Control:
La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la politíca a todos los empleados y las partes externas relevantes.
Posibles Soluciones a este control:
GESCONSULTOR
| Plataforma no gratuita que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. El portal web aporta información de libre disposición sobre SGSI, Esquema Nacional de Seguridad y otros marcos y políticas relevantes y cómo deben ser tratados.
| GESCONSULTOR |
ArCERT
| Modelo de Política de Seguridad de la Información para la Administración pública de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización). | Modelo Política - ONTI
|
BIS
| Department for Business Innovation and Skills (apoyado por el Departamento de Industria y Comercio del Reino Unido) dispone de diversos documentos relacionados con la seguridad de la información, incluídas guías de desarrollo de políticas de seguridad y diversos checklists (inglés) con el objetivo de lograr la protección y desarrollo económico de las empresas. | Directorio BIS |
CALLIO
| Plantillas de ejemplo que cubren diversos aspectos de implantación de un SGSI, incluyendo una declaración de política de seguridad de la información, elementos a considerar en una política, Manual de políticas de seguridad, memorandum, revisión de la política de seguridad (inglés). | Plantillas CALLIO
|
CENTRO CRIPTOLOGICO NACIONAL
| Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española. | Series CCN |
DIRECTION CENTRALE DE LA SÉCURITÉ DES SI
| Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. | Guía PSSI
|
DMOZ
| Proyecto abierto que ha recopilado a modo de directorio todo tipo de políticas de seguridad en diversas áreas
| Miscelanea de diversas políticas
|
INFOSECWRITERS
| Documento de libre descarga (inglés) que analiza las claves para la creación con éxito de una política de seguridad para Pequeñas y Medianas Empresas. | Guía Política PYME
|
ISACA
| Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad. | Documentos ISACA
|
NIST
| Guías de la serie 800 sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas. | Guías NIST |
NOTICEBORED
| Plantilla no gratuita y manual de políticas de seguridad de la información basado en ISO 17799. | Manual de Políticas
|
RSA Security Inc.
| Guía de creación de una política de seguridad (inglés). Alojado en web de CCCure.org
| Política RSA |
SANS INSTITUTE | Conjunto de plantillas de políticas de seguridad del SANS Institute (inglés) | Plantillas SANS |
| SANS INSTITUTE | Guía de desarrollo de una política de seguridad de la información (inglés). | Guía SANS |
| SENADO ESPAÑA | Normativa de uso de sistemas de información del Senado español como ejemplo de un despliegue de política. | Política Senado
|
| TREASURY BOARD OF CANADA SECRETARIAT | Política de Seguridad del Gobierno de Canadá. | Política TBCS (inglés)
Política TBCS (francés)
|
| UCISA | Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido que agrupa a las más importantes Universidades de Reino Unido y que han generado políticas de seguridad de la información basadas en BS-7799:2002 | Toolkit UCISA
|
| UNIVERSIDAD TECNOLÓGICA NACIONAL | Política de Seguridad de la Universidad Tecnológica Nacional (Argentina). 50 páginas, en español. | Política UTN |
Uploading ....
"Una declaración de aplicabilidad debe incluir lo siguiente:
1) los objetivos de control y los controles seleccionados [para tratar los riesgos, en base a los criterios de aceptación de riesgos, además de los requisitos legales, reglamentarios y contractuales] y las justificaciones de su selección;
2) los objetivos de control y los controles actualmente implementados; y
3) la exclusión de cualquier objetivo de control y control del anexo A y la justificación de esta exclusión.
NOTA: La declaración de aplicabilidad proporciona un resumen de las decisiones relativas al tratamiento de los riesgos. La justificación de las exclusiones facilita una comprobación cruzada de que no se ha omitido inadvertidamente ningún control."