ANEXO E Gestión de roles y responsabilidades

Documentos relacionados
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

ISO , por dónde empezamos?

Sistema de Garantía Interna de la Calidad de los Centros Universidad Politécnica de Cartagena

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

MANUAL POLÍTICA DE PASO A PRODUCCIÓN DE SISTEMAS DE INFORMACIÓN Y CONTROL DE VERSIONES

Administración del riesgo en las AFP

Política de Responsabilidad Social Corporativa

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

Esquema Nacional de Seguridad. Y después qué?

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

BANCO DE CAJA ESPAÑA DE INVERSIONES, SALAMANCA Y SORIA, S.A.

MATRIZ DE RESPONSABILIDAD Y AUTORIDAD DEL SISTEMA INTEGRADO DE GESTIÓN SIG

SEGURIDAD DE LA DATA MASTERBASE S.A.

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS

Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS DEL SISTEMA DE GESTION DE CALIDAD E INOCUIDAD DE LOS ALIMENTOS

ANEXO NO. 6 REGLAMENTO GENERAL PARA LA ADMINISTRACIÓN DE RIESGOS CAPÍTULO I DE LA GESTIÓN DE RIESGOS EN EL BANCO HIPOTECARIO DE LA VIVIENDA

JUNTA MONETARIA RESOLUCIÓN JM

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

Màster Interuniversitari en la Seguretat de les TIC (MISTIC) Informe de Auditoría

II.- MARCO JURÍDICO. Constitución Política de Los Estados Unidos Mexicanos. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público

ANEXO 1 División Sector Público. Funciones de los niveles de Supervisor, Jefe de equipo y Auditor.

Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio

CRÉDITO FAMILIAR S.A. DE C.V., SOCIEDAD FINANCIERA DE OBJETO MÚLTIPLE, ENTIDAD REGULADA, GRUPO FINANCIERO SCOTIABANK INVERLAT.

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

COMITÉS AUXILIARES. El Consejo de Administración de Grupo Financiero BBVA Bancomer, S.A. de C.V. cuenta con los siguientes comités auxiliares:

2/6 1. OBJETO Y ALCANCE Establecer el sistema para la realización de auditorias internas destinadas a verificar el correcto cumplimiento de los sistem

SISTEMA INTEGRAL DE RIESGOS

Conformidad con el ENS algo imposible?

Sistema de Garantía Interna de la Calidad de los Centros Universidad Politécnica de Cartagena

ACUERDO 03 DE (Julio 14)

Capítulo XIV. Seguridad de la Información

Políticas de continuidad del servicio: Planes de Contingencia

Oscar Martínez Álvaro

MCA-01-D-10 GESTION ESTRATEGICA FECHA VERSIÓN MATRIZ DE AUTORIDADES Y RESPONSABILIDADES 12/10/ MANUAL DE GESTION

SISTESEG Seguridad y Continuidad para su Negocio

POLITICA DE COMPENSACIONES CorpBanca Corredores de Bolsa S.A.

INFORME DE LA COMISIÓN DE AUDITORIA Y CONTROL INTERNO SOBRE LA ACTIVIDAD DESARROLLADA EN EL EJERCICIO 2015

Versión 02. Fecha Versión Nivel Confidencialidad Público. PC Política de Calidad. PC_Versión 02 Página 1 de 5

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

ANALISIS DE RIESGOS EN SISTEMAS

Módulo 5: Implantación de un SGSI

ANEXOS GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

P01 DIRECCIÓN DE DESARROLLO INSTITUCIONAL Y RECURSOS HUMANOS. LICENCIAS SIN SUELDO Edición: 01

Sistema de Gestión de la Calidad SGC

Seguridad Informática en Bibliotecas

SERVICIO DE IMPUESTOS INTERNOS SUBDIRECCIÓN DE INFORMÁTICA

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

ESQUEMA DE SEGURIDAD KEPLER 80

TECNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALE S MAURICIO ESGUERRA NATALY CRUZ MOLINA

PROCEDIMIENTOS DEL NOC RESPALDO Y RECUPERACION DE DATOS

MANUAL INTEGRADO DE RIESGO

Las opiniones expresadas en esta presentación son de exclusiva responsabilidad del autor y no deberían ser interpretadas necesariamente como un

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE LOGÍSTICA

BOLSA DE CORREDORES BOLSA DE VALORES

PROCESO COMUNICACIÓN INSTITUCIONAL PROCEDIMIENTO COMUNICACIÓN INTERNA

GESTIÓN DE LA FACTURACIÓN TELEFÓNICA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Lineamientos para el uso de equipo de cómputo

ANEXO IV: REQUISITOS PARA LA OBTENCIÓN DE LA LICENCIA DE FUNCIONAMIENTO

subcontraloría de auditoría financiera y contable

Principios rectores de un Sistema de Estadísticas Vitales

Archivo de Documentos en Soporte Digital. (Ley del 10 de octubre de 2010)

