MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.3.1 Control: Deberían existir procedimi<strong>en</strong>tos docum<strong>en</strong>tados<br />
para la gestión de activos, que incluyan:<br />
a) la adquisición de software y hardware<br />
b) el lic<strong>en</strong>ciami<strong>en</strong>to de software<br />
c) el registro de activos <strong>en</strong> un inv<strong>en</strong>tario (o equival<strong>en</strong>te)<br />
d) el archivo de la información importante<br />
SM4.3.2 Control: Cuando se adquiera hardware y software se<br />
debería:<br />
a) seleccionar una lista de proveedores aprobados<br />
b) considerar los requisitos de seguridad<br />
c) debe darse alta prioridad a la confiabilidad<br />
d) acordar los términos contractuales con los<br />
proveedores.<br />
SM4.3.3 Control: Se debe reducir el riesgo de debilidades de<br />
seguridad del hardware y software mediante:<br />
a) la obt<strong>en</strong>ción de las evaluaciones externas por parte<br />
de fu<strong>en</strong>tes de confianza<br />
b) la id<strong>en</strong>tificación de las defici<strong>en</strong>cias de seguridad (por<br />
ejemplo, inspección detallada, la refer<strong>en</strong>cia a las fu<strong>en</strong>tes<br />
publicadas, o mediante la participación de los usuarios<br />
o grupos de discusión)<br />
c) considerar métodos alternativos para proporcionar el<br />
nivel necesario de seguridad<br />
SM4.3.4 Control: La adquisición de hardware y software debe ser<br />
revisado por el personal que t<strong>en</strong>ga las habilidades<br />
necesarias para evaluar el proceso y se debe contar con<br />
la aprobación del repres<strong>en</strong>tante del negocio apropiado.<br />
SM4.3.5 Control: Se deb<strong>en</strong> cumplir con los requisitos de<br />
lic<strong>en</strong>ciami<strong>en</strong>to para el uso previsto del software y el<br />
suministro de prueba de propiedad del software<br />
SM4.3.6 Control: El Hardware y software (incluy<strong>en</strong>do<br />
aplicaciones de escritorio críticas) se deb<strong>en</strong> registrar <strong>en</strong><br />
los inv<strong>en</strong>tarios que especifican una única descripción de<br />
hardware / software <strong>en</strong> uso, junto con su versión y la<br />
ubicación.<br />
SM4.3.7 Control: El inv<strong>en</strong>tario de Hardware y software debería<br />
ser:<br />
a) protegido contra cambios no autorizados<br />
b) verificado periódicam<strong>en</strong>te contra los activos físicos<br />
c) mant<strong>en</strong>ido al día<br />
d) revisado indep<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te.<br />
SM4.3.8 Control: La información importante debería ser ret<strong>en</strong>ida<br />
de conformidad con los requisitos jurídico y<br />
reglam<strong>en</strong>tarios<br />
SM4.4 Gestión de id<strong>en</strong>tidad y de<br />
acceso<br />
SM4.4.1 Control: Se deb<strong>en</strong> establecer procesos de gestión de<br />
id<strong>en</strong>tidad y de acceso <strong>en</strong> toda la empresa<br />
SM4.4.2 Control: Se deb<strong>en</strong> establecer acuerdos para la gestión<br />
de id<strong>en</strong>tidad y acceso y ser incorporados <strong>en</strong> una solución<br />
empresarial y estos acuerdos deb<strong>en</strong> aplicarse para<br />
nuevas aplicaciones.<br />
Página 149 de 207