ONGEI2016. Implementación del SGSI. Ing. CIP Miguel Del Carpio Wong Oficina Nacional de Gobierno Electrónico e Informática
|
|
- Sara Maidana Espejo
- hace 5 años
- Vistas:
Transcripción
1 Oficina Nacional de Gobierno Electrónico e Informática - ONGEI ONGEI2016 Ing. CIP Miguel Del Carpio Wong Oficina Nacional
2 Una Cadena es tan fuerte como el más débil de sus eslabones *** *** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: Ensayos en los Poderes Intelectuales del Hombre y John C. Maxwell, autor de LAS 17 LEYES INCUESTIONABLES DEL TRABAJO EN EQUIPO (2001) la menciona como la 5ta ley, La Ley de la cadena: La fortaleza del equipo se ve afectada por el eslabón más débil
3 Parte 1 : NORMATIVA Parte 2 : IMPLEMENTACIÓN
4 NORMATIVA
5 RM N PCM (Mayo 2012). Norma Anterior Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A) NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos. Quiénes? 71 Entidades. Y las demás? Sólo Cronograma Fase 1. Controles deben ser implementados de acuerdo a la NTP-ISO/IEC 17799:2007 (Agosto 2007 RM N PCM) NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la Seguridad de la Información. 2da. Edición Deja sin efecto la RM N PCM (Ponía fecha límite [31Dic2012] para implementar NTP-ISO/IEC 17799:2007)
6 Norma VIGENTE RM N PCM (Enero 2016). Aprueba uso obligatorio NTP-ISO/IEC 27001:2014. NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos. 2Da Edición. Quiénes? Todas las Entidades Integrantes del Sistema Nacional de Informática Presentar Cronograma: 60 días. Lo Han Presentado? Implementación y/o Adecuación : 2 años. Lo están trabajando? Definir bien el Alcance en base a los recursos. Actas, documentos, notas,... Pueden Certificar si lo desean con recursos propios. Es bueno?
7 Norma VIGENTE RM N PCM (Enero 2016). El Comité de Gestión de Seguridad de la Información Titular de Entidad, Administración, Planificación, Informática, Legal, Oficial de Seguridad de la Información. Deja sin efecto la RM N PCM.
8 IMPLEMENTACIÓN
9 NTP-ISO/IEC 27001:2014 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. Capítulo 05 : LIDERAZGO. Capítulo 06 : PLANIFICACIÓN. Capítulo 07 : SOPORTE. Capítulo 08 : OPERACIÓN. Capítulo 09 : EVALUACIÓN DE DESEMPEÑO. Capítulo 10 : MEJORAS. Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
10 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. Es comprender a la Organización y su contexto, tanto en los aspectos internos como externos. CONOCER A LA ENTIDAD: Misión, Visión, Matriz FODA y las Estrategias (Sec. 4.1). (Un Auditor leerá el documento y se enterá de la Entidad). Los objetivos de la Seguridad de la Información deben alinearse con los Objetivos Estratégicos. Es comprender las necesidad y expectativas de las partes interesadas: (Plan-Do-Check-Act) al SGSI. Es parte de la mejora continua (Sec. 4.4). Veámos un ejemplo: Determinar el ALCANCE (Sec. 4.3).
11 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. ALCANCE Sección Requerimiento de la ISO/IEC 27001: Determinar el alcance del sistema de gestión de seguridad de la información. La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para establecer su alcance. Estado CONFORME Evidencia: Cómo lo cumple? El Sistema de Gestión de Seguridad de la Información aplica a los siguientes procesos: (Ejemplos reales) MIDIS Los sistemas de información que sustentan los procesos de negocio para la provisión del servicio de Data Center. OSIPTEL El sistema de gestión de seguridad de la información para la Regulación del Mercado de Telecomunicaciones mediante los procesos de emisión de normas, regulación, solución de controversias, solución de reclamos de usuarios, supervisión, fiscalización y sanción. Atención y orientación a usuarios desde sus oficinas de San Borja y San Isidro en Lima, según la declaración de aplicabilidad vigente.
12 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. ALCANCE (si se desea certificar, también tener el alcance en inglés, la auditora lo pedirá.) Qué hacer? Definir bien el alcance (procesos o sub procesos). Puede ser cambiado siempre y cuando existan las actas de reunión del comité y por qué se cambió. Cómo? Preguntarse: Por qué implementas el SGSI? Qué área debe ser cubierta por el SGSI? NO definir un Alcance MUY AMPLIO, pues tu análisis de riesgos será mayor y puedes demorar mucho: presupuesto, tiempo,... Se debe comprender los problemas externos e internos de la Entidad. Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA ENTIDAD GUBERNAMENTAL.
13 Capítulo 05 : LIDERAZGO. Sabemos que el Comité de Seguridad de la Información debe estar formado por el Titular de la Entidad. Si se tiene al Titular de la Entidad comprometido, entonces la tarea de implementar un SGSI y CERTIFICAR será mucho más fácil. El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para los roles relevantes a la Seguridad de la Información estén asignadas y comunicadas. Por lo tanto, es necesario establecer: Una Política de Seguridad de la Información, y Los Objetivos de Seguridad de la Información.
