seguridad DE LA información según la norma iso 27001Descripción completa
ISO 27001-2013
Deskripsi lengkap
Descripción: System security
ISO 27001-2013
iso 27001 para tener claro las reglas de nuestro paisFull description
Full description
mapaDescripción completa
Deskripsi lengkap
Full description
Estandar de Chile basado en la ISO 27001-2013Full description
ISO 27000Descripción completa
Full description
Full description
[logotipo da organização] organização] [nome da organização] organização]
PLANO DO PROJETO para implementação do Sistema de gestão da segurança da informação Código: Versão: Data da versão: Criado por: Aprovado por: Nível de confdencialidade:
Sum$rio %& '(NAL(DADE) ES#OPO E *S*+R(OS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, -& DO#*.ENTOS DE RE'ER/N#(A&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, 0& PROJETO DE (.PLE.ENTA12O DO S3S(&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&,
3.4.1. Patrocinador do projeto.................................................................................6 3.4.2. Gerente do projeto.........................................................................................6 3.4.3. Equipe do projeto..........................................................................................6 #)) &65NC5&A5' 65'C1' D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))+ #)>) ?$66A@$N4A' &A6A A 5@&($@$N4A<=1 D1 &613$41 $ ;$6A<=1 D$ 6$(A4651' ))))))))))))))))))))+
,& 3EST2O DE RE3(STROS .ANT(DOS DE A#ORDO #O. ESTE DO#*.ENTO&& && &4 5& "AL(DADE E 3EST2O DE DO#*.ENTOS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&6
&lano do pro-eto para implementação do ';'5 [';CN]
%& 'inalidade) esopo e usu$rios A fnalidade do &lano do pro-eto B defnir claramente o o/-etivo do pro-eto de implementação do 'istema de gestão da seg%rança da inormação ';'5EF dos doc%mentos a serem ela/orados e dos papBis e das responsa/ilidades no pro-eto) 1 &lano do pro-eto B aplicado a todas as atividades realizadas no pro-eto de implementação do ';'5) 1s %s%0rios deste doc%mentos são mem/ros da [alta administração] e da eG%ipe do pro-eto)
-& Doumentos de refer7nia • • • •
•
Norma 5'1,5$C +!!" Norma 5'1 #!" Norma 2' HHHI [decisão o% G%alG%er doc%mento similar G%e descreva o lançamento do pro-eto] [metodologia de gestão de pro-eto]
0& Pro8eto de implementação do S3S( 0&%& O98eti:o do pro8eto 5mplementar o 'istema de gestão da seg%rança da inormação de acordo com a norma 5'1 +!!" atB [data])
0&-& Resultados do pro8eto D%rante o pro-eto de implementação do ';'5F os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados: Proedimento de doumentação e ontrole de registros I procedimento G%e descreve as regrasL/0sicas de ela/oraçãoF aprovaçãoF distri/%ição e at%alização de doc%mentos e registros Proedimento para identi;ação de re
•
•
•
&lano do pro-eto para implementação do ';'5 [';CN]
.etodologia de a:aliação e tratamento de risos I descreve a metodologia de gestão de riscos O inormação Ta9ela de a:aliação de risos I a ta/ela B o res%ltado da avaliação dos valoresF das ameaças e das v%lnera/ilidades dos ativos Ta9ela de tratamento de risos %m ta/ela em G%e os controles de seg%rança adeG%ados são selecionados para cada risco inaceit0vel Relatório de a:aliação de risose de tratamento do riso I %m doc%mento no G%al constam todos os doc%mentos importantes ela/orados no processo de avaliação e tratamento de riscos Delaração de aplia9ilidade I %m doc%mento G%e determina os o/-etivos e a aplica/ilidade de cada controle de acordo com o AneKo A da norma 5'1 +!!" Proedimento para auditoria interna I defne como B eita a seleção de a%ditoresF como os programas de a%ditoria são ela/oradosF como as a%ditorias são realizadas e como os res%ltados das a%ditorias são inormados Proedimento para aç!es orreti:as I descreve o processo de implementação de açes corretivas e preventivas 'ormul$rio para as .inutas de re:isão da gestão I %m orm%l0rio %sado para criar min%tas da re%nião de an0lise da adeG%ação do ';'5 Plano de tratamento de risos I %m doc%mento de implementação G%e especifca os controles a serem implementadosF o respons0vel pela implementaçãoF os prazos e os rec%rsos
1%tros doc%mentos G%e devem ser ela/orados d%rante a implementação da ';'5 são especifcados no &lano de tratamento de riscos) D%rante o pro-eto de implementação da gestão de contin%idade dos negóciosF os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados: Pol=tia de gestão de ontinuidade de negóios I esta/elece %ma estr%t%ra /0sica para a ';CN e determina o escopo e as responsa/ilidades >uestion$rios de An$lise de impato nos negóios ?@(As I an0lise de impactos G%alitativos e G%antitativos so/re os negóciosF de rec%rsos necess0riosF etc) EstratBgia de ontinuidade de negóios I defne as atividades críticasF as interdependJnciasF os o/-etivos do tempo de rec%peraçãoF a estratBgia de gerenciamento e garantida da contin%idade de negóciosF a estratBgia de rec%peração de rec%rsos e a estratBgia para atividades críticas individ%ais Plano de ontinuidade de negóios I %ma descrição detalPada de como responder a desastres o% o%tras interr%pçes nos negócios e de como rec%perarIse de todas as atividades críticas Plano de treinamento e onsientiCação I %ma visão geral detalPada so/re como os %ncion0rios serão conscientizados para realizar as tareas plane-adas e como eles são treinados so/re a importQncia da contin%idade de negócios •
•
•
•
•
&lano do pro-eto para implementação do ';'5 [';CN]
Plano de eer=ios e testes de ontinuidade de negóios I descreve como os planos serão eKercitados e testados com o o/-etivo de identifcar as açes corretivas necess0rias e aprimorar o plano Plano de re:isão e manutenção do S3#N I %ma visão geral detalPada so/re como os planos e o%tros doc%mentos do ';CN devem ser mantidos para garantir se% %ncionamento em caso de interr%pção nos negócios 'ormul$rio de re:isão de pósinidentes I %m orm%l0rio %sado para analisar a efc0cia dos planos após %m incidente
PraCos
1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';'5 são: Documento
Prazos para aceitação do documento
1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';CN são: Documento
Prazos para aceitação do documento
A apresentação fnal dos res%ltados do pro-eto est0 plane-ada para [data])
0&,& OrganiCação do pro8eto 3.4.1.Patrocinador do projeto
Cada pro-eto poss%i %m RpatrocinadorR G%e não participa ativamente do pro-eto) 1 patrocinador deve rece/er periodicamente inormaçes do gerente do pro-eto so/re o stat%s do pro-eto e intererir se o pro-eto or paralisado) [nomeF cargo] oi nomeado como patrocinado do pro-eto) 3.4.2. Gerente do projeto
1 papel do gerente B garantir os rec%rsos necess0rios para a implementação do pro-etoF coordenar o pro-etoF inormar o patrocinador so/re o progresso e realizar &lano do pro-eto para implementação do ';'5 [';CN]
as tareas administrativas relacionadas ao pro-eto) 1 gerente do pro-eto deve ter a%toridade s%fciente para garantir a implementação ininterr%pta do pro-eto de acordo com os prazos esta/elecidos) [nomeF cargo] oi nomeado como gerente do pro-eto) 3.4.3. Equipe do projeto
1 papel da eG%ipe do pro-eto B a%Kiliar nos diversos aspectos da implementação do pro-etoF realizar tareas conorme especifcado no pro-eto e tomar decises so/re as diversas G%estes G%e reG%erem %ma a/ordagem m%ltidisciplinar) A eG%ipe do pro-eto reSneIse antes de a versão fnal de %m doc%mento da seção do &lano do pro-eto ser concl%ída e sempre G%e o gerente do pro-eto considerar necess0rio) Tabela de participantes do projeto Nome Unidade !argo organiacional
Tele"one
E#mail
0&5& Prinipais risos do pro8eto 1s principais riscos na implementação do pro-eto são: ") $Ktensão de prazos na ase de avaliação de riscos ) $Ktensão de prazos d%rante o desenvolvimento dos planos de contin%idade de negócios #) Atividades G%e gerem c%stos desnecess0rios e perda de tempo 7) 'eleção de m%itos controles e,o% controles c%stosos As medidas para red%zir os riscos mencionados acima são: 1 gerente do pro-eto monitora se todas as atividades do pro-eto são realizadas nos prazos defnidos e /%sca a intervenção do patrocinador G%ando necess0rio A contratação de %m cons%ltor para garantir G%e tempo o% rec%rsos não se-am desperdiçados em atividades G%e não são importantes para o pro-eto e G%e as atividades individ%ais não se desviem da direção correta A contratação de %m cons%ltor para sa/er G%ais são os controles com melPor c%stoI/eneício •
•
•
0&F& 'erramentas para a implementação do pro8eto e geração de relatórios 8ma pasta compartilPada G%e contenPa todos os doc%mentos ela/orados d%rante o pro-eto ser0 criada na rede local) 4odos os mem/ros da eG%ipe do &lano do pro-eto para implementação do ';'5 [';CN]
pro-eto terão acesso a esses doc%mentos) 'omente o gerente do pro-eto [e os mem/ros da eG%ipe do pro-eto]tJm a%torização para alterar e eKcl%ir arG%ivos) 1 gerente do pro-eto ela/orar0 %m relatório de implementação do pro-eto mensalmente e o encaminPar0 ao patrocinador do pro-eto)
,& 3estão de registros mantidos de aordo om este doumento Nome do registro
(ocal de 6espons0vel armazenamen pelo to armazenamen to
Controle para proteção 4empo de do registro retenção
6elatório de implementação do pro-eto em ormato eletrTnicoE
&asta ;erente do compartilPad pro-eto a para atividades relacionadas ao pro-eto
'omente o gerente do pro-eto tem a%torização para editar dados
1 relatório B armazena do por trJs anos
5& "alidade e gestão de doumentos $ste doc%mento B v0lido a partir de [data] 1 propriet0rio do doc%mento B o [cargo]) Ao avaliar a efc0cia e a adeG%ação deste doc%mentoF os seg%intes critBrios devem ser considerados: •
•
se todos os %ncion0rios envolvidos no pro-eto realizam s%as atividades de acordo com este doc%mento se todos os prazos do pro-eto são c%mpridos