POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN EMPRESAS COPEC S.A.

Documentos relacionados
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

POLÍTICA DE GESTIÓN DE RIESGOS EMPRESAS COPEC S.A.

MANUAL 1 DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO. Bolsa de Comercio de Santiago, Bolsa de Valores

MANUAL DE MANEJO DE INFORMACIÓN ITAÚ CHILE CORREDOR DE BOLSA LIMITADA

Política de Seguridad de la Información de ACEPTA. Pública

Política de. Divulgación y Transparencia

Administración del riesgo en las AFP

GOBIERNO CORPORATIVO La visión del Supervisor

MARCO DE REFERENCIA GOBIERNO DE TI PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

CÓDIGO DE ÉTICA. Proceso de inversiones AFORE PROFUTUROCÓDIGO DE ÉTICA AFORE PROFUTURO

POLÍTICA GENERAL DE LIBRE COMPETENCIA

SISTEMA DE CONTROL INTERNO GENERALIDADES.

JUNTA MONETARIA RESOLUCIÓN JM

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

Decreto Legislativo Nº 1105 que establece disposiciones para el proceso de formalización

POLÍTICAS DEL PROCESO DE CERTIFICACION DE PERSONAS

ESPECIALISTA EN GESTION FINANCIERA DEL PROYECTO BANCO MUNDIAL

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

Sistema de Gestión Ambiental ISO 14001

2. La institución formula, perfecciona una política de Evaluación del Desempeño enmarcada en la Política de Recursos Humanos.

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

Código de Buenas Prácticas en Seguros de Transporte

CÓDIGO DE ÉTICA Y CONDUCTA DE PROVEEDORES DE INTERBANK

BOLSA DE CORREDORES BOLSA DE VALORES

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

MANUAL DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS DEL SISTEMA DE GESTIÓN DE CALIDAD

REPÚBLICA DE PANAMÁ SUPERINTENDENCIA DE BANCOS

REGLAMENTO DE LA LEY FEDERAL DE PRESUPUESTO Y RESPONSABILIDAD HACENDARIA

HSBC BANK (CHILE) MANUAL DE MANEJO DE INFORMACION DE INTERES PARA EL MERCADO

TIPO DE PROCESO Estratégico Misional De Apoyo X Seguimiento y Medición RESPONSABLE

POLÍTICA GENERAL DE CONTROL Y GESTIÓN DE RIESGOS DE GAMESA CORPORACIÓN TECNOLÓGICA, S.A. (Texto aprobado inicialmente por acuerdo del Consejo de

PROCEDIMIENTO DOCUMENTADO: CONTROL Y TRATAMIENTO DE NO CONFORMIDADES.

8VA. SESIÓN SISTEMA DE ATENCIÓN AL USUARIO

Versión 02. Fecha Versión Nivel Confidencialidad Público. PC Política de Calidad. PC_Versión 02 Página 1 de 5

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Éxito Empresarial. Cambios en OHSAS 18001

PROGRAMA DE FORTALECIMIENTO DE CAPACIDADES EMPRESARIALES PARA MICROEMPRESAS DEL ESTADO DE AGUASCALIENTES. REGLAS DE OPERACIÓN

Normativa Canal de Denuncias SENER.

LINEAMIENTOS PARA LA SELECCIÓN, ADQUISICIÓN Y CONTRATACIÓN DE BIENES, SERVICIOS, CONSULTORÍAS Y OBRAS

CONGREGACION DE RELIGIOSOS TERCIARIOS CAPUCHINOS PROVINCIA SAN JOSE

CÁMARA DE COMERCIO DE BOGOTÁ POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

- Tener actualizado y sin inconsistencias el domicilio fiscal y los domicilios de los distintos locales y establecimientos;

ESTRATEGIA DE RIESGOS

República de Panamá Superintendencia de Bancos

COBIT 4.1. Planear y Organizar PO10 Administrar Proyectos. By Juan Antonio Vásquez

MANUAL DE MANEJO DE INFORMACIÓN MOLINA Y SWETT S.A. CORREDORES DE BOLSA

MANUAL DE POLÍTICA CONTROL DE LICENCIAS DE SOFTWARE

PROCESO COMUNICACIÓN INSTITUCIONAL PROCEDIMIENTO COMUNICACIÓN INTERNA

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

POLÍTICA DE RESPONSABILIDAD SOCIAL CORPORATIVA DE CONSTRUCCIONES Y AUXILIAR DE FERROCARRILES, S.A. (CAF)

REGLAMENTO SOBRE DIVULGACIÓN Y ACTUALIZACIÓN DE INFORMACIÓN DE ENTIDADES EMISORAS

PROCEDIMIENTOS DE GOBIERNO CORPORATIVO EMPRESAS COPEC S.A.

Medellín, Abril 13 de 2016 CIRCULAR 01 DE: GERENCIA DE SISTEMAS DE GESTIÓN CIDET.

CONTRATO DE ENCARGO FIDUCIARIO FONDO DE INVERSION COLECTIVO ABIERTO RENDIR

ANEXOS GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Procedimiento de Adquisición de Insumos Clínicos y Médicos en el Hospital Dr. Rafael Avaria Valenzuela de Curanilahue

MR Consultores. Jornadas de Capacitación y Actualización Tributaria BENEFICIO PARA LAS PYMES

Procedimiento Requisitos Legales

Sistema de Gestión de la Seguridad y Salud en el Trabajo DECRETO 1072 DEL 26 DE MAYO DE 2015 Libro 2, Parte 2, Titulo 4, Capitulo 6

EL CONCEJO DE LA MUNICIPALIDAD DE SAN BORJA

NORMA PARA LA GESTIÓN DEL RIESGO DE CRÉDITO EN LAS COOPERATIVAS DE AHORRO Y CRÉDITO Resolución No F. Octubre, 2015

Ley o normas que regulan las competencias y recursos asignados a la institución.

CONSIDERANDO: CAPÍTULO I

La gestión por procesos

REGLAMENTO GENERAL DE SEGURIDAD PARA EL USO DE LOS TALLERES Y LABORATORIOS DE LA UNIVERSIDAD DEL AZUAY

Unidad Sistema de Aseguramiento de la Gestión de la Calidad

MANUAL POLÍTICA DE PASO A PRODUCCIÓN DE SISTEMAS DE INFORMACIÓN Y CONTROL DE VERSIONES

ISO , por dónde empezamos?

Proyecto de ley. El Senado y la Cámara de Diputados de la Nación Argentina, etc.,

Resumen de Notas de Vigencia

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728.

REGLAMENTO DE BIBLIOTECA

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

Dependencia/ secretaría. Secretaria General y Administrativa INTRODUCCIÓN

Universidad Nacional del Litoral

PROCEDIMIENTO DE CONTROL DE DOCUMENTOS La Paz Bolivia Versión : 001 Revisión : 000

Seguridad Informática

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

DEPARTAMENTO HSEC. Roles y Funciones

Matriz de Riesgos y Controles. Proceso Contable.

BOLSAS Y MERCADOS ESPAÑOLES, SISTEMAS DE NEGOCIACIÓN, S.A.

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

POLITICAS Anexo 1 Manual de SGI

Capítulo XIV. Seguridad de la Información

Superintendencia de Salud Sebastián Pavlovic Jeldres Superintendente de Salud (s)

Ficha Informativa de Proyecto 2016

NIMF n. 7 SISTEMA DE CERTIFICACIÓN PARA LA EXPORTACIÓN (1997)

MCA-01-D-10 GESTION ESTRATEGICA FECHA VERSIÓN MATRIZ DE AUTORIDADES Y RESPONSABILIDADES 12/10/ MANUAL DE GESTION

MANUAL DE OPERACIÓN DE LA NORMATECA INTERNA DE LA SECRETARÍA DE DESARROLLO ECONÓMICO

PROCESO DE MANTENIMIENTO PREVENTIVO OPERACIONES

CRITERIOS DE CALIDAD PARA LA ACREDITACIÓN DE CARRERAS DE INGENIERÍA EN LA REGION

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

POLÍTICA PARA EL AUTOCONTROL Y LA GESTIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

AGENEX. CAPÍTULO II Auditorías energéticas

PROCEDIMIENTO VERSION: 03 AUDITORIAS DE CONTROL INTERNO FECHA: EVALUACIÓN Y CONTROL PAGINA: 1 de 7

Sociedad Española de Cirugía Ortopédica y Traumatología, SECOT REGLAMENTO DE PROYECTOS CIENT FICOS E INVESTIGACIŁN SECOT 2016

SISTEMA INTEGRAL DE RIESGOS

EVALUACIÓN, MEDICIÓN, CONTROL Y SEGUIMIENTO INFORME EJECUTIVO

Transcripción:

POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Noviembre 2015

ÍNDICE INTRODUCCIÓN....3 1. OBJETIVOS....4 2. ALCANCE.....4 3. DEFINICIONES..........5 4. POLÍTICAS..... 8 APROBACIÓN Y MODIFICACIONES. 13 MECANISMOS DE DIVULGACIÓN....13 2

INTRODUCCIÓN La información corresponde a un activo, el cual se expone a riesgos y amenazas dinámicos, que pueden provenir desde dentro o fuera de la organización, y pueden ser intencionales o accidentales. Su ocurrencia puede provocar pérdidas materiales y económicas, daños en la imagen institucional y en la confianza de los clientes, infracciones legales, incumplimiento regulatorio, vulneración de derechos de colaboradores o de terceros. Dado lo anterior, es importante proteger adecuadamente los activos de información de la organización. Por ello, para Empresas Copec la Seguridad de la Información es un proceso continuo destinado a proteger sus activos de información contra las amenazas que pongan en riesgo su integridad, disponibilidad o confidencialidad. Toda información de la empresa, independiente de la forma en que se documente (soporte), debe ser protegida adecuadamente a través de la implementación de un conjunto de controles, que se definen en políticas, normas y procedimientos de Seguridad de la Información. En vista de lo anterior, el Directorio de Empresas Copec apoya los objetivos estratégicos de Seguridad de la Información y vela para que se encuentren alineados con las estrategias y los objetivos del negocio. Las políticas de Seguridad de la Información de Empresas Copec están basadas en la norma ISO 27002 vigente, correspondiendo el presente documento al punto 5 de dicha norma: Políticas de Seguridad de la Información. 3

1. OBJETIVOS La Política de Seguridad de la Información tiene como objetivos: 1. Establecer los criterios y directrices generales sobre la gestión de Seguridad de la Información, aplicables en Empresas Copec, en los cuales se basan las demás políticas, normas y procedimientos. 2. Orientar las acciones sobre la Gestión de Seguridad de la Información que adopte y comprometa la Administración de Empresas Copec, para que estén alineadas con los objetivos del negocio. 2. ALCANCE Esta Política de Seguridad de la Información aplica a todos los activos de información de la Empresa, cualquiera sea la forma de soporte, así como los procesos y sistemas que los apoyan. Por tanto, es responsabilidad de todos los colaboradores de Empresas Copec, además, de los proveedores y clientes, cuando corresponda, conocer, cumplir y hacer cumplir cabalmente las disposiciones de esta Política. 4

3. DEFINICIONES 3.1 Empresas Copec Se refiere exclusivamente a la sociedad matriz; no incluye sus afiliadas y asociadas. 3.2 Colaborador Toda persona que tenga un vínculo contractual de trabajo con Empresas Copec, sea éste indefinido, a plazo fijo o a honorarios. 3.3 Activo de Información Aquello que tenga valor y es importante para Empresas Copec, sean documentos, sistemas o personas. Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución. Se distinguen tres niveles: La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.). Los Equipos/Sistemas/Infraestructura que soportan esta información. Las Personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales. 5

3.4 Política Directriz u orientación general expresada formalmente por la Administración de Empresas Copec. 3.5 Norma Disposición de carácter general que se desprende de las Políticas de Seguridad de la Información, estableciendo obligaciones, restricciones, prohibiciones u otras conductas esperadas. 3.6 Procedimiento Sucesión cronológica de acciones concatenadas entre sí, para la realización de una actividad o tarea específica dentro del ámbito de los controles de Seguridad de la Información. 3.7 Riesgo Es la posibilidad de que ocurra un evento que afecte adversamente el logro de los objetivos de Empresas Copec. Se mide combinando las consecuencias del evento (impacto) y su probabilidad de ocurrencia. 3.8 Amenaza Causa potencial de un incidente no deseado, que puede dar lugar a daños a un sistema o proceso. 6

3.9 Vulnerabilidad Debilidad de un activo o grupo de activos que puede ser materializada por una o más amenazas. 3.10 Evento de Seguridad de la Información Actividad o serie de actividades sospechosas que amerita ser analizada desde la perspectiva de la Seguridad de la Información. 3.11 Incidente de Seguridad de la Información Evento o serie de eventos de Seguridad de la Información, no deseados o inesperados, que compromete la Seguridad de la Información y amenaza la operación del negocio. 3.12 Confidencialidad Propiedad de la información que determina que sólo podrá ser accedida por personas, entidades o procesos debidamente autorizados. 3.13 Integridad Propiedad de la información según la cual sólo puede ser modificada, agregada o eliminada por las personas o sistemas autorizados para cada proceso, de tal forma de salvaguardar la exactitud y completitud de los activos de información. 7

3.14 Disponibilidad Propiedad de la información según la cual es accesible y utilizable oportunamente por las personas o sistemas o procesos autorizados, en el formato requerido para su procesamiento. 4. POLÍTICAS 4.1 Deber del Colaborador Todo colaborador de Empresas Copec tiene el deber de contribuir permanentemente a la Seguridad de la Información, de manera proactiva, respetando y cumpliendo las políticas, normas, procedimientos de Seguridad de la Información, y debe preocuparse de conocer y comprender el contenido de todas ellas. 4.2 Aplicación a Terceros Las políticas de Seguridad de la Información se darán a conocer y se exigirán a terceros con quienes Empresas Copec se relacione, tales como clientes o proveedores que realicen trabajos para la Compañía, incorporándose las cláusulas pertinentes en los contratos respectivos. 8

4.3 Políticas de Seguridad de la Información Se establecen y se consideran como parte de este marco normativo de Seguridad de la Información, Políticas Específicas de Seguridad de la Información de Empresas Copec, de acuerdo a los dominios definidos en la norma ISO 27002, a saber: Políticas de Seguridad de la Información Organización de la Seguridad de la Información Seguridad de Recursos Humanos Administración de Activos Control de Acceso Criptografía Seguridad Física y Ambiental Seguridad de las Operaciones Seguridad en las Comunicaciones Adquisición, Desarrollo y Mantenimiento de Sistemas Relaciones con los Proveedores Administración de Incidentes de Seguridad de la Información Aspectos de Seguridad de la Información en Continuidad del Negocio Cumplimiento 9

4.4 Estructura del Marco Normativo de Seguridad de la Información La documentación de Seguridad de la Información de Empresas Copec está dividida en: Políticas Normas Procedimientos 4.5 Categorías de Políticas Las políticas de Seguridad de la Información están agrupadas en tres temas: a. Políticas Referidas a los Activos de Información y Exigencias Técnicas Empresas Copec, con el objeto de definir los criterios aplicables a los activos de información y las exigencias técnicas de seguridad adecuadas para la Empresa, cuenta con políticas sobre: gestión de activos, seguridad física y ambiental; criptografía; gestión de comunicaciones y operaciones; control de acceso sobre adquisición, desarrollo y mantención de sistemas de información; sobre gestión de incidentes; y sobre administración de proveedores. 10

b. Políticas Referidas a la Gestión de Personas Empresas Copec, con el objeto de favorecer un uso adecuado de la información y de los sistemas que la apoyan, cuenta con políticas de Seguridad de la Información vinculadas a la Gestión de Personas. Dichas políticas, en la medida que se refieran a obligaciones o prohibiciones que afecten a los colaboradores de Empresas Copec, deberán encontrarse alineadas, entre otras, con las normas laborales vigentes; los Contratos de Trabajo; el Reglamento Interno de Orden, Higiene y Seguridad; el Código de Ética; la Política de Prevención de Delitos y el Manual para el Manejo de Información, entre otros. c. Políticas Referidas al Cumplimiento Empresas Copec cuenta con políticas de Seguridad de la Información asociadas al cumplimiento de disposiciones legales, regulatorias o contractuales. A partir de dichas políticas, se deberán implementar medidas de control que consideren el riesgo legal por incumplimiento, no sólo correctivamente, sino principalmente de forma preventiva. 4.6 Estructura Organizacional de Seguridad Empresas Copec, con el objeto de asignar los roles y funciones necesarios para la gestión de la Seguridad de la Información, cuenta con políticas y normas de tipo organizacional, fundamentales para garantizar una adecuada gestión de Seguridad de la Información al interior de Empresas Copec. En ese sentido, la principal instancia responsable de monitorear y gestionar estas políticas y normas corresponde al Comité de Seguridad de la Información. 11

4.7 Aprobación y Difusión de las Políticas Las políticas específicas de Empresas Copec, así como cualquier modificación a las mismas, deberán ser aprobadas por los estamentos pertinentes, definidos en los acuerdos del Comité de Seguridad de la Información. Todas las políticas de Seguridad de la Información deberán ser comunicadas a los colaboradores de Empresas Copec de manera pertinente, accesible y comprensible, dejándose constancia de ello. 4.8 Sanciones El incumplimiento de las políticas de Empresas Copec dará derecho a ésta a ejercer las acciones civiles, penales y administrativas que correspondan y, de ser ello procedente, a proceder a la terminación de los contratos respectivos. 4.9 Vigencia Las Políticas de Seguridad de la Información y todo su contenido tendrán vigencia a contar de su fecha de aprobación y puesta en marcha, y tendrá duración indefinida en tanto el Directorio de la Empresa no adopte otra resolución al respecto. 12

APROBACIÓN Y MODIFICACIONES El presente documento fue aprobado por el Directorio de la Empresa en sesión celebrada el 26 de noviembre de 2015. En caso de realizarse modificaciones, deberá consignarse en este acápite la fecha de celebración de la sesión de Directorio en que se hayan aprobado dichas modificaciones. MECANISMOS DE DIVULGACIÓN El texto íntegro y actualizado de la presente política se pondrá y mantendrá a disposición de los interesados en la página web de la Empresa (www.empresascopec.cl). 13

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback