Anexo I. Politicas Generales de Seguridad del proyecto CAT



Documentos relacionados
Aviso Legal. Entorno Digital, S.A.

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT:

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Políticas de seguridad de la información. Empresa

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

I. INTRODUCCIÓN DEFINICIONES

Módulo 7: Los activos de Seguridad de la Información

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

Condiciones de servicio de Portal Expreso RSA

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Soporte Técnico de Software HP

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

MANUAL DE CALIDAD ISO 9001:2008

Normativa de Seguridad de los Usuarios de los Recursos Informáticos de la EUSS

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

0. Introducción Antecedentes

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

NORMAS Y POLITICAS PARA EL USO Y CUIDADO DE LAS TECNOLOGIAS DE INFORMACIÓN DE LA SECRETARIA DE FOMENTO AGROPECUARIO

POLÍTICAS DE SERVICIOS DE DNS PERSONALIZADO. Políticas en vigor a partir del 5 de Diciembre de 2015.

SEMANA 12 SEGURIDAD EN UNA RED

TERMINOS DE USO DE LOS SITIOS WEB PROPIEDAD DE COMERCIALIZADORA SIETE S.A. DE C.V

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

GESTIÓN DE LA DOCUMENTACIÓN

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Operación 8 Claves para la ISO

RECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Proceso: AI2 Adquirir y mantener software aplicativo

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

1.- Objetivo y descripción del funcionamiento

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

ANEXO TÉCNICO I-E PARTIDA 5

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

GUÍA DE AYUDA PARA REGISTRO DE SOLUCIONES TECNOLÓGICAS ALINEADAS A LA CONVOCATORIA 5.3

Modelo de Política de Privacidad

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Políticas: Servicio de Computo de Alto Rendimiento

CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN)

Actualizaciones de seguridad.

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

SHAREFILE. Contrato de socio comercial

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA

POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

Para detalles y funcionalidades ver Manual para el Administrador

CONTRATO DE TERMINOS Y CONDICIONES

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES

Subdirección General Área De Gestión Ambiental: Subdirección programa fuentes móviles.

Transferencia Electrónica de Archivos (TEA) Normas Técnicas

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Servicio de Alta, Baja, Modificación y Consulta de usuarios Medusa

Infraestructura Extendida de Seguridad IES

Gestión de Seguridad Informática

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Adelacu Ltda. Fono Graballo+ Agosto de Graballo+ - Descripción funcional - 1 -

Políticas de Seguridad de la información

Estatuto de Auditoría Interna

!" #$ % &' (%) ' *+ Carretera de Utrera, Km SEVILLA. ESPAÑA. Tfno. (34) Fax. (34)

DIRECCIÓN GENERAL ADMINISTRATIVA

REGLAMENTO PARA USO DEL LABORATORIO DE INFORMATICA (CENTRO DE COMPUTO PARA ALUMNOS)

AVISO LEGAL. Definir las condiciones de contratación de los servicios ofrecidos por PC-NEXT.

Proceso de Servicio de Informática y Comunicaciones

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

OFICINA DEL ABOGADO GENERAL

Sistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal

Bechtle Solutions Servicios Profesionales

Política General de Control y Gestión de Riesgos

En el artículo del mes pasado,

POLÍTICA INFORMÁTICA DE LA UNIVERSIDAD POLITECNICA DEL BICENTENARIO. Capítulo I Disposiciones Generales

Soporte y mantenimiento. Generalidades

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS

REGLAMENTO EN EL ÁREA DE REDES

Transcripción:

