Sistema de Gestin de Seguridad de la Informacin en conformidad
con la norma ISO/IEC 27001:2013.
3.2. Entregables del proyecto
Durante el proyecto de implementacin del SGSI, los entregables del proyecto estarn
clasificados en:
a) Alcance del SGSI: Es un documento o puede ser un capitulo dentro de otro
documento que define el alcance del SGSI considerando los procesos, funciones,
activos, ubicaciones fsicas, tecnologa, partes interesadas y la determinacin de
los aspectos internos y externos a la organizacin. Se designa tambin al Oficial de
Seguridad de la Informacin.
b) Poltica de seguridad de la informacin: Es un documento o puede ser un capitulo
dentro de otro documento que define la forma en que la direccin controla la
gestin de la seguridad de la informacin.
c) Polticas Especficas: Las principales polticas que regirn el SGSI. Se detalla en el
Anexo A (Normativo) Objetivos de control y controles de referencia.
Poltica de Adquisicin, Desarrollo y Mantenimiento de Sistemas
Poltica de Control de Acceso
Poltica de Cumplimiento
Poltica de Gestin de Activos
Poltica de Gestin de Continuidad del Negocio
Poltica de Gestin de Incidentes
COPIA NO CONTROLADA

Pgina 3 of 6

d)

e)
f)

g)

h)

i)
j)

k)
l)

m)

n)

o)
p)

q)

Poltica de Gestin de Operaciones y Comunicaciones

Poltica de Organizacin de la Seguridad de la Informacin
Poltica de Seguridad Fsica y el entorno
Poltica de Seguridad Recursos Humanos
Procedimiento para control de documentos y registros: Detallar la forma de
redactar los documentos, ttulos, tipo de letra, cabecera, pie de pgina, entre otros.
Procedimiento existente, revisar su idoneidad para SGSI.
Procedimiento para identificacin de requisitos: Detallar el procedimiento donde se
debe consignar las obligaciones legales, normativas, contractuales, entre otras.
Metodologa de evaluacin y tratamiento de riesgos: Describe en un documento la
metodologa para gestionar los riesgos de la informacin. Por ejemplo: ISO 27005
dedicada a la gestin de riesgos de seguridad de la informacin.
Matriz de evaluacin de riesgos: Es el resultado de la evaluacin de riesgos
realizado con la metodologa elegida, debe realizarse con los responsables de
procesos y asignar el responsable del riesgo (obligatoriamente).
Plan de tratamiento de riesgos (RTP): Es un documento donde se detallan los
controles de seguridad adecuados para cada riesgo inaceptable de tal forma que
se evidencia su tratamiento.
Declaracin de aplicabilidad (SOA): Es un documento que determina los objetivos
y la aplicabilidad de cada control establecido en el Anexo A de la norma ISO 27001.
Declaracin de confidencialidad y declaracin de aceptacin de los documentos
del SGSI: como parte de la poltica relacionada a los Recursos Humanos. Esto se
incluye antes del empleo (contratacin del personal).
Inventario de activos: Actualizacin del Inventario de activos con dueo, incluso
inventario de usuarios y contraseas.
Plan de continuidad del negocio: Plan de contingencia para los sistemas de
informacin. Documento existente: falta el Plan de Prueba y verificacin y
Plan de recuperacin de actividades.
Procedimientos operativos para tecnologa de la informacin y de la comunicacin:
Procedimientos para evitar prdida de datos, proteccin de informacin contra
software malicioso, seguridad de redes, etc.
Procedimiento de gestin de incidentes. Implementar procedimientos para dar
respuesta rpida a cualquier incidente, los empleados deben reportar cualquier
debilidad del sistema o evento que pudiera derivar en un posible incidente.
Elaborar Plan de respuesta a incidentes.
Plan de capacitacin y concienciacin: Elaborar plan de capacitacin para el uso
del SGSI y reporte de cualquier debilidad detectada en el sistema de informacin.
Procedimiento para Auditora interna: Es un documento que define la forma de
realizar los programas de auditora, la forma de realizar las auditoras, informe de
resultados, etc. Procedimiento existente, revisar su idoneidad para SGSI.
Procedimiento para acciones correctivas: Descripcin detallada de las actividades
realizadas como parte de las correctivas. Procedimiento existente, revisar su
idoneidad para SGSI.

COPIA NO CONTROLADA

Pgina 4 of 6

3.3. Organizacin del proyecto

3.3.1. Promotor del proyecto
El gerente del proyecto debe informar regularmente al promotor acerca del
estado del mismo; ste interviene si el proyecto est paralizado.
Promotor: Director

3.3.2. Gerente del proyecto

La funcin del gerente del proyecto es coordinar el proyecto, garantizar los
recursos necesarios para su implementacin del proyecto, informar al promotor
sobre el progreso del proyecto y realizar trabajos administrativos relacionados
con el mismo.
Gerente del Proyecto: Responsable SGSI

3.3.3. Equipo del proyecto

La funcin del equipo del proyecto es participar en la implementacin del
proyecto, realizar tareas preestablecidas y tomar decisiones sobre el SGSI.
Nombre

rea

Cargo

Oscar
Quintanilla

Operaciones

Jefe de
Operaciones

Zamir Aguilar

Soporte tcnico

Administrador
de red

Jimmy
Quintanilla

Gerencia

Gerente
General

---

---

3.4. Riesgos del plan

Falta de compromiso del equipo del proyecto.

Falta de recursos asignados al proyecto.
Cambios en los integrantes del equipo del proyecto.
Inadecuada definicin del alcance.
Seleccin de controles muy caros.

3.5. Recursos a utilizar en el proyecto

El contenedor de los documentos del SGSI estarn en una red local que tiene una
carpeta compartida que incluye todos los documentos generados durante el
proyecto.

COPIA NO CONTROLADA

Pgina 5 of 6

Todos los miembros del equipo del proyecto tendrn acceso a esos documentos.
Slo el gerente del proyecto y miembros del equipo del proyecto estarn
autorizados a realizar modificaciones y a borrar archivos.

COPIA NO CONTROLADA

Pgina 6 of 6