MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM1.1.3 Control: La dirección debe demostrar su compromiso<br />
con la seguridad de la información para:<br />
a) asignar la responsabilidad g<strong>en</strong>eral de la seguridad de<br />
la información a un órgano de nivel ejecutivo o<br />
equival<strong>en</strong>te (por ejemplo, un Oficial de Seguridad de la<br />
Información)<br />
b) compartir aspectos claves de seguridad de la<br />
información con grupos de trabajo, comités o su<br />
equival<strong>en</strong>te<br />
c) monitorear las condiciones de seguridad de la<br />
información de la organización<br />
d) asignar recursos sufici<strong>en</strong>tes para la seguridad de la<br />
información.<br />
SM1.1.4 Control: La dirección debe demostrar su compromiso<br />
aprobando la docum<strong>en</strong>tación de alto nivel que incluye:<br />
a) la estrategia para la seguridad de la información<br />
b) la política de seguridad de la información<br />
c) la arquitectura de seguridad para la organización<br />
SM1.2 Política de seguridad de la<br />
información<br />
SM1.2.1 Control: Se debe docum<strong>en</strong>tar y aprobar el docum<strong>en</strong>to<br />
de la política de seguridad de la información para ser<br />
aplicada <strong>en</strong> toda la empresa. Se debe asignar la<br />
responsabilidad por el mant<strong>en</strong>imi<strong>en</strong>to de la política.<br />
SM1.2.2 Control: La política de seguridad de la información debe<br />
definir las responsabilidades asociadas con la seguridad<br />
de la información y los principios de seguridad que debe<br />
seguir todo el personal.<br />
SM1.2.3 Control: La política de seguridad de la información debe<br />
exigir que:<br />
a) se clasifique la información de manera que indique la<br />
importancia para la organización<br />
b) se nombre a los dueños de la información y sistemas<br />
críticos (por lo g<strong>en</strong>eral son las personas <strong>en</strong>cargadas de<br />
los procesos de negocio que dep<strong>en</strong>d<strong>en</strong> de la información<br />
y los sistemas)<br />
c) se realice un análisis de riesgos sobre la información y<br />
los sistemas de manera periódica<br />
d) el personal adquiera conci<strong>en</strong>cia <strong>en</strong> seguridad de la<br />
información<br />
e) se cumpla con el lic<strong>en</strong>ciami<strong>en</strong>to de software y con<br />
otras disposiciones legales, reglam<strong>en</strong>tarias y<br />
contractuales<br />
f) se comunican las brechas de seguridad de la<br />
información y la sospecha de debilidades de seguridad<br />
de la información<br />
g) se protege la información <strong>en</strong> términos de los requisitos<br />
de confid<strong>en</strong>cialidad, integridad y disponibilidad<br />
Página 131 de 207