Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)"

Transcripción

1 Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la Documento de la política de seguridad de la PREGUNTA DE AUDITORIA HALLAZGOS CUMPLIMIENTO Existe una política de seguridad de la aprobada por la administración, publicada y comunicada apropiadamente a todos los funcionarios? Dicha política establece el compromiso de la administración y el enfoque de la gestión de seguridad de la? Revisión y evaluación Existe un responsable de la política de seguridad de la, que tiene a cargo su mantenimiento y revisión de acuerdo con un proceso definido? 4. Seguridad organizacional 4.1. Estructura para la seguridad de la Comité de la Dirección sobre seguridad de la Coordinación de la seguridad de la Asignación de responsabilidades para la seguridad de la Proceso de autorización para instalaciones de procesamiento de datos Asesoría por parte de un especialista en seguridad de la El proceso de revisión asegura que se dé una revisión como respuesta a cualquier cambio que afecte la línea de base inicial; por ejemplo: incidentes de seguridad significativos, nuevas vulnerabilidades o cambios organizacionales o en la infraestructura técnica? Existe un comité de la dirección que asegura un rumbo claro y un apoyo visible de las iniciativas de seguridad dentro de la organización? Existe un comité interdisciplinario con representantes de las diferentes áreas de la organización que coordina la implementación de los controles de seguridad de la? Se han definido claramente responsabilidades para proteger los elementos individuales y para llevar a cabo procesos de seguridad específicos? Se ha implementado un proceso de autorización para las instalaciones de procesamiento de datos? Se cuenta con la asesoría de especialistas en seguridad cuando se los requiere? Se cuenta con un funcionario encargado de coordinar el conocimiento y experiencias internas para asegurar la consistencia de las decisiones de seguridad y colaborar en el 1

2 desarrollo? Cooperación entre organizaciones Se mantienen contactos apropiados con representantes de las autoridades, entes reguladores, proveedores de servicios de y telecomunicaciones, de manera tal que en caso de incidentes de seguridad se pueda recibir un respaldo apropiado? Revisión independiente de la seguridad de la 4.2. Seguridad del acceso por terceras partes Identificación de riesgos por el acceso de terceras partes La implementación de la política de seguridad es revisada de manera independiente de forma periódica? Se han identificado riesgos por acceso de terceras partes y se han implementado los controles apropiados? Requisitos de seguridad en contratos con terceras partes 4.3. Contratación externa(outsourcing) Requisitos de seguridad en contratos de contratación externa Se han identificado y clasificado los tipos de acceso y se conocen las justificaciones para los mismos? Los contratos incluyen, de manera formal y detallada, todos los requerimientos para garantizar el cumplimiento de la política de seguridad y los estándares de la organización? Los requerimientos de seguridad son tratados en los contratos con las terceras partes cuando se ha contratado la gestión de sistemas de, redes o ambientes de cómputo? El contrato debe incluir la manera en la que deben ser cumplidos los requerimientos legales, la manera en la que es mantenida y verificada la seguridad de los recursos de la, los derechos para auditar; de igual forma debe incluir aspectos de seguridad física y cómo se garantiza la disponibilidad de los servicios en eventos de desastre? 5. Clasificación y control de activos 5.1. Responsabilidad de activos Inventario de activos Existe un inventario de activos de la de la organización, el cual se mantiene actualizado? Cada activo identificado tiene su propietario, su clasificación de seguridad definida y aprobada y su ubicación identificada? 5.2. Clasificación de la Guías de clasificación Existe una guía de clasificación de la que ayuda a Etiquetado y manejo de la 6. Seguridad del personal 6.1. Seguridad en la definición de cargos y suministro de recursos. determinar cómo debe ser manejada y protegida la? Existen procedimientos definidos para el etiquetado y manejo de la de acuerdo con el esquema de clasificación adoptado por la organización? 2

