View
23
Download
1
Embed Size (px)
DESCRIPTION
Seguridad, en la casona de la vida como la razón de ser en clase de las gatas, como, ejemplo
Citation preview
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 1 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
POLITICA DE SEGURIDAD
DE LA INFORMACION
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 2 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
CONTROL DE FIRMAS
Versión Elaborado por Revisado por Aprobado por
1.2
XYZ Grupo de Trabajo y CTF
XYZ C. Seguridad y Certificaciones
XYZ Consejero Delegado
CONTROL DE MODIFICACIONES
Versión Fecha Partes que varían
Descripción de la variación
1.0 02/03/2012 No procede Primera Edición del documento
1.1 01/06/2012 1, 2, 3.4 Mejoras de estilo. Eliminación norma derogada
1.2 03/08/2012 2, 3.1, 3.4 Mejoras de estilo y alineamiento con la Normativa Corporativa de Seguridad de la Información
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 3 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
INDICE
1. DEFINICION DE SEGURIDAD DE LA INFORMACION
2. DEFINICIONES GENERALES
2.1. INFORMACION
2.2. RIESGO
3. OBJETIVO DE LA POLITICA
4. FINALIDAD
5. ALCANCE
6. MODIFICACIONES Y ACTUALIZACIONES / REVISION Y MANTENIMIENTO
7. ESPECIFICACIONES / FUNDAMENTOS
7.1. PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACION / DECLARACION
GENERAL / POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION
7.2. ORGANIZACIÓN Y RESPONSABILIDADES
7.3. APLICACIÓN DE LA POLITICA DE SEGURIDAD
7.4. CONFORMIDAD LEGAL / BASE LEGAL Y NORMATIVA / BASE TECNICA LEGAL
7.5. CLASIFICACION Y TRATAMIENTO DE LA INFORMACION
7.6. FORMACION Y CONCIENTIZACION
7.7. AUDITORIA
7.8. VIGENCIA
7.9. CONFIDENCIALIDAD DEL DOCUMENTO
7.10. DISPOSICIONES COMPLEMENTARIAS
7.11. GLOSARIO DE TERMINOS
7.12. ANEXOS
7.12.1. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS NATURALES
(PROVEEDORES Y CONSULTORES)
7.12.2. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS JURIDICAS (PROVEEDORES)
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 4 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
1. DEFINICION DE SEGURIDAD DE LA INFORMACION
2. DEFINICIONES GENERALES
2.1. INFORMACION
2.2. RIESGO
3. OBJETIVO DE LA POLITICA
Establecer los lineamientos para gestionar la seguridad de la información de tal manera
que permita proteger los activos de información, frente a amenazas, internas o externas,
deliberadas o accidentales con la finalidad de asegurar el cumplimiento de la
confidencialidad, integridad y disponibilidad de la información.
4. FINALIDAD
Contar con el marco rector que permita definir la gestión de la seguridad de la
información, sus objetivos y alcance, así como explicar y difundir los principios, normas y
requisitos más importantes.
5. ALCANCE
El presente documento es de cumplimiento obligatorio de todo el personal de………………..,
independientemente de su régimen de contratación.
6. MODIFICACIONES Y ACTUALIZACIONES / REVISION Y MANTENIMIENTO
El presente documento podrá ser modificado y actualizado por efectos de la evaluación
periódica de su aplicación, en concordancia con lo dispuesto en la Directiva ………
“Procedimientos para la Elaboración y Actualización de Instrumentos Normativos de
Gestión – Directivas – Procedimientos”, para lo cual la Oficina de Tecnologías de
Información y las unidades orgánicas vinculadas al referido proceso presentarán la
correspondiente propuesta, en coordinación con la Oficina de Procesos y Estándares.
7. ESPECIFICACIONES / FUNDAMENTOS
7.1. PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACION / DECLARACION
GENERAL / POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 5 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
El Comité………. Concede un interés prioritario y el máximo apoyo a la
protección de la información por su carácter estratégico y como medio para
asegurar la continuidad del negocio.
Esta política persigue la adopción, implantación y operatividad continuada de
protocolos y procedimientos destinados a preservar los tres componentes
básicos de la seguridad de la información:
- Confidencialidad
- Integridad
- Disponibilidad
La política será de aplicación en todas las fases del ciclo de vida de la
información: generación, distribución, almacenamiento, procesamiento,
transporte, consulta y destrucción y de los sistemas que los procesan: análisis,
diseño, desarrollo, implantación, explotación y mantenimiento.
La seguridad e la información incumbe a todo el personal de ……. por lo que
esta política debe ser conocida, comprendida y asumida por todos los niveles
de la organización.
7.2. ORGANIZACIÓN Y RESPONSABILIDADES
La función de seguridad de la información recae en el Comité ……….
que se encarga de formular las directrices y principios básicos de seguridad y
de velar por el cumplimiento del presente documento.