SEGURIDAD EN LAS BASES DE DATOS

PE01. ELABORACIÓN Y REVISIÓN DE LA POLÍTICA Y OBJETIVOS DE CALIDAD

ENFOQUE BASADO EN PROCESOS. Ingeniero Daladier Medina Niño Jefe Oficina Asesora de Planeación

Política de Seguridad de la Información de ACEPTA. Pública

CONTROL DE GESTIÓN Y MEJORAMIENTO

Informe de Seguimiento

I. AUTORIZACIONES, VERSIÓN E HISTORIAL DE CAMBIOS

CONVOCATORIA CONSEJO DIRECTIVO CENTRO DE ESTUDIOS DE INGENIERÍA QUÍMICA.

CÓDIGO MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE SERVICIO AL CLIENTE

Subgerente de Finanzas y Administración. Nombre del puesto: Subgerente de Finanzas y Administración. Objetivo del puesto

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

REGLAMENTO INTERNO COMITÉ DE SOLIDARIDAD

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Unidad I Fundamentos de la Seguridad Informática. Introducción

Estatuto de Auditoría Interna. Empresa Energía de Bogotá S.A ESP. Aprobado el 16 de junio de 2014

ADMINISTRACIÓN MUNICIPAL

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

La función de Auditoría Interna en Solvencia II

Servicios en la Nube de Microsoft

La seguridad informática en la PYME Situación actual y mejores prácticas

Procedimiento de Revisión por la Dirección del Sistema de Gestión Integral

SISTEMA DE GESTION DE LA CALIDAD DIRECCION DE RECURSOS MATERIALES CONTROL DE BIENES DE CONSUMO Y DE ACTIVO FIJO

GUÍA DE RESPONSABILIDAD SOCIAL Y GENERACIÓN DE VALOR COMPARTIDO GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

CAJA RURAL DE CASAS IBÁÑEZ SCOOP MANUAL DE FUNCIONES

Bases de datos. Diseño y gestión

REGLAMENTO GENERAL DE SEGURIDAD PARA EL USO DE LOS TALLERES Y LABORATORIOS DE LA UNIVERSIDAD DEL AZUAY

Código de Buenas Prácticas en Seguros de Transporte

MANUAL DE POLÍTICA CONTROL DE LICENCIAS DE SOFTWARE

PROCEDIMIENTO DE RESPALDO y RECUPERACION DE DATOS DE LA INFRAESTRUCTURA TECNOLÓGICA

POLÍTICA DE RESPONSABILIDAD SOCIAL CORPORATIVA

PODER JUDICIAL DEPARTAMENTO DE GESTIÓN HUMANA Sección Análisis de Puestos

PROCEDIMIENTOS OPERACIONALES RESPALDO Y CONTINGENCIA ÁREA INFORMATICA

LINEAMIENTOS PARA LA SELECCIÓN, ADQUISICIÓN Y CONTRATACIÓN DE BIENES, SERVICIOS, CONSULTORÍAS Y OBRAS

Transcripción:

Anexo E Gestión de roles y responsabilidades 1. Responsable de Seguridad El Responsable de Seguridad es la figura personal más importante en el desarrollo de la seguridad de la información. Este rol, será asumido por el responsable del área de TI, que delegará algunas de sus actuales responsabilidades en el personal que tiene debajo de él jerárquicamente para poder asumir el nuevo rol. Además, recibirá la formación pertinente para este rol. Sus responsabilidades en materia de seguridad de la información serán las siguientes: Elaborar, promover y mantener la política de seguridad de la información. Elaborar el plan de riesgos y las posibles soluciones para mitigar las amenazas. Proponer nuevos objetivos en materia de seguridad de la información. Desarrollar y mantener el marco normativo de seguridad y controlar su cumplimiento. Validar la implantación de los requisitos de seguridad necesarios. Liderar la implantación del SGSI. Establecer los controles y medidas técnicas y organizativas para asegurar los sistemas de información. Gestionar la seguridad de la información de la organización de manera global. Gestionar y analizar las incidencias de seguridad que tienen lugar en la organización. Revisar periódicamente el estado de la seguridad de la información. Realizar el seguimiento de los incidentes de seguridad. Controlar y revisar los indicadores definidos. Controlar que las auditorías de seguridad se realicen con la frecuencia necesaria. Revisar los informes de auditoría. Luis Rodríguez Conde Página 1 de 5

Definir y comprobar la aplicación del procedimiento de copias de respaldo y recuperación de datos. Definir y comprobar la aplicación del procedimiento de notificación y gestión de incidencias. Reportar al Comité de Seguridad las cuestiones relevantes en materia de seguridad de la información. 2. Comité de seguridad El comité de seguridad de Ícaro S.A. son las siguientes: Responsable de seguridad Director General Director de Operaciones Director Técnico Las funciones y responsabilidades del Comité de Seguridad son: Implantar las directrices de la Dirección. Asignar los distintos roles y funciones en materia de seguridad. Presentar las políticas, normas y responsabilidades en materia de seguridad de la información a la Dirección para que sean aprobadas. Validar el mapa de riesgos y las acciones de mitigación propuestas. Validar el Plan de Seguridad y presentarlo a la Dirección para que sea aprobado. Supervisar el desarrollo y mantenimiento del Plan de Continuidad de negocio. Velar por el cumplimiento de la legislación y regulación vigente. Promover la concienciación y formación de los empleados en materia de seguridad de la información. Aprobar y revisar periódicamente el cuadro de mando de la seguridad de la información y de la evolución del SGSI. Luis Rodríguez Conde Página 2 de 5

3. Funciones y responsabilidades del resto de personal 3.1 Personal con perfil de usuario El personal con perfil de usuario es todo aquel que usa los sistemas de la información de la empresa para realizar su actividad profesional, pero no realiza ninguna gestión o administración ni tiene los privilegios para hacerlo. Este personal tiene las siguientes normas y responsabilidades: Respetar y seguir las normas y procedimientos definidos en la política de seguridad de la empresa. Mantener la confidencialidad de la información. Hacer un buen uso de los activos de la organización. Respetar la legislación y regulación vigentes. Notificar al responsable de seguridad de las anomalías o incidentes de seguridad, así como las situaciones sospechosas. 3.2 Personal con acceso privilegiado En la empresa hay cinco integrantes del departamento de TI con acceso privilegiado a los sistemas de información. Dos personas dedicadas a la administración de servidores y virtualización del sistema sirio, otras dos personas dedicadas a puesto de trabajo y los sistemas corporativos y una última persona como responsable del departamento de TI y Responsable de Seguridad. Estos perfiles tienen acceso de administrador a los sistemas de información, tanto equipos de usuario como, sistemas de centro de datos y acceso físico a las áreas restringidas relacionadas con los sistemas de información (CPD). A continuación, se describe en detalle las funciones y obligaciones de cada perfil: Administrador de puesto de trabajo y sistemas corporativos Funciones: Mantenimiento Software y Hardware de los equipos de usuario (PC s, Teléfonos, Smartphone, Impresoras, Red, etc.). Luis Rodríguez Conde Página 3 de 5

Administración del directorio activo de la empresa. Realiza el alta, baja y modificaciones de usuarios, así como de la administración de los roles. Administración sistema de correo electrónico corporativo. Realiza las tareas de administración de los buzones, altas, bajas y modificaciones de los usuarios, etc. Administración sistema de web corporativo Administración de los sistemas de ficheros de usuarios interno y externo. Administración de la BBDD corporativa. Administración del sistema CAS Administración del ERP. Administración y gestión de todos los servidores que soportan los sistemas corporativos. Colaborar con los administradores de servidores y virtualización del sistema Sirio. Para este personal se describen las siguientes obligaciones, además de las anteriores que aplican al resto de usuarios: Promover la incorporación de mecanismos de integridad, autentificación, control de acceso y auditoría en el diseño, implantación y operación de los sistemas de información. Asegurar la confidencialidad y disponibilidad de la información almacenada en los sistemas de información, así como su salvaguarda mediante copias de seguridad periódicas. Conceder a los usuarios los privilegios mínimos que les permitan acceder a los datos y recursos necesarios para el desarrollo de sus tareas. No acceder a datos aprovechando su privilegio sin autorización del jefe de Departamento de TI o el responsable de seguridad. Custodiar con especial cuidado los identificadores y contraseñas que dan acceso a los sistemas con privilegios de administrador. Notificar las incidencias oportunas ante cualquier violación de las normas de seguridad vulnerabilidades detectadas en los sistemas. No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas sin previa autorización del jefe del Departamento de TI o del responsable de seguridad. Luis Rodríguez Conde Página 4 de 5

Administradores de servidores y virtualización del sistema Sirio. Funciones: Administración de la cabina de almacenamiento que almacena los datos del sistema sirio, así como las electrónicas de red SAN que da acceso a la misma. Administración del entorno de virtualización. Administración y gestión de los servidores físicos que soportan el sistema Sirio Administración de la electrónica de red de todo el CPD así como de los elementos de seguridad. Dar soporte al equipo de administradores del sistema software de Sirio. Colaborar con los administradores de puesto de trabajo y sistemas corporativos en momentos puntuales. Para este personal se aplican las mismas obligaciones que a los administradores de puesto de trabajo y sistemas corporativos, así como las que aplican al resto de usuarios. Luis Rodríguez Conde Página 5 de 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback