ESCUELA POLITECNICA NACIONAL
|
|
- Magdalena Cortés Lagos
- hace 8 años
- Vistas:
Transcripción
1 1 de 19
2 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC para una adecuada administración de la información. Prologo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. La Norma ISO/EIC ha sido elaborada por el subcomité SC 27 Técnicas de seguridad que forma parte del comité técnico conjunto ISO/EIC JTC 1 Tecnologías de la información. Introducción Esta norma internacional proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de este estándar es una decisión estratégica de la empresa para mejorar su sistema de seguridad. Esta decisión está basada en las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Este modelo debe ser revisado y modificado de acuerdo a la escalabilidad de la empresa. La implementación de este estándar en una empresa depende de la manera efectiva en que esta desea que se realice sus procesos de una manera efectiva. Los principales pilares en que se basa son: a) Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información; b) Implementar y operar controles para manejar los riesgos de la seguridad de la información. c) Monitorear y revisar el desempeño y la efectividad del Sistema de Seguridad implementado. d) El mejoramiento continúo en base a la medición del objetivo propio de cada empresa. El modelo de gestión de seguridad toma como base los siguientes parámetros: Planear-Hacer-Chequear-Actuar 2 de 19
3 Este Estándar Internacional proporciona un modelo sólido para implementar los principios en aquellos lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la seguridad. Planificar (creación del SGSI) Establecer la política, objetivos, procesos y procedimientos del SGSI. Hacer (implementación y Implementar y operar la política, controles y operación del SGSI) procedimientos del SGSI. Verificar (supervisión y revisión del SGSI) Evaluar y, donde sea aplicable, medir el desempeño del proceso contra la política y práctica del SGSI. Actuar (mantenimiento y mejora del SGSI) Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría interna del SGSI. Compatibilidad con otros sistemas de gestión Este estándar se alinea con el ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión que existen y están implementados en la mayoría de empresas. 1 Objeto y campo de la aplicación 1.1 General Este Estándar Internacional especifica los requerimientos para la implementación de controles de seguridad personalizados para las necesidades de cada organización. El SGSI está diseñado de modo que permita realizar una selección adecuada de los controles de seguridad brindando seguridad y confianza a cada una de las partes. 1.2 Aplicación 3 de 19
4 Los requerimientos establecidos en este Estándar Internacional son genéricos y aplicables a cualquier tipo de empresa. No se debe excluir ninguno de los requerimientos especificados en las Cláusulas 4, 5, 6, y 8 una vez que la organización asegura su conformidad con este Estándar. Al realizar alguna exclusión, debe ser plenamente justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables; o a su vez dichas exclusiones no deben afectar la capacidad y/o responsabilidad de la organización. 2 Normas para la consulta Para referencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplica la última edición del documento citado. 3 Términos y definiciones Pto. Término Definición Norma ISO/IEC 3.1 Activo Cualquier cosa que tenga valor para la organización : Disponibilidad Propiedad de estar disponible y utilizable cuando lo :2004 requiera una entidad autorizada 3.3 Confidencialidad Que la información no sea divulgada a personas, entidades :2004 o procesos no-autorizados. 3.4 Preservación de la confidencialidad, integridad y Seguridad de disponibilidad de la información; además, de otras información propiedades como la autenticidad, responsabilidad, norepudio 17799:2005 y confiabilidad 3.5 Evento de Evento que indica una posible violación de la política de seguridad de la información seguridad de la información o situación que puede ser relevante para la seguridad. TR 18044: Incidente de seguridad de la información Eventos de seguridad pueden comprometer las operaciones o la seguridad de la información. TR 18044: Sistema de gestión de Parte del sistema gerencial general, desarrollada para seguridad de la información SGSI establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. 3.8 Integridad La propiedad de salvaguardar la exactitud e integridad de :2004 los activos. 3.9 Riesgo residual El riesgo remanente después del tratamiento del riesgo Guía 73: Aceptación de Decisión de aceptar el riesgo Guía 73:2002 riesgo 3.11 Análisis de riesgo Uso sistemático de la información para identificar fuentes y para estimar el riesgo Guía 73: Valuación del Proceso general de análisis del riesgo y evaluación del Guía 73:2002 riesgo riesgo 3.13 Evaluación del Proceso de comparar el riesgo estimado con el criterio de Guía 73: de 19
5 riesgo 3.14 Gestión del riesgo 3.15 Tratamiento del riesgo 3.16 Enunciado de aplicabilidad riesgo dado para determinar la Importancia del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización. Guía 73:2002 Guía 73:2002 Guía 73: Sistema de gestión de seguridad de la información La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI para lograr esto los procesos utilizados se basan en el modelo PDCA (Planear-Hacer-Chequear-Actuar) 4.2 Establecer y manejar el SGSI Establecer el SGSI Para establecer un SGCI la organización debe hacer lo siguiente: a) Definir el alcance y los límites del SGSI en términos de las características del negocio (organización, ubicación, activos, tecnología) detallando y justificando su alcance. b) Definir una política SGSI en términos de las características del negocio, estas deben incluir: 1. Objetivos y principios para la acción con relación a la seguridad de la información 2. Requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual 3. Debe estar alineada con el contexto de la gestión riesgo estratégico de la organización en la cual se dará el establecimiento y mantenimiento del SGSI 4. Debe establecer el criterio con el que se evaluará el riesgo y ser aprobado por la gerencia c) Definir el enfoque de valuación del riesgo de la organización: 1. Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. 2. Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables 5 de 19
6 La metodología de estimación del riesgo seleccionada debe asegurar que los cálculos del riesgo produzcan resultados comparables y reproducibles. d) Identificar los riesgos. 1. Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. 2. Identificar las amenazas para aquellos activos. 3. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. 4. Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos. e) Analizar y evaluar el riesgo 1. Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente. 3. Calcular los niveles de riesgo. 4. Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo Implementación y operación el SGSI La organización debe formular un plan, implementarlo, controlarlo, medirlo, capacitar y mejorar mediante programas y manejar recursos del SGSI a demás se debe implementar procedimientos o controles para detectar y responder a incidentes de seguridad Supervisión y revisión el SGSI La organización debe ejecutar procedimientos de monitoreo y revisión, y otros controles para detectar oportunamente incidentes de seguridad y resultados de procesamiento así como sus delegados e indicadores. Por otra parte se debe realizar revisiones, mediciones y evaluaciones regulares de la efectividad del SGSI así como sus objetivos para llegar a tener un riesgo aceptable en la seguridad. También es necesario realizar auditorías SGSI internas bajo una revisión gerencial que busque la mejora continua y actualice los planes de seguridad incluyendo actividades de monitoreo y revisión. Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI Mantenimiento y mejora del SGSI 6 de 19
7 La organización debe realizar cuando crea conveniente las mejoras identificadas en el SGSI. Para tomar las acciones correctivas-preventivas y comunicar clara y objetivamente los resultados y acciones a todas las partes interesadas con el fin de asegurar que las mejoras logren sus objetivos señalados. 4.3 Requisitos de la documentación Generalidades La documentación debe incluir las decisiones de la Dirección junto con los registros de las mismas, debiendo quedar constancia de que las acciones dan respuesta a las decisiones y a las políticas adoptadas Control de documentos Los documentos exigidos por el SGSI deben estar protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones de gestión necesarias Control de registros Se deben crear y mantener registros para proporcionar evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos y controlados. 5 Responsabilidad de la Dirección 5.1 Compromiso de la Dirección La Dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. 5.2 Gestión de los recursos Provisión de los recursos La organización debe implementar y proporcionar los recursos para: a) Establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. b) Mejorar la eficacia del SGSI c) Asegurar que los procedimientos de seguridad de la información responden a los requisitos empresariales 7 de 19
8 d) Mantener la seguridad adecuada mediante la aplicación correcta de los controles implementados Concienciación, formación y capacitación La organización debe asegurarse de que todo el personal al que se le hayan asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo las tareas requeridas. 6 Auditorías internas del SGSI La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen con los requerimientos a) Estándar Internacional, legislación y regulaciones relevantes; b) Seguridad de la información identificados; c) se implementan y mantienen de manera efectiva; y d) se realizan conforme lo esperado. Se debe planear un programa de auditoría tomando en cuenta el status e importancia de los procesos y áreas a ser auditados, así como los resultados de auditorías. Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. Los auditores y las auditorías deben asegurar la objetividad e imparcialidad del proceso. Los auditores no deben auditar su propio trabajo. Las responsabilidades y requerimientos para las auditorías, el reporte de resultados y mantenimiento de registros se deben ser documentados. 7 Revisión Gerencial del SGSI 7.1 General La gerencia debe revisar el SGSI de la organización (por lo menos una vez al año) para asegurarse de su idoneidad, conveniencia y efectividad. 7.2 Insumo de la revisión El insumo para la revisión gerencial debe incluir: a) resultados de auditorías y revisiones del SGSI; 8 de 19
9 b) retroalimentación de las partes interesadas; c) técnicas, productos o procedimientos, para mejorar el desempeño y efectividad del SGSI; d) status de acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa; f) resultados de mediciones de efectividad; g) acciones de seguimiento de las revisiones gerenciales previas; h) cualquier cambio que pudiera afectar el SGSI; y i) recomendaciones para el mejoramiento. 7.3 Resultado de la revisión Debe incluir cualquier decisión y acción relacionada con lo siguiente: a) mejoramiento de la efectividad del SGSI; b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo; c) modificación de procedimientos y controles que afectan la seguridad de la información, para responder a eventos internos o externos que pudieran tener impacto sobre el SGSI, incluyendo cambios en: 1. requerimientos comerciales; 2. requerimientos de seguridad; 3. procesos comerciales; 4. requerimientos reguladores o legales; 5. obligaciones contractuales; y 6. niveles de riesgo y/o criterio de aceptación del riesgo. d) necesidades de recursos; e) mejoramiento de la medición de efectividad de los controles 8.2 Acción correctiva La organización debe realizar las acciones para eliminar la causa de las noconformidades con los requerimientos del SGSI para evitar la recurrencia. La documentación para la acción correctiva debe definir los requerimientos para: 9 de 19
10 a) identificar las no-conformidades; b) determinar las causas de las no-conformidades; c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a ocurrir; d) determinar e implementar la acción correctiva necesaria; e) registrar los resultados de la acción tomada; y f) revisar la acción correctiva tomada. La acción para evitar las no-conformidades con frecuencia es más una acción efectiva en costo que la acción correctiva. 8.3 Acción preventiva La organización debe determinar la acción para eliminar la causa de las noconformidades de los requerimientos SGSI para evitar que ocurran. El procedimiento documentado para la acción preventiva debe definir los requerimientos para: a) identificar las no-conformidades potenciales y sus causas; b) evaluar la necesidad para la acción para evitar la ocurrencia de noconformidades; c) determinar e implementar la acción preventiva necesaria; d) registrar los resultados de la acción tomada; y e) revisar la acción preventiva tomada. La organización debe identificar los riesgos cambiados y los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente. La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo. Anexo A (Normativo) Objetivos de control y controles Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y se alinean con, aquellos enumerados en BS ISO/IEC 17799:2005 Cláusulas del 5 al de 19
11 Tabla A.1 Objetivos de control y controles A.5 Política de seguridad A.5.1 Política de seguridad de información A Documentar política de seguridad de información. A Revisión de la política de seguridad de la información. A.6 Organización de la seguridad de la información A.6.1 Organización interna A Compromiso de la gerencia con la seguridad de la información A Coordinación de la seguridad de información A Asignación de responsabilidades de la seguridad de la información A Proceso de autorización para los medios de procesamiento de información A Acuerdos de confidencialidad A Contacto con autoridades A Contacto con grupos de interés especial A Revisión independiente de la seguridad de la información A.6.2 Terceros