MANUAL DE SEGURIDAD DE LA INFORMACIÓN
|
|
- Francisco Valenzuela Vázquez
- hace 8 años
- Vistas:
Transcripción
1 MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19
2 Contenido 1. INTRODUCCIÓN OBJETIVO ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN NORMATIVIDAD POLÍTICA DEL SGSI TERMINOS Y DEFINICIONES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Funciones del comité Cargos del comité: METODOLOGÍA DE GESTIÓN DE RIESGOS Objetivo Documentos de referencia Metodología de evaluación y tratamiento de riesgos Identificación y valoración de los activos de información Identificación de activos de información Identificación de Propietario, responsable y ubicación Clasificación de los activos de información Valoración de los activos de Información Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Identificación de las vulnerabilidades Identificación de los Riesgos Selección de la Probabilidad de Ocurrencia Determinar el impacto en los Activos de Información Valoración del Riesgo Inherente Identificación de controles existentes Definición de los niveles de aceptación de Riesgos Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Preparación de planes de tratamiento Página 2 de 19
3 Monitoreo Revisiones periódicas de la evaluación y el tratamiento de riesgos Página 3 de 19
4 1. INTRODUCCIÓN Con el aumento en el número de incidentes de seguridad de la información en las entidades los cuales generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión de Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptables para la entidad. El Ministerio de Ambiente y Desarrollo Sostenible decide establecer, implementar, mantener y mejorar un SGSI; es por ello necesario construir un manual de seguridad de la información donde se encuentre la normatividad, alcance, política, comité de seguridad y la metodología de gestión de riesgo del SGSI. 1. OBJETIVO Proporcionar un panorama general del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible. 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de políticas públicas ambientales, en la sede de Bogotá, Calle 37 No. 8 40, de acuerdo a la declaración de aplicabilidad. 3. NORMATIVIDAD El diseño e implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible se basa normatividad exigida por el Ministerio de las Tecnologías de la Información y Comunicaciones en el Manual 3.1 para la Implementación de la Estrategia de Gobierno en línea para entidades del Orden Nacional. Ley 1273 de 2009 denominada Protección de la información y los datos, normas ISO 2700 Sistema de Gestión de Seguridad de la Información, ISO Guía de buenas prácticas de seguridad de la información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información. Página 4 de 19
5 4. POLÍTICA DEL SGSI El Ministerio de Ambiente y Desarrollo Sostenible, busca que la información de la entidad preserve su confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles aceptables. El Ministerio de Ambiente y Desarrollo sostenible se compromete a cumplir con las disposiciones constitucionales y legales aplicables a la Entidad relacionadas con la seguridad de la información, además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de la mejora continua de la Entidad, apoyando el logro de sus objetivos y el cumplimiento de los compromisos institucionales con: la lucha anticorrupción, lucha antipiratería, con la confidencialidad de la información, la circulación y divulgación adecuada de la información, y con el gobierno en línea. Como objetivo de la Política se tienen: Asegurar los activos de información del Ministerio de Ambiente y Desarrollo Sostenible en su confidencialidad, integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales. Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes que afecten continuidad de las operaciones. Cumplir con legislación que aplica al Ministerio de Ambiente y Desarrollo Sostenible para prevenir sanciones por entes reguladores de acuerdo a la normatividad Colombiana vigente. La Política de Seguridad de la Información del Ministerio de Ambiente y Desarrollo sostenible será revisada al menos 1 vez al año o cuando se presenten cambios significativos en la Entidad como: Objetivos y procesos. La tecnología. Condiciones contractuales, regulatorias y legales. Página 5 de 19
6 5. TERMINOS Y DEFINICIONES Establecer las normas que se deben cumplir en cuanto a la clasificación, manejo y etiquetado de la información, con el fin de asegurar que reciba el nivel de protección adecuado de la información del MADS. Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la empresa e impidan el logro de sus objetivos. Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles. 6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN El comité de seguridad se encarga de definir el alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a una mejora constante. 6.1 Funciones del comité Las funciones del comité son las siguientes: Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año. Revisar y monitorear los incidentes de seguridad de la información. Revisar y aprobar los proyectos de seguridad de la información. Página 6 de 19
