Propuesta inicial: Modificado por: Revisado por: Aprobado por: Gabriel Bohórquez Wilmer Rosiasco Grupo de Organización, Fernando Zapata López

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Propuesta inicial: Modificado por: Revisado por: Aprobado por: Gabriel Bohórquez Wilmer Rosiasco Grupo de Organización, Fernando Zapata López"

Transcripción

1 1. INTRODUCCION La Seguridad Informática se basa en la existencia de un conjunto de directrices que brinden instrucciones claras y oportunas, soportando la gestión de la Alta Dirección frente al gran dinamismo de nuevos ataques y violaciones a la seguridad e integridad de la información. Este documento se debe entender como el compendio de reglas que permiten definir la gestión, protección y asignación de los recursos corporativos, acorde a los lineamientos de la Alta Dirección, concientizando a cada uno de los miembros acerca de la importancia y sensibilidad de la información propia de la Organización. Todas las directrices contempladas en este documento deben ser revisadas periódicamente, determinando oportunamente la creación, actualización y obsolescencia de cada directriz, con el fin de mitigar las vulnerabilidades identificadas y mantener altos estándares de seguridad en la Organización. 2. PROPOSITO Este compendio tiene como finalidad dar a conocer las PSI - Políticas de Seguridad de la Información y ESI - Estándares de Seguridad Informática, que deben aplicar y acatar todos y cada uno de los empleados, contratistas y terceros de la Organización, entendiendo como premisa que la responsabilidad por la seguridad de la información no depende únicamente de la Dirección o el Área de, sino que es una responsabilidad de cada empleado, contratista y tercero activo de la Organización. 3. ALCANCE El alcance de las políticas y estándares contempladas en este documento aplica a: 1. Todas las Áreas de la Organización por su condición de gestoras, procesadoras y protectoras de todo tipo de información soportada en cualquier medio físico impreso o electrónico de la Organización. 2. Todos los empleados y contratistas de la Organización, y todo el personal tercero, que hagan uso de los sistemas, plataformas y servicios tecnológicos de la Organización. 4. OBJETIVO: Establecer los criterios y comportamientos que deben seguir todos los empleados, contratistas y terceros de la Organización, con el fin de velar por la adecuada protección, preservación y salvaguarda de la información y de los sistemas corporativos, respondiendo a los intereses y necesidades organizacionales y dando cumplimiento a los 3 principios de la gestión de la información: Confidencialidad, Integridad y Disponibilidad, acogidos de la mejores prácticas de gestión de la información, implícitas en el estándar internacional ISO/IEC-27001: DEFINICIONES Política Compendio de directrices que representan una posición de las directivas, para áreas de control especificas que permiten establecer un canal de actuación en relación con los recursos y servicios de la Organización, normalmente soportadas por estándares, mejores prácticas, procedimientos y guías. Página 1 de 53

2 Seguridad Información Riesgo Seguridad Informática Seguridad de la Información Confidencialidad Integridad Disponibilidad La Seguridad determina los riesgos y pretende mitigar los impactos mediante el establecimiento de programas en seguridad de la información y el uso efectivo de recursos; es un proceso continuo de mejora y debe garantizar que las políticas y controles establecidos para la protección de la información deberán revisarse y adecuarse permanentemente ante los nuevos riesgos que se presenten. La información es un activo que tiene valor, -que puede estar representada en forma impresa o escrita en papel, que puede estar almacenada física o electrónicamente, y que puede ser trasmitida por correo o medios electrónicos-, por ende requiere de una adecuada protección ante posibles vulnerabilidades que puedan afectar a la Organización de forma negativa. El Riesgo se considera como todo tipo de vulnerabilidades, amenazas que pueden suceder. La seguridad informática es el área de la Informática está concebida y enfocada a la protección de la información, los activos informáticos, la infraestructura tecnológica y los usuarios. La Seguridad de la Información tiene como finalidad la protección de la Confidencialidad, Integridad y Disponibilidad de la información, -en cualquier presentación: electrónicos, impresos, audio, video u otras formas-, ante accesos, usos, divulgación, interrupción o destrucción inadecuada y/o no autorizada de la información, las plataformas tecnológicas y los sistemas de información. Se debe entender como la característica de prevenir la circulación de información a personas, entes o sistemas no autorizados. Se debe entender como la propiedad que busca mantener y proteger la exactitud y estado completo de la información; y garantizar métodos de procesamiento libres de modificaciones no autorizadas. Se debe entender como la condición de acceso a la información y a los activos asociados cuando las personas, entes, procesos o aplicaciones lo requieren. 6. GRUPO DE ORGANIZACIÓN, METODOS Y DESARROLLO: El Grupo de Organización, Métodos y Desarrollo G.O.M.D., creado mediante Resolución No. 008 de 2010, tiene la facultad de revisar, analizar y recomendar al la aprobación de las Políticas, estándares y los controles de seguridad, garantizando la protección y salvaguarda de los activos de información de la organización. 7. ACCIONES EN CONTRAVENCIONES Estas políticas son mandatarías a todo nivel, por lo tanto deben ser cumplidas por la Organización (empleados y contratistas) y todo ente tercero que interactúe con la Información, los Sistemas de Información y demás Activos Informáticos de la Organización. En el evento en que se evidencia la transgresión o incumplimiento de cualquier política o estándar Página 2 de 53

