6217031
Description
Mind Map by Jhon Reyes, updated more than 1 year ago
|
Created by Jhon Reyes
over 7 years ago
|
|
POLITICA DE SEGURIDAD CELSIA
- OBJETIVO
Annotations:
- Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en forma intencional o accidental.
- ALCANCE
Annotations:
- Esta Política es aplicable a todos los colaboradores, consultores, contratistas, terceras partes, que usen activos de información que sean propiedad de la organización
- LÍNEA BASE DE LA POLÍTICA
- RESPONSABILIDAD
Annotations:
- Es responsabilidad de la Dirección de Gestión de Tecnología hacer uso de la Política de Seguridad de la Información, como parte de sus herramientas de gobierno y de gestión, de definir los estándares, procedimientos y lineamientos que garanticen su cumplimiento.
- CUMPLIMIENTO
Annotations:
- El cumplimiento de la Política de Seguridad de la Información es obligatorio. Si los colaboradores, consultores, contratistas, terceras partes violan estas políticas, la organización se reserva el derecho de tomar las medidas correspondientes.
- EXCEPCIONES
Annotations:
- Las excepciones a cualquier cumplimiento de Política de Seguridad de la Información deben ser aprobadas por la Dirección de Gestión de Tecnología, la cual puede requerir autorización de la Gerencia de Arquitectura Organizacional, la Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios, del Comité de Asuntos Corporativos o de la Presidencia de la compañía. Todas las excepciones a la Política deben ser formalmente documentadas, registradas y revisadas.
- ADMINISTRACIÓN DE LAS POLÍTICAS
Annotations:
- Las modificaciones o adiciones de la Política de Seguridad de la Información serán propuestas por la Presidencia de la compañía, la Vicepresidencia de Desarrollo Corporativo y Nuevos Negocios, por medio de la Gerencia de Arquitectura Organizacional y serán aprobadas por el Comité de Asuntos Corporativos de Celsia. Estas políticas deben ser revisadas como mínimo una vez al año o cuando sea necesario.
- RESPONSABILIDAD
- DESCRIPCIÓN DE LAS POLÍTICAS Y ESTÁNDARES
- Generalidades
Annotations:
- La información es un activo que la compañía considera esencial para las actividades de la empresa y debe ser protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad. A través de esta Política se difunden los objetivos de seguridad de la información de la compañía, que se consiguen a través de la aplicación de controles de seguridad, para gestionar un nivel de riesgo aceptable. Este documento tiene el objetivo de garantizar la continuidad de los servicios, minimizar la probabilidad de explotar las amenazas, y asegurar el eficiente cumplimiento de los objetivos de negocio y de las obligaciones legales conforme al ordenamiento jurídico vigente y los requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en Celsia.
- ORGANIZACIÓN DE
SEGURIDAD
- ORGANIZACIONDE LA ORGANIZACION DE LA SEGURIDAD
- ESTANDARES DE LA POLITICA
- RESPONSABILIDADES PARA LA SEGURIDAD D ELA INFORMACION
- REVISION INDEPENDIENTE DE AL SEGURIDAD DE LA INFORMACION
- CONTACTO CON AUTORIDADES Y GRUPOS DE INTERES
- SEGURIDAD EN LOS ACCESOS POR TERCEROS
- RESPONSABILIDADES PARA LA SEGURIDAD D ELA INFORMACION
- ORGANIZACIONDE LA ORGANIZACION DE LA SEGURIDAD
- USO ACEPTABLE DE LOS ACTIVOS Y
RECURSOS
- Política de Uso Aceptable de los Activos y Recursos de información
- Uso de los sistemas y equipos de cómputo
- Correo electrónico.
- Navegación en Internet
- Uso de herramientas que comprometen la seguridad.
- Recursos compartidos.
- Sitios Web para compartir documentos.
- Computación en nube.
- Uso equipos portátiles y dispositivos móviles.
- Acceso de equipos distintos a los asignados.
- Uso de los sistemas y equipos de cómputo
- Estándares para el uso aceptable de los activos de información
- Política de Uso Aceptable de los Activos y Recursos de información
- TRATAMIENTO Y GESTIÓN DEL RIESGO EN SEGURIDAD DE LA
INFORMACIÓN
- Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
- Estándares de la Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
Annotations:
- Evitar el riesgo. Disminuir la probabilidad de ocurrencia. Disminuir el impacto. Transferir los riesgos. Retener los riesgos.
- Política del Tratamiento y Gestión del Riesgo en Seguridad de la Información
- SEGURIDAD DEL PERSONAL
- Política de Responsabilidad del Personal
- Estándares de la Política de Seguridad del Personal
- Seguridad previa a la contratación del personal.
- Seguridad durante el contrato.
- Finalización o cambio de puesto.
- Seguridad previa a la contratación del personal.
- Política de Responsabilidad del Personal
- SEGURIDAD FÍSICA Y DEL
ENTORNO
- Política de Seguridad Física y del Entorno
- Estándares de la Política de Seguridad Física y del Entorno
- Controles de acceso físico.
- Escritorio limpio.
- Seguridad de los equipos.
- Retiro de equipos.
- Controles de acceso físico.
- Política de Seguridad Física y del Entorno
- GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
- Política de Gestión de incidentes de Seguridad de la Información
- Estándares de la Política de Gestión de Incidentes de Seguridad de la Información
- Notificación de eventos y debilidades de seguridad de la información.
- Gestión de incidentes de seguridad de la información.
- Notificación de eventos y debilidades de seguridad de la información.
- Política de Gestión de incidentes de Seguridad de la Información
- GESTIÓN DE SEGURIDAD PARA TELECOMUNICACIONES E INFRAESTRUCTURA DE
TIC
- Política de Gestión de Telecomunicaciones e Infraestructura de TIC
- Estándares de la Política de la Política de Gestión de Telecomunicaciones e Infraestructura de TIC
- Procedimientos y responsabilidades de operación
- Gestión del Cambio.
- Segregación de funciones.
- Separación de Ambientes
- Planificación y Aceptación.
- Protección contra el código malicioso
- Copias de seguridad.
- Procedimientos y responsabilidades de operación
- Política de Gestión de Telecomunicaciones e Infraestructura de TIC
- GESTIÓN DE SEGURIDAD PARA LA ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
- Política de Adquisición, Desarrollo y Mantenimiento de sistemas
- Estándares de la Política de Adquisición, Desarrollo y Mantenimiento de Sistemas
- Requerimientos de seguridad de los sistemas.
- Seguridad de las aplicaciones del sistema.
- Seguridad de los sistemas de archivos.
- Seguridad de los procesos de desarrollo y soporte.
- Requerimientos de seguridad de los sistemas.
- Política de Adquisición, Desarrollo y Mantenimiento de sistemas
- CUMPLIMIENTO Y NORMATIVIDAD
LEGAL
- Política para el Cumplimiento y Normatividad Legal
- Estándares de la Política para el Cumplimiento y Normatividad Legal
- Cumplimiento legal.
- Propiedad intelectual.
- Protección de datos.
- Cumplimiento de políticas y normas de seguridad
- Cumplimiento técnico
- Cumplimiento legal.
- Política para el Cumplimiento y Normatividad Legal
- CONTROL DE ACCESO A LA
INFORMACIÓN
- Política de Control de Acceso a la Información
- Estándares de Política de Control de Acceso a la Información
- Gestión de acceso a usuarios.
- Registro de usuarios.
- Control de acceso a la red.
- Control de acceso a las aplicaciones.
- Gestión de acceso a usuarios.
- Política de Control de Acceso a la Información
- CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
- POLITICA PARA LA CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
- ESTANDARES DE LA POLITICA DE CLASIFICACION Y
CONTROL DE ACTIVOS DE LA INFORMACION
- RESPONSABILIDAD SOBRE LOS ACTIVOS
- METODOLOGIA DE CLASIFICACION DE ACTIVOS
- RESPONSABILIDAD SOBRE LOS ACTIVOS
- POLITICA PARA LA CLASIFICACION Y CONTROL DE ACTIVOS DE LA INFORMACION
- Generalidades
- DOCUMENTACIÓN RELACIONADA
Annotations:
- Código de Buen Gobierno Corporativo. Sistema de Gestión de la Calidad y Política Ambiental de la organización. Política de Gestión Humana. Política de Gestión de Riesgos Política de tecnología de información y comunicación
- DEFINICIONES
Annotations:
- Activo: cualquier cosa que tenga valor para la empresa. Amenaza: causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema o a la empresa. Confidencialidad: propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Comité de Seguridad de la Información: el Comité de Seguridad de la Información debe establecer los criterios de dirección y control, que permitan implantar los mecanismos más apropiados de protección de la información de Celsia, aplicando los principios de confidencialidad, integridad y disponibilidad de la misma y de los recursos informáticos o de otra índole que la soportan, acorde con la planeación estratégica de la empresa. Desastre o contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras u otros medios necesarios para la operación normal de un negocio. Disponibilidad: propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. Estándares de seguridad: son productos, procedimientos y métricas aprobadas, que definen en detalle como las políticas de seguridad serán implementadas para un ambiente en particular, teniendo en cuenta las fortalezas y debilidades de las características de seguridad disponibles. Deben estar reflejadas en un documento que describe la implantación de una guía para un componente específico de hardware, software o infraestructura. Política Seguridad de la información Celsia S.A. E.S.P. http://www.celsia.com Página 22 Evaluación del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo. Evento de seguridad de la información: presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. Integridad: propiedad de salvaguardar la exactitud y el estado completo de los activos. Impacto: la consecuencia que al interior de la empresa se produce al materializarse una amenaza. Organización de seguridad: es una función que busca definir y establecer un balance entre las responsabilidades y los requerimientos de los roles asociados con la administración de seguridad de la información. Políticas: toda intención y directriz expresada formalmente por la dirección. Procesos: se define un proceso de negocio como cada conjunto de actividades que reciben una o más entradas para crear un producto de valor para el cliente o para la propia empresa (concepto de cliente interno de calidad). Típicamente una actividad empresarial cuenta con múltiples procesos de negocio que sirven para el desarrollo de la actividad en sí misma. Procedimientos: los procedimientos son los pasos operacionales que los funcionarios deben realizar para alcanzar ciertos objetivos. Riesgo: combinación de la probabilidad de un evento y sus consecuencias. Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información, además puede involucrar otras propiedades tales como: autenticidad, trazabilidad (accountability), no repudio y fiabilidad. TI: se refiere a tecnologías de la información TIC: se refiere a tecnologías de la información y comunicaciones Vulnerabilidad: debilidad de un activo o grupo de activos, que puede ser aprovechada por una o más amenazas.
- CONTROL DE CAMBIOS
Annotations:
- VERSION 1 FECHA 12/05/2014 JUSTIFICACIÓN DE LA VERSIÓN Creación del documento
Want to create your own Mind Maps for free with GoConqr? Learn more.