Sistema de gestió de la seguretat de la informació

Aquest article o secció no cita les fonts o necessita més referències per a la seva verificabilitat.

Un sistema de gestió de la seguretat de la informació (SGSI) (en anglès: information security management system, ISMS) és, com el nom ho suggereix, un conjunt de polítiques d'administració de la informació. El terme és utilitzat principalment per la ISO/IEC 27001, encara que no és l'única normativa que utilitza aquest terme o concepte.

ENISA: Gestió de risc i activitats del SGSI.

Un SGSI és per a una organització el disseny, implantació, manteniment d'un conjunt de processos per gestionar eficientment l'accessibilitat de la informació, buscant assegurar la confidencialitat, integritat i disponibilitat dels actius d'informació minimitzant alhora els riscos de seguretat de la informació.

Com tot procés de gestió, un SGSI ha de seguir sent eficient durant un llarg temps adaptant-se als canvis interns de l'organització així com els externs de l'entorn.

PDCA

 

Cercle de Deming.

La ISO/IEC 27001 per tant incorpora el típic Plan-Do-Check-Act (PDCA) que significa "Planificar-Fer-Controlar-Actuar" sent est un enfocament de millora contínua:

• Pla (planificar): és una fase de disseny del SGSI, realitzant l'avaluació de riscos de seguretat de la informació i la selecció de controls adequats .

• Do (fer): és una fase que embolica la implantació i operació dels controls.

• Check (controlar): és una fase que té com a objectiu revisar i avaluar l'acompliment (eficiència i eficàcia) del SGSI.

• Act (actuar): en aquesta fase es realitzen canvis quan sigui necessari per portar de tornada el SGSI a màxim rendiment.

SGSI és descrit per la ISO/IEC 27001 i ISO/IEC 27002 i relaciona els estàndards publicats per la International Organization for Standardization (ISO) i la International Electrotechnical Commission (IEC). JJO també defineix normes estandarditzades de diferents SGSI.

Altres SGSI

• TLLJO, aquest SGSI permet un major control sobre el sistema a un preu moderadament reduït

• SOGP és un altre SGSI que competeix al mercat és l'anomenat "Information Security Forum's Standard of Good Practice" (SOGP). Aquest SGSI és més una best practice (bona pràctica), basat en les experiències del Fòrum de la seguretat de la informació (ISF).

• ISM3: Information Security Management Maturity Model (ISM3) (coneguda com a ISM-cubed o ISM3) està construït en estàndards com ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, i informació general de conceptes de seguretat dels governs ISM3 pot ser usat com a plantilla per a un ISO 9001 compliant. Mentre que la ISO/IEC 27001 està basada en controls. ISM3 està basada en processos i inclou mètriques de procés.

Altres marcs de treball

• En el cas de ITIL (sobretot la v.3) té molts punts de contacte respecte a qüestions de seguretat.

• PRINCE2 és un altre marc de treball de bones pràctiques, en aquest cas relacionades amb la gestió de projectes, sent aquesta, àmpliament utilitzada.

Vegeu també

• Llei Orgànica de Protecció de Dades de Caràcter Personal d'Espanya
• Seguretat de la informació
• PDCA
• ISO/IEC 27000-sèries
• ISO/IEC 27001
• ISO/IEC 27002
• ISO 9001

Enllaços externs

• Áudea Experts en SGSI Arxivat 2013-09-17 a Wayback Machine. Consultoria, auditotía i formació en SGSI
• British Standards Institution BSI, informació en espanyol