MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.3.2 Control: Las normas y procedimi<strong>en</strong>tos para realizar<br />
análisis de riesgos de información deberán ser<br />
docum<strong>en</strong>tados. Se debería exigir que los riesgos sean<br />
analizados para:<br />
a) la información y los sistemas que son importantes<br />
para la organización<br />
b) los sistemas <strong>en</strong> una fase temprana de su desarrollo<br />
c) los sistemas sujetos a importantes cambios, <strong>en</strong> una<br />
fase temprana <strong>en</strong> el proceso de cambio<br />
d) la introducción de nuevas tecnologías (por ejemplo,<br />
redes inalámbricas, la m<strong>en</strong>sajería instantánea y voz<br />
sobre IP)<br />
e) las solicitudes para permitir el acceso desde sitios<br />
externos<br />
f) las solicitudes para permitir el acceso a los sistemas y<br />
a la información para personas externas a la<br />
organización (por ejemplo, consultores, contratistas, y<br />
personal de terceros)<br />
SM3.3.3 Control: Las normas y procedimi<strong>en</strong>tos deberían<br />
especificar que el análisis de riesgos:<br />
a) se lleve a cabo periódicam<strong>en</strong>te<br />
b) involucre a los dueños de los negocios, los<br />
especialistas <strong>en</strong> TI, los principales repres<strong>en</strong>tantes de los<br />
usuarios, los expertos <strong>en</strong> análisis de riesgos y los<br />
especialistas <strong>en</strong> seguridad de la información<br />
SM3.3.4 Control: Los resultados del análisis de riesgos deb<strong>en</strong><br />
ser:<br />
a) reportados a la dirección<br />
b) utilizados para ayudar a determinar programas de<br />
trabajo <strong>en</strong> seguridad de la información (por ejemplo, la<br />
acciones correctivas y las nuevas<br />
iniciativas <strong>en</strong> materia de seguridad)<br />
c) integrados con otras actividades de gestión del riesgo<br />
(por ejemplo, la gestión de riesgo operativo)<br />
SM3.4 Metodologías de análisis de<br />
riesgos de información<br />
SM3.4.1 Control: Los riesgos asociados con la información y los<br />
sistemas de la organización deb<strong>en</strong> ser analizados<br />
utilizando metodologías estructuradas de análisis de<br />
riesgos información<br />
Página 142 de 207