POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA"

Transcripción

1 Código: POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación: Mayo de 2009 Cargo Directora General Fecha publicación: Mayo de 2009 U. Administrativa Dirección General de Versión: 3 Informática Referencia COBIT: Dominio: PO Proceso: 06 Firma: Referencia externa: POL-08

2 Código: POL-09 Versión:3 Página 2 de 36 INDICE INDICE 2 I. CLASIFICACIÓN DE LA INFORMACIÓN 6 II. OBJETIVO 6 III. ALCANCE 6 IV. GLOSARIO 7 V. DOCUMENTOS RELACIONADOS 7 VI. ROLES Y RESPONSABILIDADES CON RESPECTO A ESTE DOCUMENTO 7 VII. DOCUMENTO DE POLÍTICA DE SEGURIDAD 9 Política de Seguridad de TIC del Ministerio de Hacienda INTRODUCCIÓN ALCANCE DE LA POLÍTICA DE SEGURIDAD DE TIC POLÍTICA DE SEGURIDAD 12 Capítulo 1. Términos y definiciones 12 Capítulo 2. Roles y responsabilidades 17 Capítulo 3. Marco de seguridad de la información Protección de información Revisión de la política de seguridad de la información Coordinación de la seguridad de la información Acuerdos de confidencialidad Uso de información Manejo de información, acceso y uso Pérdida de datos y software no autorizado Excepciones a la política Incumplimiento de la política de seguridad Uso de la Política de Seguridad de Información y sus procedimientos Definición y comunicación de directrices para la gestión del riesgo en la seguridad de información Seguridad de información en el Plan Anual Operativo Divulgación 20

3 Código: POL-09 Versión:3 Página 3 de Identificación del propietario de cada tipo de información Identificación del custodio de la información Categorías y perfiles de acceso 21 Capítulo 4. Compromiso del personal con la seguridad de información Actualización de los derechos de acceso Cambios a la política de seguridad de información Contacto de seguridad de información Manual de prácticas de seguridad de información Tiempo de capacitación Consentimiento de la política Entrenamiento en el uso de sistemas en producción a usuarios finales Capacitación a usuarios técnicos 22 Capítulo 5. Seguridad física y ambiental Identificación de activos Devolución de activos Protección del equipo informático Acceso a áreas peligrosas Seguridad perimetral Controles a entradas físicas 24 Capítulo 6. Seguridad en las operaciones y comunicaciones Procedimientos de operación Actualizaciones de seguridad Comercio electrónico Transacciones en línea Administración de controles de acceso a la red Identificación del equipo en la red Protección del puerto de diagnóstico remoto Segregación en redes Control conexión en redes Computación móvil y comunicaciones Teletrabajo 25 Capítulo 7. Control de acceso Proceso de autorización para nuevos medios de almacenamiento de información 25

4 Código: POL-09 Versión:3 Página 4 de Control contra software malicioso Control de dispositivos móviles Procedimientos de manejo de la información Intercambio de información Información disponible de forma pública Revocación de privilegios de acceso Administración de accesos de los usuarios Registro de usuarios Gestión de privilegios Revisión de derechos de acceso del usuario Acceso al ambiente de producción Control de acceso a la administración de los sistemas operativos Administración de contraseñas Monitorización de accesos Acceso a los archivos y documentos físicos Limitación del tiempo de uso de aplicaciones Control al acceso remoto y de teletrabajo de usuarios Detección de acceso no autorizado Equipo de atención de problemas de seguridad de información 28 Capítulo 8. Seguridad en implementación y mantenimiento de software e infraestructura tecnológica Ambientes de prueba, desarrollo y producción Acceso a las librerías de software Especificación de requerimientos de seguridad Control de cambios de software y sistemas de información Prueba de aplicaciones y sistemas críticos, después de la realización de cambios a los sistemas operativos Control de software en producción Supervisión del desarrollo de software por terceros Control del inventario de software Control de versiones de software Desarrollo de software Correcciones de emergencia al software Responsabilidad de cambios al sistema 30

5 Código: POL-09 Versión:3 Página 5 de Planificación de sistemas o aplicaciones Aceptación de sistemas o aplicaciones Acceso del personal técnico a los sistemas en producción 30 Capítulo 9. Continuidad de los servicios de TI Incidentes de seguridad de información Planes de atención de contingencias informáticas Equipo de atención de emergencias informáticas Simulaciones de atención de emergencias informáticas Ataque a los sistemas Procedimientos de atención de incidentes de seguridad Avisos de vulnerabilidades Comunicación de incidentes de seguridad de información Inclusión de la seguridad de la información en el proceso de gestión de continuidad de negocio Esquema de clasificación de criticidad de aplicaciones, de cinco categorías Análisis de impacto Evaluación de la prioridad de recuperación de aplicaciones multiusuario Conocimiento de los roles y responsabilidades en la planificación de contingencias y recuperación de sistemas 33 Capítulo 10. Cumplimiento de la Política de Seguridad Cumpliendo con la Política de Seguridad de Información Uso de información y documentos relacionados a sistemas informáticos Registro de evidencias de incidentes (información de seguridad) 33 VIII. INFORMACIÓN DE CONTROL DEL DOCUMENTO 34 IX. HISTORIA DE LA REVISION DEL DOCUMENTO 34

6 Código: POL-09 Versión:3 Página 6 de 36 I. CLASIFICACIÓN DE LA INFORMACIÓN El lector de este documento acepta conocer que la información contenida en este documento y sus anexos es de USO RESTRINGIDO para funcionarios del Ministerio de Hacienda y sus proveedores, en el estricto cumplimiento de sus funciones de administración de la seguridad de los recursos de la TIC. El lector de este documento acepta su uso acorde con la norma ( NOR) Norma de Acceso Documental de la DGI, de tal forma que no podrá usarla, venderla, transferirla, copiarla, reproducirla, revelarla, reportarla, publicarla o presentarla a ninguna persona o entidad, sin el previo consentimiento escrito de la autoridad competente de la Dirección General de Informática (DGI). II. OBJETIVO Este documento contiene la política general para la seguridad de los recursos de TIC del Ministerio de Hacienda. Por lo cual, este documento se circunscribe específicamente a definir las reglas y directrices de seguridad generales que deben acatarse y no abarca los procedimientos necesarios que deben ser implementados para la aplicación adecuada de éstas. Esta labor le corresponderá realizarla a cada área responsable de la aplicación de esta política en el Ministerio de Hacienda. Corresponde a la DGI definir y establecer los procedimientos de seguimiento y control, que estime oportunos y necesarios. Este documento sustituye a partir de su oficialización a la Política de Seguridad vigente, código POL-08, Manual de Políticas para la Administración de la Seguridad de los Recursos de la TIC Institucional, oficializada mediante circular DGI del 21 de enero del III. ALCANCE Las reglas y directrices generales definidas en este documento son de cumplimiento obligatorio por parte de cada una de las áreas de tecnología (TIC) del Ministerio de Hacienda y de sus proveedores de servicios, como pueden ser las empresas encargadas del desarrollo, instalación, mantenimiento y actualización de los recursos de hardware y software correspondientes a los sistemas en ambiente de producción o en desarrollo. El enfoque del Ministerio de Hacienda para manejar la seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) deben ser revisados, de manera independiente, en intervalos planeados, o cuando ocurran cambios significativos para la implementación de la seguridad de información.

7 Código: POL-09 Versión:3 Página 7 de 36 IV. GLOSARIO DGI Dirección General de Informática INSTITUCIÓN Se refiere en general al Ministerio de Hacienda o a cualquiera de sus dependencias, según el contexto. POLÍTICA DE SEGURIDAD Forma breve para referirse a la Política de Seguridad de TIC del Ministerio de Hacienda TIC Tecnologías de Información y Comunicaciones V. DOCUMENTOS RELACIONADOS o Ley General de Control Interno No y su Manual de Normas Generales, o o o o o o Objetivos de Control (Gobernabilidad, Control y Auditoria de Información y Tecnologías Relacionadas)- COBIT 3era. Edición- julio 2000, N CO-DFOE Normas técnicas para la gestión y el control de las Tecnologías de Información de la CGR, NOR Normas Generales para la Elaboración de Documentos, PRO Normas de Acceso Documental de la DGI Reglamento Autónomo de Servicios del Ministerio de Hacienda Ley General de la Administración Pública o INTE ISO 27001:2008 VI. ROLES Y RESPONSABILIDADES CON RESPECTO A ESTE DOCUMENTO Es competencia y responsabilidad del Área de Seguridad Informática mantener la vigencia de este documento a través de la actualización permanente conforme con lo establecido en el documento ( NOR) Normas Generales para la elaboración de documentos, para lo cual es preciso que dicha unidad defina y establezca los procedimientos y asigne los recursos mínimos necesarios que le permitan renovar y actualizar en forma organizada dicha política en función del ambiente dinámico en el que se interactúa. Por lo tanto, debe generarse un proceso continuo de revisión y

8 Código: POL-09 Versión:3 Página 8 de 36 mejoramiento de las políticas, con el propósito de dotar al Ministerio de Hacienda de una herramienta útil que garantice niveles de seguridad apropiados para la gestión de las tecnologías de información y comunicaciones.

9 Código: POL-09 Versión:3 Página 9 de 36 VII. DOCUMENTO DE POLÍTICA DE SEGURIDAD La implementación de la Política de Seguridad de TIC del Ministerio de Hacienda implica el establecimiento de controles, procedimientos, protocolos, estándares y otras acciones encaminadas al cumplimiento y seguimiento de cada uno de los apartados de ésta política. Corresponderá a cada área técnica de la DGI y del Ministerio de Hacienda, en lo que le corresponda, la definición e implementación de estos controles. La revisión y actualización del documento de la Política de Seguridad de TIC del Ministerio de Hacienda debe realizarse todos los años por parte del área que tenga a cargo la Administración de la Seguridad de TIC, para lo cual nombrará un equipo de trabajo que represente a las Áreas Técnicas de la DGI.

10 Código: POL-09 Versión:3 Página 10 de 36 Ministerio de Hacienda Dirección General de Informática Área de Seguridad Informática Política de Seguridad de TIC del Ministerio de Hacienda

11 Código: POL-09 Versión:3 Página 11 de INTRODUCCIÓN La Política de Seguridad de TIC del Ministerio de Hacienda se define en cumplimiento del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE) y, en general, de la Ley General de Control Interno No 8292 y tiene como propósito la protección de las TIC de Ministerio, lo cual comprende todos los activos de TIC como el hardware, software de aplicación, sistemas de información y bases de datos a fin de preservar la confidencialidad, integridad y disponibilidad de la información del Ministerio necesaria para el cumplimiento de sus objetivos. Los apartados de esta política se agrupan, según corresponda, en ocho capítulos a saber: marco de la seguridad de la información, compromiso del personal con la seguridad de información, seguridad física y ambiental, seguridad en las operaciones y comunicaciones, control de acceso, seguridad en implementación y mantenimiento del software e infraestructura tecnológica, continuidad de los servicios de TI y, finalmente, el cumplimiento de esta política de seguridad; con lo cual se cubren los aspectos indicados en el apartado de gestión de la seguridad de información del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE). 2. ALCANCE DE LA POLÍTICA DE SEGURIDAD DE TIC Esta Política de Seguridad de TIC para el Ministerio de Hacienda es de acatamiento obligatorio por parte de cada una de las áreas de TIC del Ministerio de Hacienda, los usuarios de TIC y los proveedores de servicios de TIC como son las empresas encargadas del desarrollo, instalación, mantenimiento y actualización de los recursos de hardware y software correspondientes tanto a los sistemas en ambiente de producción o en desarrollo.

12 Código: POL-09 Versión:3 Página 12 de POLÍTICA DE SEGURIDAD Capítulo 1. Términos y definiciones 1.1. Administración de la Seguridad de Información Es la función de organizar, dirigir, planificar y dar seguimiento a las actividades de la seguridad de Información Administrador de la Seguridad de Información Es la persona responsable de llevar a cabo la función de Administración de la Seguridad de Información (véase Capítulo 2: Roles y responsabilidades) Administrador de Operaciones de Cómputo Persona encargada de la coordinación de las operaciones en la sala de cómputo o centro de procesamiento de datos Administrador de Sistema de Información Ingeniero de sistemas que tiene a su cargo un sistema de información para la atención de requerimientos del propietario de la información (véase Capítulo 2: Roles y responsabilidades) 1.5. Ambiente de control de calidad Conocido también como ambiente de prueba; comprende el hardware y software necesarios para probar aplicaciones y sistemas de información de manera separada y segura sin que afecte la información real de la Institución Ambiente de desarrollo Conjunto de componentes de hardware y software donde se efectúan los procesos de construcción, mantenimiento (v. gr. ajustes, cambios y correcciones) y pruebas de sistemas de información Ambiente de producción Conjunto de componentes de hardware y software donde se efectúan las actividades de normales de procesamiento de datos, con sistemas e información reales, con el uso directo por parte de los usuarios finales Aplicación Cualquier software desarrollado o adquirido para un uso común y específico, por ejemplo el Microsoft Office, Auto CAD, programas utilitarios. 1 El término Institución se usa repetidamente en este documento y se refiere al Ministerio de Hacienda en general o a cualquiera de sus dependencias, según el contexto del apartado, bajo el alcance de esta Política. Véase Glosario.

13 Código: POL-09 Versión:3 Página 13 de Área de Seguridad Informática Se refiere a las personas designadas para la realización de tareas relativas a la seguridad de las TIC Autenticación Proceso mediante el cual un usuario es reconocido por una aplicación, sistema operativo o sistema de información, como usuario autorizado para tener acceso a la información que este administra Base de datos Colección de datos almacenados en un computador, los cuales pueden ser accedidos de diversas maneras para apoyar los sistemas de información de la institución Comité de Administración de la Seguridad de Información (Véase Capítulo 2: Roles y responsabilidades) Comprometido Un sistema ha sido comprometido cuando se determina que ha sido vulnerado y que puede verse afectada la integridad, disponibilidad y confidencialidad de su información Confidencialidad de la información Protección de información sensible contra divulgación no autorizada Contacto de Seguridad de Información (Véase Capítulo 2: Roles y responsabilidades) Control, Controles Conjunto de acciones e instrumentos establecidos y oficializados para la verificación y seguimiento del cumplimiento de cada uno de los puntos que contempla la Política de Seguridad Criticidad de la información Indica el grado de necesidad que se tiene de la información. Se define en términos del tiempo mínimo tolerable durante el cual la información podría no estar disponible sin que afecte los objetivos del negocio Custodio de la información (Véase Capítulo 2: Roles y responsabilidades) Dueño de la Información Propietario de la Información (Véase Capítulo 2: Roles y responsabilidades)

14 Código: POL-09 Versión:3 Página 14 de Estándar Manera oficialmente establecida para definir algo o para realizar un proceso Excepción Cualquier caso o situación que se dé y que no se encuentre contemplado específicamente dentro de los estándares, normativas, políticas o procedimientos Hardware Todos los componentes electrónicos, eléctricos y mecánicos que integran una computadora o cualquier dispositivo informático Incidente de seguridad Cualquier hecho o evento que se considere que podría afectar a la seguridad de las TIC de la institución La administración La administración activa Lineamiento Orden o directriz Manual de prácticas de seguridad de información Documento dirigido a los usuarios y administradores de las TIC del Ministerio que indica las mejores prácticas de seguridad de información de acuerdo con lo establecido por la Política de Seguridad y normativa existente Oficial de Seguridad de Información Administrador de la Seguridad de Información. (Véase Capítulo 2: Roles y responsabilidades) Perfil de acceso Definición particular de autorizaciones o restricciones que se asocia a un usuario de un sistema de información específico de acuerdo con las funciones que el usuario desempeña Procedimiento Conjunto de pasos, instrucciones y controles establecidos para llevar a cabo una tarea Programa fuente y ejecutable entregado Código fuente y ejecutable de las aplicaciones o sistemas de información que ha sido entregado por el desarrollador a la institución.

15 Código: POL-09 Versión:3 Página 15 de Propietario de la información También se define como dueño de la información. (Véase Capítulo 2: Roles y responsabilidades) Proveedor de servicios Persona física o jurídica contratada por el Ministerio para proveer servicios en el ámbito de TIC Responsable de la aplicación o sistema de información Analista de sistemas que realiza la función de administrador técnico de determinada aplicación o Sistema de Información Rol Función específica que alguien cumple Seguridad física Protección física del hardware, software, instalaciones y personal relacionado con los sistemas de información Seguridad lógica Conjunto de controles de TIC para promover la confidencialidad, integridad y disponibilidad de la información Sensibilidad de la información Privacidad de la información, véase Confidencialidad Sistema computacional Sistema informático Sistema de comunicaciones Conjunto de hardware y software destinado a la comunicación de datos Sistema en desarrollo Sistema en su etapa del ciclo de vida de construcción de su funcionalidad Sistema en producción Cualquier software que se encuentre en uso en un ambiente de producción, diseñado para el procesamiento de la información institucional como parte del cumplimiento de su misión y quehacer diario y el cual involucra procesos, gente y tecnología.

16 Código: POL-09 Versión:3 Página 16 de Sistema operativo Conjunto de programas que se instala en una computadora destinado a permitir una administración eficaz de sus recursos Sistemas de Información Sistema. Conjunto de recursos de hardware y software que interactúan entre sí con el fin de apoyar las actividades de la institución Software en desarrollo Software que se encuentra en la etapa de su ciclo de vida de construcción Software en operación Véase software en producción Software en producción Software que se encuentra en uso, después de haber sido desarrollado y probado o instalado para el quehacer normal de la gestión de la Institución Software Los programas y la documentación que los soporta y que permiten y facilitan el uso de la computadora Terceros, terceras partes, proveedores contratados Personas o empresas contratadas para desarrollar, implementar, instalar o dar mantenimiento al hardware y software del Ministerio de Hacienda TIC Tecnologías de Información y de Comunicación. Conjunto de tecnologías dedicado al manejo de la información institucional y de su transmisión. Incluye los recursos de hardware, software, infraestructura, comunicación y personas Tipo de información Clase o naturaleza de información incluyendo la manera en que se guarde o soporte Director de la Dirección General de Informática Es el titular a cargo de la Dirección General de Informática del Ministerio de Hacienda Titular responsable del área Jefe o coordinador de área de TI.

17 Código: POL-09 Versión:3 Página 17 de Valor de la información Importancia que tiene la información para la institución. Capítulo 2. Roles y responsabilidades 2.1. Responsabilidad del Director de la DGI El Director de la DGI es el responsable institucional de la emisión e implementación de la Política de Seguridad de TIC del Ministerio de Hacienda y le corresponde establecer y mantener suficientes medidas preventivas, de detección y correctivas de seguridad, para asegurar, en forma razonable, que la información contenida y procesada a través de los medios tecnológicos (sistemas informáticos y demás recursos de software y hardware), administrados por la DGI, esté libre de riesgos significativos de confidencialidad, integridad y disponibilidad. El Director de la DGI nombrará un comité denominado Comité de Administración de la Seguridad de Información, cuya responsabilidad se detalla en el apartado Responsabilidad de la seguridad de información La responsabilidad de la seguridad de información y el acatamiento de esta política, debe ser de todos los funcionarios, usuarios externos y terceros y no sólo del personal del Área de Seguridad Informática Capacitación en seguridad de información La administración debe procurarle la capacitación necesaria en aspectos relacionados con esta política, a todos los funcionarios que así lo requieran 2.4. Cumplimiento de esta política Los responsables de área, deben procurar que todos los procedimientos de seguridad dentro de su área, sean realizados correctamente en cumplimiento con esta política Área de Seguridad Informática Le corresponde al Área de Seguridad Informática la guía, dirección y autoridad normativa para las actividades de seguridad de información del Ministerio. También el Área de Seguridad Informática debe establecer y mantener a nivel institucional esta política, los estándares, lineamientos y procedimientos de seguridad de información. De igual forma es de su competencia y responsabilidad mantener la vigencia de este documento a través de la actualización permanente. Por lo tanto, debe generarse un proceso continuo de revisión y mejoramiento de esta política, con el propósito de dotar al Ministerio de Hacienda de una herramienta útil que garantice niveles de seguridad apropiados para la gestión de las tecnologías de información y comunicaciones. Igualmente, esta área está facultada para hacer las recomendaciones que estime pertinentes para que las diferentes áreas involucradas

18 Código: POL-09 Versión:3 Página 18 de 36 en la TIC, realicen periódicamente los ajustes necesarios a sus procedimientos de operación, según corresponda, en apego a las mejores prácticas de seguridad Administrador de la Seguridad de Información Coordinador del Área de Seguridad Informática Comité de Administración de Seguridad de Información Este comité debe revisar y aprobar los cambios a esta política y comunicarlos a la institución, para que los mismos surtan el efecto necesario Propietario de la información Área o unidad que dispone de la información. Tiene la autoridad para especificar y exigir las medidas de seguridad necesarias para cumplir con sus responsabilidades, pudiendo delegar los aspectos operacionales en responsables de seguridad. Este rol nunca debe delegarse en un tercero Custodio de la información Área o unidad designada por el Propietario de la Información para proteger y almacenar la información de los sistemas y redes de la institución, según las especificaciones dadas Contacto de Seguridad de Información Es la persona designada para actuar como enlace, en materia de seguridad de la información, entre el Ministerio de Hacienda y los terceros contratados (véase apartado 4.3). Capítulo 3. Marco de seguridad de la información 3.1. Protección de información La información debe ser clasificada y protegida de acuerdo con la sensibilidad, valor, criticidad y confidencialidad que tenga para la Institución Revisión de la política de seguridad de la información La política de seguridad de la información debe ser revisada regularmente en intervalos planificados o en razón de cambios significativos, para garantizar la continua conveniencia, suficiencia, adecuación y eficacia.

19 Código: POL-09 Versión:3 Página 19 de Coordinación de la seguridad de la información Las actividades de seguridad de la información, deben ser coordinadas entre el Área de Seguridad Informática de la DGI y los funcionarios representantes de las distintas áreas de la Institución correspondiente, con funciones y roles definidos por la jefatura respectiva Acuerdos de confidencialidad Se debe identificar y revisar regularmente los requisitos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la Institución, para la protección de la información Uso de información La información debe ser usada sólo para propósitos expresamente autorizados por la administración Manejo de información, acceso y uso La información es un activo vital y todos los accesos, usos y procesamiento de ésta deben ser consistentes con esta Política Pérdida de datos y software no autorizado El Ministerio de Hacienda no se hace responsable por la pérdida o daño de los datos o software no autorizado ajeno al quehacer de la Institución, que se origine de los esfuerzos de proteger la confidencialidad, integridad y disponibilidad de la información manejada por los sistemas computacionales y de comunicaciones Excepciones a la política Las excepciones a las política de seguridad de información sólo serán aceptadas en casos extremos, donde las implicaciones de no cumplir han sido analizadas, donde un formulario de aceptación de riesgo ha sido presentada por el propietario de la información o la administración y aprobada por la administración de seguridad de información y con conocimiento de la Dirección General de la Auditoría Interna. Deberá quedar evidencia de estas excepciones. Todo procedimiento, política o estándar, que contemple la seguridad de información debe incluir el manejo de excepciones.

20 Código: POL-09 Versión:3 Página 20 de Incumplimiento de la política de seguridad El Área de Seguridad Informática de la DGI debe dar el seguimiento pertinente a todas las transgresiones a esta política de seguridad que se detecten, y comunicar al jerarca correspondiente de los hallazgos y tomar las medidas correctivas respecto a estas Uso de la Política de Seguridad de Información y sus procedimientos Toda la documentación de seguridad de información de la DGI, incluyendo, pero no limitado a esta política, los estándares, y procedimientos, debe ser clasificada como Sólo de uso interno, a menos que expresamente sea creada para procesos externos Definición y comunicación de directrices para la gestión del riesgo en la seguridad de información Debe existir un plan de gestión del riesgo de seguridad de información, en el cual, el titular responsable del área involucrada debe establecer y comunicar a quien corresponda resolver, las directrices para el manejo del riesgo involucrado Seguridad de información en el Plan Anual Operativo Trabajando conjuntamente con la administración responsable, el Área de Seguridad Informática debe incluir las mejoras relativas a la seguridad de información, dentro del Plan Anual Operativo Divulgación El Área de Seguridad Informática de la DGI debe preparar, mantener y distribuir uno o más documentos sobre el tema de seguridad de información, que en forma concisa describan las políticas, estándares y procedimientos de la seguridad de información en la DGI Identificación del propietario de cada tipo de información El Área de Seguridad Informática debe tener claramente identificado al propietario de cada tipo de información. Si la propiedad de un tipo específico de información residente en un sistema multiusuario no ha sido claramente definida o asignada a un administrador específico, ésta será temporalmente asignada al Director General de la DGI, quien realizará las acciones pertinentes para que se asigne la propiedad de la misma a quien corresponda.

21 Código: POL-09 Versión:3 Página 21 de Identificación del ccustodio de la información Cada tipo de información debe tener un custodio designado, quien protegerá en forma apropiada la información manteniendo el control de acceso, la sensibilidad de los datos y las instrucciones de criticidad de los datos, según lo haya determinado el propietario de la misma Categorías y perfiles de acceso El Propietario de la información es responsable de establecer y actualizar políticas escritas, en torno a las categorías de personas y sus perfiles de acceso, a quienes se les brindará permiso para acceder la información o partes de ésta, de la cual ellos son responsables. Capítulo 4. información Compromiso del personal con la seguridad de 4.1. Actualización de los derechos de acceso Cada cambio de estatus de los usuarios de los sistemas del Ministerio de Hacienda incluyendo, pero no limitado a, usuarios externos, consultores, contratistas, etc., debe ser inmediatamente reportado a los administradores de sistemas de información involucrados. En el caso, de los usuarios internos esta responsabilidad recae en el jefe inmediato y en el caso de los usuarios externos (instituciones, empresas, empresas consultoras) en el contacto de seguridad o contraparte designado por el jerarca de la empresa o institución que corresponda. Los derechos de acceso a la información, por parte de empleados, consultores, y terceros, deben ser eliminados a la conclusión de la relación laboral, contrato o acuerdo Cambios a la política de seguridad de información Todos los funcionarios deben recibir una pronta notificación de los cambios a la política de seguridad de información Contacto de seguridad de información de terceros El jerarca de cada empresa proveedora o su representante legal, que contrate el suministro de bienes o servicios de consultoría con el Ministerio de Hacienda, debe designar al menos un contacto de seguridad de información que sirva de enlace entre la empresa y el Ministerio para tratar todos los asuntos que tengan que ver con la seguridad de información relacionada con los bienes o servicios contratados, así

22 Código: POL-09 Versión:3 Página 22 de 36 como con las políticas, procedimientos y estándares de seguridad vigentes en el Ministerio Manual de prácticas de seguridad de información Todo funcionario nuevo debe recibir una copia de la Política de Seguridad, así como de las mejores prácticas de seguridad establecidas en el Ministerio y se le debe concienciar en el cumplimiento de esta política. El Ministerio debe facilitar el acceso electrónico a este documento. En general, a todos los funcionarios se les debe proveer de la suficiente capacitación y material de referencia, incluyendo el manual de prácticas de seguridad de información, que les permita proteger en forma adecuada la información, los equipos informáticos y cumplir con las respectivas normas de seguridad física Tiempo de capacitación La Administración deberá asignar el tiempo que se considere necesario, en horas laborales, a los funcionarios para que se capaciten en las políticas y procedimientos de seguridad de información Consentimiento de la política Cada colaborador, usuario externo y tercero debe entender y aceptar esta política y lo que de ésta se desprenda, y por escrito, establecer su consentimiento en cumplir con ésta. Todo proceso contractual debe llevar una indicación que comprometa al cumplimiento de esta política, los procedimientos, controles y estándares de seguridad; que incluya las condiciones requeridas de confidencialidad y que se indique quién es el contacto de seguridad Entrenamiento en el uso de sistemas en producción a usuarios finales Los usuarios no deben usar ningún sistema en producción a menos que hayan completado y aprobado el entrenamiento en el uso de éstos sistemas. La responsabilidad del cumplimiento de este apartado queda a cargo de la jefatura correspondiente Capacitación a usuarios técnicos El personal técnico relacionado con los sistemas de información debe tener suficiente entrenamiento inicial y capacitación en todos los aspectos críticos de la seguridad de acuerdo con las funciones que realice.

23 Código: POL-09 Versión:3 Página 23 de 36 Capítulo 5. Seguridad física y ambiental 5.1. Identificación de activos Todos los activos de TIC del Ministerio de Hacienda (tangibles e intangibles, como hardware, datos y software, deben estar claramente identificados y deben ser propiedad (2) de una parte designada del Ministerio de Hacienda Devolución de activos Todos los empleados, usuarios externos y terceros, deben devolver los activos asignados para cumplimento de sus labores, a la terminación de la relación laboral, contrato o acuerdo, o cuando se den cambios que lo ameriten Protección del equipo informático Todo equipo informático e información contenida en éste deben ser protegidos en forma apropiada; incluyendo aquellos que operen de manera desatendida. Para prevenir la pérdida, daño o compromiso del equipo, lo cual puede interrumpir las actividades de la organización, éste debe ser protegido contra accesos no autorizados, modificaciones a su configuración, fallas de alimentación eléctrica; así como pérdidas o daños a la información Acceso a áreas peligrosas El acceso físico a áreas peligrosas debe estar controlado por medios de restricción robustos. El personal autorizado a ingresar a tales áreas, debe ser provisto con la información de los riesgos potenciales que involucran estas áreas. Controles adicionales pueden ser requeridos para ampliar el control a las áreas restringidas. Esto incluye controles para los funcionarios de la institución o de terceras partes que trabajen en áreas restringidas Seguridad perimetral Toda información sensitiva o procesos críticos de la organización deben disponerse en lugares seguros, protegidos por controles de entrada adecuados. Los controles deben estar en concordancia con los riesgos identificados de la información a proteger, deben estar claramente establecidos y orientados a crear perímetros de seguridad alrededor de los lugares donde se guarda la información o tienen lugar los procesos de información sensitiva para la institución. Cada barrera en el perímetro incrementa los niveles de seguridad total alrededor de la información a proteger. 2 El término propiedad se refiere a una persona o entidad que tiene la responsabilidad asignada y aprobada por la Dirección General, para controlar la producción, desarrollo, mantenimiento, uso y seguridad del activo asignado.

24 Código: POL-09 Versión:3 Página 24 de Controles a entradas físicas Las entradas físicas deben estar protegidas por controles de entrada apropiados, para permitir el acceso sólo a personal autorizado asegurar la información y los activos de TIC. Capítulo 6. Seguridad en las operaciones y comunicaciones 6.1. Procedimientos de operación Se debe documentar y mantener actualizados los procedimientos de operación. Éstos se deben mantener en un lugar de fácil acceso para los funcionarios autorizados a su uso Actualizaciones de seguridad Todas las actualizaciones de seguridad provistas por fabricantes de software en operación, equipos de trabajo para la atención de emergencias informáticas de centros oficiales y otros terceros debidamente acreditados, deben ser evaluadas por los custodios de información, a fin de determinar su aplicación y establecer prioridades, con el fin de asegurar la información. Adicionalmente debe cumplirse con un procedimiento estricto de gestión de cambios Comercio electrónico Se debe proteger la información involucrada en comercio electrónico, que se transmite a través de redes públicas, de cualquier actividad fraudulenta, disputa contractual, divulgación, modificación, no autorizada Transacciones en línea Se debe proteger la información involucrada en transacciones en línea, para evitar la transmisión incompleta, rutas equivocadas, alteración, divulgación, duplicación Administración de controles de acceso a la red El acceso a los recursos de la red debe ser estrictamente controlado para prevenir accesos no autorizados, por parte de funcionarios internos, como externos. Los accesos a sistemas de información, computadores y periféricos serán restringidos a menos que se autoricen explícitamente excepciones. En todo caso, los equipos o periféricos a conectar deben cumplir con los controles de seguridad establecidos por las áreas respectivas, cuyo fin es verificar el cumplimiento de los requisitos mínimos de seguridad que debe cumplir todos los equipos que se conecten a la red institucional.

25 Código: POL-09 Versión:3 Página 25 de Identificación del equipo en la red Se debe considerar la identificación del equipo en red, como un medio para administrar e identificar las conexiones desde equipos y ubicaciones específicas Protección del puerto de diagnóstico remoto Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración Segregación en redes Los servicios de información, usuarios y sistemas de información deben segregarse redes Control conexión en redes Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, en especial, en aquellas que se extienden a través de los límites de la Institución, en concordancia con el control de acceso Computación móvil y comunicaciones. Se debe establecer las medidas de seguridad apropiadas, para proteger contra los riesgos de utilizar medios de computación y comunicación móviles. Estas medidas deben incluir también la utilización segura y eficiente de redes inalámbricas Teletrabajo En caso de hacerse uso del teletrabajo por parte de funcionarios del Ministerio de Hacienda o usuarios externos con acceso a los sistemas de información de éste, se debe implementar en coordinación con la DGI las medidas de seguridad necesarias, de previo a que se adopte esta modalidad de trabajo, que incluyan directrices, planes operacionales y procedimientos. Capítulo 7. Control de acceso 7.1. Proceso de autorización para nuevos medios de almacenamiento de información Se debe definir e implementar un proceso de autorización para el uso y manejo de nuevos dispositivos de almacenamiento de información Control contra software malicioso Se debe implementar controles de detección, prevención y recuperación, para protegerse de código malicioso.

26 Código: POL-09 Versión:3 Página 26 de Control de dispositivos móviles Cuando se autoriza el uso de dispositivos móviles, se deben implementar procedimientos que garanticen la operación del mismo y no comprometan la operación de la Institución. Documentos relacionados: 7.4. Procedimientos de manejo de la información Se debe establecer procedimientos para el manejo y almacenamiento de la información, y protegerla de manipulación no autorizada Intercambio de información Se debe establecer procedimientos, controles para el intercambio de información y software a través del uso de los distintos medios de intercambio de información. En particular, se deben establecer acuerdos para el intercambio de información y software, entre la Institución y entidades externas Información disponible de forma pública Se debe proteger la integridad de la información de sistemas accesibles públicamente para evitar modificaciones no autorizadas Revocación de privilegios de acceso La DGI se reserva el derecho de revocar en cualquier momento, amparada en una causa justificada de compromiso de la seguridad y con previa comunicación, los accesos a recursos de tecnologías de información. En casos de urgencia justificada, se puede prescindir de la comunicación previa Administración de accesos de los usuarios El acceso a todo sistema debe estar autorizado por el propietario correspondiente y estos accesos, incluyendo los derechos de acceso o privilegios deben ser registrados en una lista de control de accesos. Tales registros deben ser considerados como documentos de alta confidencialidad Registro de usuarios Deben existir procedimientos formales para la inscripción y revocación de usuarios, a fin de otorgar o denegar acceso a los diferentes sistemas y servicios de información del Ministerio.

27 Código: POL-09 Versión:3 Página 27 de Gestión de privilegios Se debe asignar los derechos de acceso a los usuarios basados en las políticas de la Institución, bajo el principio de necesidad de saber o menor privilegio Revisión de derechos de acceso del usuario Los derechos de acceso asignados a los usuarios deben ser revisados de manera periódica mediante un procedimiento formal, para verificar su actualidad Acceso al ambiente de producción El acceso al ambiente de producción será autorizado por los propietarios de la información, solo a los usuarios funcionales. Se debe restringir el acceso del personal de soporte técnico a los sistemas de información Control de acceso a la administración de los sistemas operativos El acceso a la administración de los sistemas operativos debe ser limitado a los funcionarios que están autorizados para ejecutar funciones de administración del sistema. En el caso de los sistemas operativos bajo la custodia de la DGI, tales accesos deben realizarse con la aprobación específica de los responsables de las áreas de Operaciones y de Seguridad Informática; en otros casos la aprobación debe darla la jefatura inmediata correspondiente Administración de contraseñas La selección de contraseñas, su uso y administración como medio de control de acceso primario a los sistemas, debe apegarse a las mejores prácticas. En particular las contraseñas no deben ser compartidas con otra persona por ninguna razón. Se debe requerir que los usuarios sigan buenas prácticas de seguridad en la selección y uso de claves Monitorización de accesos Los accesos a los sistemas de información deben ser registrados y monitorizados para identificar potenciales usos inapropiados de sistemas e información Acceso a los archivos y documentos físicos El acceso a la información y documentos físicos debe ser cuidadosamente controlado, asegurándose de que solamente el personal autorizado pueda tener acceso a información sensitiva 3 Necesidad de saber: Principio para la definición de perfiles de usuario, según el cual, se debe de asignar los permisos estrictamente necesarios para acceder la información que resulta imprescindible en la realización de las labores asignadas.

28 Código: POL-09 Versión:3 Página 28 de Limitación del tiempo de uso de aplicaciones Se debe establecer restricciones sobre los tiempos de uso para proporcionar seguridad a las aplicaciones de alto riesgo Control al acceso remoto y de teletrabajo de usuarios Los procedimientos de control de acceso remoto y de teletrabajo deben proveer protecciones adecuadas a través de medios de identificación robusta, autenticación y técnicas de cifrado Detección de acceso no autorizado Cuando se detecta que hay acceso no autorizado a los sistemas de TIC, el personal del área Seguridad de Información de la DGI en coordinación con los responsables del sistema o áreas afectadas, deben tomar acciones inmediatas para interrumpir el acceso, e iniciar la recolección de evidencias de la situación detectada y presentar el informe al director de la dependencia correspondiente en el plazo de tres días hábiles Equipo de atención de problemas de seguridad de información Todos los problemas de seguridad de información deben ser manejados con la participación del personal interno de seguridad de información ó por consultores externos, equipos de atención de seguridad informática, u otros externos que han sido debidamente aprobados por el área de seguridad de información. Capítulo 8. Seguridad en implementación y mantenimiento de software e infraestructura tecnológica 8.1. Ambientes de prueba, desarrollo y producción Se debe separar los ambientes de prueba, desarrollo y producción, para reducir el riesgo de acceso o cambios no autorizados Acceso a las librerías de software Solamente funcionarios técnicos especializados y autorizados pueden acceder las librerías de programas fuentes y ejecutables entregados. Las actualizaciones necesarias solo podrán realizarlas el personal asignado, siguiendo una combinación de controles de acceso técnico y de procedimientos de operación robusta Especificación de requerimientos de seguridad Para cualquier sistema nuevo o mejora a sistemas existentes, deben incluirse requerimientos de seguridad.

29 Código: POL-09 Versión:3 Página 29 de Control de cambios de software y sistemas de información Debe establecerse un procedimiento de control formal para realizar cambios al software y a los sistemas de información. Todos los cambios realizados deben ser únicamente autorizados por el propietario de la información y probados antes de pasar al ambiente de producción. El procedimiento de control de cambios debe ser utilizado para cualquier modificación al software o sistema de información. Todos los cambios a estos últimos, así como configuraciones que afecten la seguridad y aplicación de actualizaciones, deben ser propiamente autorizados y probados antes de pasar al ambiente de producción Prueba de aplicaciones y sistemas críticos, después de la realización de cambios a los sistemas operativos Cuando se realizan cambios en los sistemas operativos, el responsable de la aplicación o sistema de información debe realizar las pruebas necesarias dar por escrito la aprobación de éstos, para que no exista un impacto adverso en la operatividad y seguridad de los datos Control de software en producción Se debe contar con procedimientos para controlar la instalación de software en los ambientes en producción Supervisión del desarrollo de software por terceros El desarrollo de software por parte de terceros debe ser supervisado y se le debe dar seguimiento por parte del Ministerio, para asegurarse del uso correcto de la metodología del desarrollo del software, del cumplimiento con los requisitos de seguridad y del cumplimiento de la relación contractual Control del inventario de software El inventario de software debe mantenerse actualizado a la fecha, de manera que se pueda identificar, entre otras cosas, la cantidad en existencia, ubicación física y el responsable del uso Control de versiones de software Debe utilizarse un procedimiento formal para controlar en forma comprensiva las versiones de los programas y sistemas operativos Desarrollo de software El software desarrollado por o para el Ministerio con recursos internos o mediante contratación externa debe seguir siempre un procedimiento formal de desarrollo, el cual es administrado desde el proyecto mismo. La integridad del código del software operacional de la institución debe ser protegida utilizando una combinación de

30 Código: POL-09 Versión:3 Página 30 de 36 controles de acceso técnico y de privilegios restrictivos. Adicionalmente, en el caso de contratación de servicios de consultaría externa, la administración debe garantizarse mediante la firma de un contrato de confidencialidad, la propiedad del código y protección de la información, así como protegerse del manejo y uso inadecuado que pueda dársele a ésta por parte de terceras personas no autorizadas Correcciones de emergencia al software El propietario de la información en conjunto con la administración de TI debe definir cuando una corrección es crítica y de aplicación urgente. Cualquier cambio o corrección al software debe seguir estrictamente el procedimiento de control de cambios Responsabilidad de cambios al sistema Todos los cambios propuestos al software deben ser convenidos y autorizados por el propietario de la información. Cualquier cambio es responsabilidad de éste Planificación del desarrollo de nuevos sistemas o aplicaciones Para el desarrollo de nuevos sistemas o aplicaciones se debe supervisar y adaptar el uso de recursos, así como tener proyecciones de los futuros requisitos para mejorar su capacidad de operación y su optimización Aceptación de sistemas o aplicaciones Se debe establecer criterios de aceptación, que incluyan los requisitos de seguridad, para sistemas de información nuevos, actualizaciones o nuevas versiones, y se deben llevar a cabo las pruebas adecuadas, durante el desarrollo y antes de su aceptación Acceso del personal técnico a los sistemas en producción El acceso a la funcionalidad de los sistemas en producción así como a sus bases de datos, a través de las aplicaciones propias de éstos u otro medio o herramienta informática, debe estar restringido y solamente ser autorizado por escrito por el dueño de la información. No se permite este tipo de acceso al personal técnico, entendiendo éste como desarrolladores, analistas de sistemas, programadores, personal de soporte, contrapartes, administradores del sistema, administradores de bases de datos, y en general a cualquiera cuya función no sea propiamente la de usuario funcional autorizado de los sistemas, aplicaciones y bases de datos en producción.

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Resolución N 00759 del 26 de febrero de 2008

Resolución N 00759 del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico IV Nivel 33 Grado 29 No.

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Política de Seguridad de la Información de la Universidad de Sevilla

Política de Seguridad de la Información de la Universidad de Sevilla Política de Seguridad de la Información de la Universidad de Sevilla 0. Aprobación y entrada en vigor Texto aprobado por Acuerdo del Consejo de Gobierno de fecha 26 de febrero de 2014. Esta Política de

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES Para la Asociación de Empresas Seguras - AES es muy importante proteger la información de nuestros asociados, afiliados, expertos, colaboradores

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Manual de Gestión de Calidad

Manual de Gestión de Calidad Manual de Gestión de Calidad MC: v2 Fecha: 26/12/2013 MANUAL DE GESTIÓN DE CALIDAD Revisión: 2 Indica modificaciones Vigencia : 26/12/2013 Copia no controlada La información contenida en este manual no

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

Resolución N 00759del 26 de febrero de 2008

Resolución N 00759del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico III Nivel 32 Grado 27 No.

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

4.21 SOx, Sarbanes-Oxley Act of 2002.

4.21 SOx, Sarbanes-Oxley Act of 2002. 4.21 SOx, Sarbanes-Oxley Act of 2002. Introducción. La Ley SOx nace en Estados Unidos con para supervisar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas

Más detalles

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá.

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. LA JUNTA DIRECTIVA DE LA AUTORIDAD DEL CANAL DE PANAMA CONSIDERANDO:

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN.

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN. REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN Generalidades CAPÍTULO I Del Objeto y Ámbito de Aplicación Artículo

Más detalles

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL DE PROCESOS OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 ENERO 2009 INDICE PÁGINA PORTADA 01 ÍNDICE 02 INTRODUCCIÓN 03 MANUAL DE PROCESOS

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles