MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
seguridad de la información que requieran una<br />
investigación for<strong>en</strong>se.<br />
SM1.3 Acuerdos con el personal<br />
SM1.3.1 Control: Las responsabilidades de seguridad de la<br />
información para todo el personal de la empresa debe<br />
estar especificado <strong>en</strong> las descripciones del puesto y <strong>en</strong><br />
los términos y condiciones del empleo (por ejemplo, <strong>en</strong> el<br />
contrato de trabajo).<br />
SM1.3.2 Control: Los términos y condiciones del empleo<br />
deberían:<br />
a) declarar que las responsabilidades de seguridad de la<br />
información se exti<strong>en</strong>d<strong>en</strong> fuera de las horas normales de<br />
trabajo y continúan después de la terminación del<br />
empleo.<br />
b) explicar las responsabilidades legales y derechos del<br />
empleado incluy<strong>en</strong>do la cláusula de confid<strong>en</strong>cialidad y no<br />
revelación.<br />
SM1.3.3 Control: Los empleados, contratistas y personal de<br />
terceros deberían aceptar y firmar los acuerdos de<br />
confid<strong>en</strong>cialidad.<br />
SM1.3.4 Control: Debería establecerse un requisito docum<strong>en</strong>tado<br />
para revocar inmediatam<strong>en</strong>te los privilegios de acceso<br />
cuando un usuario autorizado ya no requiere el acceso a<br />
la información o a los sistemas como parte de su trabajo,<br />
o cuando se retira de la empresa.<br />
SM1.3.5 Control: Se deb<strong>en</strong> verificar los anteced<strong>en</strong>tes de los<br />
aspirantes a ser empleados, contratistas o usuarios de<br />
terceros antes de la contratación laboral.<br />
SM1.3.6 Control: Los docum<strong>en</strong>tos del personal clave tales como<br />
las políticas o las descripciones del puesto, deb<strong>en</strong> ser<br />
revisados por un especialista <strong>en</strong> seguridad de la<br />
información y aprobados por la dirección y mant<strong>en</strong>erse<br />
actualizados.<br />
SM1.3.7 Control: Al terminar la contratación laboral, los<br />
empleados y el personal de terceros debería docum<strong>en</strong>tar<br />
la información relacionada con los procesos que maneja<br />
y que son críticos para la empresa y devolver:<br />
a) el equipo que pert<strong>en</strong>ece a la empresa<br />
b) la información importante ya sea <strong>en</strong> formato<br />
electrónico o <strong>en</strong> copia dura<br />
c) el software<br />
d) el hardware de aut<strong>en</strong>ticación (por ejemplo, las<br />
smartcards y tok<strong>en</strong>s)<br />
SM2 Organización de<br />
seguridad<br />
SM2.1 Control de Alto nivel<br />
SM2.1.1 Control: Se debería asignar la responsabilidad g<strong>en</strong>eral<br />
por la seguridad de la información a un ejecutivo de alto<br />
nivel o su equival<strong>en</strong>te.<br />
Página 133 de 207