ESQUEMA DEL PLAN DE SEGURIDAD DE INFORMACION

PLAN DE SEGURIDAD DE INFORMACIÓN

Introducción del Plan de Seguridad

1. Objetivos

2. Base Legal

3. Alcance

4. Estrategia

5. Organización, Funciones y Responsabilidades

6. Plan de implementación de Controles y procedimientos de revisión periódica

6.1. Plan de Trabajo / Cronograma de Implementación

6.2. Metodología de Administración de la Seguridad de Información

7. Políticas de Seguridad de Información

8. Definición de la Estructura Organizacional , Descripción del manual de Organización y Funciones

9. Evaluación de riesgos de seguridad a la que está expuesta la información (De acuerdo a lo realizado por Grupo ASIT)

10. Selección de Controles y Objetivos de Control (Objetivos, estados de control requeridos, controles: normas y procedimientos)

10.1. Medidas de control de acuerdo a los aspectos de seguridad de información

10.1.1. Seguridad Lógica:

 Políticas para el control de accesos

10.1.2. Seguridad de Personal:

 Procedimientos asociados a reducir riesgos por error humano.

 Definición de roles, responsabilidades sobre la seguridad de información.

 Verificación de antecedentes, políticas de rotación, vacaciones, entrenamiento.

10.1.3. Seguridad Física y Ambiental:

 Definición de Controles al acceso, daño o interrupción de la información

10.1.4. Clasificación de Seguridad:

 Inventario periódico de activos asociados a TI.

 Clasificación de seguridad de activos (nivel de riesgo existente, medidas apropiadas para el contro).

10.2. Desarrollo y Mantenimiento de Sistemas Informáticos – Requerimientos de seguridad.

10.2.1. Análisis de Requerimiento: Controles para el ingreso de información, procesamiento de información e información de salida.

10.2.2. Técnicas de encriptación sobre la información crítica

10.2.3. Controles sobre la implementación de aplicaciones antes de su pase a producción.

10.2.4. Control de accesos a librerías de programas fuente

10.2.5. Mantenimiento estricto y formal del cambio.

10.3. Medidas para la Administración de las Operaciones y Comunicaciones

10.3.1. Control sobre cambios en el ambiente operativo

 En los sistemas de información

 Instalaciones de procesamiento

 Procedimientos

10.3.2. Control de Cambios del ambiente de desarrollo al de producción

10.3.3. Separación de Funciones (Desarrollo –Producción)

10.3.4. Separación ambiente de Desarrollo y Producción.

10.3.5. Controles preventivos y de detección sobre el uso de SW de procedencia dudosa, virus y otros similares.

10.3.6. Seguridad sobre redes, medios de almacenamiento y documentación de sistemas

10.3.7. Seguridad sobre el correo electrónico

10.4. Procedimientos de Respaldo.

10.4.1. Medidas para la recuperación de información esencial en caso de fallas de medios.

10.4.2. Medidas para la recuperación de la información en caso de desastres (Coherentes con el PCN)

10.5. Normas y Procedimientos referidos a la Subcontratación.

10.5.1. Normas sobre riesgo operacional y riesgo de tecnología de información provistos por terceros

10.5.2. Verificación en Outsourcing (aislamiento de procesamiento e información en todo momento y bajo cualquier circunstancia)

11. Mantenimiento de

...