ÁREA DE APLICACIÓN Esta Norma Complementaria se aplica al área de la Administración Pública Federal, en las formas directa e indirecta.



Documentos relacionados
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

NORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN

Requisitos generales y Política medioambiental

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

ELEMENTOS GENERALES DE GESTIÓN.

Plan provincial de Producción más limpia de Salta

Guía para la elaboración de Proyectos de Formación Sindical Ambiental e Investigación en Trabajo y Desarrollo Sustentable

Recomendaciones relativas a la continuidad del negocio 1

PROCEDIMIENTO DOCUMENTADO: CONTROL DE LOS REGISTROS.

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

Reglamento de la Comisión de Auditoría y Control de Banco de Sabadell, S.A.

B. Índice General PCCP-F i. Nombre de la empresa ii. No. de teléfono iii. Contacto iv. Correo electrónico

En un plan de contingencia se presume que hay una para de un tiempo, tiempo. sobre el cual se declara la emergencia, y entran a operar una serie de

COSTOS DE FINANCIAMIENTO

PROCEDIMIENTO PLANEACION DE PROYECTOS PROCESO GESTION DE PROGRAMAS Y PROYECTOS

SECRETARÍA DE DESARROLLO SOCIAL MAPA DE PROCESOS INSTITUCIONAL

Ley marco sobre MITIGACIÓN DE DESASTRES para América Latina

OBJETIVOS GENERALES DEL AUDITOR INDEPENDIENTE Y CONDUCCIÓN DE UNA AUDITORÍA, DE ACUERDO CON LAS NORMAS INTERNACIONALES DE AUDITORÍA

TEMA 11 EL PROCESO PRESUPUESTARIO

POLITICA DE GESTION DE RIESGOS, ROLES Y RESPONSABLES. Departamento de Estudios y Gestión Estratégica

LA PLANIFICACIÓN ESTRATÉGICA EN MATERIA TIC EN EL ÁMBITO DE LA AGE

I. POLÍTICA. La propuesta contempla la Política de seguridad industrial, seguridad operativa y protección al medio ambiente?

GUÍA METODOLÓGICA PARA LA ELABORACIÓN DE LA POLÍTICA DE UN SISTEMA INTEGRADO DE GESTIÓN

LEY 489 de 1998 SISTEMA NACIONAL DE CONTROL INTERNO

Requisitos para el Sistema de Gestión en S & SO y Normas Técnicas Básicas

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

POLITICA DE GESTIÓN INTEGRAL DE RIESGOS

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

MANUAL DE GESTIÓN: SISTEMA DE GESTIÓN DE LA CALIDAD EN LA UNIDAD de FORMACIÓN DE LA DIPUTACION DE MALAGA

CRITERIOS MÍNIMOS E INSTRUCCIONES PARA EL TRABAJO INTERDISCIPLINAR DE MÓDULO

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC

Implementación y Operación

REGLAMENTO DE LOS SERVICIOS DE PREVENCIÓN. RD 39/1997, de 17 de enero

MINISTERIO DE SALUD MANUAL DE ORGANIZACIÓN Y FUNCIONES DE LA UNIDAD DE SALUD MENTAL

ORGANIZACIÓN DE PREVENCIÓN DE RIESGOS DE LA UNIVERSIDAD DE VALLADOLID

Normas de Auditoría de Proyectos de Inversión Pública

GUÍA TÉCNICA 4 LA PLANEACIÓN DEL DESARROLLO MUNICIPAL

Para llegar a conseguir este objetivo hay una serie de líneas a seguir:

Boletín Asesoría Gerencial*

Asunto: Certificación Integral Gestión de Riesgos y Control Interno

La norma ISO 19011:2011

PPRL.11. Procedimiento de Creación, Revisión, Control y Gestión de la Documentación de Prevención de Riesgos Laborales

MINISTERIO DE EDUCACIÓN NACIONAL. DECRETO No. 1290

MARCO TEÓRICO Introducción

GESTIÓN DE LA DOCUMENTACIÓN

AUDITORIA A LAS OBLIGACIONES ESTABLECIDAS EN LA LEY , SOBRE ACCESO A LA INFORMACIÓN PUBLICA

Curso Auditor Interno Calidad

* * FCCC/SBI/2014/5. Convención Marco sobre el Cambio Climático. Naciones Unidas

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE GESTIÓN DEL RECURSO HUMANO EN EL SECTOR EDUCATIVO

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

PROCEDIMIENTO DE AUDITORIA INTERNA

CUESTIONARIO DE AUTOEVALUACIÓN

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE

POLÍTICA DE CONTINUIDAD DE NEGOCIO

María Jose Lucas Vegas. Guillermo B. Mora Marín. Consejera Técnica Ministerio de Trabajo y Asuntos Sociales

