FISO20000_T029 Aseguramiento de servicios

Plataformas de Aprendizaje Autodirigido

Aseguramiento de servicios.

8.7.1 Gestión de la disponibilidad de servicios.

  • Se deben evaluar y documentar los riesgos sobre la disponibilidad de los servicios a intervalos planificados.
  • La organización debe determinar los requisitos y objetivos de disponibilidad de los servicios.
  • Los requisitos acordados deben tener en cuenta los requisitos de negocio relevantes, los requisitos de servicio, los SLAs y los riesgos.
  • Se deben documentar y mantener los requisitos y los objetivos de disponibilidad de los servicios.
  • Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los objetivos. Se debe investigar la indisponibilidad no planificada y llevar a cabo las acciones necesarias.

8.7.2 Gestión de la continuidad de los servicios.

Se deben evaluar y documentar los riesgos sobre la continuidad de los servicios a intervalos planificados. La organización debe determinar los requisitos de continuidad de los servicios. Los requisitos acordados deben tener en cuenta los requisitos relevantes de negocio, los requisitos de los servicios, los SLAs y los riesgos.

La organización debe crear, implementar y mantener uno o más planes de continuidad de los servicios.

El plan o planes de continuidad de los servicios deben incluir o hacer referencia a:

    1. Los criterios y las responsabilidades para invocar la continuidad de los servicios.
    2. Los procedimientos que se pondrán en marcha en caso de una pérdida grave de servicio.
    3. Los objetivos de disponibilidad de servicio cuando se invoca el plan de continuidad de los servicios.
    4. Los requisitos de recuperación de los servicios.
    5. Los procedimientos para volver a las condiciones normales de trabajo.

Cuando no se pueda acceder a la ubicación normal de prestación de los servicios se debe tener acceso al plan o planes de continuidad de los servicios y a la lista de contactos.

Probar el plan o planes de continuidad de los servicios frente a los requisitos de continuidad de servicio a intervalos planificados. El plan o planes de continuidad de los servicios se deben volver a probar tras cambios significativos en el entorno de servicio. Los resultados de las pruebas deben ser registrados. Deben realizarse revisiones después de cada prueba y después de que el plan o planes de continuidad de servicio hayan sido invocados. Cuando se encuentren deficiencias, la organización debe llevar a cabo las acciones necesarias.

Informar sobre la causa, el impacto y la recuperación una vez que se haya invocado el plan o planes de continuidad de los servicios.

8.7.3 Gestión de la seguridad de la información.

8.7.3.1 Política de seguridad de la información.

Los miembros de la dirección con el nivel adecuado de autoridad deben aprobar una política de seguridad de la información relevante para la organización, debe estar documentada y tener en consideración los requisitos de servicio y las obligaciones del apartado 6.3 c).

La política de seguridad de la información debe estar disponible según corresponda. La organización debe comunicar la importancia de cumplir con la política de seguridad de la información y su aplicabilidad al SGS y los servicios a las personas apropiadas dentro de:

a) La organización.
b) Los clientes y los usuarios.
c) Los proveedores externos e internos y otras partes interesadas.

8.7.3.2 Controles de seguridad de la información.

Evaluar y documentar, a intervalos planificados, los riesgos de seguridad de la información para el SGS y los servicios. Se deben determinar, implementar y operar los controles de seguridad de la información para dar soporte la política de seguridad de la información y tratar los riesgos de seguridad de la información identificados. Deben documentarse las decisiones sobre los controles de seguridad de la información.

Acordar e implementar controles de seguridad de la información para abordar los riesgos de seguridad de la información relacionados con organizaciones externas.

Monitorizar y revisar la eficacia de los controles de seguridad de la información y llevar a cabo las acciones necesarias.

8.7.3.3 Incidencias de seguridad de la información.

Las incidencias de seguridad de la información deben ser:

Analizar las incidencias de seguridad de la información por tipo, volumen e impacto en el SGS, los servicios y las partes interesadas. Las incidencias de seguridad de la información deben ser comunicadas y revisadas para identificar oportunidades de mejora.