7 Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del SGSI. Realizar otras actividades de alto nivel relacionadas con la seguridad de la información. Establecer proyectos espaciales para la identificación de amenazas potenciales. Evaluar la efectividad de las medidas tomadas. Elaborar un plan de formación y sensibilización. Presupuestar los recursos necesarios. Planificar auditorías internas periódicas del SGSI. Sancionar las medidas de seguridad en el procesamiento de la información. Validación jurídica de las medidas a implantar. Reportar a la alta gerencia sobre eventos e incidentes de seguridad 6.2 Cargos del comité: El comité debe estar conformado por miembros de alto nivel de los despachos, oficinas y áreas del MADS. Los cargos que hacen parte del comité se describen en la siguiente tabla: CARGOS FUNCIONES RESPONSABILIDADES Coordinador de Seguridad de la información Jefe de Control Interno Disciplinario Coordinar las acciones del Comité de Seguridad e impulsar la implementación y cumplimiento de la presente Política. Brindar Seguridad de los sistemas de información del MADS. Clasificar la información de acuerdo con el grado de sensibilidad y criticidad para la correspondiente área. Documentar y mantener actualizada la información, y definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones, perfiles y competencias. Notificar a todo el personal de sus obligaciones respecto a la verificación, desarrollo, planes y programas de auditoría en los tiempos establecidos tomando como insumo principal los diagnósticos y matrices de riesgo. Informar trimestralmente del estado de la seguridad de la información al nivel directivo del MADS. Realizar auditorías periódicas que permitan verificar el cumplimiento del SGSI. Página 7 de 19
8 Coordinador de Infraestructura Jefe Jurídico Coordinador Talento Humano Coordinador Financiero Profesional especializado (TIC) Cumplir con los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MADS. Verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MADS con sus empleados y con terceros. Notificar a todo el personal de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan. Presupuestar y aprobar los recursos necesarios para implantar y soportar las políticas de seguridad Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y procedimientos de la Información vigente del MADS. Implementación de controles técnicos en seguridad informática. Realización de asesorías en materia legal al MADS, en cuanto se refiere a la seguridad de la información. Promover la formación y concientización en materia de seguridad de la información dentro de su ámbito de responsabilidad. Realizar informes trimestrales de los recursos financieros mantener y mejorar las políticas de seguridad. Supervisión del cumplimiento según lo establecido en la política de seguridad de la Información del MADS por parte de su personal a cargo. Nota: El Jefe de Control Interno Disciplinario, Jefe Jurídico, el coordinador de Talento Humano y/o el coordinador financiero solo serán llamados a reunión de comité si es justificado tratar temas de sus correspondientes áreas. 7. METODOLOGÍA DE GESTIÓN DE RIESGOS 7.1 Objetivo El objetivo de la metodología es identificar, evaluar y tratar y monitorear los riesgos de la información en el Ministerio de Ambiente y Desarrollo Sostenible y definir los niveles aceptables de riesgo según la norma ISO/IEC Página 8 de 19
9 Establecer el marco conceptual para la gestión de activos de información y para la gestión de riesgos de seguridad de la información; contemplando la definición de las amenazas a las que están expuestos dichos activos y las vulnerabilidades que pueden ser explotadas por éstas amenazas, al igual que los impactos, probabilidades, evaluación de riesgos y verificación de los controles existentes a ser tenidos en cuenta en el análisis y evaluación de riesgos. Facilitar la implantación de una herramienta metodología para realizar un inventario de los riesgos de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible de una manera sistemática y ordenada. 7.2 Documentos de referencia Norma ISO/IEC Política del Sistema de Gestión de Seguridad de la Información. Plan de tratamiento de Riesgos. Matriz de Riesgos. 7.3 Metodología de evaluación y tratamiento de riesgos La Metodología empleada tiene un enfoque para la gestión de riesgos de cara a los activos de información identificados y valorados en el Ministerio del Ambiente y Desarrollo Sostenible y poder diseñar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad Identificación y valoración de los activos de información Identificación de activos de información Según la norma ISO/IEC un activo de información es cualquier elemento que tenga valor para la organización y, en consecuencia, deba ser protegido. El primer paso es la identificación de los activos de información y debe realizarse teniendo en cuenta el alcance definido y aprobado por la alta dirección para el Sistema de Gestión de Seguridad de la información, las fuentes de identificación de los activos de información se remite a los procesos y responsables que interactúan con el alcance del SGSI, y son registrados en la Matriz de Riesgos. Actividades claves para la identificación Definir personal y agenda de entrevistas Página 9 de 19
10 Establecer la forma de recopilar y tabular la información capturada Identificación de Propietario, responsable y ubicación Los activos de información previamente identificados en el paso anterior, deben tener su respectivo Propietario, área o proceso donde se crea o custodia dicho activo; Responsable, es un funcionario perteneciente al área o proceso propietario de uno o un grupo de activos de información quien debe velar por que los controles de seguridad sean implementados; Ubicación, es el área física donde se mantiene el activo de información Clasificación de los activos de información Los activos de información serán clasificados de acuerdo a un tipo y clase en el Ministerio de Ambiente y Desarrollo Sostenible: Tipo de activo Activos de Información Puros Activos de Tecnologías de Información Clase de activo Información Digital Información Física Activos de Información intangibles Servicios de información Software Hardware de TI Activos de Información Recurso Humano Controles ambientales Empleados No Empleado Tabla 1. Clasificación de Activos de información Valoración de los activos de Información Posteriormente, cada activo de información debe ser valorado de acuerdo a su impacto en términos de la pérdida de los tres (3) principios básicos de la seguridad de la información como son la: Confidencialidad, Integridad y Disponibilidad. Página 10 de 19
11 Confidencialidad: Es la propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Integridad: Es la propiedad de que la información sea accesible y utilizable por solicitud de un individuo o entidad autorizada cuando se requiera. Disponibilidad: Es la propiedad de salvaguardar la exactitud y estado completo de los activos de información. Partiendo de las tres (3) características de la seguridad de la información se establece la escala de calificación que contempla cinco (5) niveles de impacto: Valoración Cuantitativa Valoración Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto 5 Muy Alto Tabla 2. Confidencialidad, Integridad y Disponibilidad Confidencialidad (C): Integridad (I): Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se puede acceder por cualquier usuario Se puede acceder solo por funcionarios o contratistas de la entidad. Se puede acceder por Líderes de Proceso. Solo es posible el acceso por el comité de Gerencia. Solo es posible el acceso por la 5 Muy Alto Alta Dirección. Tabla 3. Confidencialidad Página 11 de 19
12 Escala Cuantitativa Disponibilidad (D): Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Puede ser modificado en cualquier momento y cualquier usuario Es posible la modificación por cualquier funcionario o contratista de la entidad. Es posible la modificación por Líderes de Proceso. Solo se modifica bajo autorización del comité de Gerencia. Solo se modifica con autorización 5 Muy Alto de la Alta Dirección. Tabla 4. Valoración integridad Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción El activo No está disponible por 1 semana y no afecta a la Entidad El activo No está disponible hasta por 3 días y no afecta a la Entidad El activo no puede estar no disponible por más de 1 día. El activo no puede estar no disponible por más de 4 horas. El activo debe estar disponible 5 Muy Alto siempre. Tabla 5. Valoración disponibilidad Cada activo de información será valorado en términos de Confidencialidad, Integridad y Disponibilidad. El valor del activo de información está dado por: Valor Activo = C + I + D (1) La valoración de los activos de información estará clasificada según la siguiente escala: VALOR DEL ACTIVO Clasificación Valor Muy Alto Alto Página 12 de 19
13 Medio 8-10 Bajo 5-7 Muy bajo 3-4 Tabla 7. Clasificación del Valor del Activo Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Las amenazas son de origen natural o humano y pueden ser accidentales o deliberadas, algunas amenazas pueden afectar a más de un activo generando diferentes impactos. La siguiente tabla presenta las amenazas identificadas en el Ministerio de Ambiente y Desarrollo Sostenible: Acceso no autorizado Avería de origen físico Entidades reguladoras Corte de suministro eléctrico Daños por agua Degradación de los soportes principales de almacenamiento de información Derrame de líquidos o sólidos Amenazas Virus informático y software malicioso Errores de monitorización (log s) Errores de usuarios Fallas eléctricas Fallo de comunicaciones Fenómeno natural Fuego Tabla 8. Amenazas Identificación de las vulnerabilidades Las vulnerabilidades de los activos de información son debilidades que son aprovechadas por amenazas y generan un riesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de la implementación de un control, para lo cual es necesario identificarla y monitorear. Pero es necesario dejar claro que un control mal diseñado e implementado puede constituir una vulnerabilidad. La identificación de las vulnerabilidades se basa en la realización de encuestas a los responsables de los activos de información y serán registradas en el Matriz de Riesgos Identificación de los Riesgos Página 13 de 19