Poder Judicial. Manual de Organización Oficina de Acceso a la Información Pública

ORDENACIÓN DE LAS ACTUACIONES PERÍODICAS DEL CONSEJO SOCIAL EN MATERIA ECONÓMICA

CAPÍTULO I DISPOSICIONES GENERALES

Desarrollo Organizacional

Plan de Estudios. Maestría en Seguridad Informática

INFORME ANUAL DE TRANSPARENCIA 2014

Nota de Información al cliente ISO/IEC Proceso de auditoría

MANUAL DEL SISTEMA DE GESTIÓN DE CALIDAD

UNESCO/UBC DECLARACIÓN DE VANCOUVER. La Memoria del Mundo en la era digital: digitalización y preservación

PROCEDIMIENTO PARA LA REVISIÓN AMBIENTAL Y LABORAL DE PROYECTOS FINANCIADOS POR LA CII

1 El plan de contingencia. Seguimiento

Subgerencia General Auditoría General

DD4 CRITERIOS DE ACREDITACIÓN PARA LABORATORIOS DE ENSAYO Y DE CALIBRACION

Comité de Desarrollo y Propiedad Intelectual (CDIP)

PLAN DE DESARROLLO UNITEC

DOCUMENTO DE TRABAJO

Transición a la versión 2015 de la NORMA ISO Posibles Cambios

UNIVERSIDAD DE PAMPLONA ANALISIS Y DISEÑO DE SISTEMAS DE INFORMACION - GRUPO BR DOCENTE: ESP. ALEXIS OLVANY TORRES CH. PMBOK

Conceptos Básicos y Definiciones

Con este documento, la Confederación de la Pequeña y Mediana Empresa Aragonesa (CEPYME/ARAGON) con la financiación de la Fundación para la Prevención

Sistemas de Gestión de la Calidad según ISO 9001:2000. Anexos I.A9 Ejemplo de procedimiento de sensibilización, formación y competencia profesional

MANUAL DE PROCEDIMIENTOS DE SOLICITUD DE TRABAJO Y CUENTAS PRESUPUESTARIAS

DEPARTAMENTO NACIONAL DE PLANEACIÓN DECRETO NÚMERO DE 2015

Política Nacional en Discapacidad (PONADIS)

(BOE, de 15 de febrero de 2008)

I. Disposiciones generales

Términos de funcionamiento para los grupos de trabajo Comisión para la Cooperación Ambiental (Aprobadas el 6 de agosto de 2012) Introducción

Política de Salvaguarda de Activos

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

NIC 23: COSTOS POR PRÉSTAMOS

Figure 16-1: Phase H: Architecture Change Management

I. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática

E.- CONTENIDO Y ESTRUCTURA DEL PLAN DE INTERVENCIÓN PARA LA MEJORA

Sistema de Gestión de Riesgos de la FEMPA

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Mesa Redonda Plano de manejo de crisis y continuidad del negocio ante fenómenos naturales de alto poder destructivo

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

NIFBdM C-7 OTRAS INVERSIONES PERMANENTES

SISTEMA DE TESORERIA DEL ESTADO NORMAS BASICAS

España-San Javier: Servicios de seguros 2014/S Anuncio de licitación. Servicios

DN-07 Versión 01. ÁREA EMISORA: HOJA No. DE SUBDIRECCIÓN GENERAL DE INFORMÁTICA CLAVE DEL DOCUMENTO: SGI-PCO-02 FECHA DE EMISIÓN NIVEL DE

DECRETO SUPREMO Nº 170/09

GUÍA PARA LA PREPARACIÓN DE PLANES DE TRABAJO, INFORMES DE AVANCE E INFORMES DE AUTOEVALUACIÓN PARA PROGRAMAS Y PROYECTOS DE COOPERACIÓN TÉCNICA

Transcripción:

06/IN01/DSIC/GSIPR 00 11/NOV/09 1/7 PRESIDENCIA DE LA REPÚBLICA Gabinete de Seguridad Institucional Departamento de Seguridad de la Información y Comunicaciones GESTIÓN DE CONTINUIDAD DE NEGOCIOS EN SEGURIDAD DE LA INFORMACION Y COMUNICACIONES ORIGEN Departamento de Seguridad de la Información y Comunicaciones REFERENCIA NORMATIVA Art. 6º de la Ley nº 10.683, de 28 de mayo de 2003. Art. 8º del Adjunto I del Decreto nº 6.931, de 11 de agosto de 2009. Decreto nº 3.505, de 13 de junio de 2000. Instrucción Normativa nº 01 del Gabinete de Seguridad Institucional, de 13 de junio de 2008. NBR 15999-1: 2007 Gestión de Continuidad de Negocios. NBR ISO/IEC 27002 (17799:2005) Cobit 4.1 DS4 Ensure Continuous Service ÁREA DE APLICACIÓN Esta Norma Complementaria se aplica al área de la Administración Pública Federal, en las formas directa e indirecta. SUMARIO 1. Objetivo 2. Consideraciones Iniciales 3. Fundamento Legal de la Norma Complementaria 4. Conceptos y Definiciones 5. Procedimientos 6. Responsabilidades 7. Vigencia INFORMACIONES ADICIONALES No existen APROBACIÓN RAPHAEL MANDARINO JUNIOR Director del Departamento de Seguridad de la Información y Comunicaciones

06/IN01/DSIC/GSIPR 00 11/NOV/09 2/7 1 OBJETIVO Establecer directrices para Gestión de la Continuidad de Negocios, en los aspectos relativos a la Seguridad de la Información y Comunicaciones, en los órganos y entidades de la Administración Pública Federal, en sus formas directa e indirecta APF. 2 CONSIDERACIONES INICIALES La implantación del proceso de Gestión de la Continuidad de Negocios tiene por objetivo disminuir lo máximo posible aquellos impactos que resultan de fallas, desastres o indisponibilidades significativas sobre las actividades del órgano u entidad, además de recuperar pérdidas de activos de información en un nivel aceptable, por medio de acciones de prevención, respuesta y recuperación. La Gestión de la Continuidad de Negocios puede involucrar acciones más abarcadoras que las definidas en el área de la Gestión de Seguridad de la Información y Comunicaciones, principalmente por causa de las exigencias estratégicas de continuidad relativas a los individuos, a la infraestructura, a los procesos y a las actividades de funcionamiento. La Gestión de la Continuidad de Negocios, de que trata esta Norma Complementaria, está limitada al alcance de las acciones de Seguridad de la Información y Comunicaciones implantadas en los órganos o entidades de la APF. 3 FUNDAMENTO LEGAL DE LA NORMA COMPLEMENTARIA Conforme lo dispuesto en el inciso II del art. 3º de la Instrucción Normativa nº 01, de 13 de junio de 2008, del Gabinete de Seguridad Institucional, el Departamento de Seguridad de la Información y Comunicaciones DSIC es responsable por establecer normas definiendo las exigencias metodológicas para implementación de la Gestión de Seguridad de la Información y Comunicaciones por los órganos y entidades de la Administración Pública Federal, en sus formas directa e indirecta. 4 CONCEPTOS Y DEFINICIONES Para efectos de esta Norma Complementaria, se aplican los siguientes conceptos y definiciones: 4.1 Actividad: Proceso o conjunto de procesos ejecutados por un órgano o entidad, o en su nombre, que producen o soportan uno o más productos o servicios; 4.2 Actividades Críticas: Actividades que deben ser ejecutadas de forma que garanticen la obtención de los productos y servicios fundamentales del órgano o entidad de tal forma que permitan alcanzar sus objetivos más importantes y sensibles al mismo tiempo.

06/IN01/DSIC/GSIPR 00 11/NOV/09 3/7 4.3 Análisis de Impacto en los Negocios (AIN): Tiene por objetivo evaluar los impactos que resultan de la interrupción de servicios y de escenarios de desastres que puedan afectar el desempeño de los órganos o entidades de la APF, así como las técnicas para cuantificar y calificar esos impactos. Define también el nivel crítico de los procesos de negocio, sus prioridades de recuperación, interdependencias y los requisitos de seguridad de la información y comunicaciones para que los objetivos de recuperación sean cumplidos en los plazos establecidos. 4.4 Activos de información: Los medios de almacenaje, transmisión y procesamiento, los sistemas de información, así como los locales en que se encuentran esos medios y las personas que tienen acceso a ellos; 4.5 Continuidad de Negocios: Potencial estratégico y táctico de un órgano o entidad de planificarse y responder a incidentes e interrupciones de negocios, disminuyendo lo más posible sus impactos y recuperando pérdidas de activos de información de las actividades críticas, de modo que puedan mantener sus operaciones en un nivel aceptable, definido anticipadamente; 4.6 Desastre: Evento repentino y no planeado que causa pérdida para toda la organización o parte de ella, y genera graves impactos en su capacidad de entregar servicios esenciales o críticos por un periodo de tiempo superior al tiempo objetivo de recuperación; 4.7 Estrategia de Continuidad de Negocios: Abordaje de un órgano o entidad que garantiza la recuperación de los activos de información y la continuidad de las actividades críticas al enfrentar un desastre, una interrupción u otro incidente mayor; 4.8 Gestión de Continuidad: Proceso abarcador de gestión que identifica potenciales amenazas para una organización y los posibles impactos en las operaciones de negocios, en caso de que estas amenazas no se concreticen. Este proceso provee una estructura para que se desarrolle una resiliencia organizacional que pueda responder de forma efectiva y resguardar los intereses de las partes interesadas, la reputación y la marca de la organización, y sus actividades de valor adicional; 4.9 Incidente: Evento que haya causado algún daño, colocado en riesgo algún activo de información crítico o interrumpido la ejecución de alguna actividad crítica por un periodo de tiempo inferior al tiempo objetivo de recuperación; 4.10 Plan de Continuidad de Negocios: Registro de los procedimientos e informaciones necesarios para que los órganos o entidades de la APF mantengan sus activos de información críticos y la continuidad de sus actividades críticas en lugar alternativo en un nivel definido anteriormente, en caso de incidentes; 4.11 Plan de gestión de incidentes: Plan de acción claramente definido y registrado, para ser usado cuando ocurra un incidente que básicamente cubra los principales individuos, recursos, servicios y otras acciones que sean necesarias para implementar el proceso de administración de incidentes;

06/IN01/DSIC/GSIPR 00 11/NOV/09 4/7 4.12 Plan de Recuperación de Negocios: Registro de los procedimientos e informaciones necesarios para que el órgano o entidad de la APF dirija el regreso de las actividades críticas a la normalidad; 4.13 Programa de Gestión de la Continuidad de Negocios: Proceso continuo de gestión y gobernanza apoyado por la alta dirección y que recibe recursos apropiados para garantizar que los pasos necesarios sean tomados de modo que se identifique el impacto de pérdidas en potencial, sean mantenidos estrategias y planes de recuperación viables y se asegure la continuidad de provisión de productos y servicios por medio de análisis críticos, exámenes, adiestramientos y mantenimiento; 4.14 Tiempo Objetivo de Recuperación; Es el tiempo predefinido en el que una actividad deberá estar disponible después de una interrupción o incidente; 4.15 Resiliencia: Poder de recuperación o capacidad de una organización de resistir a los efectos de un desastre. 5 PROCEDIMIENTOS 5.1 La elaboración del Programa de Gestión de Continuidad de Negocios involucra los siguientes procedimientos: 5.1.1 Desarrollar documento con las directrices del Programa de Continuidad; 5.1.2 Definir las actividades críticas del órgano o entidad; 5.1.3 Examinar los riesgos a los que estas actividades críticas están expuestas; 5.1.4 Definir las estrategias de continuidad para las actividades críticas; 5.1.5 Desarrollar e implementar los Planes previstos en el Programa de Gestión de la Continuidad de Negocios para respuestas oportunas a interrupciones; 5.1.6 Realizar ejercicios pruebas y mantenimiento periódico de los Planes, promoviendo las revisiones necesarias; 5.1.7 Desarrollar la cultura de continuidad de negocios en el órgano o entidad; 5.2 Los procedimientos previstos en el Programa de Gestión de la Continuidad de Negocios son ejecutados en conformidad con los requisitos de seguridad de la información y comunicaciones necesarios para la protección de los activos de información críticos, tratando las actividades de forma abarcadora, lo que incluye las personas, los procesos, la infraestructura y los recursos de tecnología de la información y comunicaciones; 5.3 Se recomienda que el Programa de Gestión de la Continuidad de Negocios de un órgano o entidad de la APF sea compuesto, como mínimo, por los siguientes Planes, conforme sus

06/IN01/DSIC/GSIPR 00 11/NOV/09 5/7 necesidades específicas, de modo a garantizar la disponibilidad de los activos de información y la recuperación de las actividades críticas: 5.3.1 Plan de Gestión de Incidentes PGI; 5.3.2 Plan de Continuidad de Negocios PCN; 5.3.3 Plan de Recuperación de Negocios PRN. 5.4 Cada uno de los planes contiene, por lo menos: 5.4.1 Plan de Gestión de Incidentes: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Condiciones para la activación de Planes; d) Autoridad responsable; e) Detalles de contacto; f) Lista de deberes y acciones; g) Actividades de los individuos; h) Comunicación con los medios; i) Localización para la gestión de incidentes. 5.4.2 Plan de Continuidad de Negocios: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Autoridad responsable; d) Detalles de contacto; e) Lista de deberes; f) Recursos necesarios. 5.4.3 Plan de Recuperación de Negocios: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Autoridad responsable; d) Detalles de contacto; e) Lista de deberes; f) Recursos necesarios. 5.5 Los Planes son ejercitados y examinados periódicamente, así como los resultados registrados de modo a asegurar su efectividad. 5.6 La revisión de los planes es realizada en las siguientes situaciones: 5.6.1 Como mínimo, una vez por año; 5.6.2 En función de los resultados de las pruebas realizadas; o 5.6.3 Después de algún cambio significativo en los activos de información, en las actividades o en alguno de sus componentes.

06/IN01/DSIC/GSIPR 00 11/NOV/09 6/7 Se sugiere que los contratos consolidados con empresas subcontratadas que soporten actividades críticas contengan cláusula que estipule que las referidas empresas tengan Planes de Continuidad de sus Negocios, así como las evidencias de las pruebas realizadas. 6 RESPONSABILIDADES 6.1 Para la Alta Administración del órgano o entidad de la APF, en el ámbito de sus atribuciones, se recomienda que sean adoptadas las responsabilidades a continuación: 6.1.1 Aprobar las directrices estratégicas que orientan la elaboración del Programa de Gestión de Continuidad de Negocios; 6.1.2 Evaluar la relación coste/beneficio de las estrategias de continuidad sugeridas y de los Planes que componen el Programa de Gestión de la Continuidad de Negocios y decidir al respecto de su implementación; 6.1.3 Asegurar los recursos necesarios para establecer, implementar, operar y mantener el Programa de Gestión de la Continuidad de Negocios. 6.2 Las atribuciones a seguir deben ser cedidas al responsable por la Gestión de la Continuidad de Negocios, o al Gestor de Seguridad de la Información y Comunicaciones, cuando el órgano o entidad no tenga Gestor de Continuidad de Negocios; 6.2.1 Proponer las directrices estratégicas del Programa de Gestión de la Continuidad de Negocios; 6.2.2 Evaluar el plan de tratamiento de riesgos; 6.2.3 Realizar, de forma periódica, el Análisis de Impacto en los Negocios (AIN); 6.2.4 Proponer mejoras en la implantación de nuevos controles en relación al Programa de Gestión de la Continuidad de Negocios; 6.2.5 Supervisar la elaboración, implementación, exámenes y actualización de los Planes; 6.2.6 Desarrollar la cultura de Gestión de Continuidad de Negocios. Las atribuciones a continuación deben ser dadas a los responsables por los sectores o procesos en que fueron identificadas actividades críticas para el órgano o entidad de la APF: 6.3.1 Elaborar los Planes previstos en el Programa de Gestión de la Continuidad de Negocios relativos a las actividades críticas; 6.3.2 Realizar los exámenes y ejercicios de los Planes;

06/IN01/DSIC/GSIPR 00 11/NOV/09 7/7 6.3.3 Evaluar y perfeccionar los Planes por medio de los resultados de los exámenes y ejercicios; 6.3.4 Administrar la contingencia cuando ocurra la interrupción de actividades, con base en los Planes desarrollados; 6.3.5 Proponer los recursos necesarios para la implantación y el desarrollo de las acciones relativas a la continuidad de las actividades, así como para la realización de las pruebas y de los ejercicios de los Planes. 7 VIGENCIA Esta Norma entra en vigor en la fecha de su publicación creando sus efectos a partir del 17 de mayo de 2010.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback