Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Cláusula - Cumplimiento

    Cargado por

    William Alfredo
    5 vistas7 páginas
    MLXMCL

    Título original

    13. Cláusula - Cumplimiento

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    MLXMCL

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas7 páginas

    Cláusula - Cumplimiento

    Cargado por

    William Alfredo
    MLXMCL

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Código: PGT-PSI-002

    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7


    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    4. CLÁUSULA: SEGURIDAD DE LOS RECURSOS HUMANOS

    Firmantes
    Nombre Fecha Firma

    DD/MM/AAAA

    DD/MM/AAAA

    Historial
    Fecha Razón del Cambio Autor(es)

    DD/MM/AAAA

    DD/MM/AAAA
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Generalidades

    La seguridad de la información se basa en la capacidad para preservar su


    integridad, confidencialidad y disponibilidad, por parte de los elementos
    involucrados en su tratamiento: hardware, software, procedimientos, así como de
    los recursos humanos que utilizan dichos componentes.

    En este sentido, es fundamental capacitar e informar al personal desde su ingreso


    y en forma continua, cualquiera sea su situación, acerca de las medidas de
    seguridad que afectan al desarrollo de sus funciones y de las expectativas
    depositadas en ellos en materia de seguridad y asuntos de confidencialidad. De la
    misma forma, es necesario definir las sanciones que se aplicarán en caso de
    incumplimiento.

    Objetivo

    Reducir los riesgos de error humano, ejecución de ilícitos, uso inadecuado de


    instalaciones y recursos, y manejo no autorizado de la información.

    Garantizar que los empleados estén al tanto de las amenazas y obligaciones en


    materia de seguridad de la información, y se encuentren capacitados para respaldar
    la Política de Seguridad del Área en el transcurso de sus tareas normales.

    Establecer Compromisos de Confidencialidad con todo el personal y usuarios


    externos de las instalaciones de procesamiento de información.

    Alcance

    Esta Política se aplica a todo el personal del Área, cualquiera sea su situación, y al
    personal externo que efectúe tareas dentro del ámbito del Área de Proceso de
    Gestión TIC.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Política

    4.1 Categoría: Antes del empleo

    Objetivo

    Asegurar que los empleados, contratistas y terceros entiendan sus


    responsabilidades, y sean idóneos para los roles para los cuales son considerados;
    y reducir el riesgo de robo, fraude y mal uso de los medios.

    Las responsabilidades de seguridad deben ser tratadas antes del empleo en las
    definiciones de trabajo adecuadas y en los términos y condiciones del empleo

    4.1.1 Control: Inclusión de la seguridad en las responsabilidades laborales

    Las funciones y responsabilidades en materia de seguridad serán incorporadas en


    la descripción de las responsabilidades de cada cargo. Estas incluirán las
    responsabilidades generales relacionadas con la implementación y el
    mantenimiento de las Políticas de Seguridad, y las responsabilidades específicas
    vinculadas a la protección de cada uno de los activos, o la ejecución de
    procedimientos de seguridad.

    4.1.2 Control: Términos y condiciones de la relación laboral

    Como parte de sus términos y condiciones iniciales de empleo, los empleados,


    firmarán un compromiso de confidencialidad o no divulgación, en lo que respecta al
    tratamiento de la información del Área de Proceso de Gestión TIC. La copia firmada
    del compromiso debe ser retenida en forma segura por el encargado de la
    Seguridad Informática.

    Asimismo, mediante el compromiso de confidencialidad el empleado declarará


    conocer y aceptar la existencia de determinadas actividades que pueden ser objeto
    de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el
    derecho a la privacidad del empleado.

    Se desarrollará un procedimiento para la suscripción del compromiso de


    confidencialidad donde se incluirán aspectos sobre:

     Suscripción inicial del compromiso por parte de la totalidad del personal.


     Revisión del contenido del compromiso cada seis meses.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

     procedimiento de re-suscripción en caso de modificación del compromiso.

    Los términos y condiciones de empleo establecerán la responsabilidad del


    empleado en materia de seguridad de la información.

    Cuando corresponda, los términos y condiciones de empleo establecerán que estas


    responsabilidades se extienden más allá de los límites de las instalaciones del Área
    de Proceso de Gestión TIC y del horario normal de trabajo.

    Los derechos y obligaciones del empleado relativos a la seguridad de la información,


    por ejemplo, en relación con la ley de protección de datos 1581 (ANEXO Ley 1581),
    con la ley 599 de Propiedad Intelectual (ANEXO Ley 599), ley delitos informáticos
    (ANEXO Ley 1273), se encontrarán aclarados e incluidos los términos y condiciones
    de la Seguridad de la Información.

    4.2 Categoría: Durante el empleo

    Objetivo

    Asegurar que los empleados, contratistas y terceras personas estén al tanto de las
    amenazas e inquietudes de la seguridad de la información, sus responsabilidades y
    obligaciones, y estén equipados para apoyar la política de seguridad en el curso de
    su trabajo normal, y reducir el riesgo de error humano.