14 Los riesgos identificados en el Ministerio de Ambiente y Desarrollo Sostenible, relacionados a las vulnerabilidades y amenazas de los activos de información están listados en la matriz de riesgos donde se definen y se cruzan según el activo de información que se ve afectado. Los riesgos están clasificados por: Tipo Riesgo Lógico Físico Locativo Legal Tabla 9. Tipos de Riesgo Selección de la Probabilidad de Ocurrencia La probabilidad de ocurrencia de que una amenaza explote una vulnerabilidad en un activo de información, generando un impacto en la empresa está determinada por la ponderación de dos (2) variables: Probabilidad Total = [0.30*(Probabilidad A) *(Probabilidad B)] (3) La probabilidad A esta determinada según los resultados de la encuesta realizada a los directores de área. La encuesta está separada en 3 partes: Seguridad Lógica. Seguridad Física. Seguridad Locativa. Seguridad Legal. Se realiza una encuesta con 122 preguntas en una entrevista realizada a los líderes de procesos principales de la compañía (Directores de Área) y personal de apoyo. Aspectos de seguridad evaluados en la encuesta: Seguridad Lógica: a. Control de acceso b. Manejo de la información c. Manejo del software d. Salida de información Página 14 de 19
15 e. Entrada de datos Seguridad Física f. Utilización de equipos g. Cuidado del equipo Seguridad Locativa h. Ubicación de los equipos con respecto a las instalaciones i. Ubicación de los equipos (control ambiental) Seguridad Legal j. Cumplimiento Legal Los resultados de la encuesta se determinó el nivel de seguridad en porcentaje y aplicando la fórmula: 100%-Nivel de seguridad = Probabilidad (4) Para cada encuestado se identificó las probabilidades para los cuatro (4) tipos de riesgo: Lógico, Físico, Locativo y Legal. La probabilidad B estará determinado por el responsable del proceso en base a su experiencia, de acuerdo a la estimación del riesgo asociado con la amenaza y vulnerabilidad de los activos de información, en casos que donde los riesgos identificados se hayan presentado al menos una vez en la compañía. Para los riesgos que no se han materializado, el valor de probabilidad estará sujeto a datos de referencias externas. Con los valores de probabilidad de riesgo arrojado por la encuesta y por criterio de auditor, se definen las siguientes escalas: Encuesta Criterio de Auditor 0-20% % % % % % % % % 5 >= 11 % 5 Tabla 10. Escalas de Probabilidad Con los valores de probabilidad de riesgo identificado por los responsables se define la siguiente escala: Página 15 de 19
16 Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se ha presentado una vez en la entidad en los últimos 10 años. Se ha presentado alguna vez en la entidad en los últimos 5 años. Se presenta al menos una vez al año. Se presenta con alguna frecuencia (1 vez cada trimestre) Ocurre con cierta periodicidad. (Una vez cada mes) Tabla 1. Escalas de Probabilidad 5 Muy Alto Teniendo los dos (2) valores necesarios para el cálculo de la probabilidad, se procede a aplicar la ecuación N 3, obteniendo finalmente el valor total de la probabilidad Determinar el impacto en los Activos de Información El impacto está determinado por el máximo valor de la calificación registrada en términos de la seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de los activos de información Valoración del Riesgo Inherente El marco de referencia utilizado en la evaluación del riesgo para los activos es la norma ISO Para la valoración y evaluación de los riesgos se tendrán en cuenta las siguientes variables definidas anteriormente: Valor del activo (VA). Probabilidad P(a,v). Valor Impacto (IMP). Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (5) Página 16 de 19
17 Con la anterior formula se obtiene el valor del riesgo asociado a cada activo de información en términos de su confidencialidad, integridad, disponibilidad, valor económico, la probabilidad de ocurrencia y el impacto asociado al SGSI. Los rangos calculados del valor del riesgo son: Clasificación Riesgo Rango Muy Alto Alto Descripción El valor de riesgo se considera Muy Alto por tener valor de impacto, probabilidad y valor de activo considerables, por lo que es necesario implementar controles. El valor de riesgo se considera Alto, es necesario implementar controles, de acuerdo a los niveles de tratamiento aprobados por la alta dirección Medio Bajo Muy Bajo 3 76 El valor de riesgo está en un nivel aceptable Medio, de acuerdo a los niveles de aceptación de la entidad. Se debe tener monitoreado para identificar cambios en su valoración. El valor de riesgo se encuentra controlado, se recomienda revisiones periódicas. El valor de riesgo no necesita ser tratado, solo realizar revisiones periódicas. Tabla 11. Clasificación del Valor de Riesgo Identificación de controles existentes Se realiza identificación de controles documentados, implementados y monitoreados por la entidad para la gestión del riesgo. Después es necesario verificar el valor del riesgo residual y determinar si es posible aplicar un plan de tratamiento Definición de los niveles de aceptación de Riesgos Se propone como un valor de riesgo aceptable por el Ministerio de Ambiente y Desarrollo Sostenible en los siguientes rangos: Muy Bajo (3-76) Bajo (77-151) Medio ( ) Los rangos seleccionados se consideran como valores de riesgo aceptables debido a que su probabilidad de ocurrencia o su impacto son Medio o Bajo en caso de materializar una o varias amenazas. Página 17 de 19
18 7.3.3 Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Los niveles de riesgo propuestos a tratar, establecidos como rangos críticos en Ministerio de Ambiente y Desarrollo Sostenible son Alto y Muy Alto, que corresponden a las siguientes valoraciones en la matriz: Alto ( ) Muy Alto ( ) Los rangos seleccionados se eligen por que involucran la posible materialización de amenazas sobre vulnerabilidades generando riesgos en los activos de información con graves consecuencias en la entidad. Las acciones definidas para el tratamiento de los riesgos después de su evaluación son: Evitar la acción que da origen al riesgo particular. Se evalúa y determina la viabilidad de si se puede o no evitar el riesgo en la compañía mediante el impacto que esto generaría. Transferir a entidades como aseguradoras o proveedores que puedan gestionar de manera eficaz el riesgo particular, siempre que no resulte un costo superior al del riesgo mismo. Para seleccionar una tercerización de un riesgo se evalúa el costo beneficio es decir sea la opción adecuada y económica en su implementación, adicionalmente se debe verificar que el riesgo residual este en los niveles de aceptación de la compañía tras su implementación. Mitigar mediante la aplicación de controles apropiados de manera que el riesgo residual se pueda revaluar como aceptable. Aceptar con el conocimiento y objetividad, siempre que cumplan con la política de seguridad previamente establecida por la organización. Es la última decisión que se toma en el tratamiento de riesgos y aplica cuando no existe opción alternativa bien sea por costo económicos o por tiempos de implementación. Los riesgos a los cuales se decide realizar tratamiento a través de controles deben garantizar su reducción hasta un nivel aceptable se encuentra en el Plan de tratamiento de riesgos del SGSI de la entidad Preparación de planes de tratamiento Los planes de tratamiento de riesgos de seguridad de la información toman como punto de partida una breve descripción del riesgo, asociado a la vulnerabilidad identificada, se selecciona la opción de tratamiento, descripción del control a ejecutar, estableciendo los recursos (Personal y económico) necesarios para la implementación. Es necesario Página 18 de 19
19 identificar, de manera única que los controles se crucen con los descritos en el anexo A de la norma ISO/IEC 27001, finalmente establecer una fecha límite de implementación Monitoreo Se considera la última fase de la gestión de riesgos de seguridad de la información por ser aquí donde se verifica la eficacia de los controles implementados para calificar nuevamente los riesgos identificados en la matriz y obtener el riesgo residual. En general, el monitoreo de los controles debe ser continuo y periódico de acuerdo a la forma de medición establecida por el Ministerio de Ambiente y Desarrollo Sostenible. 7.4 Revisiones periódicas de la evaluación y el tratamiento de riesgos La valoración de los riesgos será revisada al menos una vez al año y teniendo en cuenta cambios en: La organización La tecnología Procesos de negocio Todo control aplicado con el fin de reducir el valor de riesgo calculado debe ser medible a través de su eficacia. La aplicación de un control no necesariamente implica la reducción total del valor de riesgo esperado sino la reducción a los niveles de riesgo aceptables establecidos por la organización. La funcionalidad de los controles debe ser constantemente evaluada; en caso de no obtener los resultados esperados se les deben aplicar las mejoras a través de una nueva aplicación de la metodología PHVA. Página 19 de 19
DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesPLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015
1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesREGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A
REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesInformación del Proyecto en http://colombia.casals.com
ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesCONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA
CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesPROTECCIÓN DEL PATRIMONIO TECNOLÓGICO
PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesI. Información General del Procedimiento
PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesPOLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.
POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesXXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998
XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesSEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO
SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información
Más detallesINFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011
INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...
Más detallesLINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD
Departamento Nacional de Planeación Bogotá, 2015 PAGINA: 2 de 15 TABLA DE CONTENIDO 1 INTRODUCCIÓN... 3 2 OBJETIVO... 3 3 ALCANCE... 3 4 REFERENCIAS NORMATIVAS... 3 5 DEFINICIONES... 4 6 DOCUMENTOS ASOCIADOS...
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesTIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7
PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesMANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones
Página 1 de 7 MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004 Control de versiones Número de Versión Fecha Descripción de cambio 1 24 / feb / 2014 Creación del documento Contenido 1. Objeto y campo
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesC O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas
Coordinación del C O N T E N I D O 1. Propósito 2. Alcance 3. Responsabilidad y autoridad 4. Normatividad aplicable 5. Políticas 6. Diagrama de bloque del procedimiento 7. Glosario 8. Anexos 9. Revisión
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesGUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN
GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN 1. Objetivo 2. Introducción 3. Procedimiento de control de documentos 4. Procedimiento de control de registros
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesRama Judicial del Poder Publico Consejo Superior de la Judicatura Sala Administrativa Sistema Integrado de Gestión y Control de Calidad
1. OBJETIVO Código: P-ESG-07 Rama Judicial l Por Publico Consejo Superior la Judicatura Sala Administrativa Sistema Integrado Gestión y Control PROCEDIMIENTO PARA AUDITORIAS INTERNAS DE CALIDAD SIGC Determinar
Más detallesTALLER: ISO 14001. Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco
TALLER: ISO 14001 Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Sistemas
Más detallesGestión de la Prevención de Riesgos Laborales. 1
UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesPROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS
Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesAnálisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005
Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo
Más detallesAprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE PROGRAMACIÓN DE OPERACIONES
Aprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE REGLAMENTO ESPECÍFICO TITULO I GENERALIDADES CAPITULO I DISPOSICIONES GENERALES Artículo 1. Objetivo y ámbito de aplicación
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesPROCEDIMIENTO GESTIÓN DE CAMBIO
Pagina 1 1. OBJETO Asegurar la integridad del sistema de gestión en la cuando se hace necesario efectuar cambios debido al desarrollo o modificación de uno o varios procesos, productos y/o servicios, analizando
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesSOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES
G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla
Más detallescumple y hay evidencias objetivas
Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesSistemas de gestión de la calidad Requisitos
Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización
Más detallesAUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.
Página 1 de 8 1. OBJETIVO Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. 2. ALCANCE Este procedimiento es de aplicación al Sistema
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesGestión de Riesgos en Proyectos
GRUPO VISIÓN PROSPECTIVA MÉXICO 2030 Gestión de Riesgos en Proyectos Mauricio Jessurun Solomou mjess@unisolmexico.com Luis Miguel Arroyo lmarroyoi@emsi.com.mx Julio, 2015 Gestión de Riesgos en Proyectos
Más detallesNorma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad
Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008
Más detallesGuía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales
Boletín Sector Público 002- junio 2015 Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales La nueva reglamentación de la SIC Con ocasión a las
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesPROCEDIMIENTO DE IDENTIFICACIÓN Y ACCESO A REQUISITOS LEGALES DE LAS NORMAS SGA Y SYSO CONTENIDO
Página 1 de 7 CONTENIDO 1. OBJETIVO... 2 2. DESTINATARIOS... 2 3. REFERENCIAS... 2 4. GLOSARIO... 2 5. GENERALIDADES... 4 6. DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 4 6.1. Identificación y Acceso
Más detalles