Auditoria
Páginas: 60 (14980 palabras)
Publicado: 30 de mayo de 2012
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Capítulo VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de
proteger la información de la empresa, estas servirán de guía para la
implementación de medidas de seguridad que contribuirán a mantener la
integridad, confidencialidad ydisponibilidad de los datos dentro de los sistemas
de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
El documento de políticas de seguridad ha sido elaborado tomando como base
la siguiente documentación:
-
Estándar de seguridad de la información ISO 17799
-
Requerimientos de la Circular N° G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos deTecnología de Información.
Normas internas del Banco referidas a seguridad de información.
6.1
Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas deseguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de SeguridadInformática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares de seguridad de la información es
obligatorio y debe ser considerado como una condición en los contratos del
personal.
El Banco puede obviar algunas de las políticas de seguridad definidas en este
documento, únicamente cuando se ha demostradoclaramente que el
cumplimiento de dichas políticas tendría un impacto significativo e inaceptable
para el negocio. Toda excepción a las políticas debe ser documentada y
aprobada por el área de seguridad informática y el área de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la política.
6.3
ORGANIZACIÓN DE LA SEGURIDAD
En esta política se definen los roles y responsabilidadesa lo largo de la
organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el área de seguridad informática debe monitorear elcumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administración de la seguridad de la información participan todos los
empleados siguiendo uno o más de los siguientes roles:
-
Área de Seguridad Informática
-
Usuario
-
Custodio deinformación
-
Propietario de información
-
Auditor interno
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los roles y funciones de administración de la seguridad de la información de
cada uno de estas personas están detalladas en elCapitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el área de seguridad informática.
Esto incluye tanto...
Córdova Rodríguez, Norma Edith.
Capítulo VI
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
En este capitulo se elaboraran las políticas de seguridad con el propósito de
proteger la información de la empresa, estas servirán de guía para la
implementación de medidas de seguridad que contribuirán a mantener la
integridad, confidencialidad ydisponibilidad de los datos dentro de los sistemas
de aplicación, redes, instalaciones de cómputo y procedimientos manuales.
El documento de políticas de seguridad ha sido elaborado tomando como base
la siguiente documentación:
-
Estándar de seguridad de la información ISO 17799
-
Requerimientos de la Circular N° G-105-2002 de la Superintendencia
de Banca y Seguros (SBS) sobre Riesgos deTecnología de Información.
Normas internas del Banco referidas a seguridad de información.
6.1
Definición
Una Política de seguridad de información es un conjunto de reglas aplicadas a
todas las actividades relacionadas al manejo de la información de una entidad,
teniendo el propósito de proteger la información, los recursos y la reputación de
la misma.
Propósito
El propósito de las políticas deseguridad de la información es proteger la
información y los activos de datos del Banco. Las políticas son guías para
asegurar la protección y la integridad de los datos dentro de los sistemas de
aplicación, redes, instalaciones de cómputo y procedimientos manuales.
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de SeguridadInformática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
6.2
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las políticas y estándares de seguridad de la información es
obligatorio y debe ser considerado como una condición en los contratos del
personal.
El Banco puede obviar algunas de las políticas de seguridad definidas en este
documento, únicamente cuando se ha demostradoclaramente que el
cumplimiento de dichas políticas tendría un impacto significativo e inaceptable
para el negocio. Toda excepción a las políticas debe ser documentada y
aprobada por el área de seguridad informática y el área de auditoria interna,
detallando el motivo que justifica el no-cumplimiento de la política.
6.3
ORGANIZACIÓN DE LA SEGURIDAD
En esta política se definen los roles y responsabilidadesa lo largo de la
organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con el Banco, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro, en tanto que el área de seguridad informática debe monitorear elcumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.
6.3.1 Estructura Organizacional
En la administración de la seguridad de la información participan todos los
empleados siguiendo uno o más de los siguientes roles:
-
Área de Seguridad Informática
-
Usuario
-
Custodio deinformación
-
Propietario de información
-
Auditor interno
Elaboración y diseño en formato PDF, por la Oficina General del Sistema de Bibliotecas y
Biblioteca Central UNMSM
Plan de Seguridad Informática para una Entidad Financiera .
Córdova Rodríguez, Norma Edith.
Los roles y funciones de administración de la seguridad de la información de
cada uno de estas personas están detalladas en elCapitulo IV.
6.3.2 Acceso por parte de terceros
El Banco debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado. Las excepciones
deben ser analizadas y aprobadas por el área de seguridad informática.
Esto incluye tanto...
Leer documento completo
Regístrate para leer el documento completo.