MODELO DE SEGURIDAD - Gobierno en línea.

More documents

Recommendations

Info

INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.3.2 Control: Las normas y procedimientos para realizar análisis de riesgos de información deberán ser documentados. Se debería exigir que los riesgos sean analizados para: a) la información y los sistemas que son importantes para la organización b) los sistemas en una fase temprana de su desarrollo c) los sistemas sujetos a importantes cambios, en una fase temprana en el proceso de cambio d) la introducción de nuevas tecnologías (por ejemplo, redes inalámbricas, la mensajería instantánea y voz sobre IP) e) las solicitudes para permitir el acceso desde sitios externos f) las solicitudes para permitir el acceso a los sistemas y a la información para personas externas a la organización (por ejemplo, consultores, contratistas, y personal de terceros) SM3.3.3 Control: Las normas y procedimientos deberían especificar que el análisis de riesgos: a) se lleve a cabo periódicamente b) involucre a los dueños de los negocios, los especialistas en TI, los principales representantes de los usuarios, los expertos en análisis de riesgos y los especialistas en seguridad de la información SM3.3.4 Control: Los resultados del análisis de riesgos deben ser: a) reportados a la dirección b) utilizados para ayudar a determinar programas de trabajo en seguridad de la información (por ejemplo, la acciones correctivas y las nuevas iniciativas en materia de seguridad) c) integrados con otras actividades de gestión del riesgo (por ejemplo, la gestión de riesgo operativo) SM3.4 Metodologías de análisis de riesgos de información SM3.4.1 Control: Los riesgos asociados con la información y los sistemas de la organización deben ser analizados utilizando metodologías estructuradas de análisis de riesgos información Página 142 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.4.2 Control: Las metodología de análisis de riesgos debería ser: a) documentada b) aprobada por la dirección c) consistente en toda la organización d) automatizado (por ejemplo, utilizando herramientas de software especializado) e) revisarse periódicamente para garantizar que cumplen las necesidades del negocio f) aplicable a sistemas de diferentes tamaños y tipos g) comprensible para los representantes de las unidades negocio. SM3.4.3 Control: La metodología de análisis de riesgos de información debe exigir que todos los análisis de riesgo tengan un alcance claramente definido. SM3.4.4 Control: La metodología de análisis de riesgos de información debe determinar el riesgo evaluando: a) el impacto potencial para el negocio asociadas con el sistema, la red, o las instalaciones de computación b) las amenazas intencionales a la confidencialidad, integridad y disponibilidad de la información y los sistemas (por ejemplo, llevar a cabo ataques de denegación de servicio, el malware, la instalación de software no autorizado, mal uso de los sistemas para cometer un fraude) c) las amenazas accidentales a la confidencialidad, integridad y disponibilidad de la información y los sistemas (por ejemplo, la interrupción del suministro de energía, mal funcionamiento del sistema o del software) d) las vulnerabilidades ocasionadas por deficiencias de control e) las vulnerabilidades debidas a situaciones que aumentan la probabilidad de ocurrencia de un grave incidente de seguridad de la información (por ejemplo, el uso de Internet, permitir el acceso a terceros o la ubicación de un servidor en una zona propensa a terremotos o inundaciones) SM3.4.5 Control: La metodología de análisis de riesgos debería tener en cuenta: a) los requisitos de cumplimiento (por ejemplo, con la legislación, la reglamentación, las cláusulas contractuales, las normas de la industria y políticas internas) b) los objetivos de la organización c) los requisitos de clasificación de la información d) el análisis de riesgos previo de la aplicación, la red o la instalación de computo que se está evaluando e) las características del ambiente operativo de la aplicación, la red o la instalación de computo que se está evaluando Página 143 de 207
Page 1 and 2:
ENTREGABLES 3, 4, 5 y 6: INFORME FI
Page 3 and 4:
INFORME FINAL - MODELO DE SEGURIDAD
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
5.1. Introducción INFORME FINAL -
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
5.6.2. Mejora del SGSI: INFORME FIN
Page 51 and 52:
Page 53 and 54:
6.2. Objetivos del Sistema INFORME
Page 55 and 56:
Page 57 and 58:
Objetivos de Control: INFORME FINAL
Page 59 and 60:
Objetivos de Control: INFORME FINAL
Page 61 and 62:
PS2 - Política de no repudiación
Page 63 and 64:
Page 65 and 66:
PS6 - Política de disponibilidad d
Page 67 and 68:
PS8 - Política de registro y audit
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92: INFORME FINAL - MODELO DE SEGURIDAD
Page 141: INFORME FINAL - MODELO DE SEGURIDAD
Page 193 and 194:
Page 195 and 196:
Page 197 and 198:
Page 199 and 200:
La documentación del Modelo SGSI d
Page 201 and 202:
Page 203 and 204:
Page 205 and 206:
Page 207:
show all

MODELO DE SEGURIDAD - Gobierno en línea.

Create successful ePaper yourself

Delete template?

Save as template?