3 Inclusión de la seguridad en las responsabilidades laborales Los roles y responsabilidades definidos en la política de seguridad de la están documentados apropiadamente? Selección y políticas sobre personal En el momento de contratación del personal permanente, se realizaron las verificaciones correspondientes de la suministrada? Acuerdos de confidencialidad Los empleados en el momento de su contratación firmaron un acuerdo de confidencialidad que incluye los aspectos de Términos y condiciones de relación laboral 6.2. Formación del usuario Educación y formación en seguridad de la 6.3. Respuesta a incidentes y anomalías en materia de seguridad Reporte de los incidentes de seguridad seguridad de la? Los términos y condiciones de la relación laboral cobija la responsabilidad de los empleados respecto a la seguridad de la? Los empleados de la organización y de terceras partes reciben capacitación en la seguridad de la y son actualizados con respecto a las políticas y los procedimientos organizacionales? Existe un procedimiento establecido para reportar, tan rápido como sea posible, los incidentes a través de canales de gestión apropiados? Existe un procedimiento establecido para reportar debilidades de seguridad? Reporte de las debilidades de la seguridad Reporte de las anomalías del Existe un procedimiento establecido para reportar anomalías en el funcionamiento del software? software Aprendizaje de los incidentes Existe un mecanismo establecido que permite tipificar, evaluar y cuantificar los incidentes, debilidades y anomalías de funcionamiento? Proceso disciplinario Existe un proceso disciplinario formal establecido para sancionar a los empleados que violen la política de seguridad de la de la organización? 7. Seguridad física y del entorno 7.1. Áreas seguras Perímetro de seguridad física Qué elementos de seguridad física protegen los sitios de procesamiento e? Controles de acceso físico Qué controles de acceso físico existen en la organización y en Seguridad de oficinas, recintos e instalaciones qué lugares se encuentran ubicados? Pueden cerrarse las instalaciones de procesamiento de o contienen gabinetes de seguridad? Las instalaciones de procesamiento de están protegidas de desastres naturales o humanos? Trabajo en áreas seguras Existen controles de protección para personal o terceras partes 3

4 Áreas de despacho y de carga aisladas que trabajan en áreas seguras? Se encuentran convenientemente separadas las áreas de despacho y carga de las zonas seguras para evitar riesgos de acceso? 7.2 Seguridad de los equipos Ubicación y protección de equipos Los equipos se encuentran ubicados apropiadamente para minimizar riesgos de acceso innecesarios? Existe una política para evitar el consumo de bebidas y alimentos en las instalaciones de procesamiento de equipos? Las condiciones ambientales, que pueden afectar el funcionamiento de las plataformas de procesamiento de equipos, son controladas y monitoreadas? Suministro de energía Los equipos son protegidos de fallas del fluido eléctrico como UPS, generadores de respaldo, etc.? Seguridad del cableado Los tendidos de cableado eléctrico y de telecomunicaciones está protegido contra interceptaciones? Mantenimiento de equipos Se realiza el mantenimiento de los equipos de acuerdo con las recomendaciones de los proveedores? Seguridad de los equipos fuera de las instalaciones Seguridad en la reutilización o eliminación de equipos 7.3. Controles generales Política de puesto de trabajo despejado y bloqueo de pantalla El mantenimiento sólo es llevado a cabo por personal autorizado? Se cuenta con un registro actualizado de los equipos de su mantenimiento, fallas y medidas preventivas y correctivas? Cuando es necesario transportar equipos, se cuenta con los controles apropiados? Toda utilización de equipos fuera de las instalaciones de la organización es autorizada formalmente por la administración? Los equipos utilizados fuera de las instalaciones cuentan al menos con las mismas condiciones de seguridad con que cuentan dentro de las mismas? Los dispositivos de almacenamiento que contienen sensitiva son físicamente destruidos o sobreescritos cuando no se requiere guardar más en ellos? Se utilizan, por política, bloqueadores de pantalla que se activan cuando no se está utilizando el equipo? Los empleados dejan abandonado material confidencial en forma impresa sobre sus puestos de trabajo? Retiro de bienes Se pueden retirar equipos, software o de puestos de trabajo sin la autorización apropiada? 4