Cada activo de información debe tener asignado un responsable de …..
representativo, que sea su propietario y tenga la responsabilidad de realizar y
comunicar evaluaciones sobre su identificación, valoración, utilización y
protección.
Todo usuario de los sistemas de información es responsable del uso adecuado
que haga de los mismos y de cumplir con los controles y recomendaciones
establecidas.
Los propietarios ……
7.3. APLICACIÓN DE LA POLITICA DE SEGURIDAD
Con objetivo de aplicar los principios expuestos en esta política, se precisa la
definición, elaboración, implantación, mantenimiento de planes estratégicos
de seguridad (Planes de gestión del riesgo) o de Acciones de mejora operativa.
La elaboración de estos Planes y Acciones deberá basarse en procesos
formales de análisis de riesgos y criterios de gestión de riesgos que permitan
implantar las soluciones idóneas a las necesidades de Negocio
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 6 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
A nivel operativo …. Desarrollará sus propios procedimientos, estándares y
guías de seguridad, que garanticen la integridad, confidencialidad y
disponibilidad de la información.
Se implantarán los procesos de gestión de la seguridad necesarios, acordes con
el estándar ISO 27001 para asegurar el seguimiento efectivo y eficiente de las
acciones en seguridad así como de los procesos de revisión y de mejora de los
proyectos de seguridad y de las contramedidas definidas.
7.4. CONFORMIDAD LEGAL / BASE LEGAL Y NORMATIVA / BASE TECNICA LEGAL
UTP tiene el compromiso de velar por el cumplimiento de la legislación vigente
en materia de protección y seguridad de la información y de los sistemas
aplicables a todos los procesos de negocio de aquellos países en los que se
opere.
Se identificarán los requisitos de las leyes aplicables en el tratamiento y
seguridad de la información y se establecerán los mecanismos para su
cumplimiento.
Por la naturaleza y objeto del negocio de UTP se debe observar el
cumplimiento de normas de rango superior (leyes, normas y disposiciones
legales) sobre aspectos como propiedad intelectual, protección de datos de
carácter personal, retención y almacenamiento de información, monitorización
sobre uso de recursos o cifrado de información, que tendrán preferencia,
cuando apliquen, sobre las directrices de esta política de seguridad de la
información.
7.5. CLASIFICACION Y TRATAMIENTO DE LA INFORMACION
Toda información deberá estar clasificada en virtud de su importancia para la
organización y ha de ser tratada según dicha clasificación, acorde a lo
dispuesto en la normativa sobre clasificación y tratamiento de la información.
7.6. FORMACION Y CONCIENTIZACION
El método más efectivo de mejorar la seguridad es mediante la formación
continuada y su incorporación a la actividad laboral.
Dentro de los planes de formación se incluirán cursos específicos sobre
seguridad de la información acorde con el área destinataria. Asimismo se
realizarán campañas de concientización sobre seguridad dirigidas a todo el
personal y proveedores a través del medio que se considere más efectivo.
7.7. AUDITORIA
Los sistemas de información, de manera total o parcial se someterán
periódicamente a auditorías internas y externas con la finalidad de verificar el
correcto funcionamiento de los planes de seguridad, determinando grados de
cumplimiento y recomendando medidas correctoras, consiguiendo, así una
mejora continua.
7.8. VIGENCIA
La política de seguridad de la información entrará en vigor desde el mismo días
de publicación, deberá ser revisada al menos una vez al año
Seguridad y Auditoria Informática Política de Seguridad de la información
UNASAM Ing. Marco Jamanca Ramírez
Código:UDIR.000.SGSI Página 7 de 7 03/01/2014
Versión: 1.2 Nivel confidencial: PUBLICA Prohibida cualquier reproducción, distribución o comunicación pública, salvo autorización expresa del Autor
7.9. CONFIDENCIALIDAD DEL DOCUMENTO
El presente documento es de propiedad de UTP y no podrá ser objeto de
reproducción total o parcial, tratamiento informático ni transmisión de
ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por
fotocopia, registro o cualquiera otro. Asimismo tampoco podrá ser objeto de
préstamo, alquiler o cualquier forma de cesión de uso sin el permiso previo y
escrito de………….. titular del Cpyright. El incumplimiento de las limitaciones
señaladas por cualquier persona que tenga acceso a la documentación será
perseguido conforme a la ley.
7.10. DISPOSICIONES COMPLEMENTARIAS
7.11. GLOSARIO DE TERMINOS
7.12. ANEXOS
7.12.1. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS NATURALES
(PROVEEDORES Y CONSULTORES)
7.12.2. ACUERDO DE CONFIDENCIALIDAD PARA PERSONAS JURIDICAS (PROVEEDORES)