Ing Comercial
Páginas: 5 (1191 palabras)
Publicado: 6 de noviembre de 2012
410-10 Seguridad de tecnología de información La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas:
1. Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y enespecial a las áreas de: servidores, desarrollo y bibliotecas;
2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma definido y aprobado;
3. En los casos de actualización de tecnologías de soporte se migrará la información a los medios físicos adecuados y con estándares abiertos para garantizar la perpetuidad de los datos y su recuperación;
4.Almacenamiento de respaldos con información crítica y/o sensible en lugares externos a la organización;
5. Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados.
6. Instalaciones físicas adecuadas que incluyan mecanismos,dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire contralado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros;
7. Consideración y disposición de sitios de procesamiento alternativos.
8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en turnos porla noche o en fin de semana.
410-11 Plan de contingencias Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado. Los aspectos a considerar son:
1. Plan derespuesta a los riesgos que incluirá la definición y asignación de roles críticos para administrar los riesgos de tecnología de información, escenarios de contingencias, la responsabilidad específica de la seguridad de la información, la seguridad física y su cumplimiento.
Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 80
2. Definición y ejecución deprocedimientos de control de cambios, para asegurar que el plan de continuidad de tecnología de información se mantenga actualizado y refleje de manera permanente los requerimientos actuales de la organización.
3. Plan de continuidad de las operaciones que contemplará la puesta en marcha de un centro de cómputo alterno propio o de uso compartido en un data Center Estatal, mientras dure la contingenciacon el restablecimiento de las comunicaciones y recuperación de la información de los respaldos.
4. Plan de recuperación de desastres que comprenderá:
Actividades previas al desastre (bitácora de operaciones) Actividades durante el desastre (plan de emergencias, entrenamiento) Actividades después del desastre.
5. Es indispensable designar un comité con roles específicos y nombre de los encargadosde ejecutar las funciones de contingencia en caso de suscitarse una emergencia.
6. El plan de contingencias será un documento de carácter confidencial que describa los procedimientos a seguir en caso de una emergencia o fallo computacional que interrumpa la operatividad de los sistemas de información. La aplicación del plan permitirá recuperar la operación de los sistemas en un nivel aceptable,además de salvaguardar la integridad y seguridad de la información.
7. El plan de contingencias aprobado, será difundido entre el personal responsable de su ejecución y deberá ser sometido a pruebas, entrenamientos y evaluaciones periódicas, o cuando se haya efectuado algún cambio en la configuración de los equipos o el esquema de procesamiento.
410-12 Administración de soporte de tecnología...
1. Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y enespecial a las áreas de: servidores, desarrollo y bibliotecas;
2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma definido y aprobado;
3. En los casos de actualización de tecnologías de soporte se migrará la información a los medios físicos adecuados y con estándares abiertos para garantizar la perpetuidad de los datos y su recuperación;
4.Almacenamiento de respaldos con información crítica y/o sensible en lugares externos a la organización;
5. Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados.
6. Instalaciones físicas adecuadas que incluyan mecanismos,dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire contralado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros;
7. Consideración y disposición de sitios de procesamiento alternativos.
8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en turnos porla noche o en fin de semana.
410-11 Plan de contingencias Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado. Los aspectos a considerar son:
1. Plan derespuesta a los riesgos que incluirá la definición y asignación de roles críticos para administrar los riesgos de tecnología de información, escenarios de contingencias, la responsabilidad específica de la seguridad de la información, la seguridad física y su cumplimiento.
Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 80
2. Definición y ejecución deprocedimientos de control de cambios, para asegurar que el plan de continuidad de tecnología de información se mantenga actualizado y refleje de manera permanente los requerimientos actuales de la organización.
3. Plan de continuidad de las operaciones que contemplará la puesta en marcha de un centro de cómputo alterno propio o de uso compartido en un data Center Estatal, mientras dure la contingenciacon el restablecimiento de las comunicaciones y recuperación de la información de los respaldos.
4. Plan de recuperación de desastres que comprenderá:
Actividades previas al desastre (bitácora de operaciones) Actividades durante el desastre (plan de emergencias, entrenamiento) Actividades después del desastre.
5. Es indispensable designar un comité con roles específicos y nombre de los encargadosde ejecutar las funciones de contingencia en caso de suscitarse una emergencia.
6. El plan de contingencias será un documento de carácter confidencial que describa los procedimientos a seguir en caso de una emergencia o fallo computacional que interrumpa la operatividad de los sistemas de información. La aplicación del plan permitirá recuperar la operación de los sistemas en un nivel aceptable,además de salvaguardar la integridad y seguridad de la información.
7. El plan de contingencias aprobado, será difundido entre el personal responsable de su ejecución y deberá ser sometido a pruebas, entrenamientos y evaluaciones periódicas, o cuando se haya efectuado algún cambio en la configuración de los equipos o el esquema de procesamiento.
410-12 Administración de soporte de tecnología...
Leer documento completo
Regístrate para leer el documento completo.