MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.1.2 Control: Se debería establecer un grupo de trabajo de<br />
alto nivel técnico o un comité u organismo equival<strong>en</strong>te<br />
para coordinar las actividades de seguridad <strong>en</strong> toda la<br />
organización. El grupo debería reunirse de forma<br />
periódica (por ejemplo, tres o más veces al año) y<br />
docum<strong>en</strong>tar las acciones acordadas <strong>en</strong> las reuniones.<br />
SM2.1.3 Control: El grupo coordinador de la seguridad debería<br />
estar conformado por:<br />
a) un miembro de la dirección<br />
b) uno o más dueños de aplicaciones y procesos<br />
c) el jefe de seguridad de la información, o su<br />
equival<strong>en</strong>te (por ejemplo, el Oficial Jefe de Seguridad de<br />
la Información)<br />
d) repres<strong>en</strong>tantes de otras funciones relacionadas con la<br />
seguridad (por ejemplo, accesoria legal, riesgo<br />
operacional, auditoria interna, seguros, recursos<br />
humanos y seguridad física)<br />
e) el jefe de tecnología de la información (o equival<strong>en</strong>te).<br />
SM2.1.4 Control: El grupo coordinador de la seguridad debe ser<br />
responsable de:<br />
a) considerar la seguridad de la información <strong>en</strong> toda la<br />
empresa<br />
b) asegurar que la seguridad de la información se <strong>en</strong>foca<br />
de manera coher<strong>en</strong>te y consist<strong>en</strong>te<br />
c) aprobar las políticas de seguridad de la información<br />
así como las normas y procedimi<strong>en</strong>tos<br />
d) monitorear la exposición de la empresa a am<strong>en</strong>azas<br />
de seguridad de la información<br />
e) Monitorear el desempeño de la seguridad de la<br />
información (por ejemplo, analizar el actual estado de<br />
seguridad, manejo de incid<strong>en</strong>tes de seguridad de la<br />
información, y los costos)<br />
f) aprobar y dar prioridad a las actividades de mejora de<br />
seguridad de la información<br />
g) garantizar que la seguridad de la información se<br />
<strong>en</strong>foca <strong>en</strong> los procesos de planeación de Ti de la<br />
empresa<br />
h) <strong>en</strong>fatizar la importancia de la seguridad de la<br />
información <strong>en</strong> la organización.<br />
SM2.2 Función de seguridad de la<br />
información<br />
SM2.2.1 Control: La organización debe estar apoyada por una<br />
función de seguridad de la información (o equival<strong>en</strong>te),<br />
que ti<strong>en</strong>e la responsabilidad<br />
para la promoción de bu<strong>en</strong>as prácticas <strong>en</strong> seguridad de<br />
la información <strong>en</strong> toda la empresa. El jefe de la función<br />
de seguridad de la información<br />
debería t<strong>en</strong>er dedicación de tiempo completo a la<br />
seguridad de la información<br />
Página 134 de 207