Politica Seguridad Itil
Páginas: 6 (1298 palabras)
Publicado: 5 de marzo de 2013
Este manual establece las políticas y procedimientos en las siguientes áreas de seguridad de TI:
* Estructura organizacional
* Risk Assessment and Treatment Evaluación del riesgo y tratamiento
* Security Policy Política de Seguridad
* Organization of Information Security Organización de la Seguridad de información
* Asset Management Gestión de Activos
* HumanResources Security De Recursos Humanos de Seguridad
* Physical Security Seguridad Física
* Communications and Ops Management De Comunicaciones y Gestión de Operaciones
* Access Control Control de Acceso
* Information Systems Acquisition, Development, Maintenance Sistemas de Información de Adquisición, desarrollo, mantenimiento
* Information Security Incident management Gestiónde la información a Incidentes de Seguridad
* Business Continuity Continuidad del Negocio
* Compliance Conformidad
Objetivo del SGSI. Define e indica a los empleados de la Empresa EHH sobre el manejo y protección de los datos, aplicaciones y recursos de TI para minimizar riesgos que impacten de manera negativa la confidencialidad, disponibilidad, integridad, cumplimiento yconfiabilidad de la información
El SGSI contempla los siguientes procesos de COBIT para su fortalecimiento:
PO1 – Definir Plan de TI
PO5 – Administrar inversiones de TI
PO7 – Administrar Recursos Humanos de TI
PO9 – Evaluar y administrar riesgos de TI
PO10 – Administrar proyectos de TI
AI1 – Identificar soluciones automatizadas
DS1 – Definir niveles de servicio
DS2 – Administrar servicios deterceros (proveedores de TI)
DS5 – Garantizar la seguridad de sistemas
DS7 – Educar y entrenar usuarios
DS8 – Administrar mesa de ayuda e incidentes
DS9 – Administrar problemas
Política: Seguridad física.
Objetivos:
1. Los empleados y proveedores de EMPRESA EHH deberán cumplir con los procedimientos establecidos para garantizar el buen uso y protección de equipo de cómputo yredes, instalaciones e infraestructura utilizados para el manejo de la información y tareas relacionadas con la administración y operación de la Empresa EHH.
2. Evitar el acceso físico no autorizado, daño e interferencia con la información, centro de cómputo y sites. Los medios de procesamiento de información crítica o confidencial debe ubicarse en áreas seguras, protegidas por los perímetros deseguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debe estar físicamente protegidos del acceso no autorizado, daño e interferencia.
Definiciones:
Control de acceso: Controles preventivos, detectivos y correctivos que garanticen que únicamente personal autorizado tenga acceso a equipos de cómputo, periféricos, redes, centro de cómputo, oficinas y sites deEMPRESA EHH.
COC: Centro de Operación y Control de EMPRESA EHH que apoyará de forma permanente a la Gerencia de TI en el monitoreo y control de acceso a centro de cómputo y sites de la Empresa EHH.
Seguridad Física: Monitoreo y protección permanente a componentes físicos de cómputo, redes, centro de cómputo, infraestructura y sites de EMPRESA EHH.
Equipo de cómputo: Computadoras personales deescritorio, equipo de cómputo móvil (portátiles), servidores y periféricos de EMPRESA EHH utilizados por empleados de la Empresa EHH para el desarrollo de su trabajo.
Redes: Conjunto de servidores, computadoras y enlaces utilizados por EMPRESA EHH para la transmisión de información, imágenes y sonido necesaria tanto entre las áreas de la Empresa EHH como con las entidades externas.
Centro de cómputo:Instalación ubicada en las oficinas corporativas de EMPRESA EHH donde se ubican los servidores, RACs, enlaces y otros componentes que administran los sistemas de información y datos de la Empresa EHH.
Site: Ubicaciones seleccionadas por EMPRESA EHH para operar redes, aplicaciones o servicios de comunicación integradas o como respaldo al centro de cómputo.
Procedimientos para cumplir con la...
* Estructura organizacional
* Risk Assessment and Treatment Evaluación del riesgo y tratamiento
* Security Policy Política de Seguridad
* Organization of Information Security Organización de la Seguridad de información
* Asset Management Gestión de Activos
* HumanResources Security De Recursos Humanos de Seguridad
* Physical Security Seguridad Física
* Communications and Ops Management De Comunicaciones y Gestión de Operaciones
* Access Control Control de Acceso
* Information Systems Acquisition, Development, Maintenance Sistemas de Información de Adquisición, desarrollo, mantenimiento
* Information Security Incident management Gestiónde la información a Incidentes de Seguridad
* Business Continuity Continuidad del Negocio
* Compliance Conformidad
Objetivo del SGSI. Define e indica a los empleados de la Empresa EHH sobre el manejo y protección de los datos, aplicaciones y recursos de TI para minimizar riesgos que impacten de manera negativa la confidencialidad, disponibilidad, integridad, cumplimiento yconfiabilidad de la información
El SGSI contempla los siguientes procesos de COBIT para su fortalecimiento:
PO1 – Definir Plan de TI
PO5 – Administrar inversiones de TI
PO7 – Administrar Recursos Humanos de TI
PO9 – Evaluar y administrar riesgos de TI
PO10 – Administrar proyectos de TI
AI1 – Identificar soluciones automatizadas
DS1 – Definir niveles de servicio
DS2 – Administrar servicios deterceros (proveedores de TI)
DS5 – Garantizar la seguridad de sistemas
DS7 – Educar y entrenar usuarios
DS8 – Administrar mesa de ayuda e incidentes
DS9 – Administrar problemas
Política: Seguridad física.
Objetivos:
1. Los empleados y proveedores de EMPRESA EHH deberán cumplir con los procedimientos establecidos para garantizar el buen uso y protección de equipo de cómputo yredes, instalaciones e infraestructura utilizados para el manejo de la información y tareas relacionadas con la administración y operación de la Empresa EHH.
2. Evitar el acceso físico no autorizado, daño e interferencia con la información, centro de cómputo y sites. Los medios de procesamiento de información crítica o confidencial debe ubicarse en áreas seguras, protegidas por los perímetros deseguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debe estar físicamente protegidos del acceso no autorizado, daño e interferencia.
Definiciones:
Control de acceso: Controles preventivos, detectivos y correctivos que garanticen que únicamente personal autorizado tenga acceso a equipos de cómputo, periféricos, redes, centro de cómputo, oficinas y sites deEMPRESA EHH.
COC: Centro de Operación y Control de EMPRESA EHH que apoyará de forma permanente a la Gerencia de TI en el monitoreo y control de acceso a centro de cómputo y sites de la Empresa EHH.
Seguridad Física: Monitoreo y protección permanente a componentes físicos de cómputo, redes, centro de cómputo, infraestructura y sites de EMPRESA EHH.
Equipo de cómputo: Computadoras personales deescritorio, equipo de cómputo móvil (portátiles), servidores y periféricos de EMPRESA EHH utilizados por empleados de la Empresa EHH para el desarrollo de su trabajo.
Redes: Conjunto de servidores, computadoras y enlaces utilizados por EMPRESA EHH para la transmisión de información, imágenes y sonido necesaria tanto entre las áreas de la Empresa EHH como con las entidades externas.
Centro de cómputo:Instalación ubicada en las oficinas corporativas de EMPRESA EHH donde se ubican los servidores, RACs, enlaces y otros componentes que administran los sistemas de información y datos de la Empresa EHH.
Site: Ubicaciones seleccionadas por EMPRESA EHH para operar redes, aplicaciones o servicios de comunicación integradas o como respaldo al centro de cómputo.
Procedimientos para cumplir con la...
Leer documento completo
Regístrate para leer el documento completo.