3 contemplado en este documento, se debe considerar como una falta disciplinaria y dará inicio a adelantar las investigaciones internas correspondientes y se aplicarán las sanciones contempladas en el Reglamento Interno del Trabajo y el Código Sustantivo del Trabajo. De esta manera se ajusta a lo contemplado en el artículo 60 del Código Sustantivo del Trabajo y al Reglamento Interno del Trabajo vigente, que lo consagra como una prohibición a los trabajadores. El artículo 62 del CST contempla como causal de terminación del contrato por justa causa 6. Cualquier violación grave de las obligaciones o prohibiciones especiales que incumben al trabajador de acuerdo con los artículos 58 y 60 del Código Sustantivo del Trabajo, o cualquier falta grave calificada como tal en pactos o convenciones colectivas, fallos arbitrales, contratos individuales o reglamentos. 8. NOTIFICACIONES DE INCIDENTES Toda violación de estas políticas se debe notificar al a la Secretaría General, por medio escrito o electrónico acorde al proceso correspondiente, quien adelantará la investigación y estipulará las sanciones por incumpliendo en caso de que haya lugar. Las Políticas de Seguridad de la Información del han sido diseñadas para ajustarse o exceder, sin contravenir, las medidas de protección establecidas en las leyes, regulaciones y estándares vigentes, por lo tanto si algún empleado, contratista o tercero de la Organización considera que alguna política o estándar está en conflicto con las leyes y/o regulaciones existentes, tiene la responsabilidad de reportar en forma inmediata dicha situación a la Secretaría General. 9. RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE PSI Creación: Revisión: Grupo de Organización, Métodos y Desarrollo. Excepciones y Actualizaciones: Grupo de Organización, Métodos y Desarrollo. Aprobación: Dirección General. Comunicación: Secretaría General. Socialización: Cumplimiento: Toda la Organización Supervisión: Planeación Control Interno Fecha de Modificación CONTROL DE CAMBIOS Comentario Elaborado por: Fecha: Revisado por: Fecha: Aprobado por: Fecha: Página 3 de 53

4 TABLA DE REFERENCIA POLITICAS 1. CAPITULO INFORMACION 1.1. ACCESO A LA INFORMACION PSI Gestión y seguridad de accesos PSI Gestión de usuarios 1.2. SEGURIDAD DE LA INFORMACION PSI Gestión de la información PSI Gestión de Seguridad de la información 2. CAPITULO RECURSOS 2.1. ACTIVOS PSI Gestión de los activos 2.2. HARDWARE PSI Gestión de servidores PSI Gestión de equipos de computo PSI Gestión de equipos móviles 2.3. SOFTWARE PSI Gestión de licenciamiento en software corporativo PSI Gestión de vulnerabilidades técnicas PSI Gestión de trazabilidad y auditabilidad 2.4. SISTEMAS DE INFORMACION PSI Gestión de sistemas operativos PSI Gestión de sistemas de información PSI Gestión de sistemas propios 2.5. TERCEROS PSI Gestión de terceros 3. CAPITULO REDES Y COMUNICACIONES 3.1. REDES PSI Gestión de redes 3.2. COMUNICACIONES PSI Gestión de internet PSI Gestión de intranet PSI Gestión de correo electrónico 4. CAPITULO INSTALACIONES 4.1. SEGURIDAD FISICA PSI Gestión de áreas seguras 5. CAPITULO CONTINUIDAD DE NEGOCIO 5.1. COPIAS DE SEGURIDAD PSI Gestión de copias de seguridad 5.2. CONTINGENCIA Y RECUPERACION DE DESASTRES PSI Gestión de contingencias Página 4 de 53

5 CAPITULO INFORMACION ACCESO A LA INFORMACION PSI GESTION Y SEGURIDAD DE ACCESOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizó elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado ambiente de control en la definición y mantenimiento de accesos de usuarios a los diferentes componentes de la plataforma tecnológica del. ALCANCE Esta norma aplica a todos los usuarios de componentes de la plataforma tecnológica. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / 1. Gestión de contraseñas a. Para garantizar la seguridad tanto de la información como de los equipos, el Área de asignará a cada usuario las claves de acceso que dé a lugar: acceso al computador, acceso a la red interna, acceso al correo electrónico, acceso a las aplicaciones correspondientes. b. La autorización para la creación, eliminación o modificación de perfiles de acceso es responsabilidad directa del Administrador de cada aplicación. c. Los usuarios no deben tener acceso a opciones del Sistema de Información que no utilicen. d. El Área de, los administradores de las aplicaciones, responsables de activos tecnológicos y los dueños de la Información serán los responsables de velar por que los perfiles de acceso existentes sean acordes con las funciones realizadas por cada uno de los usuarios. e. En todas las aplicaciones se debe contar con un administrador del Sistema de Información, el cual diseña y aprueba e implementa los perfiles de acceso, para esta actividad se debe utilizar el formato establecido por el Área de f. En el evento que algún usuario deje de tener vínculo laboral con la Organización, el Área Administrativa debe notificarlo por escrito al Área de, con la finalidad de inactivas todas las cuentas y accesos, equipos y recursos informáticos asignados. 2. Uso de Contraseñas a. Las contraseñas establecidas, deben cumplir con los parámetros mínimos contemplados para contraseñas fuertes o de alto nivel: i. Debe ser de mínimo nueve caracteres alfanuméricos de longitud. ii. Debe contener como mínimo cuatro letras, de las cuales una debe ser Mayúscula Página 5 de 53

6 iii. Debe contener mínimo cuatro números. iv. Debe contener como mínimo un carácter especial debe contener vocales tildadas, ni eñes, ni espacios. v. No permitir repetir los últimos 6 claves utilizados. b. Las contraseñas deben ser cambiados en forma obligatoria cada 4 meses, forzados desde la administración de las aplicaciones, o cuando lo considere necesario debido a alguna vulnerabilidad en los criterios de seguridad. 3. Recomendaciones a. Se relaciona una lista de actividades que NO se deben realizar respecto de las claves: i. Las claves deben ser de fácil recordación. ii. No deben ser basados en información personal, ni fechas especiales. iii. NO escriba y guarde las claves en ningún lugar de su oficina, en papeles, agendas u otro medio físico. iv. NO de su clave o haga alusión al formato de su clave, con compañeros de trabajo cuando este en vacaciones. v. NO hable o revele sus claves enfrente de otros, en el teléfono, a su jefe, miembros de su familia, ni permita que nadie vea cuando digita el clave en un computador. vi. NO revele su clave en un mensaje de correo electrónico, ni utilice la característica recordar contraseña de ninguna aplicación (ejm: Outlook, Internet Explorer). vii. Las claves nunca se deben almacenar en un servidor o maquina en red sin utilizar algún tipo de encriptación. viii. NO utilice su clave en un computador que considera no confiable. 4. Incidentes a. Los usuarios deben informar inmediatamente al Área de, toda vulnerabilidad encontrada en los sistemas asignados. b. Toda novedad presentada en la planta de personal de los empleados y contratistas del (ingresos, licencias, sanciones, suspensiones, ascensos y/o retiros) debe ser reportada mensualmente por el Jefe del Área Administrativa. Página 6 de 53

7 CAPITULO INFORMACION PSI ACCESO A LA INFORMACION GESTIÓN DE USUARIOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado uso de la información por los usuarios con máximos privilegios en componentes de la plataforma tecnológica del. ALCANCE Esta política aplica a todos los usuarios con máximos privilegios en los componentes de la plataforma tecnológica del. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Outsourcing Informático 1.Usuarios Súper-usuario a. Aplica a los usuarios que realizan actividades de dirección en los activos tecnológicos con los máximos privilegios que requiere su función. b. Los usuarios súper-usuarios son creados por defecto en la instalación de los componentes de la plataforma tecnológica. c. Las contraseñas de las cuentas de usuarios súper-usuarios creados por defecto en la instalación de cada componente de la plataforma tecnológica, no deben ser conocidas por el personal que realiza actividades de administración y soporte. d. La asignación de las claves de usuarios súper-usuario debe ser responsabilidad del Área de y una copia de esta será combinada, con responsabilidad de 2 personas designadas por el Grupo de Organización, Métodos y Desarrollo. e. Las contraseñas de los usuarios súper-usuario creados por defecto en la instalación de cada componente de la plataforma tecnológica deben ser definidas por el Área de Sistemas & T.I., almacenadas en adecuadas condiciones de seguridad y serán utilizadas únicamente en situaciones consideradas de emergencia y/o contingencia. Se debe entregar copia de esta en medio escrito y sobre sellado a la Secretaría General. 2.Usuarios Administradores a. Aplica a todos aquellos usuarios cuyo cargo está relacionado con la administración funcional y/o tecnológica de sistemas de información. b. Debe existir una cuenta de usuario que será utilizada exclusivamente para monitoreo por parte del Ingeniero de Soporte o quien ejerza sus funciones. c. Las actividades realizadas por los usuarios administradores deben reflejarse en un registro, que debe ser monitoreado periódicamente por el Área de Página 7 de 53

8 3.Usuarios avanzados a. Aplica a los usuarios que por sus funciones requieran acceso de usuario privilegiado a los sistemas, servicios y aplicaciones asignados, líderes de área y usuarios de perfil medio. b. Ningún usuario avanzado debe modificar información directamente de las Bases de datos, sin previa autorización del Área de 4.Usuarios finales a. Aplica a los usuarios finales que por sus funciones requieran acceso de usuario para los sistemas, servicios y aplicaciones asignados por la organización 5.Recomendaciones a. Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y aplicaciones, garantizando la estandarización por cada usuario; es decir que cada usuario deben tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la organización. b. La estandarización de los nombres de usuario estará compuesto de la siguiente forma: (Primer letra del primer nombre + primer apellido, En caso de existir duplicidad, Primer letra del primer nombre + Primer letra del segundo nombre + primer apellido) c. Ningún usuario debe ser eliminado de ningún sistema, servicio o aplicación, debe aplicarse la inactivación del usuario. d. Las cuentas de usuario deben ser de uso personal e intransferible. e. Debe existir un procedimiento para el almacenamiento, protección y administración de las contraseñas de los todos los usuarios. Página 8 de 53

9 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE LA INFORMACION 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar el adecuado uso, protección, confidencialidad, integridad y disponibilidad de la Información de la organización. ALCANCE Esta norma aplica para todos los usuarios de componentes de la plataforma tecnológica del. RESPONSABLES 1. Ubicación Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. Debe existir dentro de la configuración de todos los equipos informáticos, una unidad de disco virtual o partición, destinada para el almacenamiento de la información de usuario. b. Se debe crear una estructura tipo árbol, estandarizada, para al almacenamiento y gestión de la información de usuario, la cual será parametrizada para optimizar la generación automática de Copias de Seguridad. La estructura debe estar acorde a lo definido en los protocolos de configuración de equipos establecidos por el Área de c. El usuario no debe almacenar información directamente en los escritorios del sistema operativo, por ser una ubicación alojada en la partición base del disco duro, esto puede ocasionar que se pierda cuando sea necesario la reinstalación de software en caso de reparación o recuperación del sistema o por el contrario sea susceptible a accesos y modificaciones no autorizados, por lo tanto se recomienda que sean creados accesos rápidos en el escritorio a los archivos de permanente consulta. 2. Clasificación a. La información se debe clasificar de acuerdo con su criticidad y origen, que permitan el uso y acceso de forma fácil y oportuna. La información personal del usuario, no es considerada crítica, su almacenamiento será designado claramente en un directorio especial y estará sujeto a auditabilidad. b. Todos los empleados y contratistas que conforman las diferentes áreas debe clasificar la información que tengan bajo su custodia. c. Todo archivo debe ser almacenado en la estructura y ubicación destinada para tal fin, bajo algún mecanismo de nemotecnia o identificación, que permita su fácil acceso. d. La información pública debe tener una estructura definida por los responsables de la misma, y divulgada oportunamente a los interesados. e. Toda la información utilizada por los usuarios de la organización, es de la organización y por Página 9 de 53

10 lo tanto el uso inadecuado de la misma es responsabilidad el usuario. 3. Administración de archivos a. Todo usuario que utilice los recursos informáticos, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad, y auditabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica. b. Los archivos creados por los usuarios deben ser confidenciales, de manera que no sean compartidos por todos los usuarios de la Organización sin previa autorización. c. Se debe mantener y compartir únicamente la información que el usuario elija, previa confirmación con el Área de La integridad de toda información compartida entre usuarios, es responsabilidad de los mismos. d. Los archivos administrativos que se utilizan en procesos institucionales o equipos de cómputo requieren y que requiere una clave o contraseña especial, esta debe ser notificada y solicitada a Área de e. Toda la información de las debe contar con copias de respaldo para garantizar su disponibilidad, seguridad y recuperación. f. El acceso no autorizado a los sistemas de información y uso indebido de los recursos informáticos de la Organización está prohibido. Se considera que hay uso indebido de la información y de los recursos, cuando la persona incurre en cualquiera de las siguientes conductas: i. Suministrar o hacer pública la información sin la debida autorización, ó usar la información con el fin de obtener beneficio propio o de terceros. ii. Hurtar software del (copia o reproducción entre usuarios). iii. iv. Copiar un producto informático del. Intentar modificar, reubicar o sustraer equipos de cómputo, software, información o periféricos sin la debida autorización. v. Transgredir o burlar los mecanismos de autenticación u otros sistemas de seguridad. vi. vii. viii. ix. Utilizar la infraestructura del (computadores, software, información o redes) para acceder a recursos externos con propósitos ilegales o no autorizados. Descargar o publicar material ilegal, con derechos de propiedad o material nocivo usando un recurso del. Uso personal de cualquier recurso informático del para acceder, descargar, imprimir, almacenar, redirigir, transmitir o distribuir material pornográfico. Violar cualquier Ley o Regulación nacional respecto al uso de sistemas de información. 4. Confidencialidad de archivos a. La información de la Organización no podrá ser extraída de las instalaciones, sin previo conocimiento y autorización por parte de la Secretaría General. b. Antes de entregar información a terceros se debe hacer una evaluación de la información con el fin de determinar si la información solicitada se debe entregar o no. c. En los contratos con terceros se debe incluir una cláusula de confidencialidad, la cual prohíba la divulgación personal o a medios de información del. d. Todo usuario mantendrá total confidencialidad sobre la información a que tenga acceso y no la utilizará con propósitos distintos a los determinados en razón de su cargo. Si se requiere copiar información sensible, se debe contar con una autorización, del personal designado por la Dirección. 5. Confidencialidad de datos de empleados y contratistas a. Toda la información personal de los empleados y contratistas tal como nombres, direcciones, teléfono, datos familiares, y demás existentes, debe ser de uso restringido, Página 10 de 53

11 respetando la privacidad de la persona, si dicha información se requiere por la Organización, debe solicitarse el permiso de divulgación y entrega de dicha información al empleado y contratista de la información. b. Si la Organización cuenta con una aplicación o software de hojas de vida, la información allí almacenada debe ser de uso restringido, únicamente podrá ser divulgada con la autorización del empleado. c. La información de las deudas y estado de pago de las mismas de los empleados y contratistas es confidencial, dicha información, tan solo podrá ser consultada y divulgada con el permiso de los empleados y contratistas. 6. Confidencialidad de datos de terceros a. Todo vínculo con terceros, debe contemplar en su contratación, un Acuerdo de Confidencialidad, que garantice la confidencialidad, integridad y disponibilidad de la información a que tenga lugar por la naturaleza del contrato. b. La información de terceras partes no podrá ser divulgada o entregada a menos que el tercero lo autorice, debe ser tratada bajo los mismos lineamientos establecidos para el tratamiento de la información confidencial de. 7. Disposición final a. El Área Administrativa, a través de la Recepción, debe garantizar que de toda la documentación que salga o ingrese a la organización a través de ella, es controlada, registrada y tramitada adecuadamente. b. Para la disposición final de archivos en medio físico impreso, se debe contar con mecanismos de destrucción de papel de tal forma que la información confidencial no pueda ser leída por personal no autorizado. c. Debe existir un proceso y procedimientos que garanticen la disposición final de los documentos impresos, y su reutilización, dada la importancia y el riesgo de gestionar información sensible. d. Se debe contemplar la adopción de buenas prácticas en gestión documental y archivística, que garanticen la mejor disposición de la información física y digital. Página 11 de 53

