Tengo una pregunta sobre la guía en NIST 800-53.
Los controles PM-1 en NIST 800-53 requieren un plan de seguridad de la información. ¿Este plan suele incluir todas las políticas de seguridad de la información de la organización (controles comunes)? ¿Podría considerarse el plan de seguridad de la información como la política de seguridad de la información?
Su Política de Seguridad de la Información es diferente de su Plan de Seguridad de la Información :
Su Plan de seguridad de la información debe incluir todas las acciones necesarias para la implementación en toda la organización de su Política de seguridad de la información . Aunque los dos están estrechamente vinculados, también son documentos separados.
Un plan de seguridad de la información sólido generalmente incluirá varias fases, dependiendo de su infraestructura existente, la topología de la red / sistemas y la configuración. Es posible que necesite varias fases técnicas distintas para implementar los controles de seguridad necesarios sin una interrupción importante del servicio. Esto es completamente subjetivo, y depende de usted, el ingeniero de seguridad, imaginarlo.
Tenga en cuenta que si su organización requiere el cumplimiento de NIST 800-53, la palabra clave es obligatorio : se espera que su organización muestre pruebas de la debida diligencia y la implementación de todo lo necesario. artículos, y tantos artículos "sugeridos" o "recomendados" como sea técnicamente posible / factible.
¡Buena suerte!
Lea otras preguntas en las etiquetas corporate-policy nist