Information Security Management Maturity Model

...

Por último, ISM3 está diseñado con todo tipo de organización en mente. Por lo tanto, los negocios, el gobierno y otras organizaciones como las organizaciones benéficas y organizaciones no gubernamentales pueden beneficiarse del uso de ISM3.

1.2 Estructura de este documento

Este documento sigue la siguiente estructura:

1. Introducción, que contiene información general sobre ISM3;

2. El uso de ISM3, que muestra cómo los sistemas de puntajes ISM3 ISM;

3. Seguridad de la Información Modelo de Gestión, que describe en detalle el modelo ISM; 4. Responsabilidades de gestión, que describe la aplicación a los sistemas ISM;

5. El despliegue, dar alguna orientación acerca de cómo implementar un sistema ISM compatible ISM3;

6. Referencias, se enumeran los métodos y los estándares mencionados.

7. Terminología, que describe la terminología específica en este documento;

8. Glosario, que define el significado preciso de varios términos ISM3.

1.3 Enfoque

Las normas actuales enfoques de la seguridad y la gestión de la información se pueden clasificar como:

Proceso orientado, (ISO9001: 2000, BS7799-2: 2002, CMMI, ITIL / ITSM);

Controles orientado (ISO13335-4, BSI-ITBPM);

Producto orientado (Common Criteria

- El análisis de riesgos orientado (Octave, Magerit);

- La mejor práctica orientada (ISO / IEC 17799: 2000, Cobit, ISF-SGP).

-

ISM3 es un estándar orientado al proceso que utiliza niveles de madurez para evitar tomar una talla única para todos. El enfoque se aplica conceptos de gestión de la calidad para los sistemas ISM. El equivalente de un manual de calidad es proporcionada por la Seguridad en el contexto del modelo, lo que asegura que los objetivos de seguridad de una organización son apropiadas para sus objetivos de negocio y los recursos. Una norma de calidad para cada nivel de madurez es fijado por los procesos adoptados. Se requieren documentación y gestión de documentos para asegurar que los procesos seleccionados se ajustan a la norma, son repetibles, y están sujetos a revisión. Un proceso de gestión de documentos definido se requiere en la etapa más temprana. También existen procesos para la mejora continua y la auditoría.

Esta norma es tecnológicamente neutral, ya que se centra en los procesos, y proporciona una visión de alto nivel. Las técnicas de protección descritos en el presente documento pueden realizarse utilizando cualquier tecnología y metodología adecuada. ISM3 aboga por el uso de métodos bien conocidos para la realización de cada proceso, que se mencionan siempre que sea posible.

Los términos utilizados se derivan de CMMI, ITIL / ITSM e ISO9001: 2000 terminología.

1.4 Aplicación

Al aplicar el modelo de madurez, debe tenerse en cuenta una serie de procesos clave del ISM. Dentro de un proceso, ISM 3 no tienen una visión prescriptiva de qué actividades se deben realizar, o su frecuencia.

La notación utilizada para los procesos de ISM3 describe ciertas propiedades fundamentales. Estos incluyen:

El nivel de la organización responsable para cada conjunto de procesos (estratégico, táctico u operativo);

Una razón fundamental para el proceso. Cada organización tiene un contexto diferente y recursos, y por lo tanto diferentes procesos son susceptibles de ser utilizados. En el control de la madurez de los sistemas ISM, tanto la presencia o la ausencia de un proceso deben estar justificadas;

Las entradas al proceso;

los productos del proceso. Estos pueden ser documentos, tales como las políticas y los informes, o pueden ser el resultado de acontecimientos que se repiten, como la toma de copias de seguridad o el análisis de archivos de registro.

Cabe señalar que un proceso puede ocurrir en varios lugares diferentes en una organización, controlados por diferentes personas. Cuando esto ocurre, cada instancia del proceso necesita ser evaluado. Los procesos se describen en un nivel alto con el siguiente formato:

[pic 1]

La versión futura de esta norma dará orientación sobre los parámetros y recursos para cada proceso.

1.5 Modelo de Información del Sistema

1.5.1 Componentes

Sistemas de Información son complejos y tienen diversos componentes tangibles e intangibles. Los componentes se pueden clasificar de acuerdo a las características estructurales y transaccionales. Estas clases son útiles para referirse a los grupos y las propiedades comunes de los diferentes tipos de activos:

Características-estructural de los diversos activos de los que unos sistemas de información se pueden construir:

repositorios: Cualquier depósito temporal o permanente de información, incluyendo la memoria RAM, bases de datos, sistemas de archivos y cualquier clase de medios portátil;

Interfaces: Cualquier dispositivo de entrada / salida, como pantallas, impresoras y fax;

Canales: vías físicos o lógicos para el flujo de mensajes, incluidos los autobuses, redes LAN, etc. Una red es un conjunto dinámico de canales;

fronteras definen los límites del sistema.

dispositivos físicos pueden alojar uno o varios componentes lógicos. Existen objetos estructurales en todos los niveles lógico y físico. La tabla siguiente contiene ejemplos de cada tipo de activo estructural:

[pic 2]

Al definir los requisitos de seguridad, políticas o procedimientos, una organización debe utilizar la descripción de activos niveles apropiados a las amenazas que enfrentan. Por ejemplo, la mayoría de las organizaciones elaborarán políticas relacionadas con la seguridad de los