Ntp-iso 17799

Solo disponible en BuenasTareas
  • Páginas : 32 (7897 palabras )
  • Descarga(s) : 0
  • Publicado : 7 de septiembre de 2012
Leer documento completo
Vista previa del texto
POLITICAS DE SEGURIDAD DE UNA ORGANIZACIÓN DE ACUERDO AL ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN NTP-ISO/IEC 17799-2007
UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERIA

UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERIA


Elaborado por: Yoel Díaz Flores


Elaborado por: Yoel Díaz Flores5. POLÍTICAS DE SEGURIDAD

a. La política deberá estar aprobada por la Dirección de la organización para evitar dudas respecto a su importancia y al compromiso de la dirección. Se deberá dar la máxima difusión para que todo el personal que tenga relación con los sistemas de información de la organización conozca de su existencia, importancia y alcance.
b. La política deseguridad deberá ser revisada por el jefe de seguridad de la organización en intervalos planificados (semestralmente) o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
c. El Jefe de Seguridad de la Información es responsable directo sobre el mantenimiento de esta política, por brindar consejo y guía para su implementación, e investigar todaviolación reportada por el personal.

6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

a. La gerencia deberá apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información.
b. Los riesgos a la información de la organización y a las instalacionesdel procesamiento de información desde los procesos del negocio que impliquen a terceros deberán de ser identificados y se deberá implementar controles apropiados antes de conceder el acceso.
c. Todo acceso por parte de personal externo deberá ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que pueda realizar el mismo. El personal externo deberá firmarun acuerdo de no-divulgación antes de obtener acceso a información de la organización.
d. Los proveedores que requieran acceso a los sistemas de información de la organización deberán tener acceso únicamente cuando sea necesario.
e. Todas las conexiones que se originan desde redes o equipos externos a la organización, deberán limitarse únicamente a los servidores y aplicacionesnecesarios. Si es posible, estos servidores destino de las conexiones deberán estar físicamente o lógicamente separados de la red interna de la organización.
f. Todos los requisitos identificados de seguridad deberán ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
g. Los contratos relacionados a servicios de tecnologías de información deberán seraprobados por el área legal de la organización, y en el caso de que afecten la seguridad o las redes de la organización deberán ser aprobados adicionalmente por el área de seguridad informática. Bajo determinadas condiciones, como en la ejecución de servicios críticos para el negocio, la organización deberá considerar efectuar una revisión independiente de la estructura de control interno delproveedor.
h. En los contratos de procesamiento de datos externos se deberá especificar los requerimientos de seguridad y acciones a tomar en caso de violación de los contratos. Todos los contratos deberán incluir una cláusula donde se establezca el derecho de la organización de nombrar a un representante autorizado para evaluar la estructura de control interna del proveedor
i. Los acuerdoscon terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, deberá cubrir todos los requisitos de seguridad relevantes.
j. Todos los contratos de Outsourcing deberán incluir lo siguiente:
* Acuerdos sobre políticas y...
tracking img