MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.4.6 Control: La metodología de análisis de riesgos debe<br />
asegurar que los resultados del análisis de riesgos se<br />
docum<strong>en</strong>t<strong>en</strong> e incluyan:<br />
a) una clara id<strong>en</strong>tificación de los principales riesgos<br />
b) una evaluación del impacto pot<strong>en</strong>cial de cada riesgo<br />
para el negocio<br />
c) acciones recom<strong>en</strong>dadas para reducir el riesgo a un<br />
nivel aceptable<br />
SM3.4.7 Control: La metodología de análisis de riesgos debería<br />
ser utilizada para ayudar:<br />
a) a seleccionar los controles de seguridad que reduzcan<br />
la probabilidad de ocurr<strong>en</strong>cia de graves incid<strong>en</strong>tes de<br />
seguridad de la información<br />
b) a seleccionar los controles de seguridad que<br />
satisfagan los requisitos de cumplimi<strong>en</strong>to<br />
c) a evaluar las fortalezas y debilidades de los controles<br />
de seguridad<br />
d) a determinar los costos de la aplicación de controles<br />
de seguridad (por ejemplo, los costos relacionados con:<br />
diseño, compra,<br />
aplicación y seguimi<strong>en</strong>to de los controles de hardware y<br />
software, formación, gastos g<strong>en</strong>erales, tales como<br />
instalaciones;<br />
y honorarios de consultoría)<br />
e) a id<strong>en</strong>tificar controles de seguridad especializados<br />
requeridos por los ambi<strong>en</strong>tes (por ejemplo, el cifrado de<br />
datos o fuerte<br />
aut<strong>en</strong>ticación)<br />
SM3.4.8 Control: La metodología de análisis de riesgos debería<br />
asegurar que los resultados del análisis sea:<br />
a) comunicado a los dueños de los procesos o de la<br />
información o de los sistemas<br />
b) aprobado por los dueños<br />
c) comparado con el análisis de riesgos realizado <strong>en</strong><br />
otras áreas de la organización<br />
SM3.5 Cumplimi<strong>en</strong>to legal y<br />
regulatorio<br />
SM3.5.1 Control: Los requisitos legales y regulatorios que<br />
afectan la seguridad de la información deb<strong>en</strong> ser<br />
reconocidos por:<br />
a) la dirección<br />
b) los dueños de los negocios<br />
c) el jefe de seguridad de la información (o equival<strong>en</strong>te)<br />
d) los repres<strong>en</strong>tantes de otras funciones relacionadas<br />
con la seguridad (por ejemplo, accesoria legal, el riesgo<br />
operacional, la auditoria interna, seguros, recursos<br />
humanos y la seguridad física)<br />
Página 144 de 207