8.1 Planificación y Control Operacional.
Requisito.
La organización:
- planifica, implementa y controla los proceso para cumplir con los requisitos de la seguridad de la información y alcanzar sus objetivos.
- mantiene información documentada según sea necesario para tener confianza en que los procesos están llevados a cabo según lo previsto.
- controla los cambios planificados y revisa las consecuencias de los cambios no deseados, y garantiza que los procesos subcontratados sean identificados, definidos y controlados.
Explicación.
Los procesos que utiliza una organización para cumplir con sus requisitos de seguridad de la información están planificados, y una vez implementados, se controlan, particularmente cuando se requieren cambios.
Sobre la base de la planificación del SGSI (cláusulas 6.1 y 6.2), la organización realiza las tareas necesarias, planificación operativa y actividades para implementar los procesos necesarios para cumplir con los requisitos de la seguridad de la información.
Los procesos para cumplir con los requisitos de seguridad de la información incluyen:
-
- procesos del SGSI (por ejemplo, revisión de la dirección, auditoría interna); y
- procesos requeridos para implementar el plan de tratamiento de riesgos de seguridad de la información.
La implementación de planes da como resultado procesos operados y controlados.
Por tanto, la organización necesita:
-
- determinar los procesos subcontratados considerando los riesgos de seguridad de la información relacionados con la subcontratación; y
- garantizar que los procesos subcontratados estén controlados (es decir, planificados, monitoreados y revisados) de manera que garantice que funcionan según lo previsto (también considerando los objetivos de seguridad y el plan de tratamiento de riesgos de seguridad de la información).
Una vez completada la implementación, los procesos se gestionan, monitorean y revisan para asegurar que continúen cumpliendo con los requisitos determinados después de comprender las necesidades y expectativas de las partes interesadas (Cláusula 4.2).
Los cambios del SGSI pueden ser planificados u ocurrir de forma no intencionada. Siempre que la organización realiza cambios en el SGSI (como resultado de la planificación o involuntariamente), evalúa las posibles consecuencias de los cambios para controlar cualquier efecto adverso.
La organización puede obtener confianza sobre la efectividad de la implementación de los planes mediante documentar actividades y utilizar información documentada como entrada para la evaluación del desempeño procesos especificados en la Cláusula 9. Por lo tanto, la organización establece los requisitos de información documentada a conservar.
Guía.
Los procesos que se han definido como resultado de la fase de planificación se deberían implementar, operar y verificar en toda la organización.
Se deberían considerar e implementar:
- Los procesos que son específicos para la gestión de la seguridad de la información. como Gestión del riesgo, Gestión de incidentes, Gestión de la continuidad, Auditorías internas u Revisiones por la dirección.
- Los procesos que surgen de los controles de seguridad de la información en el plan de tratamiento de riesgos de seguridad de la información.
- Las estructuras de reporte dentro del área de seguridad de la información, por ejemplo, informes de incidentes, informes sobre medición del cumplimiento de los objetivos de seguridad de la información, informes sobre las actividades realizadas.
- Estructuras de reuniones (frecuencia, participantes, propósito y autorización) dentro de la información. Las actividades de seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes para una gestión eficaz del área de seguridad de la información.
Cambios Planificados.
La organización debería:
- Planificar su implementación y asignar tareas, responsabilidades, fechas límite y recursos.
- Implementar cambios de acuerdo con el plan.
- Hacer seguimiento de su implementación para confirmar que se han implementado de acuerdo con el plan.
- Recolectar y retener información documentada sobre la ejecución de los cambios como evidencia de que se han llevado a cabo de la forma planificada (por ejemplo, con responsabilidades, fechas límite, evaluaciones de eficacia).
Cambios No Previstos.
La organización debería:
- Examinar sus consecuencias.
- Determinar si ya ha ocurrido algún efecto adverso o puede ocurrir en el futuro.
- Planificar e implementar acciones para mitigar cualquier efecto adverso, de acuerdo con las necesidades.
- Recolectar y conservar información documentada sobre cambios y acciones no previstos tomados para mitigar los efectos adversos.
Procesos o Funciones Controlados con Proveedores Externos.
La organización debería:
- Determinar todas las relaciones de contratación externa.
- Establecer las interfaces apropiadas con los proveedores.
- Abordar las cuestiones relacionadas con seguridad de la información, en los acuerdos con proveedores.
- Hacer seguimiento y revisar los servicios de los proveedores para asegurar que operan en la forma prevista y que los riesgos de seguridad de la información asociados satisfacen los criterios de aceptación de riesgos de la organización.
- Gestionar los cambios a los servicios de los proveedores, de acuerdo con las necesidades.