MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.3.4 Control: Las clasificaciones de la información asociadas<br />
con la red deb<strong>en</strong>:<br />
a) aprobados por un repres<strong>en</strong>tante del negocio<br />
b) revisadas periódicam<strong>en</strong>te y cuando se realizan<br />
cambios a la red<br />
NW4.3.5 Control: Los detalles de clasificación de la información<br />
asociadas con la red deb<strong>en</strong> ser registrados <strong>en</strong>:<br />
a) un inv<strong>en</strong>tario, o equival<strong>en</strong>te (por ejemplo, una base de<br />
datos, software especializado, o <strong>en</strong> papel)<br />
b) acuerdos con los proveedores de servicios (por<br />
ejemplo, acuerdos de nivel de servicio).<br />
NW4.3.6 Control: Los detalles de la clasificación de información<br />
deb<strong>en</strong> incluir:<br />
a) la clasificación de la información (por ejemplo,<br />
altam<strong>en</strong>te secreta, <strong>en</strong> confianza y pública)<br />
b) la id<strong>en</strong>tidad del propietario de la información<br />
c) una breve descripción de la información clasificada<br />
NW4.4 Análisis de riesgos de<br />
información<br />
NW4.4.1 Control: La red debe estar sujeta a un análisis de<br />
riesgos de información desarrollado según las normas y<br />
procedimi<strong>en</strong>tos para análisis de riesgos de la empresa y<br />
utilizando una metodología de análisis de riesgos<br />
NW4.4.2 Control: El análisis de riesgos de información debe<br />
tomar <strong>en</strong> consideración las aplicaciones críticas de<br />
negocio soportadas por la red y los acuerdos de nivel de<br />
servicio asociados<br />
NW4.4.3 Control: El análisis de riesgos debe involucrar:<br />
a) los propietarios de las aplicaciones críticas de negocio<br />
soportadas <strong>en</strong> la red<br />
b) el propietario de la red<br />
c) los especialistas de la red<br />
d) los principales repres<strong>en</strong>tantes de los usuarios<br />
e) un experto <strong>en</strong> análisis de riesgos<br />
f) un especialista <strong>en</strong> seguridad de la información<br />
NW4.4.4 Control: El análisis de riesgos debe determinar los<br />
riesgos evaluando:<br />
a) el nivel del impacto pot<strong>en</strong>cial de las am<strong>en</strong>azas<br />
asociadas con la red<br />
b) las am<strong>en</strong>azas accid<strong>en</strong>tales y deliberadas a la<br />
confid<strong>en</strong>cialidad, integridad y disponibilidad de la<br />
información<br />
c) las vulnerabilidades debidas a defici<strong>en</strong>cias de control<br />
d) las vulnerabilidades debidas a las circunstancias que<br />
aum<strong>en</strong>tan la probabilidad de ocurr<strong>en</strong>cia de un grave<br />
incid<strong>en</strong>te de seguridad de la información<br />
Página 192 de 207