POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Documentos relacionados
RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

Dirección de Prevención y Control de Operaciones Ilícitas

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

NEEC. Requerimientos. S&Q International Consulting

REGLAMENTO DE DISTRIBUCIÓN Y COMERCIALIZACIÓN

SISTEMA DE CONTROL INTERNO GENERALIDADES.

ENTIDAD DE REGISTRO O VERIFICACIÓN DE AC CAMERFIRMA S.A. POLÍTICA DE PRIVACIDAD VERSIÓN 1.0. Contactos:

RIESGO OPERACIONAL La crisis económica aumenta el riesgo de fraude. Lic. Yanio Concepción

CURSO: INTERPRETACIÓN NORMA ISO

Superintendencia de Bancos

INFORME DE AUDITORÍA INTERNA DE LA CALIDAD

POLÍTICA DE GESTIÓN DE RIESGOS

Objetivos y Lineamientos del Control Interno de Aplicación General para Banco PagaTodo.

PROYECTO ISO SISTESEG

ANEXO 3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN

Aseguramiento de la calidad y pruebas de software 4- Revisiones 5- Pruebas del software

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

Antes de imprimir este documento piense en el medio ambiente!

CAPÍTULO 97. INSPECCIÓN DE UN TALLER DE MANTENIMIENTO AERONAUTICO RAD 145. SECCION 1. ANTECEDENTES

Interpretación Resultados Evaluación MECI Vigencia 2014

Administración del riesgo en las AFP

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

ISO GAP ANALYSIS

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Identificar el 100% de los. peligros presentes en la empresa. Identificar el 100% de los. requisitos legales aplicables a la empresa

LINEAMIENTOS PARA LA SELECCIÓN, ADQUISICIÓN Y CONTRATACIÓN DE BIENES, SERVICIOS, CONSULTORÍAS Y OBRAS

Rosa Patricia Romero Líder Integridad Mecánica

NORMAS PARA EL USO DE LABORATORIOS DE COMPUTACIÓN i

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

FUNDACION CENTRO COLOMBIANO DE ESTUDIOS PROFESIONALES Aquí Comienzan a ser realidad tus sueños ACCIONES CORRECTIVAS

ANEXO H-6 Metodología para la Administración de Liberaciones

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS

PROCEDIMIENTO DE RESPALDO y RECUPERACION DE DATOS DE LA INFRAESTRUCTURA TECNOLÓGICA

Políticas de continuidad del servicio: Planes de Contingencia

Política de Seguridad de la Información de ACEPTA. Pública

Gerencia de Proyectos

REVISIÓN DE ASEGURAMIENTO DE CALIDAD DE LA ACTIVIDAD DE LA AUDITORÍA INTERNA

MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS

EMPRESAS DE BUSES HUALPEN

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD Y CONTROL INTERNO 1. OBJETIVO

JUNTA MONETARIA RESOLUCIÓN JM

ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR

Seguridad Informática. Profesora Anaylen López

ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LAS COOPERATIVAS DE AHORRO Y CRÉDITO Y CAJAS CENTRALES

Sistema Integrado de Gestión INSTRUCTIVO PARA LA REALIZACIÓN DE COPIAS DE SEGURIDAD

Auditoría y Mantenimiento de Sistemas I Unidad I - Auditoría: Conceptos básicos

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

PROCEDIMIENTO NO CONFORMIDADES, ACCIONES CORRECTIVAS Y PREVENTIVAS

Proceso de gestión financiera del proyecto/programa

Educación superior desde Curso de Prevención de Fraudes. Auditoría. Duración 6 horas. Conocimiento en acción

La Empresa. PSST Control Operacional de la SST Norma OHSAS 18001:2007

Procedimiento para Mantenimiento de Centrales de Generación

Primera respuesta: antes de que llegue la policía. Luis A. Gorgona S. Csirt-CR

PRC-DTI-012 Respaldos y Recuperación Procedimiento Dirección de TI - COSEVI

Matriz de Riesgos y Controles. Proceso de Compras.

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

SISTEMA DE GESTION AMBIENTAL DE LA UNIVERSIDAD DE CÁDIZ BAJO LA NORMA UNE EN ISO 14001:2004.

POLÍTICA REMUNERACIÓN E INCENTIVOS

Normas Riesgo Operativo - Colombia

Cliente- Servidor. Bases de Datos Distribuidas

VALENCIAPORT. GUÍA PARA LA IMPLANTACIÓN DE SISTEMAS DE GESTIÓN AMBIENTAL Nivel 5- Evaluación de la implantación y revisión del Sistema

DOCUMENTO PARA DIFUSIÓN DEL MODELO DE PREVENCIÓN DE DELITOS DE PUERTO VENTANAS S.A. Santiago, 26 de agosto de 2011.

