GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 DEL PROCESO MANUAL DEL PROCESO GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Versión 1.0 Enero, 2018

2 Coordinación General Planificación y Mejoramiento Continuo 2

3 IDENTIFICACIÓN Y TRAZABILIDAD DEL DOCUMENTO Proceso Nivel 0: Gestión Planificación y Mejoramiento Continuo Proceso Nivel 1: Gestión Procesos y Mejoramiento Continuo Proceso Nivel 2: Gestión Proceso Nivel 3: Fecha vigencia l 12 enero l 2018 documento Versión l Documento: 1.0 Número Páginas: 30 Responsable l proceso: Director(a) Procesos y Mejoramiento Continuo Frecuencia ejecución: Mensual REGISTRO DE VERSIONES Versión Descripción la versión (motivos y cambios) 1.0 Creación Realizado / Aprobado por Ana Jaramillo / Celene Vargas Cargo Asistente Técnico / Coordinadora General Planificación y Mejoramiento Continuo Fecha elaboración Documentos que se dan baja con la vigencia este documento Coordinación General Planificación y Mejoramiento Continuo 3

4 ÍNDICE Y CONTENIDO 1. DESCRIPCIÓN DEL MANUAL FICHA DEL MANUAL ALCANCE DEL PROCESO NORMAS GENERALES DEL PROCESO SUBPROCESO PLANIFICACIÓN DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN FICHA DEL SUBPROCESO NORMAS GENERALES DEL SUBPROCESO DIAGRAMA DE FLUJO DEL SUBPROCESO DESCRIPCIÓN DE ACTIVIDADES SUBPROCESO IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN FICHA DEL SUBPROCESO NORMAS GENERALES DEL PROCESO DIAGRAMA DE FLUJO DEL SUBPROCESO DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO SUBPROCESO MONITOREO Y REVISIÓN DEL SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN FICHA DEL SUBPROCESO NORMAS GENERALES DEL PROCESO DIAGRAMA DE FLUJO DEL SUBPROCESO DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO SUBPROCESO MANTENIMIENTO Y MEJORA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN FICHA DEL SUBPROCESO NORMAS GENERALES DEL PROCESO DIAGRAMA DE FLUJO DEL SUBPROCESO DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO INDICADORES DE GESTIÓN DEL PROCESO TÉRMINOS Y DEFINICIONES LISTADO DE DOCUMENTO Y ANEXOS DOCUMENTOS ANEXOS Coordinación General Planificación y Mejoramiento Continuo 4

5 1. DESCRIPCIÓN DEL MANUAL GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1.1. FICHA DEL MANUAL Descripción: PROPÓSITO: Determinar los esquemas seguridad la información que permitan a la Superintenncia Bancos mantener la confincialidad, disponibilidad e integridad sus activos información. DISPARADOR: Requerimientos intificados l plan estratégico institucional. Disposiciones organismos externos en temas seguridad la información. Necesidas y requisitos seguridad la información. ENTRADAS: Plan Estratégico Institucional. Recomendaciones auditorías seguridad la información. Análisis riesgo seguridad la información. Resultados la gestión incintes seguridad. Informe gestión vulnerabilidas y ethical hacking. Memorando estado madurez l SGSI. SUBPROCESOS: Planificación la Gestión. Implementación la Gestión. Monitoreo y revisión la Gestión. Mantenimiento y mejora la Gestión. Productos/Servicios l proceso: Plan Director. Alcance l SGSI Plan tratamiento los riesgos con la finición riesgos a mitigar, aceptar y/o trasladar. Declaración aplicabilidad SoA. Plan Auditorías l Sistema Gestión Seguridad la. Plan Implementación. Políticas, Metodologías. Informe análisis riesgos la. Coordinación General Planificación y Mejoramiento Continuo 5

6 Responsable proceso: Tipo cliente: Marco Legal: l Acta Constitución proyectos. Informe l cumplimiento implementación l Plan Director y proyectos rivados. Manuales, procedimientos, instructivos Seguridad la. Informe avances la implementación la documentación obligatoria y soporte l Sistema Gestión y Plan Director. Sistema Métricas l Sistema Gestión. Levantamientos activos y clasificación información. Informes evaluación madurez seguridad información. Informe auditoría seguridad la información. Informe medición sempeño l Sistema. Informe mejora continua (Informe cumplimiento lineamientos l plan mejora). Director/a Procesos y Mejoramiento Continuo. Interno Constitución la República l Ecuador. Código Orgánico Integral Penal. Ley Orgánica Transparencia y Acceso a la Pública (LOTAIP). Ley Propiedad Intelectual. Ley Comercio Electrónico, Firmas electrónicas y Mensajes Datos (ley no ). Estatuto Orgánico Gestión Organizacional por procesos la SB. Normas l grupo ISO: Normas Internas Contraloría, otras leyes internas y externas. Resolución Comité y Continuidad l Negocio la SB. Resolución legaciones ALCANCE DEL PROCESO El proceso inicia con la finición la planificación l Sistema Gestión, continúa con la implementación monitoreo, revisión y concluye con la mejora continua l proceso. Coordinación General Planificación y Mejoramiento Continuo 6

7 1.3. NORMAS GENERALES DEL PROCESO El Comité y Continuidad l Negocio la SB, será consirado el cuerpo rector todo el proceso gestión seguridad la información. El Comité y Continuidad l Negocio la SB, finirá y aprobará la Política General y los objetivos estratégicos l proceso gestión seguridad la información, sobre los cuales se fundamentará el Sistema Gestión. La finirá periódicamente (no mayor a un año) el Plan Director, cuyo alcance berá estar alineado a los requerimientos y necesidas institucionales internas y externas en temas seguridad la información. El Comité y Continuidad l Negocio la SB aprobará el Plan Director para su implementación. El proceso gestión seguridad la información, berá enmarcarse en directrices propuestas, normas y buenas prácticas orientadas a seguridad la información. Se berá actualizar los Planes Seguridad en función las conclusiones y nuevos hallazgos encontrados durante las actividas monitoreo y revisión. 2. SUBPROCESO PLANIFICACIÓN DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 2.1. FICHA DEL SUBPROCESO Descripción: PROPÓSITO: Establecer la planificación para la gestión la seguridad la información alineada a los objetivos estratégicos, a los requerimientos y necesidas la Superintenncia Bancos manera sistemática. DISPARADOR: Disposición requerimiento elaboración l Plan Director. ENTRADAS: Plan Estratégico Institucional. Manual Gestión. Coordinación General Planificación y Mejoramiento Continuo 7

8 Plan Mejora Productos/Servicios l Subproceso: Responsable Subproceso: l Plan Director Alcance l SGSI. Plan tratamiento los riesgos con la finición riesgos a mitigar, aceptar y/o trasladar. Declaración aplicabilidad SoA. Plan auditorías l Sistema Gestión Seguridad la. Plan Implementación. Políticas, Metodologías. Informe análisis riesgos la. Levantamientos activos y clasificación información. Director(a) Procesos y Mejoramiento Continuo 2.2. NORMAS GENERALES DEL SUBPROCESO El Comité y Continuidad l Negocio la SB, fine el alcance preliminar la, base para la planificación l proceso gestión seguridad la información. El levantamiento y/o actualización l inventario activos información, es responsabilidad los responsables l proceso con el apoyo l responsable las actividas. El Plan Director berá contener: el Plan Tratamiento Riesgos, la Declaración Aplicabilidad y el plan Implementación. El Plan Director, se fine como el documento planificación estratégica la cuya actualización será anual, el cual berá alinearse al alcance y a la Planificación Estratégica la Superintenncia Bancos. Coordinación General Planificación y Mejoramiento Continuo 8

9 2.3. DIAGRAMA DE FLUJO DEL SUBPROCESO Coordinación General Planificación y Mejoramiento Continuo 9

10 2.4. DESCRIPCIÓN DE ACTIVIDADES # Actividad Descripción Responsable Revisar necesidas y requerimientos internos /externos (Sistema Gestión ) Refinir alcance y actualizar documentación relacionada Elaborar Manual l Sistema Gestión Revisar y aprobar Manual Gestión Sistema Gestión Revisar e intificar los requisitos y necesidas internas y externas asociados a la, las unidas internas, Comité y Continuidad l Negocio, normativa externa, otros. Tipo requerimiento Actualización: Pasa a la actividad 2. Levantamiento: Pasa a la actividad 3. Se analiza los requerimientos, se refine el alcance y documentación relacionada. Y pasa a la actividad 7. Intificar el contexto interno y externo, terminar los objetivos l Sistema Gestión, compromiso la Dirección y alineación al PEI. Definir la política general l Sistema Gestión, conjuntamente con las partes relacionadas en el alcance establecido. Revisar y aprobar el alcance, los objetivos, compromisos la Dirección y política general l Sistema Gestión. Correcto? SI: Continúa en la actividad 4 NO: Regresa a la actividad 2. Luego aprobar el Manual se finen los parámetros l apetito l riesgo SI la SB, gestión y tratamiento y aceptación l riesgo, así como los parámetros para la tasación activos información crítica. Esto está establecido en el acta aprobación. Director/a Procesos Mejoramiento Continuo Documentos generados Coordinación General Planificación y Mejoramiento Continuo 10 y Experto en Administración Técnica ( ) Experto en Administración Técnica ( ) Comité y Continuidad l Negocio Manual l Sistema Gestión Acta aprobación l Manual

11 Elaborar/finir metodologías y políticas GSI, y levantamientos activos información Revisar las metodologías y políticas Realizar la socialización / difusión las metodologías y políticas Realizar el levantamiento o actualización y análisis riesgos los Activos a su cargo Desarrollar el Plan Tratamiento Riesgos y finir la claración SoA Revisar y aprobar el Plan Tratamiento Riesgos S.I. y finir la claración SoA Elaborar y/o actualizar los documentos metodologías para la gestión riesgos seguridad la información y levantamiento activos información. Amás se finen y elaboran las políticas. Se revisa las metodologías y políticas. Correctas? SI: Continúa en la actividad 6 NO: Regresa a la actividad 4 Se efectúa la socialización los lineamientos establecidos, metodologías y políticas, a las partes involucradas l Sistema Gestión según el alcance y aplicabilidad. Luego realizar la socialización intifica y efectúa el levantamiento activos información críticos a su cargo, bajo los lineamientos establecidos en la metodología gestión riesgos. Se sarrolla el Plan Tratamiento Riesgos, análisis controles implementados y formulación la Declaración SoA, estimación recursos, responsables y prioridas, esto se realiza conjuntamente con las Unidas Administrativas, Coordinación General Tecnología (Encargado seguridad informática) y más partes relacionadas con el alcance l Sistema Gestión. Se revisa el análisis riesgos, la intificación riesgos residuales, aceptación riesgos, Plan Tratamiento Riesgos, Declaración SoA. Correctos? SI: Se aprueban y continúa en la actividad 10. Experto en Administración Técnica ( ) Comité y Continuidad l Negocio Experto en Administración Técnica ( ) Responsable proceso Experto en Administración Técnica ( ) Comité y Continuidad l Negocio Metodologías (Activos y Gestión Riesgos ) Políticas Acta aprobación metodologías y políticas. Acta Socialización Inventario l activos información críticos. Plan Tratamiento Riesgos y Declaración SoA. Acta aprobación Coordinación General Planificación y Mejoramiento Continuo 11

