Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Cláusula - Organización de La Seguridad de La Información

    Cargado por

    William Alfredo
    18 vistas6 páginas
    jwajcscksvc

    Título original

    2. Cláusula - Organización de La Seguridad de La Información

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    jwajcscksvc

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    18 vistas6 páginas

    Cláusula - Organización de La Seguridad de La Información

    Cargado por

    William Alfredo
    jwajcscksvc

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Código: PGT-PSI-002

    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6


    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    2. CLÁUSULA: ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

    Firmantes
    Nombre Fecha Firma

    DD/MM/AAAA

    DD/MM/AAAA

    Historial
    Fecha Razón del Cambio Autor(es)

    DD/MM/AAAA

    DD/MM/AAAA
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Generalidades

    La presente cláusula de seguridad establece la administración de la seguridad de


    la información, como parte fundamental de los objetivos y actividades del Área de
    Proceso de Gestión TIC. Por ello, se definirá una estructura de gestión para
    efectuar tareas tales como la asignación de responsabilidades, autorización de
    recursos para el tratamiento de la información y acuerdos de confidencialidad.

    De igual manera, se contemplará desarrollar contactos con las autoridades


    pertinentes cuando se manejan incidentes de seguridad de la información.

    Por otro lado, debe tenerse en cuenta que ciertas actividades del Área pueden
    requerir que terceros accedan a información interna y a las instalaciones de
    procesamiento. En este caso se considerará que la información puede ponerse en
    riesgo si el acceso de dichos terceros se produce en el marco de una inadecuada
    administración de la seguridad, por lo que se identificaran los controles apropiados
    para la protección de la información.

    Objetivo

    Administrar la seguridad de la información dentro del Área de Proceso de Gestión


    TIC y establecer un marco gerencial para iniciar y controlar su implementación, así
    como para la distribución de funciones y responsabilidades.
    Garantizar la aplicación de medidas de seguridad apropiados en los accesos de
    terceros a la información del Área de Proceso de Gestión TIC.

    Alcance

    Esta Política se aplica a los principales recursos de Proceso de Gestión TIC y a


    sus relaciones con terceros que impliquen el acceso a sus datos, recursos y/o a la
    administración y control de sus sistemas de información.
    Política

    2.1 Categoría: Organización interna

    Objetivo

    Manejar la seguridad de la información dentro del Área.


    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Se debe establecer un marco gerencial para iniciar y controlar la implementación


    de la seguridad de la información dentro del Área.

    El Área de Proceso de Gestión TIC debe aprobar la política de seguridad de la


    información y asignar los roles de seguridad.

    Designar en el Área de Proceso de Gestión TIC un encargado para la seguridad


    de la información.

    2.1.1 Control: Roles y responsabilidades para la seguridad de la información

    El encargado de la Seguridad Informática deberá asignar las funciones relativas a


    la Seguridad Informática a cada uno de los administradores del Área, en adelante
    los “Responsables de Seguridad Informática”, quienes tendrán a cargo las
    funciones relativas a la seguridad de los sistemas de información a cargo del Área,
    lo cual incluye la supervisión de todos los aspectos inherentes a seguridad
    informática tratados en la presente Política.

    El encargado de la Seguridad Informática propondrá a la autoridad que


    corresponda para su aprobación, la definición y asignación de las
    responsabilidades que surjan de los procesos de seguridad que se detallan a
    continuación, indicando en cada caso el/los responsable/s del cumplimiento de los
    aspectos de esta Política aplicables a cada caso:

     Seguridad del Personal


     Seguridad física y del entorno
     Seguridad en las comunicaciones y operaciones
     Control de Accesos
     Seguridad en el mantenimiento de Sistemas de Información
     Planificación de la continuidad operativa

    Cabe aclarar que, si bien los responsables de la información pueden delegar la


    administración de sus funciones a personal idóneo a su cargo, conservarán la
    responsabilidad del cumplimiento de las mismas. La delegación de la
    administración por parte de los responsables de la información será documentada
    por los mismos y proporcionada al encargado de la Seguridad Informática dentro
    del Área.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    2.1.2 Control: Segregación de Tareas

    Los nuevos recursos para el tratamiento de la información serán autorizados por el


    Área de Proceso de Gestión TIC, considerando su propósito y uso, conjuntamente
    con los Responsables de Seguridad Informática, a fin de garantizar que se
    cumplan todas las Políticas y requerimientos de seguridad pertinentes.

    Cuando corresponda, se verificará el hardware y software para garantizar su


    compatibilidad con los componentes de otros sistemas del Área.

    2.1.3 Control: Contacto con las Autoridades

    El Área de Proceso de Gestión TIC mantendrá contacto con las autoridades


    pertinentes a fin de apoyar el manejo de incidentes de seguridad y la continuidad
    de la operatividad.

    Los contactos incluyen servicios públicos, servicios de emergencia, salud y


    seguridad; por ejemplo, Policía Nacional, departamento de bomberos,
    proveedores de telecomunicaciones y demás.
    2.1.4 Control: Contacto con Grupos de Interés Especial

    Se definirán, implementarán y revisarán regularmente los acuerdos de


    confidencialidad o de no divulgación para la protección de la información del Área.

    Dichos acuerdos deben responder a los requerimientos de confidencialidad o no


    divulgación del Área, los cuales serán revisados periódicamente. Asimismo, deben
    cumplir con toda legislación o normativa que alcance al Área en materia de
    confidencialidad de la información.

    Dichos acuerdos deben celebrarse tanto con el personal del Área como con
    aquellos terceros que se relacionen de alguna manera con su información.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    2.2 Categoría: Seguridad de la Información en la Gestión de Proyectos

    Objetivo

    Mantener la seguridad de la información y los activos de información del Área de


    Proceso de Gestión TIC que son ingresados, procesados, comunicados a, o
    manejados por, entidades externas.

    Controlar cualquier acceso a las instalaciones de procesamiento de información


    del Área y el procesamiento y comunicación de la información realizada por
    entidades externas.

    2.2.1 Control: Políticas de Dispositivos Móviles

    Cuando exista la necesidad de otorgar acceso a terceras partes a información del


    Área, los Responsables de Seguridad de la Información, llevarán a cabo y
    documentarán una evaluación de riesgos para identificar los requerimientos de
    controles específicos, teniendo en cuenta, entre otros aspectos:

     Los activos de información a los cuales necesita tener acceso la parte


    externa
     El tipo de acceso requerido (físico/lógico y a qué recurso)
     Los motivos para los cuales se solicita el acceso
     El valor de la información involucrada
     Identificación del personal externo autorizado para tener acceso
     Los controles empleados por la tercera parte cuando almacena, procesa,
    comunica, comparte e intercambia información
     La incidencia de este acceso en la seguridad de la información del Área.

    En ningún caso se otorgará acceso a terceros a la información, a las instalaciones


    de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan
    implementado los controles apropiados y se haya firmado un acuerdo que defina
    las condiciones para la conexión o el acceso.
    Anexo cuestionario realizado al personal del Área de Proceso de Gestión TIC
    ANEXOS\ Funcionamiento Administrativo Proceso Gestión TIC.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Sanciones previstas por incumplimiento

    El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad


    de la Información tendrá como resultado la aplicación de diversas sanciones,
    conforme a la magnitud y característica del aspecto no cumplido.

    Asistencia

    Cualquier solicitud relacionada con esta política o aplicaciones de esta debe ser
    referida al Área de Proceso de Gestión TIC.

    Referencias

    ISO/IEC 27001:2013 e ISO/IEC 27002:2013

    También podría gustarte