La Regulación del Depósito y la Custodia de Valores en Chile

Objetivo: Establecer y definir con claridad los lineamientos para el uso y administración de Tecnología de Información de Nacional Financiera

Archivo de Documentos en Soporte Digital. (Ley del 10 de octubre de 2010)

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

INVENTARIO DOCUMENTACIÓN 1443 DE Versión1 - Septiembre ESGSST

Procedimiento. FAS 13 Evaluación y Contabilización de Contratos de Arrendamiento

REPUBLICA DE CHILE MINISTERIO DE DEFENSA NACIONAL DE LA CAJA DE PREVISIÓN DE LA DEFENSA NACIONAL EN EL DEPARTAMENTO DE ADMINISTRACIÓN Y FINANZAS

SISTEMA INTEGRADO DE GESTIÓN

PERFIL DE LOS(AS) INTEGRANTES EL COMITÉ DE EQUIDAD DE GÉNERO

Estructura 9001:2015

Revisada por: Director Manejo de Información Coordinador de Proyecto EHR

Programa Control de Riesgos (PCR)

Subgerente de Finanzas y Administración. Nombre del puesto: Subgerente de Finanzas y Administración. Objetivo del puesto

Nombre del Documento: Procedimiento para el Mantenimiento Preventivo y/o Correctivo de Centro de Cómputo. Referencia a la Norma ISO 9001: , 6.

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE SOFTWARE VIRTUALIZADO DE CONTROL DE ACCESOS

TRANSACCIONES Y DECLARACIONES ELECTRÓNICAS

Implementación de Centros de Computo y Redes de Computadoras

CUARTA UNIDAD: FORMULACIÓN DEL PLAN DE AUDITORÍA AMBIENTAL. CONTENIDO DEL PLAN DE AUDITORÍA AMBIENTAL

CURSO MODELO OMI 3.21 OFICIAL DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA

Riesgo Operacional. La visión del Comité de Auditoría. VIII Jornadas Rioplatenses de Auditoría Interna

QUÉ ES EL MIPG? Es la carta de navegación en el ejercicio de planeación y gestión de la entidad.

Manual para el Funcionamiento Interno de La Oficina de Acceso a la Información Pública

Código: U-PR Versión: 0.0

PRESENTACION RESOLUCION CREG 038/2014 ELECTRIFICADORA DEL HUILA S.A. E.S.P

OFICINA NACIONAL DE CONTROL INTERNO

Procedimiento de Solicitud y Control de Cambios a los Sistemas Informáticos Institucionales.

IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008

Sustantiva Órgano Interno de Control. Subdirector de Infraestructura. Dirección de Infraestructura

Plan Informático II. APLICACIÓN

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

PROCEDIMIENTO DE ADMINISTRACIÓN DEL SISTEMA ACCIONES CORRECTIVAS Y PREVENTIVAS

DISEÑO DEL SISTEMA DE INFORMACION (DSI)

ITAU CHILE ADMINISTRADORA GENERAL DE FONDOS S.A. Informe sobre Información Privilegiada Título XXI Ley N Noviembre 2015

Norma Internacional de Control de Calidad (ISQC1 por sus siglas en ingles)

TÉCNICO SUPERIOR UNIVERSITARIO EN MECATRÓNICA

Unidad de Apoyo Municipal Fondo de Apoyo a la Educación Pública

Transcripción:

POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste sin la debida autorización por parte del Comité de Seguridad de la Información. Su uso y distribución solo está autorizado al interior de MINSAL y por parte del personal debidamente habilitado.

2

3 DECLARACIÓN CORPORATIVA Se debe velar por el cumplimiento de las políticas de seguridad de la información establecidas para todos los procesos normales y de excepción en la ejecución de las Operaciones Computacionales, permitiendo así su continuidad de servicio. ÁMBITO Seguridad en las Operaciones computacionales Continuidad del Negocio Respuesta ante Incidentes ROLES Y RESPONSABILIDADES Representante del Comité de Seguridad de la Información o Identificar las contingencias que podrían entorpecer las operaciones. o Identificar los recursos de la organización que se necesitan para cada tipo predefinido de contingencia. o Identificar y clasificar la importancia de funciones esenciales para el servicio continuo. o Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones. o Definir, documentar y probar medidas de prevención con cada elemento crítico. o Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento crítico. o Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que se produzcan en el tiempo. REGLAS DE LA POLÍTICA 1. Monitoreo y Detección de Anormalidades 1.1. Todos los sistemas de producción críticos deben ser equipados con sistemas de detección de anormalidades que avisen al operador de turno cuando ocurra este tipo de eventos. 1.2. Se debe establecer un conjunto formal de parámetros de sistema a monitorear para cada tipo de plataforma, a fin de detectar situaciones anómalas.

4 2. Revisión de registros de auditoria (LOGs) 2.1. Todos los sistemas críticos deben configurarse para registrar los eventos de auditoria (logs) de las operaciones de administración y mantención; así como de las condiciones de excepción. 2.2. Los logs generados deben ser acumulados en forma segura en un sistema independiente y por un tiempo definido. 2.3. Se deben programar revisiones periódicas de los logs en busca de condiciones anómalas y como verificación de los procedimientos establecidos de operaciones. 3. Personal de Respaldo 3.1. Para los sistemas críticos debe existir la definición de personal de respaldo, para el caso que el encargado no esté disponible. En caso de algún impedimento para cumplir esta regla, es requisito contar con todos los procedimientos al detalle para la operación de dichos sistemas. 4. Definición de Procedimientos Operacionales 4.1. Se deben establecer buenas prácticas de seguridad para las actividades más comunes que involucren sistemas menos críticos. 4.2. Todas las actividades de operación y mantención de los sistemas críticos deben estar expresamente definidas por procedimientos. 4.3. Los procedimientos debieran incluir, como mínimo: Procesamiento y manejo de la información. Programación de requerimientos previos o controles de secuencia de programas. Instrucciones para el manejo de condiciones de excepción. Contactos de soporte adicional. Instrucciones para el manejo de resultados especiales. Instrucciones de reinicio y recuperación en caso de falla del sistema. 5. Protección de Procedimientos Operacionales 5.1. Para los procedimientos y formularios de control de operaciones de los sistemas críticos, se debe velar por su mantención actualizada en el tiempo y se deben proteger del acceso de usuarios no autorizados. 5.2. Identificar y clasificar la importancia de funciones esenciales para el servicio continuo.

5 5.3. Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones. 5.4. Definir, documentar y probar medidas de prevención con cada elemento crítico. 5.5. Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento crítico. 5.6. Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que se produzcan en el tiempo. 6. Centralización de la información de contactos 6.1. Debe crearse una base de datos de contactos 6.2. Debe existir un rol de custodio de dicha información, quien será responsable de su mantención, garantizando su integridad, accesibilidad y actualización. 7. Definición de un Plan Continuidad Operacional 7.1. Se debe establecer cuáles son los procesos críticos, cuáles son los riesgos de tener esos procesos no-operativos y cuáles son los mecanismos de prevención y los procedimientos de recuperación. 7.2. Dentro de lo anterior, se deben definir los recursos necesarios, esto es: personal interno y externo, comunicaciones, hardware, software, infraestructura física y documentación. 7.3. Dentro de la infraestructura física es importante determinar si se requerirá un site de respaldo y qué tipo de equipamiento debe tener. 7.4. Para los procedimientos de recuperación, se debe establecer un plan de pruebas periódicas, de modo de entrenar al personal involucrado y para evaluar al procedimiento mismo. 7.5. Debe existir un equipo de Planificación de Continuidad Operacional que realice la tarea de análisis y programación. 8. Conformación del Equipo Plan de Continuidad Operacional 8.1. El equipo debe incluir representantes de variados sectores de la organización que permitan un manejo consensuado y ejecutivo del problema.

6 8.2. Quien lidere este grupo, debe reportar directamente al Comité de Seguridad de la Información. 9. Respuesta a Incidentes 9.1. Se debe considerar una política de Respuesta ante Incidentes, así como procedimientos específicos para eventos críticos. 9.2. Se deben definir los tipos de incidentes esperables y equipos de trabajo para respuesta a incidentes categorizados según dichos tipos. 9.3. Todo incidente debe ser debidamente notificado, documentado y revisado luego de su superación. 10. Separación de Áreas y Funciones 10.1. Las instalaciones, funciones y personal del Departamento de Tecnologías de Información deben mantenerse en forma independiente y en áreas separadas. 10.2. La responsabilidad de ejecución y control de procesos críticos no debiera recaer en una sola persona, atendiendo al principio de segregación de funciones.

7 CONTROL DE VERSIONES VERSIÓN 1.0 FECHA PUBLICACIÓN Octubre 2011 AUTOR Encargado de Seguridad SRA/SSP MINSAL REVISOR Comité de Seguridad MINSAL CLASIFICACIÓN Uso Interno

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback