Politica de la vida

Seguridad y Auditoria Informática Política de Seguridad de la información

UNASAM Ing. Marco Jamanca Ramírez

Código:UDIR.000.SGSI Página 1 de 7 03/01/2014

Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor

POLITICA DE SEGURIDAD

DE LA INFORMACION





CONTROL DE FIRMAS

Versión Elaborado por Revisado por Aprobado por

1.2

XYZ Grupo de Trabajo y CTF

XYZ C. Seguridad y Certificaciones

XYZ Consejero Delegado

CONTROL DE MODIFICACIONES

Versión Fecha Partes que varían

Descripción de la variación

1.0 02/03/2012 No procede Primera Edición del documento

1.1 01/06/2012 1, 2, 3.4 Mejoras de estilo. Eliminación norma derogada

1.2 03/08/2012 2, 3.1, 3.4 Mejoras de estilo y alineamiento con la Normativa Corporativa de Seguridad de la Información





INDICE

1. DEFINICION DE SEGURIDAD DE LA INFORMACION

2. DEFINICIONES GENERALES

2.1. INFORMACION

2.2. RIESGO

3. OBJETIVO DE LA POLITICA

4. FINALIDAD

5. ALCANCE

6. MODIFICACIONES Y ACTUALIZACIONES / REVISION Y MANTENIMIENTO

7. ESPECIFICACIONES / FUNDAMENTOS

7.1. PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACION / DECLARACION

GENERAL / POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION

7.2. ORGANIZACIÓN Y RESPONSABILIDADES

7.3. APLICACIÓN DE LA POLITICA DE SEGURIDAD

7.4. CONFORMIDAD LEGAL / BASE LEGAL Y NORMATIVA / BASE TECNICA LEGAL

7.5. CLASIFICACION Y TRATAMIENTO DE LA INFORMACION

7.6. FORMACION Y CONCIENTIZACION

7.7. AUDITORIA

7.8. VIGENCIA

7.9. CONFIDENCIALIDAD DEL DOCUMENTO

7.10. DISPOSICIONES COMPLEMENTARIAS

7.11. GLOSARIO DE TERMINOS

7.12. ANEXOS

7.12.1. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS NATURALES

(PROVEEDORES Y CONSULTORES)

7.12.2. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS JURIDICAS (PROVEEDORES)





1. DEFINICION DE SEGURIDAD DE LA INFORMACION

2. DEFINICIONES GENERALES

2.1. INFORMACION

2.2. RIESGO

3. OBJETIVO DE LA POLITICA

Establecer los lineamientos para gestionar la seguridad de la información de tal manera

que permita proteger los activos de información, frente a amenazas, internas o externas,

deliberadas o accidentales con la finalidad de asegurar el cumplimiento de la

confidencialidad, integridad y disponibilidad de la información.

4. FINALIDAD

Contar con el marco rector que permita definir la gestión de la seguridad de la

información, sus objetivos y alcance, así como explicar y difundir los principios, normas y

requisitos más importantes.

5. ALCANCE

El presente documento es de cumplimiento obligatorio de todo el personal de………………..,

independientemente de su régimen de contratación.

6. MODIFICACIONES Y ACTUALIZACIONES / REVISION Y MANTENIMIENTO

El presente documento podrá ser modificado y actualizado por efectos de la evaluación

periódica de su aplicación, en concordancia con lo dispuesto en la Directiva ………

“Procedimientos para la Elaboración y Actualización de Instrumentos Normativos de

Gestión – Directivas – Procedimientos”, para lo cual la Oficina de Tecnologías de

Información y las unidades orgánicas vinculadas al referido proceso presentarán la

correspondiente propuesta, en coordinación con la Oficina de Procesos y Estándares.

7. ESPECIFICACIONES / FUNDAMENTOS

7.1. PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACION / DECLARACION

GENERAL / POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION





El Comité………. Concede un interés prioritario y el máximo apoyo a la

protección de la información por su carácter estratégico y como medio para

asegurar la continuidad del negocio.

Esta política persigue la adopción, implantación y operatividad continuada de

protocolos y procedimientos destinados a preservar los tres componentes

básicos de la seguridad de la información:

- Confidencialidad

- Integridad

- Disponibilidad

La política será de aplicación en todas las fases del ciclo de vida de la

información: generación, distribución, almacenamiento, procesamiento,

transporte, consulta y destrucción y de los sistemas que los procesan: análisis,

diseño, desarrollo, implantación, explotación y mantenimiento.

La seguridad e la información incumbe a todo el personal de ……. por lo que

esta política debe ser conocida, comprendida y asumida por todos los niveles

de la organización.

7.2. ORGANIZACIÓN Y RESPONSABILIDADES

La función de seguridad de la información recae en el Comité ……….

que se encarga de formular las directrices y principios básicos de seguridad y

de velar por el cumplimiento del presente documento.

Cada activo de información debe tener asignado un responsable de …..

representativo, que sea su propietario y tenga la responsabilidad de realizar y

comunicar evaluaciones sobre su identificación, valoración, utilización y

protección.

Todo usuario de los sistemas de información es responsable del uso adecuado

que haga de los mismos y de cumplir con los controles y recomendaciones

establecidas.

Los propietarios ……

7.3. APLICACIÓN DE LA POLITICA DE SEGURIDAD

Con objetivo de aplicar los principios expuestos en esta política, se precisa la

definición, elaboración, implantación, mantenimiento de planes estratégicos

de seguridad (Planes de gestión del riesgo) o de Acciones de mejora operativa.

La elaboración de estos Planes y Acciones deberá basarse en procesos

formales de análisis de riesgos y criterios de gestión de riesgos que permitan

implantar las soluciones idóneas a las necesidades de Negocio





A nivel operativo …. Desarrollará sus propios procedimientos, estándares y

guías de seguridad, que garanticen la integridad, confidencialidad y

disponibilidad de la información.

Se implantarán los procesos de gestión de la seguridad necesarios, acordes con

el estándar ISO 27001 para asegurar el seguimiento efectivo y eficiente de las

acciones en seguridad así como de los procesos de revisión y de mejora de los

proyectos de seguridad y de las contramedidas definidas.

7.4. CONFORMIDAD LEGAL / BASE LEGAL Y NORMATIVA / BASE TECNICA LEGAL

UTP tiene el compromiso de velar por el cumplimiento de la legislación vigente

en materia de protección y seguridad de la información y de los sistemas

aplicables a todos los procesos de negocio de aquellos países en los que se

opere.

Se identificarán los requisitos de las leyes aplicables en el tratamiento y

seguridad de la información y se establecerán los mecanismos para su

cumplimiento.

Por la naturaleza y objeto del negocio de UTP se debe observar el

cumplimiento de normas de rango superior (leyes, normas y disposiciones

legales) sobre aspectos como propiedad intelectual, protección de datos de

carácter personal, retención y almacenamiento de información, monitorización

sobre uso de recursos o cifrado de información, que tendrán preferencia,

cuando apliquen, sobre las directrices de esta política de seguridad de la

información.

7.5. CLASIFICACION Y TRATAMIENTO DE LA INFORMACION

Toda información deberá estar clasificada en virtud de su importancia para la

organización y ha de ser tratada según dicha clasificación, acorde a lo

dispuesto en la normativa sobre clasificación y tratamiento de la información.

7.6. FORMACION Y CONCIENTIZACION

El método más efectivo de mejorar la seguridad es mediante la formación

continuada y su incorporación a la actividad laboral.

Dentro de los planes de formación se incluirán cursos específicos sobre

seguridad de la información acorde con el área destinataria. Asimismo se

realizarán campañas de concientización sobre seguridad dirigidas a todo el

personal y proveedores a través del medio que se considere más efectivo.

7.7. AUDITORIA

Los sistemas de información, de manera total o parcial se someterán

periódicamente a auditorías internas y externas con la finalidad de verificar el

correcto funcionamiento de los planes de seguridad, determinando grados de

cumplimiento y recomendando medidas correctoras, consiguiendo, así una

mejora continua.

7.8. VIGENCIA

La política de seguridad de la información entrará en vigor desde el mismo días

de publicación, deberá ser revisada al menos una vez al año





7.9. CONFIDENCIALIDAD DEL DOCUMENTO

El presente documento es de propiedad de UTP y no podrá ser objeto de

reproducción total o parcial, tratamiento informático ni transmisión de

ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por

fotocopia, registro o cualquiera otro. Asimismo tampoco podrá ser objeto de

préstamo, alquiler o cualquier forma de cesión de uso sin el permiso previo y

escrito de………….. titular del Cpyright. El incumplimiento de las limitaciones

señaladas por cualquier persona que tenga acceso a la documentación será

perseguido conforme a la ley.

7.10. DISPOSICIONES COMPLEMENTARIAS

7.11. GLOSARIO DE TERMINOS

7.12. ANEXOS

7.12.1. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS NATURALES

(PROVEEDORES Y CONSULTORES)

7.12.2. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS JURIDICAS (PROVEEDORES)

Documents

Politica de la vida