A Identificación de riesgos relacionados con entidades externas A Tratamiento de la seguridad cuando se trabaja con clientes A Tratamiento de la seguridad en contratos con terceras personas A.7 Gestión de activos A.7.1 Responsabilidad por los activos Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales. A Inventarios de activos A Propiedad de los activos A Uso aceptable de los activos A.7.2 Clasificación de la información Objetivo: Asegurar que a información reciba un nivel de protección apropiado. A Lineamientos de clasificación A Etiquetado y manejo de la información A.8 Recursos Humanos de seguridad A.8.1 Prioridad a los empleados. Asegura que los empleados, contratistas y terceros usuarios entiendan sus responsabilidades, y sean susceptibles de considerar sus roles, y reducir riesgos de robo, fraude o uso indebido de las instalaciones. Entre los que hay: Funciones y responsabilidades, proyección, términos y condiciones de los empleados. A.8. 2 Durante el empleo Garantizar que todos los empleados, contratistas y terceros usuarios son conscientes de las amenazas de seguridad de la información y preocupaciones, sus 11 de 19
12 responsabilidades y obligaciones, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de la de error. Responsabilidades de gestión, concienciación sobre la seguridad de la información, la educación y la formación, proceso disciplinario. A.8.3 Terminación o cambio de empleo Garantizar que los empleados, contratistas y terceros usuarios de salida de una organización o cambien de empleo de una manera ordenada, responsabilidades de terminación, devolución de activos y eliminación de los derechos de acceso. A.9 Seguridad Física y ambiental A.9.1 Áreas segura Impedir el acceso físico no autorizado, daño e interferencia a los locales de la organización y la información. Perímetro de la seguridad física, controles de entrada física, asegurar oficinas; habitaciones e instalaciones, protección contra las amenazas externas y ambientales, trabajo en áreas seguras, acceso del público, la entrega y áreas de carga. A.9.2 Seguridad de equipos Prevenir la pérdida, daños, robo o comprometer los intereses e interrumpir las actividades de la organización. Se dictan recomendaciones para el manejo de posicionamiento y protección de equipo, utilidades de soporte, cableado de seguridad, mantenimiento de equipos, seguridad de equipos fuera del recinto, desecho seguro o rehúso de equipos o finalmente remoción de propiedades, respectivamente. A.10 Administración de comunicaciones y operaciones A.10.1 Procedimientos y responsabilidades de operación Asegurar correctas y seguras instalaciones de procesamiento y operación de información. Procedimientos de operación documentados, administración de cambios, división de responsabilidades y la separación de instalaciones de desarrollo, pruebas y operaciones. A.10.2 Administración de servicio de entrega de terceros Implementar y mantener un nivel apropiado de seguridad en la información y en el servicio de entrega en línea con terceros. 12 de 19
13 Servicio de entrega, monitoreo y revisión de servicios de terceros y la administración de cambios de terceros. A.10.3 Planeamiento y aceptación del sistema Reducir el riesgo de fallas en el sistema. Se trata sobre el manejo de capacidad y aceptación del sistema. A.10.4 Protección contra código malicioso y móvil Proteger la integridad del software y la información. Control contra código malicioso y control contra código móvil. A.10.5 Respaldos Mantener la integridad y disponibilidad de la información. Respaldo de la información. A.10.6 Administración de la seguridad de la red Asegurar la protección de la información en una red y la protección de las estructuras de soporte. Se trata sobre los controles en la red y sobre la seguridad de los servicios de la red. A.10.7 Manipulación de los soportes Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. A.10.8 Intercambio de información Mantener la seguridad de la información y del software intercambiado dentro de una organización y con un tercero. A.10.9 Servicios de comercio electrónico Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. A Supervisión Detectar las actividades de procesamiento de la información no autorizadas A.11 Control de Accesos A.11.1 Requisitos de negocios para el control de acceso Controlar el acceso a la información. 13 de 19
14 A.11.2 Gestión de acceso de usuario. Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los sistemas de información. A.11.3 Responsabilidades del usuario Prevenir el acceso de usuarios no autorizados, así como evitar el que se comprometa o se produzca el robo de la información o de los recursos de procesamiento de la información. A.11.4 Control de acceso a la red Prevenir el acceso no autorizado a los servicios en red. A.11.5 Control de acceso al sistema operativo Evitar acceso no autorizado a los sistemas operativos. Control de acceso mediante el registro de usuarios Los usuarios deben identificarse y autenticarse Las claves deben ser seguras e interactivas. Restringir el uso de programas. Las sesiones interactivas deben cerrarse después de un tiempo definido, y las conexiones deben durar un periodo de tiempo específico. A.11.6 Control de acceso a las aplicaciones e información Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación. Restricción al acceso a la información A.11.7 Computación móvil y tele-trabajo Asegurar la seguridad de la información cuando se utilice medios computación móvil y tele-trabajo. Establecer las medidas adecuadas para proteger la información cuando se usan de computación y comunicación móviles. Políticas en lo que se refiere a actividades de tele-trabajo. A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.12.1 Requerimientos de seguridad de los sistemas La seguridad debe ser una parte importante de los sistemas de información, se debe tratar de mejorar los existentes de acuerdo a los requerimientos actuales. 14 de 19
15 A.12.2 Procesamiento correcto en las aplicaciones Evitar errores, pérdida, modificación no-autorizada o mal uso de la información en las aplicaciones. Chequeo y validación e identificación de requerimientos de las aplicaciones para validar el procesamiento de la información. A.12.3 Controles criptográficos Proteger la confidencialidad, autenticidad o integridad de la información a través de medios criptográficos. Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. Soporte de uso de técnicas criptográficas A.12.4 Seguridad de los archivos del sistema Garantizar la seguridad de los archivos del sistema Procedimientos para controlar operacionales. la instalación de software en los sistemas Restringir el acceso al código fuente del programa. A.12.5 Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software e información del sistema de aplicación Revisión técnica de las aplicaciones después de cambios en el sistema operativo Controlar los cambios en los paquetes de software Se deben evitar las oportunidades de filtraciones en la información. A.12.6 Seguridad en los procesos de desarrollo y soporte Tiene como objetivo mantener la seguridad del software e información del sistema de aplicación. La implementación de cambios deben ser controlados por procedimientos formales. Cuando se realizan cambios en el Sistema Operativo se debe revisar y probar las aplicaciones críticas para evitar que no exista un impacto en las operaciones de la 15 de 19
16 organización. Además se debe evitar las modificaciones en los paquetes de software, y realizar cambios que sean estrictamente necesarios y estos deben ser controlados. Se debe prevenir fugas de información. Este tipo de desarrollo debe ser supervisado y monitoreado por la organización. A.12.6 Gestión de la vulnerabilidad técnica Tiene como objetivo reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas. Se debe tener información oportuna de las vulnerabilidades técnicas de los sistemas de información que se encuentran en uso; evaluar la exposición a dichas vulnerabilidades y se debe tomar las medidas necesarias para tratar el riesgo. A.13 Gestión de incidentes en la seguridad de la información A.13.1 Reportes de eventos de la seguridad de la información y debilidades El objetivo de esto es que la información de los eventos y debilidades debe ser comunicada para tomar una acción correctiva oportuna. Los eventos de seguridad deben ser reportados por canales apropiados y lo más rápido posible. Se requiere que todos los usuarios de los sistemas y servicios de información reporten cualquier debilidad observada o sospechosa en la seguridad de los sistemas. A.13.2 Gestión de incidentes y mejoras en seguridad de la información El objetivo de esto es asegurar que se aplique un enfoque efectivo a la gestión de la seguridad de la información. Establecer responsabilidades y procedimientos para asegurar una respuesta rápida efectiva y ordenada a los incidentes de seguridad. Deben existir mecanismos para cuantificar y monitorear los tipos, volúmenes de los incidentes en la seguridad de la información. Cuando se ha producido un incidente y se ha llevado a cabo una acción de seguimiento contra el incidente y se haya involucrado una acción legal, se debe recolectar, mantener y presentar evidencia para cumplir las reglas en las jurisdicciones relevantes. A.14 Gestión de la continuidad comercial A.14.1 Aspectos de la seguridad de la información 16 de 19
17 El objetivo es contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales de los efectos de fallas o desastres, además se debe asegurar su reanudación oportuna. Se debe mantener un proceso para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización. Además se deben identificar los eventos que causan interrupciones en los procesos de la empresa, junto con la probabilidad, el impacto de las mismas y sus consecuencias. Es importante desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información. Los planes de continuidad comercial se deben probar y actualizar regularmente, para que sean efectivos. A.15 Cumplimiento A.15.1 Cumplimiento con requerimientos legales Objetivo principal es evitar cualquier violación de ley, obligación reguladora o contractual y de cualquier requerimiento de seguridad. Se deben definir explícitamente, documentar y actualizar los requerimientos estatutarios, reguladores y el enfoque de la organización relevante para cada sistema de información. Además de implementar los procedimientos para asegurar el cumplimiento de los requerimientos legislativos, reguladores sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de software patentados. Se necesita proteger los registros importantes de una organización de cualquier pérdida, destrucción, falsificación en concordancia con los requerimientos estatutarios, contractuales y comerciales. Por otro lado, se debe desanimar a los usuarios de utilizar medios de procesamiento de la información para propósitos no autorizados Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional. Los gerentes son los encargados de que los procedimientos, políticas y estándares de seguridad se cumplan Los sistemas de información deben chequearse regularmente Consideraciones de auditoría de los sistemas de información 17 de 19
18 Objetivo: Maximizar la efectividad de y minimizar la interferencia en el proceso de auditoría. Se debe planear cuidadosamente las auditorias acordando minimizar el riego de interrupciones en los procesos comerciales. Se debe proteger el acceso a las herramientas de auditoría para evitar cualquier mal uso. Anexo B (Informativo) Principios OECD y este Estándar Internacional Los principios dados en los Lineamientos OECD para la Seguridad de los Sistemas y Redes de Información se aplican a todas las políticas y niveles operacionales. Este Estándar proporciona un marco referencial del sistema de gestión de la seguridad de la información se describe alguno de los principios OECD son los siguientes. Principio OECD Conciencia Los participantes deben tener conocimiento de la necesidad de seguridad en los sistemas y redes de la información sistema y lo que pueden hacer para aumentar la seguridad. Responsabilidad Todos los participantes son responsables de la seguridad de los sistemas y redes de información. Respuesta Los participantes deben actuar de manera oportuna y cooperativa para evitar, detectar y responder a los incidentes de seguridad. Evaluación del riesgo Los participantes deben realizar evaluaciones de riesgo. Diseño e implementación de la seguridad Los participantes deben incorporar la seguridad como un elementos esencial de los sistemas y redes de información. Gestión de la seguridad 18 de 19
19 Los participantes deben adoptar un enfoque integral para la gestión de la seguridad. La gestión del riesgo es un proceso que incluye la prevención, detección y respuesta a los incidentes, mantenimiento continuo, revisión y auditoria. Reevaluación Los participantes deben revisar y reevaluar la seguridad de los sistemas y redes de información, y realizar las modificaciones apropiadas a las políticas, prácticas, medidas y procedimientos. Anexo C (Informativo) Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Se muestra las principales diferencias entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Los tres estándares tienen una estructura muy similar los puntos en los que se encuentran pequeñas diferencias las cuales son la adición de los siguientes puntos: Responsabilidad de gestión Manejo de recursos 19 de 19
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesESTÁNDAR ISO/IEC INTERNACIONAL 27001
ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia
Más detallesResumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesGuía: Controles de Seguridad y Privacidad de la Información
Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica
ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesSistemas de gestión de la calidad Requisitos
Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesCOMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL
COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control
Más detallesNORMA ISO 9001. Estos cinco apartados no siempre están definidos ni son claros en una empresa.
NORMA ISO 9001 0. Concepto de Sistema de Gestión de la Calidad. Se define como el conjunto de normas interrelacionadas de una empresa u organización por los cuales se administra de forma ordenada la calidad
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesTecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesPROTECCIÓN DEL PATRIMONIO TECNOLÓGICO
PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio
Más detallesImplantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec
Más detallesPolíticas de Seguridad
Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesPOLITICA DE SISTEMA DE CONTROL INTERNO
POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro
Más detallesLista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)
Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la
Más detallesEjemplo Manual de la Calidad
Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallescumple y hay evidencias objetivas
Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle
Más detallesPOLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.
POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesNorma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad
Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008
Más detallesNuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue
Más detallesNombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN
Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1
ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO
ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención
Más detallesAI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL
AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN OBJETIVOS 1 Métodos de Diseño 2 Cambios Significativos a Sistemas Actuales 3 Aprobación del Diseño 4 Definición y Documentación de Requerimientos
Más detallesFICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES
I. IDENTIFICACIÓN Página 1 de 5 DENOMINACIÓN DEL EMPLEO: JEFE DE PLANTA SIGLA: JP CLASE: VIII GRADO: 22, 23, 24 NIVEL: EJECUTIVO NÚMERO DE CARGOS: 11 DEPENDENCIA: JEFE INMEDIATO: PLANTA FÁBRICAS PLANTA
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesMANEJO DE QUEJAS Y RECLAMOS
MANEJO DE QUEJAS Y RECLAMOS Derechos reservados ICONTEC- 1 OBJETIVO GENERAL Proponer una metodología para la planeación, diseño, operación, mantenimiento y mejora de un proceso para el manejo de los reclamos
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesFirma: Fecha: Marzo de 2008
Procedimiento General Tratamiento de No Conformidades, Producto no conforme, Acciones Correctivas y Acciones Preventivas (PG 03) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe
Más detallesNORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.
TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración
ISO 17025: 2005 Requisitos generales para la competencia de los laboratorios de ensayo y calibración El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesTALLER: ISO 14001. Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco
TALLER: ISO 14001 Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Sistemas
Más detallesPlaneación del Proyecto de Software:
Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los
Más detallesISO 9001:2015 Cuestionario de autoevaluación
ISO 9001:2015 Cuestionario de autoevaluación Qué tan preparado estás para la norma ISO 9001: 2015? Este documento ha sido diseñado para evaluar la preparación de su empresa para un Sistema de Gestión Calidad
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesSeminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:
Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad
Más detallesNorma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo
Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo OFICINA REGIONAL SUDAMERICANA DE LA OACI Octubre 2002 Definición de la Calidad
Más detallesNorma Internacional ISO 9001:2000
Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesPolítica General de Control y Gestión de Riesgos
Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,
Más detallesPOLÍTICA DE GESTIÓN DEL SERVICIO
OBJETIVO DE LA POLÍTICA DEL SISTEMA DE GESTIÓN DEL SERVICIO (SGS) El presente documento tiene por objeto establecer la Política de Gestión del Servicio para FIBRATEL en base a los requisitos dispuestos
Más detallesGUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN
GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN 1. Objetivo 2. Introducción 3. Procedimiento de control de documentos 4. Procedimiento de control de registros
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesSeminario en Calidad 2014 Material de Consulta
INTRODUCCIÓN A LA NORMA ISO 9001:2008 FUNDAMENTOS TEMAS Qué son las Normas ISO 9000 Introducción al Sistema de Gestión de Calidad Enfoque tradicional Principios de la Gestión de calidad Qué es Calidad
Más detallesPrincipales Cambios de la ISO 9001:2015
INTRODUCCIÓN La nueva versión disponible de ISO 9001:2015, actualmente en su versión DIS, muestra una gran cantidad de cambios respecto de su predecesora. Muchos de estos cambios están en línea con otros
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesAUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN
Instituto Nacional de Tecnología Industrial Programa de Metrología Legal Sede Central - Av. Gral. Paz 5445 e/ Albarellos y Av. Constituyentes - B1650KNA C.C. 157 B1650WAB San Martín, Prov. Buenos Aires
Más detalles