PROCEDIMIENTO DE GESTIÓN DE ACTIVOS DE INFORMACIÓN

Transcripción

1 REPÚBLICA DE CHILE MINISTERIO DE EDUCACIÓN PROCEDIMIENTO DE GESTIÓN DE ACTIVOS DE INFORMACIÓN Noviembre 2012

2 Página : 2/11 FIRMA DE LOS RESPONSABLES ELABORADO POR Paola Fuentes A. Jefe de Proyecto, Área Seguridad de la REVISADO Y APROBADO POR Ricardo Cid Jefe Área Seguridad de la CONTROL DE VERSIONES REVISIONES DEL DOCUMENTO Nº Revisión Fecha Aprobación Motivo de la revisión Páginas Modificadas Autor 0(Cero) 29/11/2012 Elaboración inicial Todas Paola Fuentes A.

3 Página : 3/11 ÍNDICE 1) OBJETIVO ) ALCANCE ) REFERENCIAS ) DIAGRAMA DE FLUJO ) DESARROLLO ) INDICADORES ) RESPONSABLES ) GLOSARIO DE TÉRMINOS... 9

4 Página : 4/11 1) OBJETIVO Documentar el procedimiento que gestiona los activos y registros de información, en el Ministerio de Educación. 2) ALCANCE Todos los activo y registros de información cuya naturaleza, puede ser física o digital en el Ministerio de Educación, dentro del alcance que defina el Comité de Seguridad de la del mismo Ministerio. 3) REFERENCIAS Política de Seguridad de la Política de Clasificación y Manejo de Política de Protección y Privacidad de los Datos Norma ISO 27001, Dominio de Gestión de las Comunicaciones y Operaciones Dominio de Continuidad del Negocio Dominio de Cumplimiento. Controles A A A A de la ISO/IEC 27001

5 Página : 5/11 4) DIAGRAMA DE FLUJO

6 Página : 6/11 5) DESARROLLO 1. Inventario de Activos y Registros de Seguridad de la El Área de Seguridad de la, orienta el proceso de inventario de activos y registros de información, coordinando con dueños y custodios de información, las tareas de identificación de los Coordinación Nacional de Tecnología de elementos necesarios. Para la realización del inventario, el Área de Seguridad de la, utiliza las siguientes herramientas como referencia : Guía Metodológica (v. 15-jun-2012), criterio definido por DIPRES. Funcionarios Dueños Instrumentos (v. 15-jun-2012), criterio definido por DIPRES. de Procesos en el Ministerio de En este último documento, se utiliza la hoja de Etapa 1 Inventario, como repositorio de la información identificada. Educación El Área de Seguridad de la da las pautas para que los Funcionarios Dueños de Procesos (dueños de activos) y la Coordinación Nacional de Tecnología (custodios de activos), realicen adecuadamente la identificación o inventario de activos y registros de información del Ministerio de Educación. Estas actividades tendrán por objetivo rescatar los siguientes datos: Proceso Subproceso Etapa relevante Activo Identificador o código Tipo Toda la información recolectada, estará dentro del alcance definido por el Área de Seguridad de la. 2. Clasificación y Etiquetado de Activos y Registros de Seguridad de la El Área de Seguridad de la, lidera el proceso de clasificación y etiquetado, coordinando con dueños y custodios de información. Para esta actividad, se busca completar la siguiente Coordinación información, referida a los activos o registros identificados:

7 Página : 7/11 Nacional de Tecnología de Funcionarios Dueños de Procesos en el Ministerio de Educación Ubicación Responsable / dueño Custodio Medio de almacenamiento Tiempo de retención Confidencialidad Integridad Disponibilidad Además de las herramientas antes definidas, el Área de Seguridad de la, deberá cumplir con las directrices indicadas en la Política de Clasificación y Manejo de. 3. Definición de Criterios de Protección de Activos y Registros de Seguridad de la El Área de Seguridad de la entrega a dueños y custodios, las buenas prácticas necesarias para la protección de activos y registros de información. En este sentido, también considera las directrices definidas por la Política de Protección y Privacidad de los Datos. Pero los aspectos más relevantes de protección de activos y registros de información son los siguientes: Activos o Registros Físicos o La clasificación y organización de la información física, deberá obedecer las buenas prácticas del Manual de Funciones y Procedimientos Archivo y Digitalización, de la Unidad de Archivo y Digitalización, del Ministerio de Educación. En este documento se definen como documentos ministeriales que requieren un trato oficial, las resoluciones exentas y con toma de razón, decretos exentos y con toma de razón, decretos con fuerza ley, además de los oficios en regiones. o El almacenaje o custodia de los activos y registros físicos deberán ser los adecuados para el nivel de criticidad definido, considerando los puntos 3, 5 y 8 del manual referido, y es gestionado por la Unidad de Archivo y

8 Página : 8/11 Digitalización. o De conformidad con lo establecido en el artículo 14 del Decreto con Fuerza de Ley No 5.200, de , los activos o registros físicos del Ministerio de Educación, que haya cumplido cinco (5) años de antigüedad, deben ingresar anualmente al Archivo Nacional, siguiendo las indicaciones del punto 9, del manual. Activos o Registros Digitales o El control de acceso a los activos y registros deberá ser correctamente manejado. Preguntas sobre quién tiene acceso y qué tipo de permiso tiene, deberán ser respondidas, adecuadamente, cuando el Área de Seguridad de la revise el estado del activo o registro. o El respaldo de los activos y registros deberá ser un proceso adecuado para garantizar la disponibilidad de la información. Pero además los dueños de los activos deberán ser partícipes en las definiciones de las políticas de respaldo a ser implementadas. o Cuando el activo o registro, sea utilizado como evidencia, deberá ser grabado en algún medio no modificable (por ejemplo CD o DVD). Además todas las copias deberán ser controladas y manipuladas adecuadamente para evitar que se dañen. 4.1 Monitoreo de Registros Coordinación El procedimiento de paso a producción se puede revisar en el Nacional de Procedimiento de Monitoreo de Registros. Tecnología de 4.2 Manipulación de Activos y Registros de Funcionarios Dueños de Procesos en el Los funcionarios, dueños o custodios, manipularán adecuadamente los activos y registros de información. Deberán cumplir con todas las Ministerio de directrices definidas en las diferentes políticas referidas al tema y Educación publicadas por el Ministerio de Educación.

9 Página : 9/11 6) INDICADORES KPI s Descripción Periodicidad No definido. 7) RESPONSABLES a) Área de Seguridad de la b) Coordinación Nacional de Tecnología de c) Funcionarios Dueños de Procesos en el Ministerio de Educación La responsabilidad en la mantención de este procedimiento es de la persona Encargada del Área de Seguridad de la o de quien este designe. 8) GLOSARIO DE TÉRMINOS Los términos y sus definiciones en este documento, pueden ser consultados en el Estándar de Términos y Definiciones. *** FIN DEL DOCUMENTO ***