Anexo I Politicas Generales de Seguridad del proyecto CAT

1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar funcionando en el momento en que se requiere dentro del horario de servicio establecido para él, de la manera en que está definido en virtud del perfil del puesto, y solo por el usuario al cual este fue asignado. Se entenderá por falta al requerimiento de Seguridad de disponibilidad cualquiera de las condiciones siguientes: Que el Puesto de Servicio deje de prestar la funcionalidad básica. Que aún cuando la funcionalidad básica esté funcionando correctamente, el usuario al cual el Puesto de Servicio fue asignado, éste no pueda ejecutar las herramientas asociadas a sus funciones. Que un usuario distinto a aquel a quien fue asignado el Puesto de Servicio y que no tenga una autorización específica para hacerlo, tenga acceso al Puesto de Servicio. El nivel de servicio de esta característica de seguridad tendrá el componente asociado a la funcionalidad básica del puesto de servicio y un componente adicional relativo a mantener el acceso del mismo solo para el usuario asignado y eventuales accesos autorizados por usuarios distintos. b) Libre de virus y gusanos informáticos. En esta característica se medirá el número de eventos y se considerará como nivel de servicio la ocurrencia de diez (10) eventos por cada período de 6 meses. Se entenderá por evento, en el alcance de la característica presente, como cada infección individual de Puestos de Servicio. Debido a la naturaleza de estos eventos, la convocante decidirá sobre las infecciones masivas que ameriten un tratamiento especial a fin de no estar sujetas a este nivel de servicio. c) Los servicios de colaboración del Puesto de Servicio tendrán que estar libres de correos, mensajes, avisos, publicidad y otros elementos similares que no hayan sido solicitados por el usuario de dichos servicios, o que no hagan sentido al negocio y funciones de la convocante. d) Los Puestos de Servicio tendrán que estar libres de programas de abuso o mala intención, como caballos de Troya, spyware, etc. El proveedor de servicios de CAT tendrá que reportar mensualmente los resultados de las evaluaciones de los Puestos de Servicio en el sentido de esta característica. Se considerará como el nivel de servicio asociado a esta característica el de cero (0) eventos por cada período de 6 meses. Se considerará como un evento la ocurrencia de cualquier programa con la funcionalidad descrita en este apartado. La convocante se reserva el derecho de verificar por su cuenta el estado de los Puestos de Servicio y la veracidad de los reportes mensuales. e) Sin abuso en el sentido de que se tendrá que garantizar que los recursos del Puesto de Servicio no podrán ser utilizados para fines distintos a los del negocio y funciones de la convocante. Como ejemplos ilustrativos del uso no autorizado de los recursos del Puesto de Servicio se menciona el almacenamiento de archivos de música, juegos, imágenes no relacionadas con las funciones del usuario, películas, etc., así como el envío o almacenamiento de cadenas, publicidad, etc. Se considerará como nivel de servicio para esta característica la ocurrencia de 20 (veinte) eventos por cada grupo de 250 Puestos de Servicio en cada período de 6 meses. f) Para ciertos perfiles de Puestos de Servicio, no habrá la posibilidad de utilizar los medios de respaldo sin previa autorización. Para ello se deberá controlar el hardware capaz de respaldar información como discos flexibles, discos compactos, dispositivos USB, discos

externos, hand helds, etc., y este control tendrá que poder ejercerse de manera remota para habilitar la disponibilidad de tal capacidad previa autorización y deshabilitarla al cumplirse el período de habilitación prevista en la mencionada autorización. 2 De los servicios de habilitación del Puesto de Servicio. Se tendrá que mantener el control estricto y documentado de la asignación de los servicios de habilitación, así como de la asociación de los nodos de red y de energía regulada con la dirección MAC de los Puestos de Servicio cuando éstos cuenten con tal, de manera que estos formen triadas fijas que solo se puedan modificar mediante un procedimiento formal de cambios. No se podrá permitir el acceso a la red del CAT a equipos que no formen parte de la misma según el inventario que mantendrá el prestador de servicios de CAT, salvo en aquellos casos en que se autorice expresamente mediante escrito de la convocante y solo por el período de tiempo previsto en tal autorización. No se permitirá que Puestos de Servicio inicien sesiones de red si su dirección MAC no está asociada al nodo de red en que está conectada. El uso de puertos de comunicaciones en los equipos activos (routers, switches, etc.) deberá mantenerse bajo el mas estricto control de asignación por parte del prestador de servicios de CAT. Se deberá mantener cada segmento de red administrado por el prestador de servicios de CAT libre de tráfico no asociado al negocio o funciones de la convocante, como tráfico de virus, gusanos informáticos, escaneos de vulnerabilidades, ataques de negación de servicios, explotación de vulnerabilidades, etc. En este caso se medirá el nivel de servicio en la misma manera y bajo los mismos supuestos que se prevén en el inciso b) del parágrafo anterior. 3 De los servicios de Directorio El servicio de Directorio deberá mantener una administración de identidades de cada usuario de la convocante en relación con las autorizaciones a los servicios a que cada uno de ellos tiene derecho, y deberá conservar la evolución de las mismas en el tiempo. Este servicio se integrará con el esquema institucional de directorio de acceso a aplicativos de la convocante y lo complementará. 4 De los Planes de Recuperación de Desastres. El prestador de servicios de CAT deberá integrar un mecanismo de contingencia ante eventos imprevistos, identificando las amenazas a las que está expuesto el servicio prestado, evaluando los riesgos asociados, definiendo las medidas de mitigación de los mismos, estableciendo roles y actividades así como responsables de los mismos, y junto con los puntos adicionales que considere pertinentes de tal manera que integre un Plan de Recuperación de Desastres que deberá entregar a la convocante para su evaluación y seguimiento, y cuya principal función es la de proporcionar a la convocante la certidumbre de que los servicios contratados se mantendrán disponibles ante eventos imprevistos.

Generales Dentro de las prácticas que el proveedor debe observar, implementar y aplicar se encuentran: El proveedor deberá implementar y aplicar las políticas y procedimientos de seguridad establecidos por la convocante. Estas políticas aplican a todas las estaciones de trabajo, servidores y equipo portátil utilizados por los empleados de la convocante y por los proveedores del CAT sin importar su ubicación. El proveedor se obliga a observar y respetar la Normatividad vigente de la convocante en materia de Seguridad y es responsable por su cumplimiento en la misma medida en que lo son los empleados de la convocante, incluyendo las consecuencias derivadas de la falta de su observación y riguroso cumplimiento. Se ofrecen para consulta en el Data Room los siguientes documentos: 1. Manual de Normas de Seguridad Lógica. 2. Manual de Normas de Seguridad Física. 3. Manual de Políticas sobre Seguridad de la Información. 4. Reglamento Interno de Seguridad en el CPN. El proveedor es responsable de la administración de servidores y puestos de servicio que contienen información de diferente naturaleza, que están bajo su responsabilidad y que tienen requerimientos de seguridad inherentes. El proveedor será responsable de la integridad y disponibilidad, así como la confidencialidad de toda la información que exista en los servidores bajo su responsabilidad. El proveedor deberá solicitar los permisos de seguridad conducentes y la firma de los acuerdos de confidencialidad correspondientes para asegurar que ninguna información de la convocante se vea comprometida. El proveedor se obliga a mantener en secreto toda información de carácter comercial o relativa al negocio y funciones de la convocante con la que entre en contacto en virtud del contrato de servicios de CAT, antes, durante y después del período de vigencia del mismo. Toda la información procesada, almacenada o transmitida por los equipos del proveedor pertenecen a la convocante. El hecho de tener la responsabilidad de mantener la infraestructura donde reside la información no le da derechos al proveedor del CAT a su uso o distribución. El cumplimiento de estos requerimientos será monitoreado periódicamente mediante auditorias de seguridad por la convocante o por terceros que se contraten para este efecto. El proveedor no puede publicar o revelar en ningún medio sin previa autorización por escrito de la convocante, los detalles del diseño de seguridad, desarrollado y/o implementado por el proveedor bajo este contrato. El proveedor deberá desarrollar e implementar planes de aseguren que los recursos de IT que sean llevados fuera de las instalaciones de la convocante sean revisados y limpiados de la información de la convocante a través de una técnica que sea aprobada por la misma. Las licencias de software en este caso también deben ser removidas. Medios de almacenamiento dañados deben ser destruidos o su contenido eliminado.

El proveedor deberá permitir el acceso a facilidades, instalaciones, capacidades técnicas, operaciones, documentación, registros, bases de datos y personal para realizar programas de inspección y auditoria que salvaguarden en contra de amenazas sobre la confidencialidad, integridad y disponibilidad de la información de la convocante.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback