Cual es la Politica y procedimientos para la gestión de la seguridad

[pic 1]

Control de versiones

El control de versiones se realiza en el servidor de soporte documental MS Office Sharepoint Server de Full On Net, accesible en la dirección http://www.full-on-net.com/GestionDocumentalISO20000

Autorizaciones

ÍNDICE

1.        OBJETIVOS        

2.        DOCUMENTOS RELACIONADOS        

3.        DEFINICIONES        

4.        ALCANCE DE LA GESTIÓN DEL PROCESO        

5.        HERRAMIENTA DE SOPORTE        

6.        ROLES Y RESPONSABILIDADES        

6.1.        GESTOR DE LA SEGURIDAD DE LA INFORMACIÓN        

6.2.        COORDINADOR DEL PROCESO        

6.3.        RESPONSABLE DEL SERVICIO XXX:        

6.4.        GRUPOS DE SOPORTE:        

6.5.        RESPONSABLE DE GESTIÓN DE PERSONAL        

6.6.        PERSONAL DE LA ORGANIZACIÓN Y USUARIOS FINALES:        

7.        ACCIONES DE FORMACIÓN        

8.        CICLO DE VIDA DE SEGURIDAD DE LA INFORMACIÓN        

9.        FLUJOS DE ENTRADAS Y SALIDAS DEL PROCESO        

10.        CONTROLES DE SEGURIDAD        

10.1.        CONTROLES GLOBALES        

10.1.1.        PERSONAS        

10.1.2.        INSTALACIONES        

10.1.3.        SISTEMAS        

10.1.4.        INFORMACIÓN        

10.1.5.        GESTIÓN        

10.2.        MEDIDAS ESPECÍFICAS PARA  EL SERVICIO XXX        

10.2.1.        PERSONAS        

10.2.2.        INSTALACIONES        

10.2.3.        SISTEMAS        

10.2.4.        INFORMACIÓN        

11.        FUNCIONES, OBLIGACIONES Y RESPONSABILIDADES        

12.        CONTROL DEL PROCESO        

12.1.        MÉTRICAS E INDICADORES DE RENDIMIENTO (KPIs)        

12.2.        MONITORIZACIÓN        

12.2.1.        Servicios y componentes monitorizados        

12.2.2.        Informes periódicos, incidencias de seguridad detectadas.        

12.2.3.        Análisis de tendencias        

12.3.        INFORMES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN        

12.4.        AUDITORÍA DE REVISIÓN DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN        

1. OBJETIVOS

El objetivo del proceso es gestionar la seguridad de la información de manera efectiva para todas las actividades del servicio.

La gestión se orienta a las pautas indicadas en la ISO/IEC 27001.  La seguridad de la información es el resultado de un sistema de políticas y procedimientos designados a identificar, controlar y proteger la información y cualquier equipamiento empleado junto con su almacenamiento, transmisión y procesamiento.

El proceso de seguridad de la información debe asegurar:

• Confidencialidad: la información debe ser sólo accesible a sus destinatarios.
• Integridad: la información debe ser correcta y completa.
• Disponibilidad: la información debe estar accesible cuando sea necesaria.

El proceso de seguridad se ajustará a la LOPD 15/1999, ley Orgánica de Protección de Datos Personales (Titulo II, Principios de la protección de los datos; Título III, Derechos de las personas.)

1. DOCUMENTOS RELACIONADOS

• Políticas de Backup
• Política de contraseñas
• Matriz de identificación de riesgos
• Política y procedimiento de gestión de incidentes

1. DEFINICIONES

La Ley Orgánica 15/1999, en su artículo 3º, y el real Decreto 994/1999, a través de su artículo 2º, definen los términos más importantes a los que se hará referencia en este Documento. Con el fin de evitar ambigüedades en su aplicación, reproducimos a continuación estas definiciones:

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Usuario: Sujeto o proceso autorizado para acceder a datos o recursos.

Recurso: Cualquier parte componente de un sistema de información.

Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos Recursos.

Identificación: Procedimiento de reconocimiento de la identidad de un usuario.

Autenticación: Procedimiento de comprobación de la identidad de un usuario.

Control de acceso: Mecanismo que en función de la identificación ya autenticada, permite acceder a datos o recursos.

Contraseñas: Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.

Incidencia: Cualquier anomalía que afecte o pudiera afectar la seguridad de los datos.

Soporte: Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.

Responsable de Seguridad: Persona o personas que son designadas por el Responsable del Fichero, para coordinar y controlar las medidas de seguridad aplicables.

Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del Responsable del fichero o tratamiento.

1. ALCANCE DE LA GESTIÓN DEL PROCESO

La gestión de de la seguridad de la información se extiende a todos los servicios TI gestionados bajo el SGSTI.

...