MANUAL GENERAL DE PROCESOS PROCESO DE GESTION DE TECNOLOGÍAS DE LA INFORMACIÓN

Transcripción

1 Página 1 de 5 1. OBJETIVO Establecer un procedimiento para la planificación, ejecución y toma de acciones en la Revisión por la Dirección del Sistema de Gestión de Seguridad de la Información de Electro Ucayali. 2. ALCANCE Este procedimiento aplica a todas las revisiones por la dirección ejecutadas para el SGSI y sus controles. Su uso es obligatorio para todo el personal de Electro Ucayali, en las actividades que se encuentren directamente relacionadas con la revisión por la dirección del SGSI. 3. DEFINICIONES 3.1. Acción Correctiva: Acción enfocada en corregir la ocurrencia de una no conformidad sobre el sistema CSI: Comité de Seguridad de la Información 3.3. RSI: Responsable de Seguridad de la Información 3.4. SAC: Solicitud de Acción Correctiva 3.5. SAS: Sistema que Automatiza el SGSI. 4. DOCUMENTOS A CONSULTAR 4.1. Norma ISO/IEC 27001: Manual del SGSI Manual del SAS. 5. RESPONSABILIDADES 5.1. El Jefe de Gestión Empresarial Liderar la revisión del SGSI, y debe convocarla al menos una vez al año en coordinación con el RSI y el CSI. Apoyar los resultados de los acuerdos que se tomen en la Revisión por la Dirección, para la mejora del Sistema de Gestión de Seguridad de la Información.

2 Página 2 de El Comité de Seguridad de la Información Analizar y evaluar cada uno de los temas a tratar en las Reuniones de Revisión, con el apoyo del RSI y otros involucrados, para el sustento de cada uno de los puntos. Determinar acuerdos y acciones a tomar para la mejora del SGSI en base al análisis realizado. Solicitar reuniones extraordinarias de Revisión por la Dirección, de ser el caso El Responsable de Seguridad de la Información, Obtener la información para la revisión desde el SAS y de registrar el resultado de la revisión del SGSI en el mismo sistema. Solicitar revisiones extraordinarias a la dirección (también lo puede solicitar el CSI) y se llevarán a cabo en los siguientes casos: - Cuando la revisión ordinaria del SGSI requiera de otra revisión adicional debido a la complejidad o volumen de información a revisar. - Debido a la criticidad de algún evento de seguridad, o cambios significativos que puedan afectar la efectividad o continuidad del SGSI. - Cuando la Dirección lo considere necesario para la toma de decisiones respecto al SGSI. 6. DESARROLLO DEL PROCEDIMIENTO 6.1. Preparación de la Revisión Para las revisiones del SGSI por la Dirección, el Responsable de Seguridad de la Información deberá contar con información de la operación del SGSI, que facilite la correcta toma de decisiones; dicha información será obtenida del SAS (ver Manual del SAS sección 3.10 Revisión por la Gerencia) e incluye: El estatus de las acciones de las anteriores revisiones por la Dirección Cambios en los asuntos externos e internos que puedan afectar el SGSI. Retroalimentación sobre el desempeño de la Seguridad de Información: o No conformidades y las acciones correctivas. o Resultados del monitoreo y medición; o Resultados de las auditorías.

3 Página 3 de 5 o Cumplimiento de los objetivos de seguridad de la información; Retroalimentación de las partes interesadas; Resultados de la evaluación de los riesgos y estado actual del plan de tratamiento de los riesgos. Oportunidades de Mejora Continua. El RSI deberá asegurarse que la información de la operación del SGSI, requerida para la revisión por la dirección, sea producida y almacenada en el SAS de manera oportuna Planificación para la El RSI coordina con el Jefe de Gestión Empresarial su disponibilidad para la revisión del SGSI, a fin de definir el lugar, fecha, hora y asistentes: miembros del comité y otros participantes convocados cuya participación sea pertinente para la reunión de revisión. Una vez concluidas las coordinaciones, registra en el SAS los datos de la reunión para la revisión del SGSI (ver Manual del SAS sección 3.10 Revisión por la Gerencia) y genera el reporte de entrada (Informe para la Revisión por la Dirección) Realización de la El Jefe de Gestión Empresarial da inicio a la reunión de revisión del SGSI. Con el apoyo del CSI, el RSI y otros involucrados se procede a presentar el Informe para la Revisión por la Dirección; para luego analizar y evaluarlo. Finalmente se determinan acuerdos y acciones a tomar para la mejora del SGSI en base al análisis realizado Elaboración de los Resultados de El RSI, durante el desarrollo de la reunión de revisión del SGSI, registra en el SAS las disposiciones de la dirección a tomar como resultado de la revisión (ver Manual del SAS sección 3.10 Revisión por la Gerencia).

4 Página 4 de Preparación del Acta Finalmente, el RSI genera a partir del SAS el Reporte de Resultados (Acta de Revisión por la Dirección), que es impreso y donde los participantes de la reunión firman el documento, como evidencia de la realización de la reunión Cierre del Acta Una vez que el acta es aprobada, el RSI escanea y carga el archivo al SAS (ver Manual del SAS sección 3.10 Revisión por la Gerencia) dándose por concluida la revisión. 7. REGISTROS Y ANEXOS 7.1. Informe para la Revisión por la Dirección (automatizado) 7.2. Acta de Revisión por la Dirección (automatizado)

5 Página 5 de 5 Control de Cambios del Documento N Fecha Día Mes Año Dependencia que genera el cambio Responsable Detalle del Cambio