4.17 Control Objectives for Information and Related Technology (COBIT v4.1).
|
|
- Ana Rubio Martín
- hace 5 años
- Vistas:
Transcripción
1 4.17 Control Objectives for Information and Related Technology (COBIT v4.1). Introducción. COBIT 4.1 es un marco referencia para la implementación l gobierno y gestión los recursos TI en las organizaciones. Su objetivo es proporcionar valor a la organización por medio un coste óptimo recursos, a la vez que los riesgos son controlados. N Requerimiento normativo RESPONSABLE PO2 Definir la Arquitectura la Información. Conceptos para el establecimiento una arquitectura que incluya los procesos negocio y los diferentes componentes TI. 1 Los responsables en el tratamiento datos personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Art. 6 Art Recomendación General. PO8 Administrar la Calidad. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. Definir y comunicar los requisitos calidad en todos los procesos la organización. Definición políticas y procedimientos para la administración cambios. Contar con sistemas nuevos o modificados que trabajen sin problemas importantes spués la instalación DS4 Garantizar la Definición políticas y continuidad l procedimientos gestión la 478
2 servicio. continuidad así como planes contingencia DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. LICITUD Y LEALTAD Los datos personales berán recabarse y 2 tratarse manera lícita, privilegiando la protección los intereses l titular y la expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. La obtención datos personales no be 479
3 hacerse a través medios engañosos o fraudulentos. CONSENTIMIENTO El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Cuando los datos personales se obtengan Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Personales. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. 480
4 El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos NO APLICA NO APLICA su consentimiento expreso. Personales. Tratándose datos personales sensibles, el responsable berá obtener el 5 consentimiento expreso y por escrito l titular para su tratamiento. No podrán crearse bases datos que contengan datos personales sensibles, sin que se justifique la creación las mismas para finalidas legítimas, concretas y Art. 9 Art. 56 Paso 2. Política Gestión Datos Personales. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. acors con las actividas o fines explícitos que persigue el sujeto regulado. Paso 7. Implementación 6 Para efectos mostrar la obtención l consentimiento, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 20 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento NO APLICA NO APLICA Cotidiano Medidas 481
5 Seguridad. INFORMACIÓN A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como Art. 14 Paso 2. Política 7 parte un proceso toma cisiones Art. 15 Art. 23 Gestión Datos NO APLICA NO APLICA sin que intervenga la valoración una Art. 112 Personales. persona física, el responsable berá informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los titulares a través formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología. Art. 3, I Art. 17 Art. 27 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento NO APLICA NO APLICA 482
6 Cotidiano Medidas Seguridad. Paso 7. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas NO APLICA NO APLICA Seguridad 483
7 Paso 7. Implementación 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano NO APLICA NO APLICA Medidas Seguridad. CALIDAD Establecer y mantener un molo PO2.1 Molo información empresarial que Arquitectura facilite el sarrollo 11 El responsable procurará que los datos personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la cual son tratados. Art. 11 Art. 36 Paso 2. Política Gestión Datos Personales. Información Empresarial. PO2.2 Diccionario Datos Empresarial y Reglas Sintaxis aplicaciones y las actividas soporte a la toma cisiones, consistente con los planes TI. Mantener un diccionario datos empresarial que incluya las reglas sintaxis datos la organización. PO2.3 Esquema Establecer un esquema Clasificación clasificación que aplique a toda la empresa, basado en que tan crítica 484
8 y sensible es la información la empresa. Definir e Implementar PO2.4 Administración Integridad. procedimientos para garantizar la integridad y consistencia todos los datos almacenados en formato electrónico. Adoptar y mantener estándares para todo sarrollo y adquisición PO8.3 Estándares que siga el ciclo vida, hasta el Desarrollo y último entregable e incluir la Adquisición. aprobación en puntos clave con base en criterios aceptación acordados. Verificar que todos los datos que DS11.1 se espera procesar se reciben y Requerimientos Negocio Administración l para procesan completamente, forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. 485
9 Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Cuando los datos carácter personal hayan Clasificación empresa, basado en que tan crítica jado ser necesarios para el y sensible es la información la cumplimiento las finalidas previstas por empresa. el aviso privacidad y las disposiciones Definir e implementar legales aplicables, berán ser cancelados, DS11.2 Acuerdos procedimientos para el archivo, 12 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos Personales. Almacenamiento Conservación. y almacenamiento y retención los datos, forma efectiva y eficiente. Definir e implementar incumplimiento obligaciones procedimientos para asegurar que contractuales, una vez que transcurra un los requerimientos negocio plazo setenta y dos meses, contado a partir la fecha calendario en que se DS11.4 Eliminación. para la protección datos sensitivos y el software se presente el mencionado incumplimiento. consiguen cuando se eliminan o transfieren los datos y/o el hardware. Establecer un esquema 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos Personales. PO2.3 Esquema Clasificación clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información la empresa. DS11.2 Acuerdos Definir e implementar 486
10 Almacenamiento y procedimientos para el archivo, Conservación. almacenamiento y retención los datos, forma efectiva y eficiente. Definir e implementar procedimientos para asegurar que los requerimientos negocio DS11.4 Eliminación. para la protección datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware. Definir e implementar procedimientos respaldo y DS11.5 Respaldo y Restauración. restauración los sistemas, aplicaciones, datos y documentación en línea con los requerimientos negocio y el plan continuidad. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida 487
11 los datos. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la empresa. Paso 7. Definir e implementar Implementación DS11.2 Acuerdos procedimientos para el archivo, las Medidas Almacenamiento y almacenamiento y retención los 14 Al responsable le correspon mostrar que los datos personales se conservan, o en su caso, bloquean, suprimen o cancelan. Art. 39 Seguridad Aplicables a los Datos Personales. Cumplimiento Conservación. datos, forma efectiva y eficiente. Definir e implementar procedimientos para asegurar que Cotidiano los requerimientos negocio Medidas Seguridad. DS11.4 Eliminación. para la protección datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware. DS11.5 Respaldo y Definir e implementar Restauración. procedimientos respaldo y 488
12 restauración los sistemas, aplicaciones, datos y documentación en línea con los requerimientos negocio y el plan continuidad. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. FINALIDAD El tratamiento datos personales berá Verificar que todos los datos que limitarse al cumplimiento las finalidas DS11.1 se espera procesar se reciben y previstas en el aviso privacidad. Art. 40 Paso 2. Política Requerimientos l procesan completamente, 15 Si el responsable preten tratar los datos Art. 12 Art. 42 Gestión Datos Negocio para forma precisa y a tiempo, y que para un fin distinto al establecido, berá Art. 43 Personales. Administración todos los resultados se entregan obtener nuevamente el consentimiento l acuerdo a los requerimientos titular. negocio. 489
13 El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. PROPORCIONALIDAD Verificar que todos los datos que DS11.1 Requerimientos l se espera procesar se reciben y procesan completamente, 16 El tratamiento datos personales será el que resulte necesario, acuado y relevante en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá limitar el periodo tratamiento al mínimo indispensable. Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos Personales. Negocio para Administración DS11.6 Requerimientos Seguridad para la Administración forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. CONFIDENCIALIDAD 17 El responsable o terceros que intervengan en cualquier fase l tratamiento datos Art. 21 Art. 9 Paso 2. Política Gestión Datos PO4.14 Políticas y Procedimientos para Asegurar que los consultores y el personal contratado que soporta 490
14 personales berán guardar confincialidad Personales. Personal Contratado. la función TI cumplan con las respecto éstos, obligación que subsistirá políticas organizacionales aun spués finalizar sus relaciones con el protección los activos titular o, en su caso, con el responsable. información la empresa. Establecer y mantener una estructura óptima enlace, PO4.15 Relaciones. comunicación y coordinación entre la función TI y otros interesados ntro y fuera la función TI. Intificación requerimientos DS1 Definir y administrar los niveles servicio. servicio, el acuerdo niveles servicio y el monitoreo l cumplimiento los niveles servicio. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. Art. 14 Art. 47 Paso 2. Política Gestión Datos Personales. PO2 Definir la Arquitectura la Información. Conceptos para el establecimiento una arquitectura que incluya los procesos negocio y los diferentes componentes TI. 491
15 El responsable berá tomar las medidas necesarias y suficientes para garantizar que el PO8 Administrar la Calidad. Definir y comunicar los requisitos calidad en todos los procesos la organización. aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guar alguna AI6 cambios. Administrar Definición políticas y procedimientos para la administración cambios. relación jurídica. AI7 Instalar y acreditar soluciones y cambios. Contar con sistemas nuevos o modificados que trabajen sin problemas importantes spués la instalación. DS1 Definir y Asegurar la alineación los administrar los niveles servicios claves TI con la servicio. estrategia l negocio. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. DS4 Garantizar la continuidad l servicio. Definición políticas y procedimientos gestión la continuidad así como planes contingencia. DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los Optimizar el uso la información 492
16 datos. y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio. DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. PO8 Administrar la Calidad. Definir y comunicar los requisitos calidad en todos los procesos la organización. 19 Los responsables berán adoptar medidas para garantizar el bido tratamiento, privilegiando los intereses l titular y la expectativa razonable privacidad. Art. 14 Art. 48 Paso 5. Realizar el Análisis Riesgo los Datos Personales. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. DS5 Garantizar la Establecer políticas y 493
17 seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11.6 Definir e implementar las políticas Requerimientos y procedimientos para intificar y Seguridad para la Administración aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Proteger los activos cómputo y DS12 Administrar el ambiente físico. la información l negocio minimizando el riesgo una interrupción l servicio. Definir los elementos un PO6.1 Ambiente Políticas y Control. ambiente control para TI, alineados con la filosofía administrativa y el estilo operativo 20 Elaborar políticas y programas privacidad obligatorios y exigibles al interior la organización. Art I Paso 2. Política Gestión Datos Personales. PO6.2 Riesgo Corporativo y Marco Control Interno TI. la empresa. Elaborar y dar mantenimiento a un marco trabajo que establezca el enfoque empresarial general hacia los riesgos y el control que se alinee con la política TI, el ambiente control y el marco trabajo riesgo y control la 494
18 empresa. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan Seguridad TI. ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. Proporcionar a los empleados TI la orientación necesaria al PO7.4 Entrenamiento l Personal TI. momento la contratación y entrenamiento continuo para conservar y mejorar su 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. DS5.2 Plan Seguridad TI. conocimiento. Trasladar los requerimientos negocio, riesgos y cumplimiento ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS7 Educar y Educar y entrenar a los usuarios Entrenar a los respecto a los servicios TI Usuarios. ofrecidos. 22 Establecer un sistema supervisión y vigilancia interna, verificaciones o auditorías Art III Paso 8. Revisiones y Auditoría. PO8.6 Medición, Monitoreo y Revisión Definir, planear e implementar mediciones para monitorear el 495
19 externas para comprobar el cumplimiento la Calidad. cumplimiento continuo l QMS, las políticas privacidad. así como el valor que el QMS proporciona. DS5.5 Pruebas, Garantizar que la implementación Vigilancia y Monitoreo la Seguridad. ME2 Monitorear y Evaluar el Control Interno. la seguridad en TI sea probada y monitoreada forma proactiva. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. Administrar la seguridad TI al nivel más alto apropiado en la DS5.1 Administración organización, manera que las 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. la Seguridad TI. DS5.2 Plan acciones administración la seguridad estén en línea con los requerimientos l negocio. Trasladar los requerimientos negocio, riesgos y cumplimiento ntro un plan seguridad Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. 24 Instrumentar un procedimiento para que se Art V Paso 5. Realizar el PO9 Evaluar y La elaboración un marco 496
20 atienda el riesgo para la protección datos Análisis Riesgo Administrar los trabajo administración personales por la implementación nuevos los Datos Riesgos TI. riesgos el cual está integrado en productos, servicios, tecnologías y molos Personales. los marcos gerenciales. negocios, así como para mitigarlos. Intificar, documentar y analizar los riesgos asociados con los AI1.2 Reporte Análisis Riesgos. requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. Administrar la seguridad TI al nivel más alto apropiado ntro DS5.1 Administración la organización, manera que la Seguridad TI. las acciones administración la seguridad estén en línea con los requerimientos l negocio. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan ntro un plan seguridad Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS5.11 Intercambio Transacciones datos sensibles Datos Sensitivos. se intercambian solo a través 497
21 una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. DS11.6 Definir e implementar las políticas Requerimientos y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. La intificación todas las leyes ME3 Garantizar el Cumplimiento Regulatorio. y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el PO8.6 Medición, riesgo no cumplimiento. Definir, planear e implementar mediciones para monitorear el 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. Monitoreo y Revisión la Calidad. cumplimiento continuo l QMS, así como el valor que el QMS proporciona. DS5.2 Plan Trasladar los requerimientos Seguridad TI. negocio, riesgos y cumplimiento 498
22 ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. ME2 Monitorear y Evaluar el Control Interno. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. Establecer la función mesa servicio, la cual es la conexión l usuario con TI, para registrar, Paso 7. DS8.1 Mesa comunicar, atenr y analizar Implementación Servicios. todas las llamadas, incintes las Medidas reportados, requerimientos 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. DS8.2 Registro Consultas Clientes. servicio y solicitus información. Establecer una función y sistema que permita el registro y rastreo llamadas, incintes, solicitus servicio y necesidas información. DS8.3 Escalamiento Establecer procedimientos mesa servicios manera que 499
23 Incintes. los incintes que no puedan resolverse forma inmediata sean escalados apropiadamente acuerdo con los límites acordados en el SLA y, si es acuado, brindar soluciones alternas. Establecer procedimientos para el DS8.4 Cierre monitoreo puntual la Incintes. resolución consultas los clientes. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan ntro un plan seguridad Seguridad TI. TI completo, teniendo en Disponer mecanismos para el Paso 3. Funciones y consiración la infraestructura 27 cumplimiento las políticas y programas privacidad, así como sanciones por su Art VIII Obligaciones Quienes Traten DS5.5 Pruebas, TI y la cultura seguridad. Garantizar que la implementación incumplimiento. Datos Personales. Vigilancia y la seguridad en TI sea probada Monitoreo la y monitoreada forma pro- Seguridad. activa. DS5.6 Definición Definir claramente y comunicar las Incinte características incintes 500
24 Seguridad. seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la empresa. Proporcionar soluciones tecnológicas consistentes, efectivas 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. PO3.4 Estándares Tecnológicos. PO4.9 Propiedad y seguras para toda la empresa, establecer un foro tecnológico para brindar directrices tecnológicas. Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus los datos y sistemas. responsabilidas propiedad sobre los datos y los sistemas información. AI2.4 Seguridad y Disponibilidad las Aplicaciones. Abordar la seguridad las aplicaciones y los requerimientos disponibilidad en respuesta a los riesgos intificados y en línea 501
25 con la clasificación datos Implementar medidas control interno, seguridad y auditabilidad AI3.2 Protección y durante la configuración, Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad DS5 Garantizar la Establecer políticas y seguridad los sistemas. DS12.2 Medidas Seguridad Física. procedimientos para la gestión la seguridad la información. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a DS12.3 Acceso Físico. locales, edificios y áreas acuerdo con las necesidas l negocio, incluyendo las emergencias. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y 502
26 Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Implementar controles negocio, AI2.3 Control y Posibilidad Auditar las Aplicaciones. cuando aplique, en controles aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable. Asegurar que todos los usuarios y 29 Establecer medidas para la trazabilidad los datos personales, es cir acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento. Art X Paso 6. Intificación las medidas seguridad y Análisis Brecha. DS5.3 Administración Intidad. DS5.11 Intercambio Datos Sensitivos. su actividad en sistemas TI ben ser intificables manera única. Transacciones datos sensibles se intercambian solo a través una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. DS11.1 Verificar que todos los datos que Requerimientos Negocio l para se espera procesar se reciben y procesan completamente, 503
27 Administración forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. 30 Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. DS5.1 Administración la Seguridad TI. Establecer la propiedad y la responsabilidad los riesgos relacionados con TI a un nivel superior apropiado. Administrar la seguridad TI al nivel más alto apropiado ntro la organización, manera que las acciones administración la seguridad estén en línea con los requerimientos l negocio. SEGURIDAD 31 Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad Art. 19 Art. 4 Art. 9 Art. 57 Paso 6. Intificación las medidas PO2.3 Esquema Clasificación Establecer un esquema clasificación que aplique a toda la empresa, basado en que tan crítica 504
28 administrativas, técnicas y físicas que seguridad y Análisis y sensible es la información la permitan proteger los datos personales Brecha. empresa. contra daño, pérdida, alteración, strucción o el uso, acceso o tratamiento no autorizado. Implementar medidas control interno, seguridad y auditabilidad No adoptarán medidas seguridad AI3.2 Protección y durante la configuración, menores a aquellas que mantengan para el Disponibilidad l integración y mantenimiento l manejo su información. Recurso hardware y l software la Infraestructura. infraestructura para proteger los Cuando el encargado se encuentre ubicado recursos y garantizar su en territorio mexicano, le serán aplicables las disponibilidad e integridad. disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. DS5 Garantizar la seguridad los sistemas. Establecer políticas y procedimientos para la gestión la seguridad la información. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. DS12 Administrar el Proteger los activos cómputo y la información l negocio 505
29 ambiente físico. minimizando el riesgo una interrupción l servicio. El responsable terminará las medidas seguridad aplicables a los datos personales que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo PO9 Evaluar y Administrar los Riesgos TI. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales. tecnológico. Intificar, documentar y analizar 32 De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número titulares; Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos Personales. AI1.2 Reporte Análisis Riesgos. los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los II. Las vulnerabilidas previas ocurridas en requerimientos. los sistemas tratamiento; Abordar la seguridad las III. El riesgo por el valor potencial AI2.4 Seguridad aplicaciones y los requerimientos cuantitativo o cualitativo que pudieran tener y Disponibilidad disponibilidad en respuesta a los datos personales tratados para una las Aplicaciones. los riesgos intificados y en línea tercera persona no autorizada para su con la clasificación datos 506
30 posesión, y Trasladar los requerimientos IV. Demás factores que puedan incidir en el negocio, riesgos y cumplimiento nivel riesgo o que resulten otras leyes DS5.2 Plan ntro un plan seguridad o regulación aplicable al responsable. Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Personales. DS9 Administrar la empresa. Establecer y mantener un repositorio completo y preciso atributos la configuración configuración. los activos y líneas base y compararlos contra la configuración actual. DS11.3 Sistema Definir e implementar 507
31 Administración procedimientos para mantener un Librerías Medios. inventario medios almacenados y archivados para asegurar su usabilidad e integridad. Establecer resguardos físicos, DS13.4 Documentos prácticas registro y Sensitivos Dispositivos Salida. y administración inventarios acuados sobre los activos TI más sensitivos. 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. PO4.9 Propiedad los datos y sistemas. Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidas propiedad sobre los datos y los sistemas información. 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Paso 5. Realizar el Análisis Riesgo los Datos Personales. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales. Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales 508
32 para el sarrollo los requerimientos. Abordar la seguridad las AI2.4 Seguridad y aplicaciones y los requerimientos Disponibilidad las disponibilidad en respuesta a Aplicaciones. los riesgos intificados y en línea con la clasificación datos. Implementar medidas control interno, seguridad y auditabilidad AI3.2 Protección y durante la configuración, 36 Establecer las medidas seguridad aplicables a los datos personales e intificar aquéllas implementadas manera efectiva. Art IV Paso 6. Intificación las medidas seguridad y Análisis Brecha. Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Asegurar que todos los usuarios y DS5.3 Administración su actividad en sistemas TI Intidad. ben ser intificables manera única. Garantizar que la solicitud, DS5.4 Administración establecimiento, emisión, Cuentas l suspensión, modificación y cierre Usuario. cuentas usuario y los privilegios relacionados estén 509
33 controlados por medio políticas y procedimientos. Garantizar que la tecnología DS5.7 Protección relacionada con la seguridad sea la Tecnología resistente al sabotaje y no revele Seguridad. documentación seguridad innecesaria. Determinar las políticas y procedimientos para organizar la DS5.8 Administración generación, cambio, revocación, Llaves strucción, distribución, Criptográficas. certificación, almacenamiento, captura, uso y archivo llaves criptográficas Poner medidas preventivas, tectivas y correctivas (en DS5.9 Detección Corrección Prevención, y especial contar con parches seguridad y control virus actualizados) en toda la Software Malicioso. organización para proteger los sistemas la información y a la tecnología contra malware. DS5.10 Seguridad la Red. Uso técnicas seguridad y procedimientos administración 510
34 asociados (por ejemplo, firewalls, dispositivos seguridad, segmentación res, y tección intrusos) para autorizar acceso y controlar los flujos información s y hacia las res. Transacciones datos sensibles se intercambian solo a través DS5.11 Intercambio Datos Sensitivos. una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. 37 Realizar el análisis brecha que consiste en la diferencia las medidas seguridad existentes y aquéllas faltantes que resultan necesarias para la protección los datos personales. Art V Paso 6. Intificación las medidas seguridad y Análisis Brecha. ME2 Monitorear y Evaluar el Control Interno. ME3 Garantizar el Cumplimiento Regulatorio. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. La intificación todas las leyes y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. 511
35 Elaborar un plan trabajo para la Paso 7. Implementación las Medidas Seguridad Aplicables a los ME2 Monitorear y Evaluar el Control Interno. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. 38 implementación las medidas seguridad faltantes, rivadas l análisis brecha. Art VI Datos Personales. Plan Trabajo para la Implementación las Medidas Seguridad Faltantes. ME3 Garantizar el Cumplimiento Regulatorio. La intificación todas las leyes y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. Definir, planear e implementar PO8.6 Medición, mediciones para monitorear el Monitoreo y Revisión cumplimiento continuo l QMS, la Calidad. así como el valor que el QMS proporciona. 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. DS5.5 Vigilancia Pruebas, y Garantizar que la implementación la seguridad en TI sea probada Monitoreo la y monitoreada forma pro- Seguridad. activa. ME2 Monitorear y Monitorear y evaluar el control Evaluar el Control interno en relación a los objetivos Interno. negocio y a los riesgos 512
36 operativos intificados. La intificación todas las leyes ME3 Garantizar el Cumplimiento Regulatorio. y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. Proporcionar a los empleados TI la orientación necesaria al 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Paso 9. Mejora Continua y Capacitación. Capacitación. PO7.4 Entrenamiento l Personal TI. DS7 Educar y momento la contratación y entrenamiento continuo para conservar y mejorar su conocimiento, Educar y entrenar a los usuarios Entrenar a los respecto a los servicios TI Usuarios. ofrecidos. 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Paso 5. Realizar el Análisis Riesgo los Datos Personales. DS9 Administrar la configuración. Establecer y mantener un repositorio completo y preciso atributos la configuración los activos y líneas base y compararlos contra la configuración actual. 513
37 Definir e implementar DS11.3 Sistema procedimientos para mantener un Administración inventario medios almacenados Librerías Medios. y archivados para asegurar su usabilidad e integridad. Abordar la seguridad las AI2.4 Seguridad y aplicaciones y los requerimientos Disponibilidad las disponibilidad en respuesta a Aplicaciones. los riesgos intificados y en línea con la clasificación datos Implementar medidas control interno, seguridad y auditabilidad 3. Acciones a AI3.2 Protección y durante la configuración, 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los datos personales Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los documentadas. recursos y garantizar su disponibilidad e integridad DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. 514
38 DS12.2 Medidas Seguridad Física. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. Definir, planear e implementar Actualizar las medidas seguridad cuando: PO8.6 Medición, Monitoreo y Revisión mediciones para monitorear el cumplimiento continuo l QMS, 43 I. Se modifiquen las medidas o procesos seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. II. Se produzcan modificaciones sustanciales en el tratamiento que riven en un cambio l nivel riesgo. III. Se vulneren los sistemas tratamiento, conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. IV. Exista una afectación a los datos personales distinta a las anteriores. En el caso datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. Art. 62 Paso 8. Revisiones y Auditoría. la Calidad. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. AI3.3 Mantenimiento la Infraestructura. así como el valor que el QMS proporciona. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. Desarrollar una estrategia y un plan mantenimiento la infraestructura y garantizar que se controlan los cambios, acuerdo con el procedimiento 515
39 administración cambios la organización. DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. DS12.2 Medidas Seguridad Física. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. VULNERACIONES A LA SEGURIDAD 44 Las vulneraciones seguridad ocurridas en cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa sus rechos. Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. DS5.5 Pruebas, Vigilancia y Monitoreo la Seguridad. DS5.6 Definición Incinte Seguridad. Garantizar que la implementación la seguridad en TI sea probada y monitoreada forma proactiva. Definir claramente y comunicar las características incintes seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. 516
40 En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: 45 I. La naturaleza l incinte. II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. Art. 65 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. DS5.6 Definición Incinte Seguridad. Definir claramente y comunicar las características incintes seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. IV. Las acciones correctivas realizadas forma inmediata. V. Los medios don pue obtener más información al respecto. DS5.5 Pruebas, Garantizar que la implementación En caso que ocurra una vulneración a los Vigilancia y la seguridad en TI sea probada datos personales, el responsable berá Paso 8. Revisiones y Monitoreo la y monitoreada forma pro- analizar las causas por las cuales se presentó Auditoría. Seguridad. activa. 46 e implementar las acciones correctivas, Art. 66 Vulneraciones a la Definir claramente y comunicar las preventivas y mejora para acuar las Seguridad la DS5.6 Definición características incintes medidas seguridad correspondientes, a Información. Incinte seguridad potenciales para que efecto evitar que la vulneración se repita. Seguridad. puedan ser clasificados y tratados apropiadamente. 517
41 El sistema administración DS10.2 Rastreo y Resolución Problemas. problemas be mantener pistas auditoría acuadas que permitan rastrear, analizar y terminar la causa raíz todos los problemas reportados. ENCARGADO El encargado tendrá las siguientes Asegurar que los consultores y el obligaciones respecto l tratamiento que realice por cuenta l responsable: I. Tratar únicamente los datos personales PO4.14 Políticas y Procedimientos para Personal Contratado. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos conforme a las instrucciones l responsable. información la empresa. II. Abstenerse tratar los datos personales Establecer y mantener una para finalidas distintas a las instruidas por estructura óptima enlace, 47 el responsable. III. Implementar las medidas seguridad Art Recomendación General. PO4.15 Relaciones. comunicación y coordinación entre la función TI y otros conforme a la Ley, su y las interesados ntro y fuera la más disposiciones aplicables. función TI. IV. Guardar confincialidad respecto los datos personales tratados. V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación AI5.2 Administración Contratos con Proveedores. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. jurídica con el responsable o por DS1 Definir y Intificación requerimientos instrucciones l responsable, siempre y administrar los niveles servicio, el acuerdo niveles 518
42 cuando no exista una previsión legal que servicio. servicio y el monitoreo l exija la conservación los datos personales. cumplimiento los niveles VI. Abstenerse transferir los datos servicio. personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. o cuando así lo requiera la autoridad DS5 Garantizar la Establecer políticas y competente. seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio. SUBCONTRATACIONES La relación entre el responsable y el Paso 7. PO7.6 Procedimientos Incluir verificaciones encargado berá estar establecida mediante Implementación Investigación l antecentes en el proceso 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que Art. 51 las Medidas Seguridad Personal. DS1 Definir y reclutamiento TI. Asegurar la alineación los permita acreditar su existencia, alcance y Aplicables a los administrar los niveles servicios claves TI con la contenido. Datos Personales. servicio. estrategia l negocio. 519
43 Cumplimiento Cotidiano Medidas Seguridad. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. Toda subcontratación servicios por parte l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en DS1 Definir y Asegurar la alineación los 49 y por cuenta este último. Una vez obtenida la autorización, el encargado berá formalizar la relación con el subcontratado a través cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable previamente. Art. 54 Art. 55 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. administrar los niveles servicio. DS2 Administrar los servicios terceros. servicios claves TI con la estrategia l negocio. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. CÓMPUTO EN LA NUBE 520
44 Para el tratamiento datos personales en Asegurar que los consultores y el servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales PO4.14 Políticas y Procedimientos para Personal Contratado. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos contratación, sólo podrá utilizar aquellos información la empresa. servicios en los que el proveedor cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas protección Paso 7. Implementación las Medidas AI5.2 Administración Contratos con Proveedores. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. datos personales afines a los principios y Seguridad Intificación requerimientos 50 beres aplicables que establece la Ley y su ; Art I Aplicables a los Datos Personales. DS1 Definir y administrar los niveles servicio, el acuerdo niveles servicio y el monitoreo l Cumplimiento servicio. cumplimiento los niveles b) Transparentar las subcontrataciones que Cotidiano servicio. involucren la información sobre la que se presta el servicio; Medidas Seguridad. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos c) Abstenerse incluir condiciones en la DS5 Garantizar la Establecer políticas y prestación l servicio que le autoricen o seguridad los procedimientos para la gestión permitan asumir la titularidad o propiedad sistemas. la seguridad la información. la información sobre la que presta el servicio, y DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. 521
45 d) Guardar confincialidad respecto los Proteger los activos cómputo y datos personales sobre los que se preste el DS12 Administrar el la información l negocio servicio. ambiente físico. minimizando el riesgo una interrupción l servicio DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. Para el tratamiento datos personales en Asegurar que los consultores y el 51 servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; b) Permitir al responsable limitar el tipo Art II Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. PO4.14 Políticas y Procedimientos para Personal Contratado. AI5.2 Administración Contratos con Proveedores. DS1 Definir y administrar los niveles servicio. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos información la empresa. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. Intificación requerimientos servicio, el acuerdo niveles servicio y el monitoreo l cumplimiento los niveles tratamiento los datos personales sobre los servicio. que se presta el servicio; DS2 Administrar los Brindar servicios satisfactorios servicios terceros. terceros con transparencia acerca 522
4.9 ISO 31000:2009, Risk management Principles and guidelines.
4.9 ISO 31000:2009, Risk management Principles and guilines. Introducción. Este estándar proporciona los principios y las guías genéricas para la gestión riesgos, por lo que pue ser utilizada por cualquier
Más detallesReferencia LFPDPPP. Referencia Reglamento. auditoría de certificación. Los responsables en el tratamiento de datos
4.4 ISO/IEC 27006:2011, Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Introducción. Este estándar
Más detalles4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.
4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,
Más detalles4.6 ISO/IEC 29100:2011, Information Technology - Security techniques -- Privacy framework.
4.6 ISO/IEC 29100:2011, Information Technology - Security techniques -- Privacy framework. Introducción. Este estándar internacional provee una estructura general para la protección de información de identificación
Más detalles4.2 ISO/IEC 27002:2013, Information Technology - Security techniques Code of practice for security management.
4.2 ISO/IEC 27002:2013, Information Technolog - Securit techniques Co of practice for securit management. Introducción.. El ISO 27002:2013 es el código prácticas seguridad la información el cual tiene
Más detalles4.13 BS 10012:2009 Data Protection Specification for a Personal Information Management
4.13 BS 10012:2009 Data Protection Specification for a Personal Information Management System (PIMS). Introducción. Introducción. Este estándar británico ha sido producido para formar las bases para las
Más detalles4.18 Control Objectives for Information and Related Technology (COBIT 5).
4.18 Control Objectives for Information and Related Technology (COBIT 5). Introducción. COBIT 5 es un marco de referencia para la implementación del gobierno y gestión de los recursos de Tecnología de
Más detalles4.24 Cloud Security Alliance Cloud Controls Matrix (CCM) v3.0.
4.24 Cloud Security Alliance Cloud Controls Matrix (CCM) v3.0. Introducción. Esta matriz proporciona principios de seguridad para evaluar el riesgo de seguridad en un proveedor de cómputo en la nube. El
Más detallesSistemas de Información para la Gestión
Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2017 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.
Más detallesCOBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez
COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración
Más detallesEste dominio consta de 13 procesos que se describen a continuación.
Dominio: Entrega y Soporte Este dominio consta de 13 procesos que se describen a continuación. DS1 Definir y administrar los niveles de servicio En este proceso se revisa la importancia de contar con una
Más detallesReglamento de Gobierno Corporativo
JM-62-2016 Reglamento de Gobierno Corporativo JM-62-2016, JM-102-2011, COBIT 4.1 By JAV juan.antoio.vc@gmail.com - 08/2016 CAPÍTULO I: DISPOSICIONES GENERALES Artículo 2: Definiciones Sistema de control
Más detallesAnexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control
Anexo III COBIT Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control En COBIT se define control como: El conjunto de políticas, procedimientos, prácticas y estructuras organizativas
Más detallesI. POLÍTICAS DE PRIVACIDAD Y MEDIDAS DE SEGURIDAD
I. POLÍTICAS DE PRIVACIDAD Y MEDIDAS DE SEGURIDAD 1. POLITICA DE PRIVACIDAD. A) El tratamiento de los datos se deberá llevar a cabo con apego y cumplimiento a la Legislación mexicana y las disposiciones
Más detallesCOBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez
COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración
Más detallesLEY DE PROTECCIÓN DE DATOS
LEY DE PROTECCIÓN DE DATOS PERSONALES A continuación haremos un breve resumen de las disposiciones más relevantes de esta legislación. 1. Ámbito de Aplicación y Objeto La Ley es de orden público y de observancia
Más detallesEl paquete completo de COBIT consiste en:
Qué es COBIT? Es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance
Más detallesCUMPLIMIENTO A LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES
ANTECEDENTES Uno de los ejes principales de Grupo Bimbo es conducir su actividad con estricto apego a la legislación de los países en los que opera, por ello resulta imperativo establecer los mecanismos
Más detallesObjetivo. Política de Seguridad con Proveedores
Objetivo Describir los lineamientos que ASIC debe adoptar para asegurar la protección de los activos de la organización que sean accesibles a los proveedores, así como mantener el nivel acordado de seguridad
Más detallesJM Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna JM , JM , COBIT 4.1, COBIT 5 By Juan Antonio Vásquez
JM-62-2016 Reglamento de Gobierno Corporativo JM-62-2016, JM-102-2011, COBIT 4.1, COBIT 5 By Juan Antonio Vásquez CAPÍTULO I: DISPOSICIONES GENERALES Artículo 2: Definiciones Sistema de control interno:
Más detallesGeneralidades de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios
Generalidades de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios LEY GENERAL DE TRANSPARENCIA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES
Más detallesCAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP
CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP 1. Introducción Cualquiera sea el soporte de la información, siempre debe protegerse adecuadamente y por medio de procesos que deben comprender una política,
Más detallesPlan Anual de Desarrollo Archivístico de Centro de Investigación en Matemáticas, A.C. (PADA)
Centro Investigación en Matemáticas, A.C. Plan Anual Desarrollo Archivístico Centro Investigación en Matemáticas, A.C. (PADA) 2019. 15-02-2019 www.cimat.mx 1. Marco referencia Le Feral artículo 12 fracción
Más detallesMAPA DE PUESTO DEPARTAMENTO DE TALENTO HUMANO
MAPA DE PUESTO DEPARTAMENTO DE TALENTO HUMANO ANTECEDENTES Gerencia: Departamento: Cargo: Reporta a: Personal a cargo: PERFIL DE COMPETENCIAS TRANSVERSALES Infraestructura Tecnológica y Producción Producción
Más detallesANEXO H-2 Metodología para la Administración de Incidentes
ANEXO H-2 Metodología para la Administración de Incidentes Este folio es consecutivo en orden alfabético por empresa: 07209 Logotipo Página 2 de 4 ANEXO H-2 Logotipo ANEXO H-2 METODOLOGÍA DE Mesa de Servicio
Más detallesPOLÍTICAS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
POLÍTICAS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES La presente política de privacidad y de protección de datos personales (en adelante la Política ) regula la recolección, almacenamiento, tratamiento,
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Más detallesLista de la Verificación de la Gestión Ambiental 1
Lista de la Verificación de la Gestión Ambiental 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de Gestión Ambiental 4.1 Requisitos generales La organización, ha establecido, puesto
Más detallesResponsable del tratamiento de los Datos Personales
Aviso de Privacidad que MVP INVERSORES, S.A.P.I DE C.V. ASESORES EN INVERSIONES, en lo sucesivo MVP, pone a disposición de sus clientes, potenciales clientes, proveedores y cualquiera otra persona que
Más detallesPROCESO DE AUDITORIA INTEGRAL. AudiLacteos S.A.S. Equipo Auditor EQUIPO 3 Blanca Duque. Yeimy L Escobar R. Pablo A. Molina R. Procesos auditados
PROCESO DE AUDITORIA INTEGRAL. Datos Generales Empresa Auditada AudiLacteos S.A.S Equipo Auditor EQUIPO 3 Blanca Duque. Yeimy L Escobar R. Pablo A. Molina R. Procesos auditados Firma Auditora Inicio de
Más detallesDirección y Gerencia
Sistema de Gestión de Seguridad de la Información (SGSI) Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información DIRIGIDA A : Dirección y Gerencia Segunda Sesión Proyecto de
Más detallesCOBIT 4.1. Entregar y Dar Soporte DS11 Administración de Datos. By Juan Antonio Vásquez
COBIT 4.1 DS11 Administración de Datos By Juan Antonio Vásquez Una efectiva administración de datos requiere identificar los requerimientos de datos. El proceso de administración de información también
Más detallesUNIDAD DE TRANSPARENCIA 2016, Año del Nuevo Sistema de Justicia Penal
2016, Año l Nuevo Sistema Justicia Penal El H. Congreso l Estado Tabasco en su calidad Sujeto Obligado que recaba ejerce tratamiento sobre Datos Personales, con fundamento en lo establecido en los Lineamientos
Más detallesEspecialistas en Auditoría de TI, Gestión de Riesgos, Control Interno, Gobierno de TI
Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los s iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se han seleccionado
Más detallesDirección General Administrativa y Financiera Departamento de Tecnologías de Información y Comunicación
Dirección General Administrativa y Financiera Departamento de Tecnologías de Información y Comunicación Marco General para Garantizar la Continuidad de Servicio de Tecnologías de Información y Comunicación
Más detallesAnexo G Declaración de aplicabilidad.
Trabajo Fin Master (MISTIC) ANEXO G Declaración bilidad Anexo G Declaración aplicabilidad. En la siguiente tabla se recoge la relación controles la ISO/IEC y se especifica si es aplicabilidad para Ícaro
Más detallesMódulo IV. Control de riesgos en la empresa (I) -Modelos GRC-
Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC- PREVISIONES ESPECIALES Ponente: David García Vega Economista-Auditor de Cuentas. Miembro de Responsia Compliance, S.L. Docente Master de Post-Grado
Más detallesPropósito del Cargo. Funciones Generales
Nivel: Técnico Código: 420 Propósito del Cargo Denominación del cargo: Analista Desarrollar actividades operativas, aplicando los conocimientos técnicos requeridos, para la ejecución de los procesos y
Más detallesIMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008
IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008 Implementa.- Lic. Jose Jesus Martinez Perez Representante de la Dirección ante el SGC Villahermosa Merida
Más detallesISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García
ISO 20000 Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García Introducción Introducción, no llores = Introducción Requisitos del SGS objetivo + eficiencia y eficacia Reemplaza por completo a
Más detallesTécnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014
Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso de Técnico Profesional en Sistema
Más detallesProtección de Datos Personales en la Actividad de Cobranza Extrajudicial
Protección de Datos Personales en la Actividad de Cobranza Extrajudicial MARÍA ADRIANA BÁEZ RICÁRDEZ DIRECTORA GENERAL DE AUTORREGULACIÓN MAYO 25, 2016 Algunas cifras.. Primer trimestre de 2016 La CONDUSEF
Más detallesREGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
DOF: 21/12/2011 REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia
Más detallesProtección de Datos Personales en la Actividad de Cobranza Extrajudicial
Protección de Datos Personales en la Actividad de Cobranza Extrajudicial MARÍA ADRIANA BÁEZ RICÁRDEZ DIRECTORA GENERAL DEPREVENCIÓN Y AUTORREGULACIÓN 05 DE OCTUBRE DE 2016 Algunas cifras.. Primer trimestre
Más detallesMANUAL DE ORGANIZACIÓN Y FUNCIONES OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS
MANUAL DE ORGANIZACIÓN Y FUNCIONES OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS 233 I. FUNCIONES DE LA OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS NATURALEZA DE LAS FUNCIONES Funciones Operativas
Más detallesSesión 3 Procesos Productivos, de Apoyo y Evaluación Revisión de los Requisitos 7, 8 y 9 ISO 9001:2015
Sesión 3 Procesos Productivos, de Apoyo y Evaluación Revisión de los Requisitos 7, 8 y 9 ISO 9001:2015 Capitulo 7 y 8 Capitulo 7 Apoyo 7.1 Recursos 7.2 Competencia 7.3 Toma de conciencia 7.4 Comunicación
Más detallesPROCESO DE AUDITORIA INTEGRAL. Blanca R Duque. Yeimy Lorena Escobar R. Pablo Alejandro Molina R. Inicio de proceso 10 de Noviembre de 2010
PROCESO DE AUDITORIA INTEGRAL Datos Generales Empresa Auditada AudiLacteos S.A.S Equipo Auditor EQUIPO 3 Blanca R Duque. Yeimy Lorena Escobar R. Pablo Alejandro Molina R Equipo Auditado EQUIPO 4 Procesos
Más detallesINFORME DEL PLAN ANUAL DE DESARROLLO ARCHIVÍSTICO 2016
INFORME DEL PLAN ANUAL DE DESARROLLO ARCHIVÍSTICO 2016 OBJETIVO: Contemplar acciones a emprenr a escala institucional para la mornización y mejoramiento continuo los servicios documentales y archivísticos.
Más detallesPlan de transición de la certificación con las normas ISO 9001 e ISO (Fecha de actualización )
1. Revisión de las normas ISO 14001:2004 e ISO 9001:2008 El 15 y 23 de septiembre de 2015 se publicaron las nuevas versiones de las normas internacionales de requisitos de sistemas de gestión ambiental
Más detallesRecomendaciones en materia de Seguridad de Datos Personales
2013-12-05 Recomendaciones en materia de Seguridad de Datos Personales Recomendaciones en materia de Seguridad de Datos Personales Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales
Más detallesCOMPRAS Y PLANEAMIENTO ADMINISTRACION DE PROVEEDORES
Página 1 9 1.- OBJETIVO Y ALCANCE El presente documento fine un proceso Evaluación y Administración a partir l indicador OTIF y los planes acción que se generen l mismo, teniendo en cuenta que los proveedores
Más detallesREGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
Este libro forma parte del acervo de la Biblioteca Jurídica Virtual del de la UNAM Anexo XXII REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES TEXTO VIGENTE
Más detallesMANUAL DE PROCEDIMIENTOS. DES ACNF.- Proceso de Administración de la Configuración
Hoja:1 de 16 ACNF.- Proceso de Administración de la Configuración Hoja:2 de 16 1.0 PROPÓSITO 1.1. Establecer y actualizar un repositorio de configuraciones, en el que se integren las soluciones tecnológicas
Más detallesTécnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)
Fecha de exportación: Wed Oct 25 21:18:36 2017 / +0000 GMT Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas) Categoría: Prevención de Riesgos Laborales,
Más detallesREGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la República.
Más detallesEl flujo del trabajo del proceso Recursos Humanos y Ambiente de Trabajo se muestra en la figura 17.
Aplicación de la Evaluación de Desempeño en función del Plan Operativo de Recursos Humanos y Ambiente de Trabajo y actualización del Registro de Recursos Humanos. Aplicación de la Encuesta sobre el Ambiente
Más detallesPOLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES 1. OBJETIVO Definir los lineamientos generales para el cumplimiento de la Ley 1581 de 2012, del Decreto Reglamentario 1377 de 2013 y de las demás normas que
Más detallesPOLITICA DE TRATAMIENTO DE PROTECCION DE DATOS PERSONALES II. TRATAMIENTO AL CUAL SERAN SOMETIDOS LOS DATOS Y FINALIDAD
POLITICA DE TRATAMIENTO DE PROTECCION DE DATOS PERSONALES La presente política se expide en cumplimiento de la Ley 1581 de 2012 y su Decreto reglamentario 1377 de 2013, con el propósito de garantizar el
Más detallesManual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores
1 ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores Datos Identificativos del Rol Denominación del Puesto: Línea de Supervisión: Supervisa a: Analista Zonal de Tecnologías de Información
Más detallesINSTITUTO TECNOLÓGICO SUPERIOR DE TEZIUTLÁN
Requerimiento: 9.3 Copia No. 01 Código: P-DIR-01 No. Revisión: 05 Hoja: 1 de 7 I. OBJETIVO: Definir el proceso a seguir para Realizar las revisiones a los Sistemas de Gestión del Instituto Tecnológico
Más detallesContenido. Este documento impreso se considera copia no controlada
Contenido 1. INTRODUCCIÓN...2 2. IDENTIFICACIÓN DE LA EMPRESA...3 3. SEGURIDAD DE LA INFORMACIÓN:...3 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN...4 3.1 Alcance...4 3.2 Objetivos:...4 3.3 Responsabilidades...5
Más detallesMANUAL DE ORGANIZACION
NOMBRE DE LA UNIDAD: TECNOLOGÍA E INFORMACIÓN DEPENDENCIA JERARQUICA: COORDINADOR GENERAL ADMINISTRATIVO RESPONSABLE: COORDINADOR DE TECNOLOGÍA E INFORMACIÓN SUPERVISA A: SISTEMAS. OPERACIONES. SOPORTE.
Más detallesAdecuación legal en materia de protección de datos personales para la administración pública
Una apuesta por la especialización Adecuación legal en materia de protección de datos personales para la administración pública Dra. Isabel Davara F. de Marcos Toluca, Estado de México, 7 de septiembre,
Más detallesINSTITUTO MIXTO DE AYUDA SOCIAL GERENCIA GENERAL ÁREA TECNOLOGÍAS DE INFORMACIÓN. Política de Seguridad de la información POL-TI-08
INSTITUTO MIXTO DE AYUDA SOCIAL GERENCIA GENERAL ÁREA TECNOLOGÍAS DE INFORMACIÓN Política de Seguridad de la información Junio, 2017 Emisión: 02 Página 2 de 7 ÍNDICE 1. JUSTIFICACIÓN...3 2. DEFINICIONES...3
Más detallesFunciones de los Órganos de la Subdirección de Producción. Representar a la Subdirección de Producción a nivel Corporativo.
Funciones de los Órganos de la Subdirección de Producción Subdirección de Producción y staff de la subdirección Representar a la Subdirección de Producción a nivel Corporativo. Participar en los programas
Más detallesCOBIT 4.1. Planear y Organizar PO8 Administrar la Calidad. By Juan Antonio Vásquez
COBIT 4.1 PO8 Administrar la Calidad By Juan Antonio Vásquez Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición.
Más detallesPOLITICA PARA EL TRATAMIENTO DE DATOS PERSONALES
Entidad Responsable del Tratamiento de Datos Personales: Laboratorio Clínico de Especialidades Bolívar S.A. Nit. 804.002.615-5 Dirección: Carrera 34 46-46 Teléfono: 057 647 47 86, Correo electrónico: info@laboratoriobolivar.com.
Más detallesANEXO H-3 Metodología para la Administración de Problemas
ANEXO H-3 Metodología para la Administración de Este folio es consecutivo en orden alfabético por empresa: 07223 Logotipo Página 2 de 3 ANEXO H-3 Logotipo ANEXO H-3 METODOLOGÍA DE Responsable de Cambios:
Más detallesCorroborar estrictamente el nombre del tercero, su identificación, para poder realizar el giro.
Entidad: Empresa Acueducto, Alcantarillado Aseo l Líbano - Tolima Vigencia: 2017 Fecha Publicación: Diciembre 31 2017 Componente: Plan Anticorrupción Atención al Ciudadano Objetivo: Realizar seguimiento
Más detallesANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]
ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J] A continuación se presenta la ISO/IEC 27001:2005 [J] a manera de resumen con el objetivo de entender el alcance y contenido de la misma y comprender
Más detalles6. UNIDAD DE FORMACIÓN Y CAPACITACIÓN DE DEFENSORES PÚBLICOS
6. UNIDAD DE FORMACIÓN Y CAPACITACIÓN DE DEFENSORES PÚBLICOS La Unidad Formación y Capacitación Defensores Públicos está adscrita a la Dirección General l Instituto, con el carácter apoyo con relación
Más detallesNorma IRAM-ISO/IEC 27001
Norma IRAM-ISO/IEC 27001 Qué es ISO/IEC 27001? Standard Auditable. Marco para administrar un Programa de Seguridad de la Información. Permite considerar aspectos legales, reglamentarios y requisitos contractuales.
Más detallesDirección de Tecnologías de la Información
Plantilla 1.1 MINISTERIO DE FINANZAS PÚBLICAS MANUAL DE ORGANIZACIÓN Y FUNCIONES Dirección de Tecnologías de la Información Guatemala, diciembre de 2017 Índice Introducción 2 Propósito del manual 2 Descripción
Más detallesMANUAL DE POLÍTICAS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES COOMPECENS
MANUAL DE POLÍTICAS PARA EL TRATAMIENTO DE LOS DATOS PERSONALES COOMPECENS Este documento contiene las políticas de tratamiento de los datos personales de la COOPERATIVA MULTIACTIVA DE PENSIONADOS DE CENTRALES
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Fecha de exportación: Fri Nov 3 13:58:49 2017 / +0000 GMT Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación Empresarial, Marketing y Recursos Humanos Página del curso:
Más detallesSeminario Conmemorativo del Día Internacional de la Protección de Datos Personales 2018
Una apuesta por la especialización Seminario Conmemorativo del Día Internacional de la Protección de Datos Personales 2018 Panel: Retos y Perspectivas de la Nueva Ley de Protección de Datos Personales
Más detallesGESTIÓN DE INFRAESTRUCTURA Y OPERACIONES DE TECNOLOGÍAS DE INFORMACIÓN
MANUAL MAN-GTI-GIO-13 - Gestión de Infraestructura Tecnológica y de Tecnologías de Información. MANUAL DEL PROCESO GESTIÓN DE INFRAESTRUCTURA Y OPERACIONES DE TECNOLOGÍAS DE INFORMACIÓN Coordinación General
Más detallesPOLITICAS Y PROCEDIMIENTOS PARA PROTECCION DE DATOS PERSONALES
POLITICAS Y PROCEDIMIENTOS PARA PROTECCION DE DATOS PERSONALES 1. Disposiciones Generales... 2 2. Objetivos... 2 3. Definiciones... 2 4. Políticas, Principios y finalidad de la Información... 3 4.1 Principios
Más detallesPolítica: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas
Objetivo Política: Proporcionar un marco de gestión de seguridad de la información, como apoyo a los objetivos estratégicos de La Compañía, de acuerdo a sus necesidades de negocio en cada país donde opere
Más detallesEfectos y Alcances de la Protección de Datos Personales
Efectos y Alcances de la Protección de Datos Personales Ley Federal de Protección de Datos personales en Posesión de los Particulares Publicada en DOF el 5 de julio de 2010. Finalidad: Regular el tratamiento
Más detallesCOBIT 4.1. Planear y Organizar PO9 Evaluar y Administrar los Riesgos de TI. By Juan Antonio Vásquez
COBIT 4.1 PO9 Evaluar y Administrar los Riesgos de TI By Juan Antonio Vásquez Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. Cualquier impacto potencial sobre las metas de
Más detallesMANUAL DE ORGANIZACIÓN. DIRECCIÓN GENERAL Fecha: JUN 15 DESCRIPCIÓN Y PERFIL DE PUESTOS
Hoja: 1 de 5 Nombre del puesto: Coordinador de Infraestructura de Edificio Inteligente Área: Departamento de Gestión de Arquitectura e Infraestructura Tecnológica Nombre del puesto al que reporta directamente:
Más detalles1 /Procesos de Gestión Documental en el marco de la LGA
1 /Procesos de Gestión Documental en el marco de la LGA I. Procesos de gestión documental según la Teoría de Administración de Documentos. Gestión documental. Es el tratamiento integral de la documentación
Más detallesASIGNATURA PLANIFICACIÓN ESTRATÉGICA DE PROYECTOS GUÍA DOCENTE
Curso Académico 2013 2014 TITULACIÓN GRADO EN SISTEMAS DE INFORMACION CURSO CUARTO CURSO ASIGNATURA PLANIFICACIÓN ESTRATÉGICA DE PROYECTOS GUÍA DOCENTE 1.- Características de la asignatura Nombre de la
Más detallesDIRECCIÓN GENERAL DE TECNOLOGÍAS
DIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN ATRIBUCIONES OBJETIVO METAS PÁG. 0 ATRIBUCIONES Artículo 20 del Reglamento Interior en Materia de Administración de la Suprema Corte de Justicia de la
Más detallesPlan de transición de la certificación con la norma ISO (Fecha de generación )
1. Revisión de :2003 El primero de marzo de 2016, se publicó la nueva versión de la norma internacional de requisitos de sistema de gestión de la calidad para dispositivos médicos (ISO 13485), por parte
Más detallesPlan Estratégico de Seguridad y Privacidad de la Información
GIDT-PTI Plan Estratégico de Seguridad y Privacidad de la Información Grupo Funcional de Seguridad Información UNAD 2/02/2018 1 INTRODUCCIÓN Con el fin de garantizar el manejo eficaz de la información
Más detallesPOLITICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES POLYTECH S.A.S
POLITICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES POLYTECH S.A.S Con la implementación de la presente política, POLYTECH S.A.S en búsqueda de salvaguardar las garantías constitucionales consagradas
Más detallesVigente a partir de: Día 25. Año. MNO Página 1 de 15 Elaboró: DPHG Revisó: Esta página sustituye a la Mes Año. Aprobado/Autorizado
11 V.5 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 15 11 CONTENIDO Número Tema Página Hoja aprobación 3 Organigrama la Subdirección Tecnologías Información 4 174000 174010 174100 174110 174120
Más detallesDECRETO 514 DE (Diciembre 20)
DECRETO 514 DE 2006 (Diciembre 20) "Por el cual se establece que toda entidad pública a nivel Distrital debe tener un Subsistema Interno de Gestión Documental y Archivos (SIGA) como parte del Sistema de
Más detallesLa Solicitud de Dictamen Técnico, deberá plasmar los siguientes puntos:
La Solicitud de Dictamen Técnico, deberá plasmar los siguientes puntos: Objetivo. Del sistema. Alcance. Del sistema en general y de cada módulo. Detalle que deberá alcanzar el Software a Desarrollar. Describir
Más detallesISO GAP ANALYSIS
Fecha: 10/7/2007 CONFIDENCIAL Página 1 de 16 5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1.1 Se tiene documento de la política de seguridad de la Información 5.1.2 Se hace revisión y evaluación de este
Más detallesPOLÍTICA DE PRIVACIDAD, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES. Con la autorización del tratamiento de datos personales el titular de los
1 POLÍTICA DE PRIVACIDAD COINSA S.A.S. POLÍTICA DE PRIVACIDAD, TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES Con la autorización del tratamiento de datos personales el titular de los mismos acepta los términos
Más detallesLISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015
LISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015 Este documento es una guía para darle una indicación de su preparación para la auditoría según la norma ISO 14001: 2015. Puede ser útil usar
Más detallesEl cumplimiento de estas políticas es obligatorio por parte de todo el personal del Unidad de Gestión Informática del SENARA.
Normas técnicas para la gestión y el control de las Tecnologías de Información y telecomunicaciones (TIC) del Servicio Nacional de Aguas Subterráneas, Riego y Avenamiento (SENARA) 1. PROPÓSITO Establecer
Más detalles