    Se deben definir las responsabilidades de la coordinación para asegurar que se


    aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro
    del Área de Proceso de Gestión TIC.

    4.2.1 Control: Supervisión de las obligaciones

    El encargado del Área de la Seguridad Informática solicitará a los empleados,


    contratistas y terceros que apliquen la seguridad en concordancia con las políticas
    y procedimientos establecidos por el Área de Proceso de Gestión TIC, cumpliendo
    con lo siguiente:

     Estar adecuadamente informados de sus roles y responsabilidades de


    seguridad de la información antes de que se le otorgue el acceso a
    información sensible o a los sistemas de información
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

     Ser motivados para cumplir con las políticas de seguridad del Área de
    Proceso de Gestión TIC.
     Alcancen un nivel de conciencia sobre la seguridad acorde con sus roles y
    responsabilidades dentro del Área de Proceso de Gestión TIC.
     Cumplir con las condiciones y términos del empleo, los cuales incluyen las
    políticas de seguridad de la información del Área de Proceso de Gestión TIC.
     Mantenerse con las habilidades y calificaciones adecuadas

    Si los empleados, contratistas y terceros no son conscientes de sus


    responsabilidades de seguridad, ellos pueden causar daños considerables al Área
    de Proceso de Gestión TIC. Un personal motivado tiene más probabilidades de ser
    más confiable y causar menos incidentes de seguridad de la información.
    4.2.2 Control: Formación y capacitación en seguridad de la información

    Todos los empleados del Área de Proceso de Gestión TIC recibirán una adecuada
    capacitación y actualización periódica en materia de la política, normas y
    procedimientos del Área. Esto comprende los requerimientos de seguridad y las
    responsabilidades legales, así como la capacitación referida en seguridad de la
    información, uso correcto de las instalaciones de procesamiento de información y el
    uso correcto de los recursos en general.

    Cada tres meses se revisará el material correspondiente a la capacitación, a fin de


    evaluar la pertinencia de su actualización.

    4.2.3 Control: Procedimiento disciplinario

    Se seguirá el proceso disciplinario formal contemplado en las normas de la


    Gobernación de Nariño para los empleados que violen la Política, Normas y
    Procedimientos de Seguridad del Área de Proceso de Gestión TIC.

    El proceso disciplinario también se puede utilizar como un elemento disuasivo para


    evitar que los empleados, contratistas y terceros violen las políticas de seguridad
    del Área de Proceso de Gestión TIC y cualquier otro incumplimiento de seguridad.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    4.3 Categoría: Terminación o cambio del empleo

    Objetivo

    Se deben establecer las responsabilidades para asegurar que la salida del Área de
    Proceso de Gestión TIC del empleado, contratista o tercera persona sea manejada
    y se eliminen todos los derechos de acceso.

    4.3.1 Control: Cancelación de permisos de acceso

    Se revisarán los derechos de acceso de un individuo a los activos asociados con


    los sistemas y servicios de información tras la desvinculación; esto determinará si
    es necesario remover los derechos de acceso.

    Con el cambio de un cargo deben removerse todos los derechos de acceso que no
    fueron aprobados para el nuevo cargo, comprendiendo esto accesos lógicos y
    físicos, llaves, instalaciones de procesamiento de la información, suscripciones, y
    remoción de cualquier documentación que lo identifique como un miembro corriente
    del Área de Proceso de Gestión TIC.

    Si un empleado, contratista o tercero que se está desvinculando tiene conocimiento


    de contraseñas para cuentas que permanecen activas, éstas deben ser cambiadas
    tras la finalización o cambio de empleo, contrato o acuerdo.

    Se evaluará la reducción o eliminación de los derechos de acceso a los activos de


    información y a las instalaciones de procesamiento de información antes de que el
    empleo termine o cambie, dependiendo de factores de riesgos, tales como:

     Si la terminación o cambio es iniciado por el empleado, contratista o tercero,


    o por la gestión y la razón de la finalización.
     Las responsabilidades actuales del empleado, contratista o tercero.
     El valor de los activos accesibles actualmente.

    Anexo cuestionario realizado al personal del Área de Proceso de Gestión TIC


    ANEXOS\ Funcionamiento Administrativo Proceso Gestión TIC.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 7
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Sanciones previstas por incumplimiento

    El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad


    de la Información tendrá como resultado la aplicación de diversas sanciones,
    conforme a la magnitud y característica del aspecto no cumplido.

    Asistencia

    Cualquier solicitud relacionada con esta política o aplicaciones de esta debe ser
    referida al Área de Proceso de Gestión TIC.
    Referencias

    ISO/IEC 27001:2013 e ISO/IEC 27002:2013

    También podría gustarte