5 8. Gestión de comunicaciones y operaciones 8.1. Procedimientos operacionales y responsabilidades Procedimientos de operación y documentación Control de los cambios operacionales Procedimientos para administración de incidentes Se realizan verificaciones regulares o auditorías sorpresa para detectar el retiro de elementos no autorizado? En la política de seguridad se identifican procedimientos operativos como backup, mantenimiento de equipos u otros? Dichos procedimientos están documentados y son utilizados? Los aplicativos de los sistemas de están sujetos a un mecanismo de control de cambios, y se exige una autorización antes de ejecutar cualquier cambio en producción? Se mantienen los registros de los cambios? Existe un procedimiento de gestión de incidentes para manejar los incidentes de seguridad? El procedimiento considera los diferentes tipos de incidentes? Se lleva un registro de los incidentes que se presentan y se toman medidas especiales en el caso de incidentes recurrentes? Separación de funciones Se separan las funciones y áreas de responsabilidad para reducir oportunidades de modificaciones no autorizadas de la o usos indebidos de la misma o de servicios? El entorno de desarrollo y pruebas está separado del de producción? Separación de las instalaciones de desarrollo y producción Gestión de instalaciones externas. Cuando se contrata a una empresa externa para gestionar un sistema de de antemano se analizan los riesgos asociados y se toman los controles de seguridad necesarios? 8.2. Planificación y aceptación del sistema Planificación de la capacidad Existen procedimientos para realizar el monitoreo de la capacidad de procesamiento y almacenamiento utilizado de los servidores críticos? Aceptación del sistema Existen criterios establecidos para la aceptación de actualizaciones o nuevos sistemas? 8.3. Protección contra software malicioso Controles contra software malicioso Existen controles contra software malicioso? La política de seguridad hace referencia al licenciamiento de software y a la prohibición de uso de software no autorizado? Existe un procedimiento y un encargado para revisar los boletines de alerta sobre software malicioso? 5

6 Se utiliza software antivirus y se actualiza periódicamente? Se verifica que el tráfico originado desde redes no seguras no contenga virus? 8.4. Mantenimiento interno Información de respaldo Se ha establecido y se ejecuta una política de backup de la de los servidores críticos? Los medios de backup, junto con los procedimientos de recuperación, son almacenados de manera segura y a una distancia prudente de los servidores? Se verifican periódicamente los medios de backups y los procesos de recuperación para verificar su efectividad? Bitácoras del operador Se lleva un registro consistente. por parte de los operadores, de las actividades realizadas sobre los sistemas de? Dichos registros son verificados de manera regular contra los procedimientos operativos? Bitácora de fallas Se llevan bitácoras de fallas en las que se detallan las soluciones tomadas? 8.5. Administración de redes Controles de redes Se han establecido controles de seguridad; por ejemplo, separación de instalaciones de gestión de sistema y de redes? 8.6. Seguridad y manejo de los medios Administración de los medios de computación removibles Existen controles especiales para proteger la transmitida desde redes publicas, como la utilización de VPNs? Se ha establecido un procedimiento de gestión de medios de almacenamiento removibles como cintas, disquetes y reportes? Eliminación de medios Los medios que no se requieren más son eliminados de manera segura? Procedimientos para el manejo de la Seguridad de la documentación del sistema 8.7. Intercambio de y de software Se lleva un registro de la destrucción de elementos con sensible? Existe un procedimiento para el manejo del almacenamiento de la? El sistema de documentación está protegido contra accesos no autorizados? La lista de acceso a la documentación del sistema está limitada a los que realmente lo requieren y a los componentes que lo requieren, y es autorizada por el propietario de la aplicación? 6

7 Acuerdos para intercambio de y software Existe algún acuerdo formal o informal para el intercambio de y software con otra organización? El acuerdo cobija los aspectos de seguridad basados en la sensibilidad de la relacionada? Seguridad en medios de tránsito Se tiene en cuenta la seguridad de los medio que transportan la? Los medios están protegidos contra accesos no autorizados, pérdida o corrupción? Seguridad en comercio electrónico Si se utiliza comercio electrónico, se cuenta con los controles para protección contra actividades fraudulentas? Seguridad del correo electrónico se ha establecido una política con respecto al uso del correo electrónico? se ha establecido una política de utilización de este tipo de sistemas? Seguridad de los sistemas de oficina electrónica (ofimáticas) Sistemas públicamente disponibles se ha establecido un proceso formal de autorización de la para hacerla disponible públicamente? Otras formas de intercambio de Existen controles para proteger la integridad de la que se hace pública? Existen políticas, procedimientos o controles establecidos para el intercambio de a través de voz, fax y video conferencia? 9. Control de accesos 9.1. Requisitos de negocio para el control de acceso Política de control de acceso Los requerimientos del negocio para el control de acceso han sido definidos y documentados? La política de control de acceso establece las reglas y derechos de acceso para cada usuario o grupos de usuarios? 9.2 Administración de acceso de usuarios Registro de usuarios Existe un procedimiento formal de registro y eliminación de registro de acceso a recursos? Administración de privilegios La utilización de algunos tipos de privilegios en el entorno de Administración de contraseñas para usuarios Revisión de los derechos de acceso de los usuarios los sistemas de están restringidos y controlados? La asignación de contraseñas está controlada a través de un proceso de gestión formal? Se les solicita a los usuarios la firma de un acuerdo de confidencialidad de la contraseña? Existe un proceso regular para revisar los derechos de acceso de los usuarios? 7