14 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Sección 5.2 Política. Requerimiento de la ISO/IEC 27001:2013 Estado CONFORME Evidencia: Cómo lo cumple? Existe la Política de Seguridad de la Información y se ha evidenciado que está acorde al propósito de la organización, incluye objetivos de Seguridad de la Información (Sección 6.2) y está disponible y comunicada a toda la organización. Además que ha sido aprobada por una Resolución de Alcaldía. (Directoral, Ministerial,...) La política de seguridad de la información debe: f)estar comunicada dentro de la organización; CONFORME Se ha evidenciado que la Política de Seguridad de la Información ha sido comunicada a toda la Organización vía correo electrónico. Así mismo está publicado en la Intranet. Además existen los cargos de los documentos que han sido envíada a cada dependencia de la organización.
15 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Qué hacer? Hacer la Política de Seguridad de la Información. Cómo? Modelos hay varios y usarlos sólo como referencia. Incluir al menos: Marco legal, Objetivos, Políticas, Definiciones, Responsabilidades, Sanciones por incumplimiento. IMPORTANTE respecto al documento: Elaborado por, Revisado por, Aprobado por, CARGO y NOMBRE. Versión, Fecha exacta.
16 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Sabemos que los usuarios, muchas veces no cumplen las políticas. Podría incluirse como parte de las sanciones por incumplimiento lo siguiente o vía alguna comunicación de la Alta Dirección: La Entidad se reserva el derecho de tomar medidas disciplinarias del personal que incumpla con los dispuesto en la Política de Seguridad de la Información conforme a las disposiciones señaladas en los documentos normativos de la institución, sin prejuicio de las acciones civiles y/o penales que pudieran corresponder.
17 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades... Sección Requerimiento de la ISO/IEC 27001:2013 Estado Valoración del riesgo de seguridad de la información. La organización debe definir y aplicar un proceso de valoración del riesgo de seguridad de la información que: CONFORME Evidencia: Cómo lo cumple? Se tiene un procedimiento para la Gestión de Riesgos de Seguridad de la Información. c) identifique los riesgos de seguridad de la información: 1)Aplicando el proceso de valoración de riesgos de seguridad de la información para identificar riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad para la información dentro del alcance del sistema de gestión de seguridad de la información. CONFORME Se cuenta con una metodología de Gestión de Riesgos de Seguridad de la Información y está en conjunto con el Manual de Gestión de Seguridad de la Información.
18 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades Valoración del riesgo de seguridad de la información. Qué hacer? Procedimiento para la gestión de riesgos de seguridad de la información. Cómo? Elegir tu metodología de gestión de riesgos, Usa ISO 31000, Usa ISO 27002, Usa ITIL, COBIT, COSO, Usa MAGERIT (española 3 libros)
19 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades Valoración del riesgo de seguridad de la información. Consideraciones Identificar los riesgos de seguridad de la información: Aplicar el proceso de valoración de riesgos: MATRIZ DE CALOR. Se debe hacer un Inventario de Activos y considerar la valoración para la Confidencialidad, Integridad, Disponibilidad, lo cual da origen a la Matriz de Calor. Identificar a los propietarios de los riesgos y obtener su aprobación para tratar los riesgos. Analizar los riesgos de seguridad de la información. Establecer la Declaración de Aplicabilidad. Determinar todos los controles necesarios. Formular un plan de tratamiento de riesgos.
20 De la misma manera trabajarlo para los siguientes capítulos: Capítulo 07 : SOPORTE. Capítulo 08 : OPERACIÓN. Capítulo 09 : EVALUACIÓN DE DESEMPEÑO. Capítulo 10 : MEJORAS.
21 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.9 Control de acceso A.9.1 Requisitos de la empresa para el control de acceso. Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información Sección Control del Anexo A de la ISO/IEC 27001:2013 Estado Evidencia: Cómo se ha implementado? A Acceso a redes y servicios de red. Control: Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido específicamente autorizados a usar. IMPLEMENTADO El acceso a los servidores se realiza mediante los perfiles establecidos. El acceso a Internet es sólo para los usuarios institucionales, además que la red se encuentra segmentada y el acceso inalámbrico a Internet para los invitados está en una red aislada. También se dispone de una política de contraseñas.
22 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.9 Control de acceso A.9.4 Control de acceso a sistema y aplicación. Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones. Sección Control del Anexo A de la ISO/IEC 27001:2013 Estado Evidencia: Cómo se ha implementado? A Control de acceso al código fuente de los programas. Para el alcance establecido no hay Desarrollo de Software. Control: El acceso al código fuente de los programas debe ser restringido. NO APLICA
23 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.6 Organización de la seguridad de la información A.6.1 Organización interna. Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Sección A Control del Anexo A de la ISO/IEC 27001:2013 Contacto con las autoridades. Control: Contactos con autoridades relevantes deben ser mantenidos. Estado IMPLEMENTADO Evidencia: Cómo se ha implementado? Se cuenta con una lista para establecer contacto rápido con las partes involucradas y se evidencia que se ha comunicado a todos.
24 Sección Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.6 Organización de la seguridad de la información A.6.1 Organización interna. Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. A Control del Anexo A de la ISO/IEC 27001:2013 Segregación de funciones. Control: Las funciones y áreas de responsabilidad en conflicto deben ser segregadas para reducir oportunidades de modificación no autorizada o no intencional o mal uso de los activos de la organización Estado IMPLE- MENTADO Evidencia: Cómo se ha implementado? La Entidad dispone de un Manual de Organización y Funciones (MOF) en el cual está definido los cargos. También se cuenta con los Contratos Administrativos de Servicios (CAS) de aquellos trabajadores que brindan servicios bajo dicha modalidad, en donde se definen las responsabilidades de los mismos.
25 ISO Estándar Internacional usada como: GUÍA PARA LA IMPLANTACIÓN DE UN SGSI
26 Muchas Gracias...!!! Anexo
EXPERIENCIA DE IMPLEMENTACION DE LA NTP ISO/IEC 27001:2014. Ing. CIP Maurice Frayssinet Delgado
EXPERIENCIA DE IMPLEMENTACION DE LA NTP ISO/IEC 27001:2014 Ing. CIP Maurice Frayssinet Delgado FACTORES CRÍTICOS DE ÉXITO FACTORES CRÍTICOS DE ÉXITO Compromiso de la alta dirección RM 004-2016-PCM FACTORES
Más detallesTécnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014
Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso de Técnico Profesional en Sistema
Más detallesPropuesta de Integración del Plan Estratégico de Gobierno Electrónico - PEGE y Plan Estratégico de Tecnologías de la Información PETI
Propuesta de Integración del Plan Estratégico de Gobierno Electrónico - PEGE y Plan Estratégico de Tecnologías de la Información PETI Propuesta ONGEI (Versión 1.0) Perú, Lima martes, 24 de enero de 2017
Más detallesImplementación de un Sistema de Gestión de Seguridad de la Información
Implementación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2013 Gianncarlo Gómez Morales Oficial de Seguridad de la Información y Protección de Datos Personales Qué es el OSIPTEL?
Más detallesTécnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)
Fecha de exportación: Wed Oct 25 21:18:36 2017 / +0000 GMT Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas) Categoría: Prevención de Riesgos Laborales,
Más detallesSEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS
SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS Ing. Víctor Arturo Simich 01/02/2013 Agenda Los Gobiernos frente a la revolución de la información. Retos en la Gestión de la Seguridad de alineada a la
Más detallesImplementación de Sistema de Gestión de Seguridad de la Información (SGSI) 20 de Septiembre 2016
Implementación de Sistema de Gestión de Seguridad de la Información (SGSI) 20 de Septiembre 2016 Qué es un SGSI? Modelo de gestión que sirve para mejorar de forma continua la calidad de la seguridad de
Más detallesLINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: D-02 Versión: 00 Fecha de la versión: 02/01/2017 Creado por: Aprobado por: Responsable del Sistema Gerencia Historial
Más detallesLima, C2 ~a. ' fc. '( 2(1.
SE APRUEBA DIRECTIVA "NORMAS PARA LA ADMINISTRACiÓN Y LEGALIDAD DEL SOFTWARE EN E MINISTERIO DEL INTERIOR". W O}}-2C Lima, C2 ~a. ' fc. '( 2(1. VISTO, el expediente administrativo relacionado con el proyecto
Más detallesPostgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014
Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso Online de Postgrado
Más detallesMATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS
MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS No. COMPONENTE AMBIENTE DE CONTROL EVALUACIÓN DE RIESGOS Valor Añadido 5 8 Norma Valor NORMA ASOCIADA No. Desagregado DOCUMENTO. Integridad y valores éticos.
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Fecha de exportación: Fri Nov 3 13:58:49 2017 / +0000 GMT Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación Empresarial, Marketing y Recursos Humanos Página del curso:
Más detallesNorma Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero
Norma 27001 Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero Introducción ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe
Más detallesPlan Estratégico de Gobierno Electrónico - PEGE
Plan Estratégico de Gobierno Electrónico - PEGE (Versión 1.0) Perú, Lima jueves, 2 de marzo de 2017 Página 1 Sistema Nacional de Informática Perú, Lima jueves, 2 de marzo de 2017 Página 2 Sistema Nacional
Más detallesCharla de Preparación para la Pre-Auditoría del SGSI
Uso Interno Sistema de Gestión de Seguridad de la Información Basado en la NTP-ISO/IEC 17799: 2007 EDI y NTP-ISO/IEC 27001: 2008 EDI Charla de Preparación para la Pre-Auditoría del SGSI Agosto 2014 Uso
Más detallesTALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio
TALLER 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC 27001 Seguridad de la Información orientada al Negocio Introducción OBJETIVO Los principales estándares relacionados al gobierno en el tratamiento
Más detallesEvaluar el estado del Sistema de Control Interno de acuerdo con las características propias de la entidad.
INFORME CUATRIMESTRAL SOBRE EL SISTEMA DE CONTROL INTERNO MODELO INTEGRAL DE PLANEACION Y GESTION MIPG. PERÍODO MARZO 2018 JUNIO 2018 AGUAS DE MALAMBO S.A E.S. P 1. Estructuración gobierno del MIPG: En
Más detallesANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]
ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J] A continuación se presenta la ISO/IEC 27001:2005 [J] a manera de resumen con el objetivo de entender el alcance y contenido de la misma y comprender
Más detallesLISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015
LISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015 Este documento es una guía para darle una indicación de su preparación para la auditoría según la norma ISO 14001: 2015. Puede ser útil usar
Más detallesIMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008
IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008 Implementa.- Lic. Jose Jesus Martinez Perez Representante de la Dirección ante el SGC Villahermosa Merida
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03
DE SEGURIDAD DE LA INFORMACIÓN 21 de diciembre de 2015 POL-01-03 INDICE 1. Antecedentes... 2 2. Objeto... 2 3. Contexto del Desarrollo del SGSI en ZERTIFIKA... 2 4. Partes Interesadas, sus necesidades
Más detallesPATRICIA LOPEZ. Responsable de Auditoría Informática. Centro de Gestión de Incidentes Informáticos CGII.
PATRICIA LOPEZ Responsable de Auditoría Informática Centro de Gestión de Incidentes Informáticos CGII plopez@agetic.gob.bo Algunas Definiciones Seguridad de la Información. La seguridad de la información
Más detallesRESOLUCIÓN JEFATURAL N J/ONPE
Año del Buen Servicio al Ciudadano Lima, RESOLUCIÓN JEFATURAL N -2017-J/ONPE VISTOS: El Acta N 000001-2017-CGSI del Comité de Gestión de Seguridad de la Información, los Informes N 000032, N 000036 y N
Más detallesAUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA
AUDITORIA EN SISTEMAS NORMA 27000 DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR GRUPO 30104 Bogotá, 07 de Octubre de 2013 NORMA 27000 Qué
Más detallesBuenas Prácticas en Seguridad de la Información. Expositores
Buenas Prácticas en Seguridad de la Información Expositores ÍNDICE Buenas Prácticas en Seguridad de la Información Objetivo Productos Cronograma Como seguimos Contacto BUENAS PRÁCTICAS en SEGURIDAD de
Más detallesPrincipales Aspectos de las Políticas y la Normativa de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información Proyecto de Sensibilización y Capacitación Enero 2012 FUENTES Documentos:
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN APIUX TECNOLOGÍA SPA
Página 1 de 8 POLÍTICA DE DE LA INFORMACIÓN APIUX TECNOLOGÍA SPA Aprobado Página 2 de 8 1. OBJETIVO Establecer directrices que determinen un uso adecuado de los activos de información, en las actividades
Más detallesResumen Ejecutivo. Generar ahorros a través de mejores prácticas ambientales
Resumen Ejecutivo Contenido Introducción... 2 ISO 14001 versión 2015... 2 Esquema de la nueva versión... 3 Índice de la versión 2015... 4 Matriz de correlación 2004 vs. 2015... 5 Cambios estructurales...
Más detallesCÓMO DOCUMENTAR ISO 9001: Ing. Marcelo Rosero Aguirre
CÓMO DOCUMENTAR ISO 9001: 2015 Ing. Marcelo Rosero Aguirre mrosero@calidadtotal.org CAMBIO MAYOR... un esquema renovado de 10 cláusulas que cubren todo sistema de gestión. El anexo SL es una abreviación
Más detallesNombre del documento: Procedimiento para la realización de Auditorias Internas Referencia a las Normas: ISO 9001: ISO 14001:
Página 1 de 7 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad
Más detallesPlan Director de Seguridad de la Información
Plan Director de Seguridad de la Información Presentado por: José Consuegra del Pino Tutor: Arsenio Tortajada Gallego Máster Interuniversitario en Seguridad de las Tecnologías de la Información y la Comunicación
Más detallesENACERO COCINA EN GRANDE Manual de Calidad MC [Q] 001-0/ /001. Manual de Calidad
Manual de Calidad Copia # 01 Calle 70 C No. 56 B 50 Teléfono: 5498193 Bogotá, Colombia Celular: 300 291 10 62 E-mail: enacero5606@hotmail.com Aprobado: 10 de octubre del 2016 Página 1 de 17 Lista de Datos
Más detallesdei 20,1,5 'í5 1. avlí a S. MINISTERIO DE SALUD
MINISTERIO DE SALUD?,k,_1CA DES 'í5 No - 201 Ski idsn dei 20,1,5 Visto, el Expediente N 14-066417-001 que contiene el Informe N' 002-2015-0GE1-01T- OFISEG/MINSA de la Oficina General de Estadística e Informática
Más detallesDepartamento de Informática. DI-PO Política de Clasificación de la Información
Departamento de Informática DI-PO-04-2014 Política de Clasificación de la Información Fecha de envío: Enero, 2014 Página: 2 de 8 Política de Clasificación de la Información... 3 1. Objetivo... 3 2. Alcance...
Más detallesISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano
ISO/IEC 27001 Gestión de la seguridad de la información Ing. Marco Antonio Paredes Poblano Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información
Más detallesLA GUÍA DE IMPLANTACIÓN DE LA NORMA ISO RESPECTO AL PMBOK
06 de julio del 2013 EVALUACIÓN DEL CAPÍTULO DE GESTIÓN DE LOS INTERESADOS (Stakeholders) DE LA GUÍA DE IMPLANTACIÓN DE LA NORMA ISO 21500 RESPECTO AL PMBOK quinta edición. EVALUACION GENERAL La base de
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, CRISC, CDPP, Lead Auditor, QSA Fecha: 21 Diciembre 2011
Más detallesNombre del documento: Procedimiento para Auditoría Interna. Referencia a la Norma ISO 9001:2008 ISO 14001:
Página 1 de 7 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad
Más detallesMANUAL DEL PROCESO GESTIÓN DE SEGURIDAD INFORMÁTICA
DEL PROCESO GESTIÓN DE SEGURIDAD INFORMÁTICA Versión 1.0 Noviembre, 2017 2 IDENTIFICACIÓN Y TRAZABILIDAD DEL DOCUMENTO Proceso Nivel 0: Gestión de Tecnologías de Información y Comunicación (TIC) Proceso
Más detallesCuestión 2 del Revisión del estado de implantación en los Estados CAR/SAM de un Sistema de Gestión de Calidad en el AIM
QM/TF/3-NE/03 Organización de Aviación Civil Internacional 04/06/07 GRUPO REGIONAL DE PLANIFICACIÓN Y EJECUCIÓN CAR/SAM (GREPECAS) Subgrupo de Gestión de Información Aeronáutica Tercera Reunión del Grupo
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 14 Marzo 2011 ÍNDICE S21Sec, Servicios
Más detallesSOLICITUD DE INFORMACIÓN PARA LA ELABORACION DEL ESTUDIO DE MERCADO
SOLICITUD DE INFORMACIÓN PARA LA ELABORACION DEL ESTUDIO DE MERCADO El Servicio Nacional de Aprendizaje SENA, de conformidad con los principios de transparencia para la contratación, convoca públicamente
Más detallesSENSIBILIZACIÓN DEL SISTEMA DE CONTROL INTERNO. Expositores:
SENSIBILIZACIÓN DEL SISTEMA DE CONTROL INTERNO Expositores: CPC. MIGUEL ÁNGEL AQUINO LIMA CPC. SILVIO WILDER ACUÑA JARA Órgano ANTECEDENTES En los últimos tiempos, a causa de numerosos problemas que se
Más detallesCONTROL Y ACTUALIZACIÓN DE DOCUMENTOS
Página 1 de 14 www.upch.edu.pe Actualización Revisión: Aprobación: Dr. Juan Carlos Quispe Cuba Jefe de Unidad de Gestión de Calidad y Gestión de Egresados Dra. María Paola Lucía Llosa Isenrich Decana Consejo
Más detallesVentajas de un Modelo de Madurez en Ciberseguridad
Ventajas de un Modelo de Madurez en Ciberseguridad César Rodríguez Bravo, MSc Cybersecurity Program Manager - IBM Profesor/Tutor Maestría en Ciberseguridad Cenfotec IBM Certified Expert Project Manager
Más detallesSIJISA S.A. DE C.V. SI08 Política de seguridad a TI Los requisitos de la norma ISO 27001:2013
SI08 Política de seguridad a TI Los requisitos de la norma ISO 27001:2013 Documento Ref.: SI08 Política de seguridad TI Versión: 1 Fecha de la versión: 15/may/2017 Autor: Raúl Torres. Aprobado por: José
Más detallesDiplomado en Seguridad y Salud en el Trabajo con ISO 45001
Diplomado en Seguridad y Salud en el Trabajo con ISO 45001 Objetivos 1. Proporcionar los conocimientos para implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo (SST), basado en la nueva
Más detallesPROCEDIMIENTO AUDITORIAS INTERNAS
Página 1 de 7 1. OBJETIVO Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad
Más detallesCasos Prác*cos de Auditoría y Seguridad Informá*ca
Jornadas sobre Supervisión electrónica y Tecnología Casos Prác*cos de Auditoría y Seguridad Informá*ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 17 de
Más detalles18 POLITICAS DE SEGURIDAD PARA LA ADQUISICIÓN, MANTENIMIENTO Y DESARROLLO DE SISTEMAS DE INFORMACIÓN
LOTERÍA NACIONAL PARA LA ASISTENCIA PUBLICA DIRECCIÓN GENERAL MANUAL DE SEGURIDAD DE LA INFORMACIÓN POLITICAS DE SEGURIDAD DE LA INFORMACIÓN 14-08-2008 Página 1 de 5 18 POLITICAS DE SEGURIDAD PARA LA ADQUISICIÓN,
Más detallesTodos los derechos reservados
REFLEXION! Cuando no hay suficiente claridad sobre los Riesgos QUEDAMOS EN MANOS DEL AZAR AVISO IMPORTANTE La presente información fue elaborada por Restrepo Oramas SAS con propósitos exclusivamente académicos,
Más detallesRESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº SERVIR-OAF
RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº 026-2011-SERVIR-OAF Lima, 01 de Julio de 2011 VISTO, El Informe Nº 037-2011/SERVIR-OAF-TI, de 01 julio del 2011, elaborado por el Especialista en
Más detallesINFORME FINAL DE AUDITORÍA
INFORME FINAL DE AUDITORÍA Auditoría interna del 27 29 de Octubre del 2015 No: 001/2015 Fecha: 30 / Octubre / 2015. Página 1 de 8 Durante los días del 27 al 29 de Octubre del 2015 se llevó a cabo la Primer
Más detallesSISTEMA INTEGRADO DE GESTIÓN -SSYMA-
Página 1 de 9 1. OBJETIVO Establecer los lineamientos de acción que eliminarán o minimizarán las causas de las no conformidades existentes, no conformidades potenciales y optimizarán el aprovechamiento
Más detallesProcedimiento para Auditoría Interna Código: ITLP-CA-PG-003 Revisión:9 Referencia a la Norma ISO 9001: Página 1 de 8
Referencia a la Norma ISO 9001:2008 8.2.2 Página 1 de 8 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación,
Más detallesSERVICIOS INTEGRALES DE ASESORIA.
SERVICIOS INTEGRALES DE ASESORIA. Boletín: Introducción a los cambios de ISO-9001:2015. o Cambios a la Norma. o Como te afectan o Que necesitas hacer La Norma ISO 9001 de Sistemas de Gestión de Calidad
Más detallesSISTEMA INTEGRADO DE GESTIÓN -SSYMA-
Página 1 de 9 1. OBJETIVO Establecer los lineamientos de acción que eliminarán o minimizarán las causas de las no conformidades existentes, no conformidades potenciales y optimizarán el aprovechamiento
Más detallesNombre del documento: Procedimiento para Auditoría Interna. Referencia a la Norma ISO 9001:
Página 1 de 7 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad
Más detallesObjetivo. Política de Seguridad con Proveedores
Objetivo Describir los lineamientos que ASIC debe adoptar para asegurar la protección de los activos de la organización que sean accesibles a los proveedores, así como mantener el nivel acordado de seguridad
Más detallesLEY 1474 DE 2011 INFORME PORMENORIZADO - OFICINA DE CONTROL INTERNO Y GESTION OCIG PERIODO EVALUADO: NOVIEMBRE 2017 FEBRERO
LEY 1474 DE 2011 INFORME PORMENORIZADO - OFICINA DE CONTROL INTERNO Y GESTION OCIG PERIODO EVALUADO: NOVIEMBRE 2017 FEBRERO 2018 Piedad Roa Carrero- Jefe de la oficina de Control Interno y Gestión En cumplimiento
Más detallesNombre del documento: Procedimiento para auditoría interna
Página 1 de 6 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad
Más detallesApéndice 3 (Normativo) Estructura de alto nivel, texto esencial idéntico, términos y definiciones esenciales comunes
Apéndice 3 (Normativo) Estructura de alto nivel, texto esencial idéntico, términos y definiciones esenciales comunes NOTA En las propuestas de texto idéntico, XXX designa un calificador de Norma de Sistemas
Más detallesNombre del documento: Procedimiento para Auditoría Interna
Referencia a la Norma ISO 9001:2008 8.2.2 Página 1 de 7 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación,
Más detallesOTROS MODELOS DE CONTROL INTERNO
UNIDAD DE CONTROL INTERNO Área de investigación y Capacitación OTROS MODELOS DE CONTROL INTERNO Recopilado por: Lic. Luis E. Guzmán Gutiérrez, CPA MODELO COCO (Criteria of control board) Publicado por
Más detallesProcedimiento para: Auditoria Interna
Código: SIG-IN-P-14 Página: 1 de 9 1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento
Más detallesGestión de la seguridad y Salud Ocupacional OHSAS 18001:2007 vrs ISO 45001:2017. Leonel de la Roca Phd
Gestión de la seguridad y Salud Ocupacional OHSAS 18001:2007 vrs ISO 45001:2017 Leonel de la Roca Phd Quito, Ecuador 13 de Octubre de 2017 Orden del Día Antecedentes Objetivo primordial de la Norma Definiciones
Más detallesTECNOLÓGICO NACIONAL DE MÉXICO
1. Propósito Establecer los lineamientos para dirigir la planificación y realización de las Auditorías Internas que permitan verificar la implantación, operación, mantenimiento y conformidad de los sistemas
Más detalles5. RESPONSABILIDAD DE LA DIRECCIÓN
Revisado por: CCPMC Aprobado por: Gerente General Revisión: 10 Página 1 de 5 5.1 Compromiso de la Alta Gerencia: La alta Gerencia de la ADMINISTRACIÓN DE LA ZONA LIBRE DE COLÓN está comprometida con la
Más detallesUnidad de Calidad y Tecnologías de Información
Definición de ISO. "IOS" en inglés, "OIN" en francés. Palabra derivada del griego iso que significa "igual". Organización Internacional para la Estandarización, fundada en Londres en el año de 1946, tiene
Más detallesSistema de Gestión de la Calidad ISO 9001:2015
Catálogo de cursos 2016-2017 Sistema de Gestión de la Calidad ISO 9001:2015 OBJETIVOS Al realizar este curso, el alumno adquirirá las siguientes habilidades y conocimientos:. Manejar los conceptos básicos
Más detallesAnexo 2. Plan de Implementación del SGC para BDV, S.A., basado en la Norma ISO 9001:2015
FASE 1. DIAGNÓSTICO DEL SGC 1 Aprobar realización de diagnóstico de la organización. 2 Realizar diagnóstico (aplicando herramienta). Herramienta de Diagnóstico. Herramienta y resultado de Diagnóstico.
Más detallesCOPIA IMPRESA NO CONTROLADA RESPONSABILIDAD DE LA DIRECCIÓN
RESPONSABILIDAD DE LA DIRECCIÓN 1 de 10 5. RESPONSABILIDAD DE LA DIRECCIÓN 5.1. Compromiso de la Dirección El Comité de Calidad (Director General, Directores de Área y Directores de Plantel) del CECyTE
Más detallesSistemas de gestión de calidad Requisitos
NORMA INTERNACIONAL ISO 9001:2008 (traducción oficial) Sistemas de gestión de calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para
Más detallesDirección y Gerencia
Sistema de Gestión de Seguridad de la Información (SGSI) Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información DIRIGIDA A : Dirección y Gerencia Segunda Sesión Proyecto de
Más detallesISO 45001:2018 SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL
ISO 45001:2018 SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL Advanced Learning Center. Avenida Insurgentes Sur 859, piso 2. Colonia Napoles. CP. 03810 www.alearningcenter.com / capacitacion@alearningcenter.com
Más detallesGESTION DE PROYECTOS INFORMATICOS
CODIGO: OET-INF-001-05 VERSION: PRIMERA AREA: OFICINA DE ESTADISTICA Y TELEMATICA AREA DE INFORMATICA TITULO: GESTION DE PROYECTOS INFORMATICOS RUBRO NOMBRE FIRMA FECHA Formulado por: Equipo de Elaboración
Más detallesVII FORO DE PREVENCIÓN
VII FORO DE PREVENCIÓN De OHSAS 18001 a ISO 45001: Los Sistemas de Gestión de la Prevención como elemento de mejora Paulino Morán Fernández 2016-03-22 1 Cultura Preventiva https://www.youtube.com/watch?v=1htuy1ei4qu#t=12
Más detallesPolítica de Seguridad de la Información de ACEPTA. Pública
Política de Seguridad de la de ACEPTA Pública RESPONSABLES ELABORADO POR: REVISADO POR: APROBADO POR: Gerencia de Certificación y seguridad -Comité de Seguridad -Gerente General HISTORIAL DE CAMBIOS Nombre
Más detallesACCIÓN FORMATIVA UNE-EN ISO 9001:2015 UNE-EN ISO 14001:2015
ACCIÓN FORMATIVA UNE-EN ISO 9001:2015 UNE-EN ISO 14001:2015 QUÉ SIGNIFICA UNE-EN ISO 9001:2015? UNE: Una norma Española EN: Norma Europea ISO: International Organization for Standardization (Organización
Más detallesPlanificación estratégica de tecnología de información el primer paso para la atención integral del riesgo tecnológico en las organizaciones
Planificación estratégica de tecnología de información el primer paso para la atención integral del riesgo tecnológico en las organizaciones Freddy Ramírez Mora ramirezmf@gmail.com info@scriesgo.com Agenda
Más detallesCENTRO NACIONAL DE REGISTROS SISTEMA DE GESTIÓN ESTRATÉGICA Y DE LA CALIDAD. Guía Técnica para el funcionamiento de los Equipos de Mejora
- Resolver problemas que requieran un estudio exhaustivo para definir una solución definitiva. - Realizar innovaciones a los procesos, productos y servicios, aprovechando oportunidades existentes. Por
Más detallesIng. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz
Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz Lidia Romero Ramos ALCANCE E IMPORTANCIA DEL GOBIERNO DE
Más detallesPolítica del Sistema de Gestión del Servicio Requisitos Generales del SGS
Política del Sistema de Gestión del Servicio Requisitos Generales del SGS Vicerrectorado de Tecnologías de la Información e Innovación Digital SISTEMA DE GESTIÓN DEL SERVICIO (SGS) Título Nombre del Fichero
Más detallesDr. Leonardo Rojas Mezarina REGISTRO NACIONAL DE HISTORIAS CLÍNICAS ELECTRÓNICAS
Dr. Leonardo Rojas Mezarina REGISTRO NACIONAL DE HISTORIAS CLÍNICAS ELECTRÓNICAS INDICE BASE LEGAL Constitución Política del Perú Ley N 26842 Ley General de La Salud Ley Nº 30024 Ley que crea el Registro
Más detallesDiseño del Servicio Transición del Servicio
Fases de ITIL Diseño del Servicio Transición del Servicio Diseño del Servicio: Diseño de Servicio es una etapa en general del ciclo de vida del servicio y un elemento importante en el proceso de cambio
Más detallesEVALUACION DEL SISTEMA DE CONTROL DE LA UNIVERSIDAD POPULAR DEL CESAR VIGENCIA 2015
EVALUACION DEL SISTEMA DE CONTROL DE LA UNIVERSIDAD POPULAR DEL CESAR VIGENCIA 2015 INTRODUCION: El presente informe de Control Interno se hace con base a la información diligenciada a través del aplicativo
Más detallesPlan Estratégico de Seguridad y Privacidad de la Información
GIDT-PTI Plan Estratégico de Seguridad y Privacidad de la Información Grupo Funcional de Seguridad Información UNAD 2/02/2018 1 INTRODUCCIÓN Con el fin de garantizar el manejo eficaz de la información
Más detallesEsquema Nacional de Seguridad 15/12/2011
Página 1 Esquema Nacional de Seguridad 15/12/2011 Gemma Déler PMP, CISA, ITIL Director Adjunto Unidad Tecnologías de la Información APPLUS NORCONTROL gemma.deler@applus.com Página 2 Quiénes somos? Multinacional
Más detallesDIPLOMADO EN seguridad y auditoría de tecnologías de la información DURACIÓN 5 MESES.
DIPLOMADO EN seguridad y auditoría de tecnologías de la información DURACIÓN 5 MESES www.utepsa.edu GENERALIDADES OBJETIVO GENERAL Dotar al estudiante de conocimientos, habilidades y destrezas destinadas
Más detallesSello de Calidad. Perú, calidad que deja huella
Sello de Calidad SELLOS DE CALIDAD (Marcas de Conformidad) (Utilizando la Infraestructura de la Calidad) Porqué certificar los productos y servicios? Proveedores Consumidores Autoridades reguladoras distinguir
Más detallesDISEÑO DE CONTROLES DE APLICACIÓN GENERALES EN LA IMPLEMENTACIÓN DE SISTEMAS DE INFORMACIÓN"
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL TESIS DE GRADO DISEÑO DE CONTROLES DE APLICACIÓN GENERALES EN LA IMPLEMENTACIÓN DE SISTEMAS DE INFORMACIÓN" Presentada por: Adriana E. Salvador Guncay LOS SISTEMAS
Más detallesPROYECTO Plan para la implementación de un SGSI Basado en ISO 27001: 2013 Presentación de resultados. Sandra Murillo Guacas Diciembre 2015
PROYECTO Plan para la implementación de un SGSI Basado en ISO 27001: 2013 Presentación de resultados Diciembre 2015 1. Resumen 2. Alcance del Sistema 3. Objetivos 4. Justificación 5. Plan de Seguridad
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Más detalles1 OBJETIVO ALCANCE... 3
Tabla de Contenidos 1 OBJETIVO... 3 2 ALCANCE... 3 3 PLAN DE MANTENIMIENTO DEL PETI... 3 3.1 FACTORES CRÍTICOS DE ÉXITO... 3 3.2 PROCESO PROPUESTO PARA EL MANTENIMIENTO DEL PETI... 4 3.2.1 Propósito...
Más detallesMaster en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD)
Master en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD) Duración: 150 horas Modalidad: Online Coste Bonificable: 1350 Objetivos del curso La implantación de las previsiones contenidas
Más detallesDIPLOMADO ISO 9001:2015 EN LA INDUSTRIA DE LA CONSTRUCCION
DIPLOMADO ISO 9001:2015 EN LA INDUSTRIA DE LA CONSTRUCCION Objetivo general Dar a conocer a los participantes las nuevas bases para el Sistema de Gestión de la Calidad y los objetivos que ha marcado ISO
Más detallesCOMPLIANCE OFFICERS. Introducción
COMPLIANCE OFFICERS Introducción La inclusión de la responsabilidad penal de las empresas en el Código Penal en el año 2010 y la reforma realizada a través de la Ley Orgánica 1/2015 que ha entrado en vigor
Más detalles