Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dueo de proceso
reas
Revisor
Aprobador
RIESGOS
Leonel Henriquez
Gerente de Riesgos
Leonel Henriquez
Gerente de Riesgos
ELABORADO POR:
ngela Lora
OFICINA DE GESTIN DE PROYECTOS PMO
DCP-MN-002
VIGENCIA: 22/10/2014
1.
2.
3.
4.
5.
6.
7.
INDICE
OBJETIVOS 3
ALCANCE... 3
BASE LEGAL. 4
GENERALIDADES 4
POLITICAS18
ANEXOS Y REGISTROS19
BITACORA DE CAMBIOS..19
VERSIN 01
PAG. 2 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
2. ALCANCE
El SGSI abarca toda la informacin utilizada por Diners Club Per para el desarrollo de sus
actividades y es aplicable a los procesos principales de la institucin incluyendo las
dependencias de los mismos con las otras empresas del Grupo, proveedores y entidades
externas. La implementacin del SGSI se extender en concordancia con las necesidades de
la organizacin.
VERSIN 01
PAG. 3 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
4. GENERALIDADES
El Oficial de Seguridad de la Informacin debe mantener actualizado el presente, para ello
contar con el apoyo del rea de Gestin de Procesos gestionando las aprobaciones
reglamentadas as como la difusin del mismo.
4.1. GLOSARIO DE TERMINOS
4.1.1. Activo: Cualquier cosa que tenga valor para la organizacin.
4.1.2. Amenaza: Cualquier accin o evento que puede ocasionar consecuencias
adversas.
4.1.3. Confidencialidad: La informacin debe ser accesible slo a aquellos que se
encuentren debidamente autorizados.
4.1.4. Disponibilidad: La informacin debe ser disponible en forma organizada para los
usuarios autorizados cuando sea requerida.
4.1.5. Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la
empresa, originados por la misma causa, que ocurren durante el mismo periodo
de tiempo.
4.1.6. Evento de seguridad de informacin: Una ocurrencia identificada del estado de
un sistema, servicio o red indicando una posible violacin de la poltica de
seguridad de la informacin o falla en las salvaguardas, o una situacin
previamente desconocida que puede ser relevante para la seguridad.
4.1.7. Factor de autenticacin: Informacin utilizada para verificar la identidad de una
persona. Pueden clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una clave de identificacin).
Algo que el usuario posee (por ejemplo: una tarjeta).
Algo que el usuario es (por ejemplo: caractersticas biomtricas).
4.1.8. Grupo de inters: Personas u organizaciones que se ven impactadas por las
operaciones de una empresa. Ejemplos: clientes, socios del negocio, empleados,
proveedores, accionistas, entidades gubernamentales, entre otros.
VERSIN 01
PAG. 4 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
4.1.16. Salvaguarda: Las polticas, los procedimientos, las prcticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
informacin por debajo del nivel de riesgo asumido. Contramedida.
4.1.17. Seguridad de informacin: Caracterstica de la informacin que se logra
mediante la adecuada combinacin de polticas, estructura organizacional y
herramientas informticas especializadas, a efectos que dicha informacin
cumpla los criterios de confidencialidad, integridad y disponibilidad.
4.1.18. Sistema de gestin de seguridad de la informacin - SGSI: Parte del Sistema
Gerencial General, basado en un enfoque de riesgo comercial; para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
informacin. El sistema gerencial incluye la estructura organizacional, polticas,
actividades de planeacin, responsabilidades, prcticas, procedimientos,
procesos y recursos.
4.1.19. Subcontratacin: Modalidad de gestin mediante la cual una empresa contrata
a un tercero para que ste desarrolle un proceso que podra ser realizado por la
empresa contratante.
VERSIN 01
PAG. 5 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
DCP-MN-002
VIGENCIA: 22/10/2014
PAG. 7 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
VERSIN 01
PAG. 8 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
PAG. 9 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
PAG. 10 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
VERSIN 01
PAG. 11 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
VERSIN 01
PAG. 12 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
En la primera fase Establecimiento del SGSI, se dan las pautas para determinar el alcance del
modelo del SGSI, identificar los activos de informacin y tasarlos, luego hacer el anlisis y la
evaluacin del riesgo y determinar que activos de informacin estn sujetos a riesgo. Seguidamente,
en esta fase se deben determinar las opciones para el tratamiento del riesgo.
En la segunda fase Implementacin del SGSI, se debe elaborar el plan de tratamiento del riesgo,
detallando las acciones que deben emprenderse para implantar las opciones de tratamiento del
riesgo escogidas.
En la tercera fase Monitoreo y Revisin, se deben establecer procedimientos y rutinas
establecidos para, con ayuda de mtrica, revisar el desempeo del SGSI.
En la cuarta fase Mejora continua, se toman las acciones pertinentes para reaccionar a incidentes
y tomar tambin las acciones preventivas de lugar. La idea consiste en llevar al SGSI a la excelencia
en el tiempo.
VERSIN 01
PAG. 13 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
Consideraciones
estratgicas
Insumos
OPERACIONES
INTERNAS
Retroalimentacin
Resultados
Medida
Recursos
VERSIN 01
PAG. 14 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
VERSIN 01
PAG. 15 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
PAG. 16 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
VERSIN 01
PAG. 17 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
5. POLITICAS
Vase el documento DCP-MN-004 Manual de Polticas del Sistema de Gestin de Seguridad
de la Informacin.
VERSIN 01
PAG. 18 de 19
DCP-MN-002
VIGENCIA: 22/10/2014
7. BITACORA DE CAMBIOS
Fecha de
Actualizacin
Versin
Datos de la Actualizacin
Fuente de
Cambio
22/10/2014
01
Descripcin
VERSIN 01
4.3.4
Estructura
PAG. 19 de 19
de