Su Política de Seguridad de la Información es diferente de su Plan de Seguridad de la Información :
Su Plan de seguridad de la información debe incluir todas las acciones necesarias para la implementación en toda la organización de su Política de seguridad de la información . Aunque los dos están estrechamente vinculados, también son documentos separados.
Un plan de seguridad de la información sólido generalmente incluirá varias fases, dependiendo de su infraestructura existente, la topología de la red / sistemas y la configuración. Es posible que necesite varias fases técnicas distintas para implementar los controles de seguridad necesarios sin una interrupción importante del servicio. Esto es completamente subjetivo, y depende de usted, el ingeniero de seguridad, imaginarlo.
Tenga en cuenta que si su organización requiere el cumplimiento de NIST 800-53, la palabra clave es obligatorio : se espera que su organización muestre pruebas de la debida diligencia y la implementación de todo lo necesario. artículos, y tantos artículos "sugeridos" o "recomendados" como sea técnicamente posible / factible.
¡Buena suerte!