8 9.3. Responsabilidades de los usuarios Uso de contraseñas Existe una guía establecida para la selección y seguridad de Equipo de cómputo de usuario desatendido 9.4. Control de acceso a redes Política de uso de los servicios de red las contraseñas? Los usuarios son conscientes de los procedimientos de protección de equipos desatendidos y de su responsabilidad para implementar tal protección? Se ha establecido una política sobre el correcto uso de los servicios de red? Ruta forzosa Se manejan rutas forzosas para conectar terminales con servidores críticos? Existe un mecanismo de autenticación especial para conexiones externas? Autenticación de usuarios para conexiones externas Autenticación de nodos Se autenticas las conexiones con sistemas remotos? Protección de puertos de diagnóstico Se controla el acceso a puertos de diagnóstico? remoto Subdivisión de redes La red de la organización presenta divisiones lógicas separadas utilizando mecanismos de seguridad como firewalls? Control de conexión a las redes Se ha establecido un control de conexión a redes externas? Control de enrutamiento en la red Existen controles de red que aseguren que los flujos de datos no están en contra de la política de control de acceso de las aplicaciones del negocio? Seguridad de los servicios de la red La organización una descripción detallada de las características de seguridad provee para todos los servicios de red? 9.5. Control de acceso al sistema operativo Identificación automática de terminales Se utiliza el mecanismo de identificación automática de terminales para autenticar conexiones? Procedimientos de conexión de El acceso a los sistemas es logrado sólo a través de un terminales proceso de conexión (login) seguro? Identificación y autenticación del Se le provee a cada usuario un identificador único? usuario Sistema de administración de Se cuenta con un sistema de gestión de contraseñas? contraseñas Uso de utilidades del sistema El uso de utilidades del sistema es altamente restringido y Alarmas anti coacción para proteger a los usuarios Desactivación automática de terminales controlado? Se provee de alarmas anti coacción a los usuarios que podrían ser victimas de coacción? Las terminales después de un periodo de inactividad se desactivan o se bloquean automáticamente? 8

9 Limitación del tiempo de conexión Existen restricciones en el tiempo de conexión a aplicaciones de alto riesgo? 9.6. Control de acceso a las aplicaciones Restricción de acceso a la El acceso de los usuarios a las aplicaciones está definido en la política de control de acceso y es coherente con lo política de acceso de la y los requerimientos de acceso a la aplicación? Aislamiento de sistemas sensibles Los sistemas sensibles de la organización se ejecutan en ambientes de cómputo independientes? 9.7. Monitoreo de acceso y usos de los sistemas Bitácoras de eventos Se registra de manera coherente los accesos a los sistemas? Seguimiento del uso de los sistemas Se han establecido procedimientos para monitorear la utilización de los sistemas de procesamiento de? Sincronización de relojes Se ha establecido un procedimiento de sincronización de relojes de los dispositivos de procesamiento de y de comunicaciones? 9.8. Computación móvil y trabajo remoto Computación móvil Ha sido adoptada una política formal que toma en cuenta los riesgos de las facilidades de computación móvil? Se ha brindado una capacitación especial a los usuarios de estos servicios? Trabajo remoto Existe alguna política, procedimiento o estándar para controlar las actividades de los trabajadores remotos, y es coherente con la política se seguridad de la de la organización? 10. Desarrollo y mantenimiento de sistemas Requisitos de seguridad de los sistemas Análisis y especificaciones de los requisitos de seguridad Los requerimientos de seguridad hacen parte de las especificaciones de nuevos sistemas solicitados? Seguridad de las aplicaciones del sistema Validación de los datos de entrada Se verifica que los datos de entrada de las aplicaciones de sistema son correctos y apropiados? Control de procesamiento interno Se han identificado áreas de riesgo dentro del procesamiento interno de los programas y se han incluido mecanismos de validación? Autenticación de mensajes Se ha realizado un proceso de análisis de riesgos de seguridad para establecer si las aplicaciones requieren autenticación de mensajes? y se ha identificado un método apropiado para ello en los casos que se requiere? Validación de los datos de salida Se valida que los datos de salida del procesamiento de la aplicación son correctos y apropiados, según las características de procesamiento? Controles criptográficos Política sobre el uso de controles Se ha establecido una política de uso de controles 9

10 criptográficos criptográficos? Se ha realizado una evaluación de riesgo para analizar la sensibilidad de los datos y qué protección debe ser asignada? Cifrado Se utilizan técnicas de encriptación para proteger la confidencialidad de la? Firmas digitales Se utilizan firmas digitales para proteger la integridad y autenticidad de los documentos electrónicos? Servicios de no repudio Servicios de no repudiación son utilizados para resolver disputas de ocurrencia o no ocurrencia de eventos o acciones? Administración de llaves Se ha establecido un sistema de gestión de llaves digitales? Dicho sistema es seguro y cumple con los estándares relacionados? Seguridad de los archivos del sistema Control de software operativo Se han establecido controles para la implementación de software en los sistemas operativos? Los datos de prueba de los sistemas son controlados y protegidos? Han sido despersonalizados previamente? Protección de los datos de prueba del sistema Control de acceso a la librería de Se han establecido controles severos para el acceso a las librerías de programas fuente? programas fuente Seguridad en los procesos de desarrollo y soporte Procedimiento de control de cambios Se cuenta con un procedimiento estricto de control de cambios Revisión técnica de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Canales encubiertos y código troyano del sistema de? Se ha establecido un procedimiento de verificación de las aplicaciones del sistema luego de cambios en el sistema operativo? Se han establecido restricciones para los cambios a los paquetes de software? Se han establecido controles para verificar que no se han introducido canales encubiertos y código troyano con actualizaciones o nuevos sistemas? Desarrollo externo de software Se han establecido controles sobre el desarrollo de software externo, que incluyan aspectos de licenciamiento, calidad, pruebas de detección de canales encubiertos y código troyano? 11 Gestión de la continuidad del negocio Aspectos de la gestión de la continuidad del negocio Proceso de gestión de la continuidad del negocio Se ha establecido un proceso de gestión de la continuidad del negocio? Continuidad del negocio y análisis de Se han determinado los eventos que pueden causar interrupciones en el proceso de negocio? 10

11 impacto Elaboración e implementación de planes de continuidad Estructura para la planificación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio 12. Cumplimiento Cumplimiento con los requisitos legales Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Se cuenta con un plan de continuidad o de recuperación del negocio? Dichos planes son verificados de manera regular? Se ha establecido una solo formato de estructura para los diferentes planes de continuidad del negocio? Los planes de continuidad del negocio son verificados de manera regular para probar su efectividad y, en los casos requeridos, son actualizados o modificados? Se han definido explícitamente todos los requerimientos legales, regulatorios, de cada uno de los sistemas de? Se han establecido procedimientos para controlar el cumplimiento de los derechos de propiedad intelectual? Funcionan apropiadamente dichos controles? Los registros de de importancia son protegidos contra destrucción? Protección de los registros de la organización Protección de los datos y privacidad Se ha establecido una estructura de gestión y control para de la personal proteger la de tipo personal? Prevención del uso inadecuado de las instalaciones de procesamiento de la Reglamentación de los controles criptográficos Recolección de evidencias El proceso de recolección de evidencias es adecuado y está de acuerdo con las mejores prácticas de la industria? Revisiones de la política de seguridad y del cumplimiento técnico Cumplimiento de la política de seguridad Los mensajes de aviso de las pantallas de acceso de los sistemas indican que el sistema es privado y que el acceso no autorizado está prohibido y es ilegal? Se conoce y se da cumplimiento a la reglamentación legal vigente internacional y nacional sobre controles criptográficos? Todas las áreas de la organización son consideradas en las revisiones periódicas del cumplimiento de la política de seguridad? Verificación de cumplimiento técnico Se verifica de manera regular que los sistemas de cumplan con los estándares de implementación de seguridad? Consideraciones de la auditoría de sistemas Controles de auditoría de sistemas Los requerimientos y actividades de auditoría son cuidadosamente planeados y acordados para minimizar alteraciones al proceso de negocio? Protección de las herramientas de Las herramientas de auditoría, sean software o archivos de 11

12 auditoría de sistemas datos, son protegidos apropiadamente para evitar malos usos? 12

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Tema 1: Organización, funciones y responsabilidades de la función de TI. Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente

Más detalles

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6 POLÍTICAS DE USO DE HARDWARE Y SOFTWARE OBJETO Establecer las características del Hardware y Software Estándar a utilizar en la red, computadores personales (Desktop), portátiles (Laptops) y servidores.

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

Uso Equipos personales Ministerio del Interior N05

Uso Equipos personales Ministerio del Interior N05 Uso Equipos personales Ministerio del Interior N05 Introducción Propósito. Describir lo necesario para minimizar los riesgos de seguridad de información que afectan a los equipos portátiles del Ministerio

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN OBJETIVOS 1 Métodos de Diseño 2 Cambios Significativos a Sistemas Actuales 3 Aprobación del Diseño 4 Definición y Documentación de Requerimientos

Más detalles

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC Seguridad en Sistemas y Redes de Computadoras Módulo 3: Seguridad de las operaciones Carlos A. Rojas Kramer UCC Agenda Manejo administrativo. Conceptos de operación de computadoras. Mecanismos para protección

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

BBVA emarkets Seguridad

BBVA emarkets Seguridad BBVA emarkets Seguridad BBVA emarkets BBVA emarkets es un sistema para realizar operaciones mediante Internet. El sistema no requiere la instalación de software y se puede ingresar a él mediante un navegador

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

Guía para la Administración de Software

Guía para la Administración de Software UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad

Más detalles

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

CONTROL DE DOCUMENTOS

CONTROL DE DOCUMENTOS PR-SGIA-2 1 de 5 1. PROPÓSITO Este documento tiene por objeto establecer los lineamientos para el control administrativo y operativo de los documentos internos del Sistema de Gestión Integral de Panamericana

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

REPORTE DE CUMPLIMIENTO ISO 17799

REPORTE DE CUMPLIMIENTO ISO 17799 Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Utilización del Acceso Remoto VPN. Ministerio del Interior N06 Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES Objetivo: Propender por el correcto uso de los recursos informáticos de la UCM, mediante

Más detalles

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS Objetivo Este subproceso establece las actividades que se realizan para la planeación y control de respaldos y desastres relacionados con los recursos informáticos existentes en el Senado de La República

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control

Más detalles

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

CONTROL DE DOCUMENTOS

CONTROL DE DOCUMENTOS CONTROL DE DOCUMENTOS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Henry Giraldo Gallego Angela Viviana Echeverry Díaz Armando Rodríguez Jaramillo Cargo: Profesional Universitario

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN

Más detalles

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD 4.1 Requisitos Generales COPEG ha establecido, documentado, implementado y mantiene un Sistema de Gestión de Calidad con el objetivo de mejorar continuamente la eficacia del sistema y de sus procesos basados

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER DIRECCION DE TECNOLOGIA Versión: 1.0 Bogotá D.C., Mayo de 2014. Contenido INTRODUCCIÓN... 3 CONDICIONES GENERALES DEL SERVICIO... 3 Aplicación....

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Proceso de administración y escalación de problemas Guía de referencia

Proceso de administración y escalación de problemas Guía de referencia SOPORTE TÉCNICO EMPRESARIAL Proceso de administración y escalación de problemas Guía de referencia Compromiso de Symantec con nuestros clientes Symantec se compromete a proporcionar productos y soporte

Más detalles

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García

Más detalles

Ley Orgánica de Protección de Datos

Ley Orgánica de Protección de Datos Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener

Más detalles

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN Instituto Nacional de Tecnología Industrial Programa de Metrología Legal Sede Central - Av. Gral. Paz 5445 e/ Albarellos y Av. Constituyentes - B1650KNA C.C. 157 B1650WAB San Martín, Prov. Buenos Aires

Más detalles

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA PROCEIMIENTO AMINISTRACION E LOS IVISION E SISTEMAS ocumento ependencia R-TT-SS-002 1(8) 1.NOMBRE AMINISTRACION E LOS 2.PROCESO SISTEMAS E INFORMACION, TELECOMUNICACIONES Y TECNOLOGIA 3. OBJETIVO: efinir

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles