POLÍTICA DE MEDIOS FISICOS EN TRANSITO SEGURIDAD DE LA INFORMACION

Transcripción

1 Página 1 de 9 SEGURIDAD DE LA INFORMACION CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 1 de 9

2 Página 2 de 9 ÍNDICE 1. INTRODUCCIÓN 3 2. OBJETIVO 3 3. ALCANCES 5 4. DOCUMENTOS RELACIONADOS 4 5. DEFINICIONES 5 6. RESPONSABILIDADES 7 7. POLÍTICA 8 8. DIFUSIÓN 8 9. REEVALUACIÓN CUMPLIMIENTO 8 CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 2 de 9

3 Página 3 de 9 1. INTRODUCCIÓN Para dar cumplimiento al proceso de modernización del Estado, la NCh-ISO Of2013 y al Sistema de Calidad Integrado bajo las normas ISO 9001, NCh-ISO 17025, NCh ISO 15189, NCh- ISO , ISO Guide 34, ISO Guide 35 y BPL/OMS. El Instituto de Salud Pública de Chile (ISP) aprobó el presente documento. Para los efectos de esta política, los documentos electrónicos constituyen un activo para la entidad que los genera y obtiene. La información que contienen es resultado de una acción determinada y sustenta la toma de decisiones por parte de quien la administra y accede a ella. Este documento no trata de una descripción técnica de mecanismos de seguridad ni de una expresión legal que involucre sanciones a conductas de los funcionarios. Es más bien una descripción de lo que se desea proteger, el porqué de ello y quién está involucrado. 2. OBJETIVO La presente política tiene como propósito establecer los lineamientos para aplicar seguridad a los activos de información fuera de las dependencias del ISP, considerando los distintos riesgos de trabajar fuera de la institución. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 3 de 9

4 Página 4 de 9 3. ALCANCES Esta política se aplica a todos quienes trabajen en el ISP, ya sean funcionarios de planta, contrata, honorarios, asesores, consultores, alumnos en práctica, y otros trabajadores, incluyendo a personal perteneciente a terceras empresas, sean éstas Públicas y/o Privadas, y que no necesariamente presten servicios en y para el Instituto. Contempla todos los equipos, información o el software de propiedad del Instituto de Salud Pública de Chile. Se ha definido según las buenas prácticas del estándar NCh-ISO Of2013, además de los requisitos legales, normativos y contractuales relativos a seguridad de la información que sean aplicables a la organización, como el Decreto Supremo Nº83 del Ministerio Secretaría General de la Presidencia. 4. DOCUMENTOS RELACIONADOS Decreto Supremo Nº83 del 03/06/2004 del Ministerio Secretaría General de la Presidencia que Aprueba Norma Técnica para los órganos de la administración del estado sobre seguridad y confidencialidad de los documentos electrónicos Política General de Seguridad de la Información del Instituto de Salud Pública de Chile. Resolución Exenta N 5640 del Norma ISO/IEC de Gestión de Seguridad de la Información. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 4 de 9

5 Página 5 de 9 5. DEFINICIONES Activo: Es toda información que tenga valor para la organización. Una organización incluye diferentes tipos de activos: activos relacionados con el entorno (edificios, instalaciones, equipamiento) y personal, activos relacionados con los sistemas de tecnologías de información (equipos, software, comunicaciones), activos relacionados con la información (datos, soporte), activos relacionados con las funcionalidades de la organización (productos, servicios) y activos intangibles (credibilidad, conocimiento acumulado). Incidente de seguridad: Situación adversa que amenaza o pone en riesgo un sistema. Información: Contenido de un documento. Ejemplos de tipos de información: Pública: Aquella información cuyo conocimiento no está circunscrito, se presume pública toda la información que obre en poder de la Administración del Estado, salvo en los casos de excepción contemplados en el artículo 21 de la Ley Nº Reservada: Calidad de un acto, resolución, fundamento, procedimiento o documento que le permite ser conocido únicamente en el ámbito de la unidad del órgano a que sean remitidos, tales como división, departamento, sección u oficina. Secreta: Calidad de un acto, resolución, fundamento, procedimiento o documento que le permite ser conocido sólo por las autoridades o personas a las que vayan dirigidos y por quienes deban intervenir en su estudio o resolución Datos sensibles: Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Datos críticos: Información indispensable para el normal funcionamiento del Instituto cuya disponibilidad garantiza la continuidad del negocio y la entrega de los servicios de la institución. Política de seguridad: Conjunto de normas o buenas prácticas, declaradas y aplicadas por una organización, cuyo objetivo es disminuir el nivel de riesgo en la realización de un conjunto de actividades de interés para la organización, o bien garantizar la realización periódica y sistemática de este conjunto. Propietario de la información: Es el responsable de la información y de los procesos que la manipulan, sean éstos manuales, mecánicos o electrónicos. Debe participar activamente en la definición del valor de la información para el negocio, de manera que se puedan definir los controles apropiados para protegerla. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 5 de 9

6 Página 6 de 9 Riesgo: Probabilidad de ocurrencia de un evento indeseado con consecuencias negativas. Área Segura: Perímetro o zona de seguridad usado para proteger activos de información y recursos tecnológicos críticos para la Institución. Por ejemplo, Datacenter, oficinas, entre otros. Autenticación: Acto o proceso para el establecimiento o confirmación de la identidad de una persona. Eliminación de datos: La destrucción de datos almacenados en registros o bancos de datos, cualquiera fuere el procedimiento empleado para ello. Área Crítica: perímetro o zona de seguridad usado para proteger activos de información y recursos tecnológicos críticos para la Institución. Por ejemplo, Datacenter, oficinas, entre otros. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 6 de 9

7 Página 7 de 9 6. RESPONSABILIDADES Comité de Seguridad de la Información: En su calidad de tal, responde ante la Dirección del Instituto de Salud Pública de Chile y del cumplimiento de las medidas orientadas a mantener un nivel de seguridad de la información acorde con las necesidades de ISP y los recursos disponibles. Encargado de Seguridad de la Información (ESI) u Oficial de Seguridad de la Información (OSI): Es el representante del Director del ISP en la definición y aplicación de los criterios de seguridad de la información en ISP, será responsable de velar por el fiel cumplimiento de la política de seguridad, sus normas, procedimientos y estándares. Subdepartamento TIC: Son los responsables de implementar los controles definidos en todos los equipos tecnológicos que se requieran retirar o utilizar fuera de la Insitución. Personal del ISP: Tiene la responsabilidad de cumplir con lo establecido en este documento y aplicarlo tanto en su entorno laboral, como fuera de éste. Además, tiene la obligación de alertar de manera oportuna y adecuada por los canales y procedimientos formalmente establecidos, cualquier situación que pueda poner en riesgo la seguridad de la información. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 7 de 9

8 Página 8 de 9 7. POLÍTICA 7.1 Para el traslado o envío de medios de información fuera de las instalaciones físicas del ISP, se debe definir en primer lugar las condiciones mínimas de seguridad que exige el activo de información. 7.2 Si se utiliza un medio de mensajería o transporte externo, se debe verificar que éste cumple con los estándares requeridos para el transporte o envío del activo. 7.3 El embalaje debe proteger el contenido de cualquier daño físico, ambiental o de otra naturaleza que pueda ocurrir durante el transporte, de acuerdo a las especificaciones definidas por el Instituto de Salud Pública o el fabricante. 7.4 En el caso de información confidencial, se debe etiquetar cómo tal y especificar claramente el destinatario. 7.5 Cualquier violación a la seguridad establecida debe ser informada de inmediato cómo incidente de Seguridad de la Información a través de los canales establecidos para ello. 8. DIFUSIÓN La política de seguridad, sus normas, procedimientos y estándares, y sus correspondientes actualizaciones y/o modificaciones, como también las resoluciones, oficios y/o circulares que emanen del Instituto de Salud Pública de Chile o del Encargado de Seguridad de la Información, se publicarán en el Banner del Sistema de Seguridad de la Información de la página de la intranet del Instituto. El Encargado de Seguridad de la Información será el responsable de gestionar con el administrador de la intranet las publicaciones correspondientes. 9. REEVALUACIÓN La política de seguridad, sus normas, procedimientos y estándares que se aplican a los activos de información serán examinados, revisados y reevaluados por el Comité de Seguridad cada dos (2) años y extraordinariamente cuando ocurra un incidente de seguridad que afecte a un activo de información catalogado con riesgo medio y/o alto, de manera de introducir las modificaciones apropiadas. 10. CUMPLIMIENTO El cumplimiento de las políticas de seguridad, sus normas, procedimientos y estándares, deberá ser una tarea cotidiana y de estricta aplicación por parte de todos los funcionarios, desde el más alto nivel, hasta el último funcionario del escalafón. El incumplimiento de la presente política expone a quien la vulnere a las sanciones pertinentes según la resolución de las investigaciones regidas por vía legal o por un sumario según sea el caso. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 8 de 9

9 Página 9 de 9 Versión Fecha 0 22/12/20 16 Principales modificados General CONTROL DE CAMBIOS puntos Resumen de Modificaciones Se cambia el formato al del Sistema de Gestión de Calidad. Y se mejora la redacción del documento. 0 22/12/ Políticas Se modifican las medidas en la política y de 4 aumentan a 5. NOTA: El uso de un lenguaje que no discrimine ni marque diferencias entre hombres y mujeres ha sido una preocupación en la elaboración de este documento. Sin embargo, y con el fin de evitar la sobrecarga gráfica que supondría utilizar en español o/a para marcar la existencia de ambos sexos, se ha optado por utilizar el masculino genérico, en el entendido de que todas las menciones en tal género representan siempre a todos/as, hombre y mujeres, abarcando claramente ambos sexos. CONTROLADO SE CONSIDERA COPIA NO CONTROLADA Página 9 de 9