MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.5.2 Control: Se debe establecer un proceso para asegurar<br />
cumplimi<strong>en</strong>to con los requisitos legales y regulatorios<br />
que afectan la seguridad de la información y debe<br />
considerar:<br />
a) la legislación específica sobre seguridad de la<br />
información (por ejemplo, la ley de delitos informáticos,<br />
ley de habeas data, ley de comercio electrónico)<br />
b) la legislación g<strong>en</strong>eral que ti<strong>en</strong>e implicaciones para la<br />
seguridad (por ejemplo, la constitución nacional, la ley de<br />
habeas data, la ley de propiedad intelectual, etc.)<br />
c)las regulaciones (por ejemplo, la circular 052 de la<br />
Superfinanciera, el lavado de activos, la regulación<br />
ambi<strong>en</strong>tal, regulación de la industria de tarjetas de pago<br />
(PCI), etc.).<br />
SM3.5.3 Control: El proceso de cumplimi<strong>en</strong>to debe permitir a<br />
qui<strong>en</strong>es toman decisiones:<br />
a) descubrir las leyes y reglam<strong>en</strong>tos que afectan la<br />
seguridad de la información<br />
b) interpretar las implicaciones de seguridad de la<br />
información de estas leyes y reglam<strong>en</strong>tos<br />
c) id<strong>en</strong>tificar el posible incumplimi<strong>en</strong>to legal y<br />
reglam<strong>en</strong>tario<br />
d) determinar acciones sobre el posible incumplimi<strong>en</strong>to<br />
SM3.5.4 Control: El proceso de cumplimi<strong>en</strong>to debe ser<br />
docum<strong>en</strong>tado, aprobado por la dirección, y mant<strong>en</strong>erse<br />
actualizado<br />
SM3.5.5 Control: Una revisión del cumplimi<strong>en</strong>to de los requisitos<br />
legales y reglam<strong>en</strong>tarios debe ser:<br />
a) realizado periódicam<strong>en</strong>te o cuando nueva legislación<br />
o requisitos reglam<strong>en</strong>tarios <strong>en</strong>tr<strong>en</strong> <strong>en</strong> vig<strong>en</strong>cia<br />
b) llevada a cabo por repres<strong>en</strong>tantes de las principales<br />
áreas de la organización (por ejemplo, la dirección, los<br />
propietarios de los negocios, el departam<strong>en</strong>to legal, la<br />
administración de TI, y la función de seguridad de la<br />
información)<br />
SM3.5.6 Control: Se debe considerar la actualización de las<br />
normas y procedimi<strong>en</strong>tos de seguridad de la información<br />
como resultado de la revisión del cumplimi<strong>en</strong>to legal y<br />
regulatorio<br />
SM4 Ambi<strong>en</strong>te seguro<br />
SM4.1 Arquitectura de Seguridad<br />
SM4.1.1 Control: Se debe establecer una arquitectura de<br />
seguridad integrada con la arquitectura empresarial de la<br />
organización (o su equival<strong>en</strong>te)<br />
Página 145 de 207