Auditoria de una sala de computo
Páginas: 5 (1113 palabras)
Publicado: 24 de noviembre de 2010
5 Política de seguridad
5.1 Política de seguridad de la información
Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes.
La gerencia debiera establecer claramente la dirección de la política en línea con los
objetivos comerciales y demostrar su apoyo, y sucompromiso con, la seguridad de la
información, a través de la emisión y mantenimiento de una política de seguridad de la
información en toda la organización.
5.1.1 Documento de la política de seguridad de la información
Control
19
El documento de la política de seguridad de la información debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las partesexternas relevantes.
Lineamiento de implementación
El documento de la política de seguridad de la información debiera enunciar el compromiso de
la gerencia y establecer el enfoque de la organización para manejar la seguridad de la
información. El documento de la política debiera contener enunciados relacionados con:
a) una definición de seguridad de la información, sus objetivos y alcance generalesy la
importancia de la seguridad como un mecanismo facilitador para intercambiar
información (ver introducción);
b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los
principios de la seguridad de la información en línea con la estrategia y los objetivos
comerciales;
c) un marco referencial para establecer los objetivos de control y los controles,
incluyendo laestructura de la evaluación del riesgo y la gestión de riesgo;
d) una explicación breve de las políticas, principios, estándares y requerimientos de
conformidad de la seguridad de particular importancia para la organización,
incluyendo:
1. conformidad con los requerimientos legislativos, reguladores y restrictivos,
2. educación, capacitación y conocimiento de seguridad,
3. gestión de lacontinuidad del negocio,
4. consecuencias de las violaciones de la política de seguridad de la
información;
e) una definición de las responsabilidades generales y específicas para la gestión de la
seguridad de la información incluyendo el reporte de incidentes de seguridad de la
información,
f) referencias a la documentación que fundamenta la política; por ejemplo, políticas y
procedimientos deseguridad más detallados para sistemas de información
específicos o reglas de seguridad que los usuarios debieran observar.
Esta política de seguridad de la información se debiera comunicar a través de toda la
organización a los usuarios en una forma que sea relevante, accesible y entendible para el
lector objetivo.
Otra información
La política de seguridad de la información podría ser unaparte del documento de política
general. Si la política de seguridad de la información se distribuye fuera de la organización, se
debiera tener cuidado de no divulgar información confidencial. Se puede encontrar mayor
información en ISO/IEC 13335-1:2004.
5.1.2 Revisión de la política de seguridad de la información
Control
La política de seguridad de la información debiera ser revisada aintervalos planeados
ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad.
Lineamiento de implementación
La política de la seguridad de la información debiera tener un dueño que tenga
responsabilidad gerencial aprobada para el desarrollo, revisión y evaluación de la política
seguridad. La revisión debiera incluir las oportunidades de evaluación para elmejoramiento
de la política de seguridad de la información de la organización y el enfoque para manejar
seguridad de la información en respuesta a los cambios del ambiente organizacional,
circunstancias comerciales, condiciones legales o ambiente técnico.
La revisión de la política de seguridad de la información debiera tomar en cuenta
resultados de las revisiones de la gerencia. Debieran...
5.1 Política de seguridad de la información
Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes.
La gerencia debiera establecer claramente la dirección de la política en línea con los
objetivos comerciales y demostrar su apoyo, y sucompromiso con, la seguridad de la
información, a través de la emisión y mantenimiento de una política de seguridad de la
información en toda la organización.
5.1.1 Documento de la política de seguridad de la información
Control
19
El documento de la política de seguridad de la información debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las partesexternas relevantes.
Lineamiento de implementación
El documento de la política de seguridad de la información debiera enunciar el compromiso de
la gerencia y establecer el enfoque de la organización para manejar la seguridad de la
información. El documento de la política debiera contener enunciados relacionados con:
a) una definición de seguridad de la información, sus objetivos y alcance generalesy la
importancia de la seguridad como un mecanismo facilitador para intercambiar
información (ver introducción);
b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los
principios de la seguridad de la información en línea con la estrategia y los objetivos
comerciales;
c) un marco referencial para establecer los objetivos de control y los controles,
incluyendo laestructura de la evaluación del riesgo y la gestión de riesgo;
d) una explicación breve de las políticas, principios, estándares y requerimientos de
conformidad de la seguridad de particular importancia para la organización,
incluyendo:
1. conformidad con los requerimientos legislativos, reguladores y restrictivos,
2. educación, capacitación y conocimiento de seguridad,
3. gestión de lacontinuidad del negocio,
4. consecuencias de las violaciones de la política de seguridad de la
información;
e) una definición de las responsabilidades generales y específicas para la gestión de la
seguridad de la información incluyendo el reporte de incidentes de seguridad de la
información,
f) referencias a la documentación que fundamenta la política; por ejemplo, políticas y
procedimientos deseguridad más detallados para sistemas de información
específicos o reglas de seguridad que los usuarios debieran observar.
Esta política de seguridad de la información se debiera comunicar a través de toda la
organización a los usuarios en una forma que sea relevante, accesible y entendible para el
lector objetivo.
Otra información
La política de seguridad de la información podría ser unaparte del documento de política
general. Si la política de seguridad de la información se distribuye fuera de la organización, se
debiera tener cuidado de no divulgar información confidencial. Se puede encontrar mayor
información en ISO/IEC 13335-1:2004.
5.1.2 Revisión de la política de seguridad de la información
Control
La política de seguridad de la información debiera ser revisada aintervalos planeados
ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad.
Lineamiento de implementación
La política de la seguridad de la información debiera tener un dueño que tenga
responsabilidad gerencial aprobada para el desarrollo, revisión y evaluación de la política
seguridad. La revisión debiera incluir las oportunidades de evaluación para elmejoramiento
de la política de seguridad de la información de la organización y el enfoque para manejar
seguridad de la información en respuesta a los cambios del ambiente organizacional,
circunstancias comerciales, condiciones legales o ambiente técnico.
La revisión de la política de seguridad de la información debiera tomar en cuenta
resultados de las revisiones de la gerencia. Debieran...
Leer documento completo
Regístrate para leer el documento completo.