Licenciado
Páginas: 10 (2295 palabras)
Publicado: 8 de julio de 2013
Dominio - Control
N°
Política de seguridad de la información
A5
Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.
A.5.1.1
Política de seguridad de la información
A.5.1.2
A6
Se dispone de una política de SI aprobada por la dirección, publicada y
comunicada a todos los empleados ypartes externas pertinentes.
La política de seguridad de información se revisa a intervalos planificados, y si
ocurren cambios significativos se asegura su conveniencia, adecuación y eficacia
continua.
Organización de la seguridad de la
información
Gestionar la organización de la seguridad de información.
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
Organización interna
A.6.1.5
A.6.1.6A.6.1.7
A.6.1.8
A.6.2.1
A.6.2.2
Entidades externas
A.6.2.3
A7
A.7.1.1
A.7.1.2
A.7.1.3
A.7.2.1
La Alta Dirección apoya (dirige, se compromete, demuestra y reconoce
responsabilidades) activamente la SI en la Institución.
En las actividades de SI participan representantes de todas las UU.OO. Tienen
roles y funciones.
Los roles y responsabilidades en SI están bien definidos.
Estáestablecido el proceso de autorización para nuevos activos de información
(AI).
Están definidos acuerdos de confidencialidad y se revisa con regularidad.
Se mantiene los contactos apropiados con las autoridades pertinentes.
Se mantiene los contactos apropiados con entidades especializadas en SI.
El enfoque de la organización para gestionar la SI se revisa de manera
independiente y periódica.Se gestiona (identifica e implementa) los riesgos de acceso a la información de
entidades externas.
Se trata todos los requerimientos de SI antes de dar acceso a los clientes.
Se establece acuerdos con terceros, que involucran acceder, procesar, comunicar
o gestionar la información de la entidad , que abarcan los requerimientos de SI
relevantes.
Gestión de activos de información (AI)Lograr y mantener la protección apropiada de los activos de información
Responsabilidad por los activos
Clasificación de la información
A.7.2.2
Se mantiene un inventario de AI.
Todo AI tiene asignado un responsable (propietario).
Se dispone de una normativa de uso de los AI
La información está clasificada según su valor, requisitos legales, sensibilidad y
criticidad
Se dispone delprocedimiento de rotulado y manejo de la información.
Seguridad de los recursos humanos
A8
Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o
mal uso de los activos de información.
A.8.1.1
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.2
A.8.3.3
Antes del empleo
Durante elempleo
Terminación o cambio del empleo
Se tiene documentado (de acuerdo a la política) los roles y responsabilidadesde de
SI, de todo el personal.
Se verifica antecedentes de todo candidato a empleado o contratista.
Se firman contratos donde se incluye las responsabilidades de SI.
Se procura que todos los empleados apliquen la SI según la política.
Se sensibiliza, capacita y educa en SIpertinente a su función de trabajo.
Se tiene establecido un procesos disciplinario ante el incumplimiento de SI.
Están definidas las responsabilidades para el término o cambio de empleo.
Se procura la entrega de activos al témino de contrato.
Se retira los derechos de acceso al término del contrato.
Seguridad física y medioambiental
A9
Prevenir el acceso físico no autorizado, daño einterferencia en las instalaciones y activos de información.
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
Áreas seguras
Se utiliza mecanismos de protección perimétrica (muros, vigilantes, etc.) a las
áreas que contienen información e instalaciones que procesan información.
Se utiliza mecanismos de control de acceso en entradas críticas.
Se utiliza mecanismos de seguridad en oficinas, habitaciones...
N°
Política de seguridad de la información
A5
Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.
A.5.1.1
Política de seguridad de la información
A.5.1.2
A6
Se dispone de una política de SI aprobada por la dirección, publicada y
comunicada a todos los empleados ypartes externas pertinentes.
La política de seguridad de información se revisa a intervalos planificados, y si
ocurren cambios significativos se asegura su conveniencia, adecuación y eficacia
continua.
Organización de la seguridad de la
información
Gestionar la organización de la seguridad de información.
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
Organización interna
A.6.1.5
A.6.1.6A.6.1.7
A.6.1.8
A.6.2.1
A.6.2.2
Entidades externas
A.6.2.3
A7
A.7.1.1
A.7.1.2
A.7.1.3
A.7.2.1
La Alta Dirección apoya (dirige, se compromete, demuestra y reconoce
responsabilidades) activamente la SI en la Institución.
En las actividades de SI participan representantes de todas las UU.OO. Tienen
roles y funciones.
Los roles y responsabilidades en SI están bien definidos.
Estáestablecido el proceso de autorización para nuevos activos de información
(AI).
Están definidos acuerdos de confidencialidad y se revisa con regularidad.
Se mantiene los contactos apropiados con las autoridades pertinentes.
Se mantiene los contactos apropiados con entidades especializadas en SI.
El enfoque de la organización para gestionar la SI se revisa de manera
independiente y periódica.Se gestiona (identifica e implementa) los riesgos de acceso a la información de
entidades externas.
Se trata todos los requerimientos de SI antes de dar acceso a los clientes.
Se establece acuerdos con terceros, que involucran acceder, procesar, comunicar
o gestionar la información de la entidad , que abarcan los requerimientos de SI
relevantes.
Gestión de activos de información (AI)Lograr y mantener la protección apropiada de los activos de información
Responsabilidad por los activos
Clasificación de la información
A.7.2.2
Se mantiene un inventario de AI.
Todo AI tiene asignado un responsable (propietario).
Se dispone de una normativa de uso de los AI
La información está clasificada según su valor, requisitos legales, sensibilidad y
criticidad
Se dispone delprocedimiento de rotulado y manejo de la información.
Seguridad de los recursos humanos
A8
Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o
mal uso de los activos de información.
A.8.1.1
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.2
A.8.3.3
Antes del empleo
Durante elempleo
Terminación o cambio del empleo
Se tiene documentado (de acuerdo a la política) los roles y responsabilidadesde de
SI, de todo el personal.
Se verifica antecedentes de todo candidato a empleado o contratista.
Se firman contratos donde se incluye las responsabilidades de SI.
Se procura que todos los empleados apliquen la SI según la política.
Se sensibiliza, capacita y educa en SIpertinente a su función de trabajo.
Se tiene establecido un procesos disciplinario ante el incumplimiento de SI.
Están definidas las responsabilidades para el término o cambio de empleo.
Se procura la entrega de activos al témino de contrato.
Se retira los derechos de acceso al término del contrato.
Seguridad física y medioambiental
A9
Prevenir el acceso físico no autorizado, daño einterferencia en las instalaciones y activos de información.
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
Áreas seguras
Se utiliza mecanismos de protección perimétrica (muros, vigilantes, etc.) a las
áreas que contienen información e instalaciones que procesan información.
Se utiliza mecanismos de control de acceso en entradas críticas.
Se utiliza mecanismos de seguridad en oficinas, habitaciones...
Leer documento completo
Regístrate para leer el documento completo.