12 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE SEGURIDAD DE LA INFORMACION 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Establecer la función de administración de Seguridad Informática del. ALCANCE Esta norma aplica a la Dirección, SRI,, Outsourcing Informático y Usuarios. RESPONSABLES 1. Planificación Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. La organización debe adoptar en lo posible, las buenas prácticas en seguridad de la Información, mediante la generación de políticas y procesos estructurados de planificación y capacidad en Tecnologías de Información y Comunicaciones, desarrollo seguro y pruebas de seguridad, contenidos en los estándares, guías y marcos de trabajo, tales como ISO 27001, 27002, 27005, 25999, 20000, ITIL, CoBIT, entre otros. 2. Grupo de Organización, métodos y Desarrollos. a. El Grupo de Organización, Métodos y Desarrollo tendrá a su cargo, la revisión, validación y aprobación de las Políticas de Seguridad de la Información que sean planteadas por el Área de, y las que considere adicionales. Para el efecto de revisión de Políticas de Seguridad de la información, debe convocar como invitado a un representante del Área de 3. Administración de la Seguridad de la Información a. El Área será responsable de la administración de la seguridad informática, y debe velar por el cumplimiento de las políticas, normas y procedimientos relacionados con Seguridad Informática, así como de planear y coordinar todos los proyectos relacionados con la implantación de controles para optimizar y mejorar continuamente la seguridad de la información de la Organización. b. El Grupo de Organización, Métodos y Desarrollo, debe avalar las tareas de administración de Seguridad Informática de los activos tecnológicos, dentro de las cuales se deben comprender como mínimo: definición de accesos, administración de cuentas, definición de perfiles de usuarios y administradores y atención de incidentes de seguridad informática. Página 12 de 53

13 4. Procedimientos de operación a. El Área de Sistemas & TI, debe mantener documentados todos los roles y responsabilidades, procesos, procedimientos, normas y directrices de seguridad de la información, alineadas con las premisas contempladas en las Políticas de Seguridad de la Información, de la organización. 5. Evaluación y tratamiento de riesgos a. La organización debe garantizar la evaluación periódica de los riesgos inherentes a la gestión y seguridad de la información, para lo cual se apoyará en entes consultores y/o auditores externos, fundamentados en metodologías y métodos documentados, estructurados y generalmente aceptados, que avalen la adecuada gestión de la Información. b. El Grupo de Organización, Métodos y Desarrollo debe evaluar los riesgos identificados y la tolerancia al riesgo, para determinar su tratamiento y documentación en un Plan de Tratamiento de Riesgos - PTR. 6. Responsabilidad de la Dirección a. La dirección debe revisar, evaluar y aprobar las políticas de seguridad de la información propuestas por el Área de, previo aval y revisión por parte del Grupo de Organización, Métodos y Desarrollo. 7. Responsabilidad de Tecnología a. El Área de es responsable por la asignación y administración de activos informáticos requeridos por los usuarios para el cumplimiento de sus labores. b. El Área de es responsable por la custodia de la información en servidores, redes, medios de almacenamiento y medios digitales. 8. Responsabilidad de propietarios, custodios y usuarios de la información: a. El usuario es responsable por la creación, administración y tratamiento de la información a su cargo. b. Es responsabilidad de los usuarios de activos tecnológicos de : i. Administrar la información a su cargo, y mantener en forma organizada la información existente en el computador personal a su cargo. ii. Hacer uso adecuado de la información de propiedad de y garantizar la integridad, veracidad, disponibilidad y confidencialidad de la información asignada para el cumplimiento de sus funciones, y velar por el adecuado almacenamiento de la información. iii. iv. Utilizar correctamente las contraseñas, y mantener la confidencialidad de las mismas. Reportar al Área de Sistemas & TI, cualquier incidente de seguridad que se presente en su equipo, o que sea percibido en la información usada en las labores diarias. v. Hacer uso racional de los recursos informáticos provistos por el. vi. Conocer y cumplir cabalmente las políticas, normas, procedimientos y estándares definidos por el Página 13 de 53

14 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE LOS ACTIVOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado uso de la Infraestructura (Software y Hardware) de cómputo del por sus empleados y contratistas. ALCANCE Esta norma aplica para todos los usuarios de componentes de la plataforma tecnológica del. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / 1. Responsabilidad Administrativa a. La Secretaría General, el Área Administrativa y el Área de deben garantizar la elaboración y actualización de un inventario de activos de información al mayor detalle posible, que garantice un fácil nivel de acceso, recuperación, trazabilidad, auditabilidad y responsabilidad de sus activos de información. b. Se deben destinar las herramientas necesarias que permitan la oportuna gestión de inventarios de los activos de información, empleando como mínimo identificación plaquetas o etiquetas de identificación externa, contemplando tecnologías de captura de códigos de barras que faciliten la gestión de inventarios y el control de entradas y salidas de activos de las instalaciones de la organización. 2. Responsabilidad del usuario a. Cada usuario es responsable del cuidado y uso adecuado de los recursos informáticos que se le asignen para el desarrollo normal de sus funciones. b. Los recursos informáticos asignados a cada usuario, son para uso limitado para el desarrollo de sus funciones, por lo tanto no está permitido el uso de cualquiera de los recursos con propósitos de ocio o lucro. c. Los usuarios de los activos de información no podrán usar los elementos de cómputo asignados para realizar actividades personales distintas a las contratadas. d. Los usuarios de activos de información son responsables ante la Dirección de la protección de la información y los recursos asignados, por lo cual deben ser responsables de notificar al Área de, la definición de controles de acceso y otros controles de seguridad, con el fin de garantizar su responsabilidad por incumplimientos, no conformidades y otros incidentes que se presenten en la organización. e. La instalación de software no autorizado es responsabilidad del usuario, y cualquier daño Página 14 de 53

15 en la configuración del equipo que se produzca por el incumplimiento de esta política debe ser asumido por el responsable del activo. f. El uso de activos de información o recursos corporativos para actividades personales será considerado como un incumplimiento a esta política. 3. Gestión de activos a. Todo cambio a la configuración de los computadores puede efectuarse únicamente por personal de soporte, y supervisión del Área de Sistemas & TI. b. Todos los activos de información (computadores, periféricos) deben estar protegidos por reguladores de voltajes y sus instalaciones eléctricas deben haber sido realizadas técnicamente controlando las fases correspondientes. c. Todos los equipos de cómputo y comunicaciones deben estar protegidos y soportados por equipos ininterrumpidos de poder UPS y sus instalaciones eléctricas deben haber sido realizadas técnicamente controlando las fases correspondientes. Cuando se concentren varios equipos en un área se debe hacer un estudio del consumo por equipo para determinar que el circuito no presente sobrecarga. d. Todo el sistema eléctrico de cableado estructurado, debe estar independiente al sistema de energía de iluminación, y su gestión debe estar centralizada, acogiendo las normas eléctricas correspondientes para tal fin. e. La gestión de las copias de seguridad, será responsabilidad del Área de Sistemas & TI, quien debe implementar los procesos y procedimientos necesarios, que garanticen el adecuado tratamiento de los medios físicos internos y externos, y los medios digitales locales. f. El único ente en la organización con la potestad para tener acceso a la información y activos utilizados por los usuarios sin previa autorización, será el Grupo de Organización, Métodos y Desarrollo, previo acompañamiento y asesoría por parte del Área de g. La responsabilidad de la gestión de la seguridad de la información, la aplicación de reglas de controles de acceso definidas por el Grupo de Organización, Métodos y Desarrollo, o por los propietarios de las los activos de información, estará a cargo del Área de Sistemas & TI. 4. Restricciones a. No está permitida la descarga, instalación, almacenamiento y/o transferencia de juegos, archivos de audio, archivos de video, software y/o programas desde o hacia Internet, que atenten contra las leyes de derechos de autor, salvo los requeridos para el funcionamiento y mantenimiento de la plataforma tecnológica, gestionados por el Área de b. Los activos de información no deben moverse o reubicarse sin la aprobación previa del Jefe de Área involucrado. El traslado debe realizarlo únicamente el personal de soporte, con el aval del Área de c. No está permitido el uso de hardware y/o software personales en las instalaciones de la Organización, sin previa autorización del Área Administrativa y notificación al Área de d. No está permitido a los usuarios y/o visitantes: comer, fumar o beber en los puestos de trabajo, centros de cómputo o instalaciones con equipos tecnológicos, sin excepciones; al hacerlo estarían exponiendo los equipos a daños eléctricos y a riesgos de contaminación sobre los dispositivos de almacenamiento. e. Ningún ente interno o externo del estará autorizado para generar copias de la información de la organización, sin previo aval por parte del Grupo de Organización, Métodos y Desarrollo. Página 15 de 53

16 CAPITULO RECURSOS PSI HARDWARE GESTION DE SERVIDORES 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO ALCANCE Establecer estándares para la configuración y mantenimiento de los Servidores de tal forma que se preserve la seguridad de los mismos, del software y datos en ellos instalado. Las políticas se aplican para el personal responsable de los Servidores. RESPONSABLES 1. Configuración Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Outsourcing Informático Outsourcing Informático / a. El Área de debe implementar los protocolos y/o guías de configuración de todos los servidores de la organización, deben ser establecidas y actualizadas por cada tipo de Servidor. b. Se debe tener toda la información de configuración por cada servidor, que garantice como mínimo: función principal, configuración de Hardware, configuración de Software, inventario de aplicaciones, servicios y servidores, ubicación de las copias de respaldo. c. Debe existir y diagrama de configuración de plataforma y servidores. d. La configuración de los servidores se debe hacer de acuerdo a los protocolos y/ guías establecidas por el Área de 2. Control de Accesos a. Para la parametrización de los accesos privilegiados al servidor, la clave máster de administrador será gestionada únicamente por el responsable del Área de, y debe existir una copia de respaldo compartida de la misma en poder de 2 usuarios designados por la dirección. b. Para la gestión de los servidores por parte del Outsourcing Informático, se debe crear y asignar una clave con privilegios de administración, que será responsabilidad del personal asignado para tal fin. c. La gestión de servidores se debe realizar únicamente bajo la utilización de canales seguros. d. El acceso físico a servidores debe ser gestionado, programado y autorizado por el Área de 3. Gestión a. La gestión, operación, instalación, desinstalación y mantenimiento de servidores es responsabilidad del Outsourcing Informático, y la supervisión y control son responsabilidad Página 16 de 53

17 del Área de. b. El Outsourcing Informático debe asignar personal altamente calificado en la gestión de servidores y notificar todas las novedades inherentes a la gestión del mismo. c. La operación de servidores desde áreas de trabajo diferentes a las designadas para soporte técnico, debe ser autorizada por el Área de. d. Los cambios en la configuración de los servidores debe hacerse siguiendo los procedimientos establecidos para dicha operación. 4. Monitoreo a. Para todos los eventos críticos de seguridad y los sistemas sensibles es necesario mantener Log s y se deben gestionar acorde a lo establecido en los protocolos establecidos por el Área de b. Todos los servidores deben tener activos los servicios de auditoría de eventos que garanticen la auditabilidad de las transacciones realizadas en ellos. c. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se deben reportar al Área de, estos eventos se contemplan en los protocolos establecidos. d. Debe existir un protocolo de acceso remoto, que garantice el adecuado uso de las herramientas existentes para tal fin. 5. Accesos Remotos a. Toda herramienta de acceso remoto a servidores y equipos de cómputo, debe ser autorizada por el Área de e instalada por el ingeniero de Soporte designado. b. El acceso remoto a los equipos de cómputo será autorizado por el Área de, previa solicitud por parte del responsable de cada Área, garantizando la confidencialidad de la información de cada usuario. c. Los soportes remotos se realizaran únicamente en caso de no tener acceso directo al equipo que requiera el soporte, por eventos de localización física externa o distante de la organización. d. Los accesos desde Internet/Intranet para utilizar sistemas de información de la Organización en forma remota y en tiempo real deben ser autorizados por el Área de e. Todo acceso remoto debe ser establecido sobre Redes Privadas Virtuales - VPN con encriptación, previa configuración y aprobación por parte del Área de f. Los accesos remotos para soportes en redes por terceros, proveedores de Servicios, deben ser asignados, aprobados y documentados por el Área de g. La asignación de claves a terceros, proveedores de servicio, para la comunicación remota con la red central, debe estar supervisada permanentemente y será de asignación temporal. 6. Mantenimiento a. Se debe hacer el mantenimiento periódico del servidor, utilizando el protocolo y/o procedimiento diseñado por el Área de, y será documentado acorde a los procedimientos establecidos. b. Los procedimientos de Instalación y mantenimiento de los servidores deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones por cada servidor. c. Los parches más recientes de seguridad se deben probar, aprobar e instalar tanto al sistema operativo del servidor como a las aplicaciones activas, a menos que esta actividad interfiera con la producción. d. Los servicios, servidores y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas. Página 17 de 53