12 Emitir directrices a responsables para la finición proyectos y cronogramas implementación alineados al PTR y SoA Preparar proyectos implementación según su responsabilidad Realizar el Plan Director NO: Regresa a la actividad 8. Una vez aprobado se establecen las métricas medición la eficacia controles o grupo controles. Las directrices finen los mecanismos operación l Sistema Gestión se las fine conjuntamente con las partes involucradas, se terminan responsables finición proyectos y cronogramas implantación, alineados al Plan Tratamiento Riesgos y Declaración SoA finidos anteriormente. Se formaliza con una acta reunión, se comunica por memorando Establecer los proyectos rivados l Plan Tratamiento Riesgos y Declaración SoA, se finen cronogramas, recursos necesarios, responsables conjuntamente con la Dirección Nacional Planificación y Control Gestión Se realiza el Plan Director con la consolidación y priorización proyectos implementación l Sistema Gestión constando principalmente : Establecimiento Proyectos, métricas para medición eficacia l Sistema Gestión, seguimiento proyectos y validación estrategias. Ejecución l GAP Análisis Establecimiento recursos y responsables. Planes Capacitación Plan Auditorías Definición Estrategias Planes Tratamiento Riesgos y claración SoA. Experto en Administración Técnica ( ) Responsable proceso l Acta reunión / Memorando Acta Constitución Proyectos Implementación Experto en Plan Director Administración Seguridad Técnica la (. ) Coordinación General Planificación y Mejoramiento Continuo 12

13 14 15 Clasificación y priorización proyectos acuerdo a: Procencia: (normativas, cumplimiento obligatorio, análisis riesgos y tipos acción) y calificación por parte l Comité y Continuidad l Negocio: Desempeño l Sistema Gestión Plan Mejoras. Revisiones la Dirección. Se revisa el Plan Director Revisar el Plan. Director Acuado a necesidas y requerimientos institucionales?? SI: Actividad15. NO: Regresa a la actividad 12. Se revisa el Plan Director. Acuado a necesidas y Revisar y aprobar requerimientos institucionales?? el Plan Director SI: Aprueba y va al siguiente subproceso Implementación la NO: Regresa a la actividad 12. FIN Comité y Continuidad l Negocio Comité y Continuidad l Negocio Acta Operación l SGSI y aprobación l PDSI Acta Operación l SGSI y aprobación l PDSI 3. SUBPROCESO IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN 3.1. FICHA DEL SUBPROCESO Descripción: PROPÓSITO: Implementar y operar el Plan Director en la Superintenncia Bancos, con el fin mitigar los posibles riesgos seguridad la información intificados mediante el uso controles y proyectos seguridad la información. DISPARADOR: Dar cumplimiento al Plan Director, necesidas y requerimientos institucionales internos y externos. Coordinación General Planificación y Mejoramiento Continuo 13

14 Productos/Servicios l Subproceso: ENTRADAS: Plan Director aprobado. Nuevo proyectos que refieran a la seguridad la información. Plan Director Informe l cumplimiento implementación l Plan Director y proyectos rivados. Manuales, procedimientos, instructivos Seguridad la. Informe avances la implementación la documentación obligatoria y soporte l Sistema Gestión y Plan Director. Sistema Métricas l Sistema Gestión. Responsable Subproceso: l Director(a) Procesos y Mejoramiento Continuo 3.2. NORMAS GENERALES DEL PROCESO La implementación la, será ejecutada en base al Plan Director, realizado conjuntamente con las Unidas Administrativas, ntro l alcance l Sistema Gestión. Los responsables las unidas administrativas serán los encargados gestionar la asignación los recursos necesarios para la implementación la Seguridad la enmarcados en sus proyectos establecidos en el Plan Director. Las Unidas Administrativas, berán ajustarse a las directrices seguridad la información, finidas como parte la Implementación la, aprobadas y socializadas en el Comité y Continuidad l Negocio. El experto técnico seguridad la información, verificará, registrará y controlará los resultados la implementación l Plan Director, consirando para el efecto las actividas, dificultas, Plan Tratamiento Riesgos, Declaración SoA. La Coordinación General Tecnologias la y Comunicación, berá incluir periódicamente en su Plan Tratamiento Riesgos TI, el tratamiento los riesgos intificados sobre activos información críticos tecnológicos. Coordinación General Planificación y Mejoramiento Continuo 14

15 3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO Coordinación General Planificación y Mejoramiento Continuo 15

16 3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO # Actividad Descripción Responsable Coordinar la ejecución los proyectos implementación la Seguridad la. Emite las directrices priorización para la implementación l Plan Director a las partes involucradas, realiza el seguimiento los avances a dicho Plan. Se sarrolla el marco documental obligatorio establecido en las normas o buenas prácticas y documentación nivel estratégico, dicho marco documental consiste en un conjunto directrices acerca la documentación que se be generar para la Desarrollar el marco documental que soporta la S.I., Plan Director S.I. y elaborar o actualizar implementación documentos l SGSI Revisar y aprobar la documentación soporte y rivada l Sistema Gestión. Se elabora o actualiza la documentación que se requiere o soporta la o Plan Director Seguridad la. Se revisa y aprueba la documentación realizada. Correcta? SI: Se aprueban y continúa en la actividad 4 NO: Regresa a la actividad 2. Se socializa la documentación soporte la (marco normas, Director/a Procesos Mejoramiento Continuo y Experto en Administración Técnica seguridad la información Comité y Continuidad l Negocio Coordinar la socialización la documentación Experto en soporte manuales, procedimientos, Administración instrucciones) y Plan Técnica y l Director seguridad Plan Director, a las partes información la interesadas, según la. aplicabilidad y el alcance las mismas. Implementar Implementa los proyectos Responsable l documentación rivados l Plan Director y proceso Documentos generados Manuales, procedimientos, instructivos, etc. Acta aprobación la documentación Acta Difusión Informe avances la Coordinación General Planificación y Mejoramiento Continuo 16

17 6 7 soporte la y Plan Director Definir el sistema métricas medición sempeño los controles la Revisar documentación generada la documentación soporte la Seguridad la. Adicionalmente se elabora un informe avances la implementación. Se establece las métricas medición sempeño con las cuales se medirá el avance implementación y efectividad los controles la. Informe avances la implementación la documentación soporte l S.I., Plan Director S.I. y Sistema Métricas l S.I. serán revisados en su totalidad, con el fin evaluar su pertinencia. OK? Si: Subproceso Monitoreo y Revisión No: Actividad 5 y 6. Experto en Administración Técnica seguridad la información Director/a Procesos Mejoramiento Continuo y implementación la documentación soporte l S.I. y Plan Director S.I. Sistema Métricas l S.I. Coordinación General Planificación y Mejoramiento Continuo 17

18 4. SUBPROCESO MONITOREO Y REVISIÓN DEL SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN 4.1. FICHA DEL SUBPROCESO Descripción: PROPÓSITO: Evaluar la a través auditorías que permitan terminar el sempeño y conformidad la documentación; midiendo el grado cumplimiento los objetivos, planes y programas trazados en lo referente a la seguridad la información. DISPARADOR: Cumplimiento al plan auditorías y revisión indicadores. Necesidad análisis madurez l sistema gestión seguridad la información. Productos/Servicios l Subproceso: ENTRADAS: Plan Auditorías. Sistema Métricas l Sistema Gestión Seguridad la. Informes evaluación madurez seguridad información. Informe auditoría l Sistema. Informe medición sempeño l Sistema. Responsable Subproceso: l Director(a) Procesos y Mejoramiento Continuo 4.2. NORMAS GENERALES DEL PROCESO Anualmente se be preparar el Plan Auditorías la y be ser una parte l Plan Director. Las auditorias se efectúan con base a los riesgos y amenazas terminadas en la etapa planificación. En dicha etapa, se verifica si las brechas seguridad la información fueron cerradas y si los controles implementados son efectivos. Para cada proceso a auditar se be elaborar el respectivo Plan auditorías la y más documentos trabajo la auditoría. Coordinación General Planificación y Mejoramiento Continuo 18

19 En los casos que se generen no conformidas o reportes mejoramiento, se be registrar en el formato Informe Auditorías la. De ser necesario, la presenta todos los resultados y propuestas l monitoreo l sistema al Comité y Continuidad l Negocio. Coordinación General Planificación y Mejoramiento Continuo 19

20 4.3. DIAGRAMA DE FLUJO DEL SUBPROCESO Coordinación General Planificación y Mejoramiento Continuo 20

21 4.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO # Actividad Descripción Responsable 1 2 Elaborar plan auditorías Aprobar plan auditorías Se verifican los hallazgos que se hayan tenido auditorías anteriores (en el caso que hayan existido). Así también, controles, brechas o estrategias seguridad la información que se hayan presentado, con la finalidad terminar la funcionalidad o estado hallazgos. Una vez elaborado el plan, se presenta para aprobación l Coordinador/a General Planificación y Mejoramiento Continuo e Intennte General Gestión Institucional. De esta manera, se proce a disponer su cumplimiento al responsable. Al iniciar la auditoría procesos, esta comienza con la reunión apertura, en don se presenta el plan auditoría, se resuelven las dudas existentes, así mismo se entrega el cronograma, directrices generales e informa las áreas a auditar. Experto en Administración Técnica (Seguridad la ) Coordinador/a General Planificación y Mejoramiento Continuo e Intennte General Gestión Institucional Documentos generados Plan auditorías SGSI Memorando / correo electrónico 3 Realizar auditoría Se proce a realizar entrevistas en los diferentes puestos trabajo acuerdo a la lista chequeo. El auditor realiza preguntas, solicita y revisa la documentación soporte requerida. Examina la evincia objetiva y registra la información esencial y/o hallazgos tectados en la auditoría. Una vez terminada la auditoría y antes la reunión cierre, el auditor lír y el equipo auditores se reúnen para discutir y evaluar la evincia objetiva hallada durante la auditoría. Analizar las No Conformidas Informe Experto en Auditoría Administración Sistema Técnica (Seguridad Gestión la ) l Coordinación General Planificación y Mejoramiento Continuo 21

22 tectadas, para asegurar su valiz como resultado la auditoría Revisar informe hallazgos y presentar scargos Realizar monitoreo revisión Analizar indicadores y realizar informe Para terminar se compila cualquier ficiencia encontrada en la auditoría se documenta registrando la No Conformidad o Conformidad, en el Informe Auditoria. Revisa y analiza el informe auditoría l Sistema Gestión, si fuera el caso presenta los scargos respectivos en don se aplique. Firmar la aceptación l informe auditoría. Ir a actividad 7. Realiza el monitoreo los errores, brechas, eventos e Experto el incintes presentados como y parte la operación l Sistema Gestión. Al analizar los indicadores los resultados la implementación l Sistema Gestión Seguridad se mi consirando principalmente lo siguiente: Si los controles efectuados fueron efectivos conforme los requisitos y necesidas establecidos. Verificar el cumplimiento las políticas y objetivos l Sistema Gestión e incintes. Responsable proceso en Administración Técnica (Seguridad la ) Experto en Administración Técnica (Seguridad la ) Papeles trabajo Informe medición sempeño l Sistema Gestión 7 Consolidar información auditorías e indicadores para revisión Realizar el seguimiento y revisión procedimientos. Se consolida la información resultante constando principalmente lo siguiente: Resultados auditoría Responsable proceso l Informes evaluación madurez seguridad información Coordinación General Planificación y Mejoramiento Continuo 22

23 y revisiones. Retroalimentación las partes interesadas. Estado acciones correctivas y preventivas. Vulnerabilidas y amenazas no tratadas acuadamente en la evaluación l riesgo previo. Resultados mediciones eficacia. Resultados acciones revisiones previas la dirección. Y las recomendaciones mejora. 6 Evaluar y aprobar la conveniencia, acuación, eficacia y planes mejora l SGSI Los cuales servirán insumo para la revisión por parte la dirección. Se evalúa la información consolidada en el informe evaluación madurez seguridad información y más fuentes l SGSI, tomando la cisión : Mejorar la eficacia l Sistema Gestión Actualización la evaluación y plan tratamiento riesgos. Modificación procedimientos, controles, metodologías, políticas, y más documentación soporte l Sistema Gestión. Aprobar planes mejoras. Necesidas recursos Mejoramiento en la medición efectividad los controles. Va al subproceso Mantenimiento y Mejora l Sistema Gestión Comité y Continuidad l Negocio Memorando estado madurez l Sistema Gestión Coordinación General Planificación y Mejoramiento Continuo 23

24 5. SUBPROCESO MANTENIMIENTO Y MEJORA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 5.1. FICHA DEL SUBPROCESO Descripción: Productos/Servicios l Subproceso: PROPÓSITO: Mantener y mejorar constantemente la eficacia l Sistema Gestión, conforme la implementación la política, objetivos estratégicos, auditorías, análisis los eventos monitorizados, mediante la implementación las acciones correctivas o preventivas. DISPARADOR: Cumplimiento acciones correctivas contempladas en el informe auditorías y sempeño l Sistema Gestión ENTRADAS: Informes evaluación madurez seguridad información. o Informe cumplimiento lineamientos l plan mejora. Responsable Subproceso: l Director(a) Procesos y Mejoramiento Continuo 5.2. NORMAS GENERALES DEL PROCESO Cada unidad administrativa responsable l proceso, be elaborar el plan mejora solicitado por la DPMC. El experto en administración técnica seguridad la información be registrar, monitorear y dar seguimiento a los planes acción y/o hallazgos levantados como parte l Plan Mejora l Sistema Gestión información. La en conjunto con los responsables los procesos, berán establecer los compromisos en el Plan Mejora, consirando los responsables y plazos. Coordinación General Planificación y Mejoramiento Continuo 24

25 5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO Coordinación General Planificación y Mejoramiento Continuo 25

26 5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO # Actividad Descripción Responsable Elaborar mejora plan Implementar acciones preventivas - correctivas Implementar acciones preventivas - correctivas Realizar seguimiento a implementación plan mejora, acciones preventivas - correctivas Revisar cumplimiento Elabora el plan mejoras con el asesoramiento l Experto en Administración Técnica en el cual se intifica y termina las oportunidas mejora y las no conformidas la operación y/o implementación. Se evalúan las acciones para evitar la ocurrencia no conformidas o que las intificadas previamente no se vuelvan a evinciar. Se intifican las acciones necesarias para evitar que una oportunidad mejora no se manifieste en una no conformidad. Implementa las acciones preventivas o correctivas estratégicas necesarias, se registran los resultados las acciones tomadas y se envía un informe al Comité Seguridad la y Continuidad l Negocio para su seguimiento. Ir a actividad 5. Implementa las acciones preventivas o correctivas ntro su ámbito aplicación, se registran los resultados las acciones tomadas y se remite un informe avance al experto seguridad la información para su seguimiento. Revisa las acciones preventivas y correctivas tomadas, para lo cual se be intificar las evincias objetivas que aseguren que las acciones han sido eficaces. Y esto se consolida en un informe seguimiento el cual es remitido al Comité y Continuidad l Negocio. Evalúan el informe seguimiento la implantación Responsable l proceso Experto en Administración Técnica seguridad la información Responsable l proceso Experto Administración Técnica Coordinador/a General en Documentos generados Plan Mejora l Sistema Gestión Informe implementación acciones preventivas - correctivas Informe implementación acciones preventivas - correctivas Informe seguimiento acciones preventivas - correctivas Informe mejora continua - Informe Coordinación General Planificación y Mejoramiento Continuo 26

27 los lineamientos establecidos en plan mejora y acciones correctivas eficaz las acciones preventivas y/o correctivas por parte las unidas responsables l proceso, con el propósito l mejoramiento continuo l Sistema Gestión. Se formaliza mediante un acta reunión. FIN Planificación Mejoramiento Continuo Director/a Procesos Mejoramiento Continuo y y y cumplimiento lineamientos l Plan Mejora 6. INDICADORES DE GESTIÓN DEL PROCESO Los indicadores se encuentran scritos como anexos en el formato F-GSI-01 - Fichas Indicadores Procesos. 7. TÉRMINOS Y DEFINICIONES Activo información (AI).- como parte l Sistema Gestión, se refiere a cualquier información o elemento relacionado con la gestión o tratamiento la misma pudiendo ser: sistemas, soportes, edificios, personas, etc., con valor para la institución. Bitácora.- es un registro las acciones, efectuadas en un trabajo, tarea o actividad, la cual incluirá los sucesos que tuvieron lugar, las fallas que se produjeron, los cambios y los costos ocasionados. CID.- acrónimo español confincialidad, integridad y disponibilidad, las dimensiones básicas la seguridad la información. CSIyCN.- Comité y Continuidad l Negocio la SB Compromiso la Dirección.- lineamiento firme la Dirección la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora l Sistema Gestión. La versión 2013 ISO lo engloba bajo la cláusula Lirazgo. Declaración SoA (Declaración Aplicabilidad).- Documento que enumera los controles aplicados por el Sistema Gestión la organización -tras el resultado los procesos evaluación y tratamiento riesgos- y su justificación, así como la justificación las exclusiones controles l anexo A ISO Estándares.- Conjunto parámetros técnicos, seguridad, a configurar en cada uno los distintos componentes tecnología. Gestión incintes seguridad la información.- Procesos para tectar, reportar, evaluar, responr, tratar y aprenr los incintes seguridad la información. Coordinación General Planificación y Mejoramiento Continuo 27

28 Gestión Riesgos (GRSI).- Actividas coordinadas para dirigir y controlar los riesgos asociados a los Activos críticos la Organización. Gestión riesgos.- Actividas coordinadas para dirigir y controlar una organización con respecto al riesgo. Se compone la evaluación y el tratamiento riesgos Inventario activos.- Lista todos aquellos recursos (físicos, información, software, documentos, servicios, personas, intangibles, etc.) ntro l alcance l Sistema Gestión, que tengan valor para la organización y necesiten por tanto ser protegidos potenciales riesgos. Normas.- Definiciones concretas sobre cada uno los temas seguridad la información para las distintas tareas que se sarrollan en la SBS. Plan Tratamiento Riesgos.- Intifica las acciones, recursos, responsabilidas y prioridas en la gestión los riesgos seguridad la información. Política General.- Conjunto principios generales, que soportan la gestión la seguridad la información en concordancia con los requerimientos institucionales, leyes, regulaciones. Procedimientos.- Contienen un talle actividas o acciones a seguir por el personal, ante distintas situaciones que surgen actividas operativas. Riesgo.- Posibilidad que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo información. Suele consirarse como una combinación la probabilidad un evento y sus consecuencias. SGSI.- Sistema Gestión. Vulnerabilidad.- Debilidad un activo o control que pue ser explotada por una o más amenazas. Coordinación General Planificación y Mejoramiento Continuo 28

29 8. LISTADO DE DOCUMENTO Y ANEXOS 8.1. DOCUMENTOS Código Nombre l documento Ubicación Física Ubicación Digital Manual l Sistema Gestión Acta aprobación l Manual Metodologías (Activos y Gestión Riesgos ) Políticas Acta aprobación metodologías y políticas. Acta Socialización Inventario activos información críticos. Plan Tratamiento Riesgos Declaración SoA. Acta Constitución Proyectos Implementación Plan Director Seguridad la. Acta Operación l SGSI y aprobación l PDSI Manuales, procedimientos, instructivos, etc. Acta aprobación la documentación Acta Difusión Informe avances la implementación la documentación soporte l S.I. y Plan Director S.I. Sistema Métricas l S.I. Informe medición sempeño l Sistema Gestión Informe Auditoría l Sistema Gestión Informes evaluación madurez seguridad información Memorando estado Coordinación General Planificación y Mejoramiento Continuo 29

30 madurez l Sistema Gestión Plan Mejora l Sistema Gestión Informe implementación acciones preventivas - correctivas Informe seguimiento acciones preventivas - correctivas Informe mejora continua - Informe cumplimiento lineamientos l Plan Mejora 8.2. ANEXOS Anexo 1 Ficha Indicadores Gestión Procesos Gestión - F-GSI-01 Coordinación General Planificación y Mejoramiento Continuo 30