PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 18 DE ENERO DE 2013 DAD-OTIC-PO-001 REV. 3

Transcripción

1 18 DE ENERO DE 2013 REV. 3

2 Página: 1 de PROPOSITO General: Establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la Institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos de la Institución o constituir una amenaza. Específicos: 1. Establecer, operar y mantener un modelo de gobierno de seguridad de la información. 2. Efectuar la identificación de infraestructuras críticas y activos clave de la Institución y elaborar el catálogo respectivo. 3. Establecer un SGSI que proteja los activos de información de la Institución, con la finalidad de preservar su confidencialidad, integridad y disponibilidad. 4. Fomentar una cultura de seguridad de la información en la Institución. 2.0 ALCANCE Describir los lineamientos y las políticas que deberán observar de manera obligatoria todos los mandos medios y superiores para el almacenamiento de la información Institucional. 3.0 POLÍTICAS DE OPERACIÓN 3.1 El o la responsable deberá clasificar la información institucional almacenada en los centros de datos de la Institución, para su organización, control y protección antes de ser respaldada. 3.2 Es responsabilidad del usuario(a) en nivel de mando medio o superior, clasificar y respaldar la información considerada crítica de los equipos asignados al mismo. El respaldo será en discos de almacenamiento, a elección del usuario, como disco duro, USB, discos ópticos, etcétera; posteriormente se pasará la información al servidor de OTIC. 3.3 Los respaldos de información institucional en el servidor de OTIC, se deben realizar trimestralmente, la primera semana hábil del primer mes siguiente al trimestre, mediante una cuenta y clave que se les otorgará por el departamento de OTIC al usuario(a).

3 Página: 2 de Está prohibido el respaldo de archivos que contengan música, películas ó fotografías que no sean Institucionales. 3.5 La información sólo será respaldada por los usuarios autorizados con cuenta y clave otorgada por el área de OTIC. 3.6 El usuario(a) será capacitado por el área de OTIC para la realización de los respaldos trimestrales, asignándole una cuenta y clave personal para hacerlo. 3.7 Los respaldos estarán resguardados en el servidor manejado por el área de OTIC para su disposición ante cualquier contingencia que se presente. 3.8 Es responsabilidad del usuario(a) garantizar la confidencialidad de la cuenta y clave que se le asigne. 4.0 DIAGRAMA DE FLUJO DE ACTIVIDADES

4 Página: 3 de DESCRIPCIÓN DEL PROCEDIMIENTO PASO DESCRIPCIÓN RESPONSABLE 1.- Establecer un Designar al o la responsable de la seguridad de la modelo de gobierno de seguridad de la información 2.- Identificar las infraestructuras críticas y activos clave de la Institución información y establecer el grupo de trabajo encargado de la implantación y adopción del modelo de gobierno de seguridad de la información en la Institución. Elaboración del Catálogo de infraestructuras y activos clave y establecer mecanismos para garantizar la protección de las infraestructuras que tengan bajo su responsabilidad los o las usuarios(as) del CETI y vigilar que los controles de seguridad de la información que se definan e implanten. Coordinación de OTIC Responsable de Servidores Jefe de Soporte Técnico Personal de Apoyo Telecomunicaciones 6.0 DOCUMENTOS DE REFERENCIA DOCUMENTO Roles y responsabilidades del modelo de gobierno de seguridad de la información Catálogo de Infraestructuras de Tecnologías en Información del CETI Mecanismos para garantizar la protección de la Infraestructura crítica. CÓDIGO FR-01- FR-02- FR REGISTROS Registros Tiempo de Conservación Responsable de conservarlos Código de Registro o Identificación Única Información respaldada 4 años Coordinación de OTIC Sin código

5 Página: 4 de GLOSARIO 8.1 Respaldo: resguardo de información 8.2 SGSI: Sistema de Gestión de la Seguridad de la Información 8.3 Institución: Organismo o grupo social (CETI) 8.4 OTIC: Oficina de Tecnologías en Información y Comunicaciones 9.0 ANEXOS. 9.1 Roles y Responsabilidades del modelo de gobierno de seguridad de la información. FR Catálogo de Infraestructuras de Tecnologías en Información del CETI. FR Mecanismos para garantizar la protección de la Infraestructura Crítica. FR CAMBIOS DE ESTA VERSIÓN Sección Pag Rev Fecha Descripción del Cambio Todas Todas 1 09 de mayo 2012 Nuevo procedimiento Todas Todas 2 Todas Todas 3 22 de Junio de de enero de 2013 Esclarecimiento de Políticas de Operación, se agrego nueva política 3.8. Se generalizó las áreas responsables en Descripción del procedimiento. También se modificaron los documentos de referencia, formatos 01 y 02. Se agregaron 3 palabras al glosario. Lenguaje Incluyente