18 e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los servidores del. f. El Área de debe generar los procedimientos y protocolos necesarios que garanticen la adecuada generación, custodia y disposición de las copias de seguridad para los servidores de la organización, acordes con la política de Copias de Respaldo. Página 18 de 53

19 CAPITULO RECURSOS PSI HARDWARE GESTION DE EQUIPOS DE COMPUTO 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Establecer estándares para la configuración y mantenimiento de los Equipos de Cómputo y periféricos de tal forma que se preserve la seguridad de los mismos, del software y datos en ellos instalados. ALCANCE Las políticas se aplican para el personal responsable de los equipos de computo y periféricos y a todos los usuarios de la organización que tengan asignados recursos informáticos. RESPONSABLES 1. Configuración Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. El Área de debe implementar los protocolos y/o guías de configuración de todos los equipos de cómputo y periféricos de la organización, deben ser establecidas y actualizadas por cada tipo de dispositivo. b. Se debe tener toda la información de configuración por cada equipo de cómputo y periférico, que garantice como mínimo: función principal, configuración de Hardware, configuración de Software, inventario de aplicaciones, servicios, responsables. c. La configuración de los equipos de cómputo y periféricos se debe hacer de acuerdo a los protocolos y/ guías establecidas por el Área de. d. Los equipos de cómputo y periféricos deben ser configurados de tal forma que los usuarios no puedan alterar la configuración ni instalar software. 2. Control de Accesos a. Para la parametrizacion de los accesos a los equipos y periféricos, la clave máster local de administrador será gestionada únicamente por el responsable del Área de Sistemas & T.I., y debe ser estándar unificado para todos los equipos de la organización. b. Para la gestión de los equipos de cómputo y periféricos por parte del Outsourcing Informático, se debe crear y asignar una clave con privilegios de administración, que será responsabilidad del personal asignado por el proveedor del Outsourcing. c. La correcta utilización de la cuenta de usuario para administración y su contraseña a nivel de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte designado por el Outsourcing Informático. Página 19 de 53

20 3. Gestión a. La gestión, operación, instalación, desinstalación y mantenimiento de los equipos de cómputo y periféricos es responsabilidad del Outsourcing Informático, y la supervisión y control son responsabilidad del Área de b. El Outsourcing Informático debe asignar personal calificado en la gestión de equipos y periféricos y notificar todas las novedades inherentes a la gestión del mismo. c. Toda actividad que implique reasignación y traslado de equipos de cómputo y periféricos entre diferentes áreas de trabajo deben ser realizadas únicamente por el personal de soporte y autorizadas por Área de d. Los cambios en los equipos de cómputo y periféricos debe hacerse siguiendo los procedimientos establecidos para dicha operación. 4. Monitoreo a. Para todos los eventos críticos de seguridad y los sistemas sensibles es necesario mantener Log s y se deben gestionar acorde a lo establecido en los protocolos establecidos por el Área de b. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se deben reportar al Área de, estos eventos se contemplan en los protocolos establecidos. c. Se deben garantizar los mecanismos necesarios que mitiguen el riesgo de extracción no autorizada de la organización, de equipos de cómputo y periféricos. 5. Mantenimiento a. Se debe hacer el mantenimiento periódico de los equipos de cómputo y periféricos, utilizando el protocolo y/o procedimiento diseñado por el Área de, y será documentado acorde a los procedimientos establecidos. b. Los procedimientos de Instalación y mantenimiento de los equipos de cómputo y periféricos deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones por cada equipos de cómputo o periférico. c. Los parches más recientes de seguridad se deben probar, aprobar e instalar tanto al sistema operativo de equipos de cómputo y periféricos como a las aplicaciones activas, a menos que esta actividad interfiera con la producción. d. Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas. e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los equipos de cómputo y periféricos de la Organización. f. El Ingeniero de Soporte designado por el Outsourcing Informático tiene la potestad para remover y notificar, cualquier software que no esté autorizado por el Área de g. El Área de debe generar los procedimientos y protocolos necesarios que garanticen la adecuada generación, custodia y disposición de las copias de seguridad para los Equipos de Cómputo y dispositivos de almacenamiento portátiles de la organización, acordes con la política de Copias de Seguridad. 6. Restricciones a. Todos los usuarios de los equipos de cómputo y periféricos deben tener en cuenta los siguientes aspectos: i. No ingerir bebidas y/o alimentos cerca de los equipos de cómputo y periféricos ii. No fumar dentro de las instalaciones y/o cerca a los equipos de cómputo y periféricos. iii. No insertar objetos extraños en las ranuras de los equipos de cómputo y periféricos. Página 20 de 53

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES Objetivo: Propender por el correcto uso de los recursos informáticos de la UCM, mediante

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6 POLÍTICAS DE USO DE HARDWARE Y SOFTWARE OBJETO Establecer las características del Hardware y Software Estándar a utilizar en la red, computadores personales (Desktop), portátiles (Laptops) y servidores.

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Corte Suprema de Justicia Secretaría General

Corte Suprema de Justicia Secretaría General CIRCULAR Nº 120-10 Asunto: Reglamento para la administración y Uso de los Recursos Tecnológicos del Poder Judicial.- A LOS SERVIDORES Y SERVIDORAS JUDICIALES DEL PAÍS SE LES HACE SABER QUE: La Corte Plena

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

POLÍTICAS DE SEGURIDAD INFORMÁTICA

POLÍTICAS DE SEGURIDAD INFORMÁTICA S DE SEGURIDAD INFORMÁTICA DIRECCIÓN GENERAL DE ADMINISTRACIÓN SUBDIRECCIÓN DE SERVICIOS GENERALES J.U.D. DE SOPORTE TÉCNICO JUNIO, 2009 S DE SEGURIDAD INFORMÁTICA 1 I. INTRODUCCIÓN Con el fin de homogeneizar

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

UNIVERSIDAD DE ANTIOQUIA DIRECCIÓN DE DESARROLLO INSTITUCIONAL GESTIÓN INFORMÁTICA

UNIVERSIDAD DE ANTIOQUIA DIRECCIÓN DE DESARROLLO INSTITUCIONAL GESTIÓN INFORMÁTICA UNIVERSIDAD DE ANTIOQUIA DIRECCIÓN DE DESARROLLO INSTITUCIONAL GESTIÓN INFORMÁTICA UNIVERSIDAD DE ANTIOQUIA Marzo de Política de gestión de usuarios en los sistemas de información institucionales tipo

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá.

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. LA JUNTA DIRECTIVA DE LA AUTORIDAD DEL CANAL DE PANAMA CONSIDERANDO:

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL POLíTICAS PARA EL USO DE EQUIPO DE CÓMPUTO Y COMUNICACIONES DEL

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA FACULTAD DE INGENIERÍA

REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA FACULTAD DE INGENIERÍA REGLAMENTO PARA EL USO Y FUNCIONAMIENTO DE LOS CENTROS DE CÓMPUTO DE LA CAPÍTULO I Disposiciones Generales Artículo 1. El presente reglamento tiene como objetivo regular la organización, disciplina y servicio

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Marco normativo para el establecimiento de las medidas de seguridad

Marco normativo para el establecimiento de las medidas de seguridad Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica GUÍA PRÁCTICA para la utilización de muestras biológicas en Investigación Biomédica IV. GESTIÓN DE BASES DE DATOS 1. La creación de ficheros y su notificación 2. El responsable y el encargado del tratamiento

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA Página 1 de 9 1. OBJETIVO DEL MANUAL Implementar y dar a conocer las políticas de seguridad de toda la infraestructura tecnología de la empresa. Para lograr un mejor manejo de los recursos informáticos

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

Políticas de uso de software, equipos y servicios de cómputo en el Instituto Nacional de Medicina Genómica

Políticas de uso de software, equipos y servicios de cómputo en el Instituto Nacional de Medicina Genómica Políticas de uso de software, equipos y servicios de cómputo en el Instituto Nacional de Medicina Genómica 2007 Políticas de uso de software, equipos y servicios de cómputo en el INMEGEN Objetivo Las presentes

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Preliminares Para efectos del presente documento, a la Entidad de Tecnología e Informática (Dirección

Más detalles

CONTRATO DE PRESTACIÓN DE SERVICIOS INFORMÁTICOS PARA COPIAS DE SEGURIDAD REMOTAS

CONTRATO DE PRESTACIÓN DE SERVICIOS INFORMÁTICOS PARA COPIAS DE SEGURIDAD REMOTAS CONTRATO DE PRESTACIÓN DE SERVICIOS INFORMÁTICOS PARA COPIAS DE SEGURIDAD REMOTAS ENTRE De una parte, GUARDIAN SOFTWARE S.L. domiciliada en Barcelona en Vía Augusta 59 (Edif. Mercuri) desp. 405, con N.I.F.

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

NOMBRE DEL PROCEDIMIENTO: CONTROL DE DOCUMENTOS PROCESO MEJORAMIENTO CONTINUO VIGENCIA 15 MAY 2013 TABLA DE CONTENIDO

NOMBRE DEL PROCEDIMIENTO: CONTROL DE DOCUMENTOS PROCESO MEJORAMIENTO CONTINUO VIGENCIA 15 MAY 2013 TABLA DE CONTENIDO 15 MAY 201 1 de15 TABLA DE CONTENIDO 1 OBJETIVO... 2 2 ALCANCE... 2 RESPONSABLE... 2 4 DEFINICIONES... 2 5 RECOMENDACIONES... 6 COPIAS DE SEGURIDAD... 7 ETAPAS PARA LA ADMINISTRACIÓN DE DOCUMENTOS... 4

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 300 Miércoles 14 de diciembre de 2011 Sec. I. Pág. 135721 No debe interpretarse que los diversos espacios formativos identificados deban diferenciarse necesariamente mediante cerramientos. Las instalaciones

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de licencias adicionales y la renovación del servicio

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA) Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA) Agenda 1. Introducción 2. Concepto Documento Electrónico 3. A que se le denomina Documento Electrónico 4. Componentes de un Documento Electrónico

Más detalles

RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº013-2011-SERVIR-OAF

RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº013-2011-SERVIR-OAF RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº013-2011-SERVIR-OAF Lima, 03 de Marzo de 2011 VISTOS, El Informe Nº 020-2011/SERVIR-OAF-TI de fecha 02 de Marzo del 2011, mediante el cual el Especialista

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles