Manual Del Sistema De Gestión De Seguridad De La Información

1y ago
21 Views
3 Downloads
1.40 MB
27 Pages
Last View : 25d ago
Last Download : 6m ago
Upload by : Aiyana Dorn
Transcription

A-RI-M02-V13Dirección de las Tecnologías y Sistemas de Información y de las ComunicacionesUNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA - UPTC

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 1 de 26CONTENIDOINTRODUCCIÓN . 31.SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN . 31.1.CONTEXTO DE LA ORGANIZACIÓN . 41.1.1.Usuarios . 41.1.2.Partes Interesadas . 41.1.3.Expectativas de las partes Interesadas . 51.1.4.Contexto Tecnológico . 61.2.ENFOQUE BASADO EN PROCESOS . 91.3.COMPATIBILIDAD CON OTROS SISTEMAS . 111.4.ALCANCE DEL DOCUMENTO. 121.5.POLÍTICA DEL SGSI . 121.6.OBJETIVOS DEL SGSI . 121.7.ALCANCE DEL SGSI. 121.8.ENFOQUE ORGANIZACIONAL DE VALORACIÓN DE RIESGO . 121.9.PROCEDIMIENTOS PARA DEFINICIÓN DE RIESGOS DEL SGSI . 131.10.DOCUMENTACIÓN DE LA ETAPA DE ESTABLECIMIENTO DEL SGSI . 131.11.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS. . 132.NORMAS QUE APLICAN PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.133.IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI . 164.3.1.PLAN DE TRATAMIENTO DE RIESGOS. 163.2.IMPLEMENTACIÓN Y MEDICIÓN DE LOS CONTROLES . 163.3.PROGRAMAS DE FORMACIÓN Y PLANES DE SENSIBILIZACIÓN. 163.4.NO CONFORMIDADES DE SEGURIDAD DE LA INFORMACIÓN . 173.5.PROVISIÓN DE RECURSOS . 173.6.OPERACIÓN DEL SGSI . 173.7.DOCUMENTACIÓN DE LA ETAPA DE IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI . 17SEGUIMIENTO Y REVISIÓN DEL SGSI . 184.1.REVISIÓN . 184.2.SEGUIMIENTO . 19

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M025.Versión : 13Página 2 de 264.3.ACTIVIDADES GENERALES DE SEGUIMIENTO Y REVISIÓN. 194.4.INDICADORES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. . 194.5.DOCUMENTACIÓN DE LA ETAPA DE SEGUIMIENTO Y REVISIÓN DEL SGSI . 20MANTENIMIENTO Y MEJORA DEL SGSI . 215.1.ACCIÓN CORRECTIVA . 215.2.ACCIÓN PREVENTIVA. 215.3.COMUNICACIÓN. 215.4.DOCUMENTACIÓN DE LA ETAPA DE MANTENIMIENTO Y MEJORA . 22

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 3 de 26INTRODUCCIÓNLas instituciones de cualquier tipo o sector, se enfrentan con riesgos procedentes de una amplia variedad deamenazas que pueden afectar de forma importante la información y sus recursos de procesamiento ytransmisión.Ante estas circunstancias las organizaciones experimentan la necesidad de establecer estrategias y controlesadecuados que garanticen una gestión segura de los procesos dando mayor protección a la información. Asímismo, estas estrategias y aspectos para la protección y control parten de marcos establecidos a nivel deelementos normativos que deberán ser desarrollados en las entidades públicas para realizar una gestión ycontrol adecuado, como es el caso de la implementación de MECI y recomendaciones de nivel nacional a travésdel Ministerio de Comunicaciones.La UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA ha reconocido la información como unactivo vital en su organización. Así, para disminuir los riesgos y proteger esta información, es necesarioimplementar un adecuado conjunto de controles y procedimientos para alcanzar un correcto nivel de seguridadde la información y de igual forma administrar estos controles para mantenerlos y mejorarlos a lo largo deltiempo.Para el establecimiento, implementación y mejoramiento de los controles y procedimientos necesarios se defineun Sistema de Gestión de Seguridad de la Información (SGSI), el cual ayudará a identificar y reducir los riesgosvitales de seguridad, centrar los esfuerzos en la seguridad de la información y lograr su protección. Además,con la implementación del Sistema se unen esfuerzos para cumplimiento a los requisitos de la estrategiaGobierno en línea considerados en el eje de Seguridad y privacidad.1.SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNEl Sistema de gestión de seguridad de la información (SGSI) es parte del sistema integrado de gestión de laUPTC, basado en un enfoque de gestión de riesgos de seguridad de la información de los procesos, en elcontexto de los riesgos globales de la Institución, para: establecer, implementar, operar, hacer seguimiento,mantener y mejorar la seguridad de la información.La seguridad de la información es una gestión continua para preservar las propiedades de confidencialidad,integridad y disponibilidad en los activos de información que manejan los procesos de la institución, basados ensu nivel de riesgo.El SGSI permite a la institución identificar, implementar, mantener y mejorar los controles que requiere paratratar los riesgos de seguridad de la información, para llevarlos a niveles aceptables, de tal forma que estoscontroles sean los mínimos suficientes para proporcionar un ambiente de control y seguridad adecuados.Los lineamientos del Sistema de gestión de seguridad de la información son aplicables a cualquier proceso dela UPTC, sin importar su tamaño o función, dado que la implementación del sistema debe ser proporcional a lacriticidad de los activos de información que maneja y los riesgos identificados en los mismos.El Sistema se enfoca en el modelo de gestión de Planificar-Hacer-Verificar-Actuar (PHVA) de tal forma que sepueda abordar la planificación del sistema a través del establecimiento del SGSI, el hacer a través de suimplementación y operación, la verificación a través del seguimiento y revisión y el actuar por medio delmantenimiento y mejora del SGSI.El SGSI se integrará con otros Sistemas de gestión en diferentes actividades conforme a las etapas del cicloPHVA que son definidos para el sistema integrado de gestión.El SGSI de la UPTC establece un sentido general de dirección, gestión y principios para la acción con relacióna la seguridad de la información, orientados en su totalidad por el cumplimiento de la política de seguridad de

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 4 de 26la información de la Universidad, teniendo en cuenta los requisitos normativos internos, los legales oreglamentarios, y las obligaciones contractuales.Este documento contiene el Anexo 1. Roles y Responsabilidades del SGSI para completar la visión general delSGSI en la Universidad Pedagógica y Tecnológica de Colombia.1.1. CONTEXTO DE LA ORGANIZACIÓNLa Universidad Pedagógica y Tecnológica de Colombia, UPTC, es un ente universitario autónomo, de carácternacional, estatal y público, democrático, de régimen especial, vinculado al Ministerio de Educación Nacional enlo referente a las políticas y la planeación del sector educativo, con sedes seccionales en Duitama, Sogamosoy Chiquinquirá, y con domicilio en Tunja.La finalidad de la Universidad es la de buscar la verdad, investigar la realidad en todos los campos, cuestionary controvertir el conocimiento ya adquirido, formular nuevas hipótesis, construir nuevo conocimiento ytransmitirlo a las nuevas generaciones; formar ciudadanos y profesionales íntegros, estudiar y criticar las fallasy problemas de la sociedad y el Estado, proponer soluciones y servir de guía a la Nación.En este sentido, la visión de la Universidad se incorporará en los Planes Estratégicos de Desarrollo, y en ellosse propenderá por la concreción de las siguientes acciones: El fortalecimiento de la actividad formativa, investigativa y de proyección social, para lo cual dedicarásu empeño y adecuará organizaciones y servicios.La fundamentación de la racionalidad del saber en el orden económico, productivo y en el saberargumentativo; en la construcción del conocimiento, la realización de la democracia y el fomento delos valores de la cultura.La proyección a la sociedad en la formación de ciudadanos conscientes de sus responsabilidades parael ordenamiento social y la realización personal, y en la calidad de los profesionales en las respectivasformas del saber y del hacer.La potenciación de las competencias discursivas y la adquisición de valores, exigidos por la sociedadcontemporánea, como condición prioritaria para el aprendizaje de las actividades intelectuales básicas,por medio de la lectura y escritura rigurosa, para incrementar los horizontes de la interpretación delmundo, poner en perspectivas las formas sociales imperantes, desarrollar la capacidad argumentativay orientar, críticamente, las acciones.La fundamentación de los saberes que repercutan en la sociedad, sustentados en el diseño racional,la diagramación eficiente y la programación estratégica, de manera que brinden capacitación en laacción instrumental requerida para alcanzar el bienestar en la sociedad moderna, dentro del contextode la formación humana, la justicia social y el desarrollo sostenible.La consolidación de las comunidades académicas y científicas que se integren alrededor de lasdiferentes ciencias y disciplinas.1.1.1. UsuariosLa UPTC es una entidad enfocada a la formación profesional, que orienta sus esfuerzos en garantizar que lasiteraciones con la comunidad universitaria, represente para ellos una solución a sus necesidades.1.1.2. Partes InteresadasSon partes interesadas de la UPTC, las entidades públicas y privadas legalmente constituidas, que interactúancon el que hacer de la Universidad; teniendo en cuenta los requisitos normativos internos, legales oreglamentarios y las obligaciones contractuales.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Página 5 de 26Versión : 13A continuación, se relacionan las partes interesadas:PARTE NCIONARIOSPROVEEDORESCOMUNIDADEntendiéndose como usuario a quien es beneficiario de los programasacadémicos (docencia, investigación y extensión)Ministerio de Educación Nacional, Colciencias, ICETEX, MINTIC,Superintendencia de Industria y Comercio, Órganos de control: ContraloríaGeneral de La Republica, Contaduría General de la Nación, entre otras.Empleados públicos, empleados oficiales y profesores ocasionales: vinculadosa la entidad bajo una relación legal y reglamentaria para el cumplimiento defunciones administrativas y docentes en el marco de una planta de personalaprobada para la entidad.Contratistas: Personas naturales que apoyan las actividades relacionadas conel quehacer propio de la Universidad, mediante contrato de prestación deservicios.Persona natural, jurídica u organización que tiene un vínculo contractual conla UPTC, para suministrar bienes, obras o servicios.Ciudadanos que están interesados en el cumplimiento de la misión propia dela institución.1.1.3. Expectativas de las partes InteresadasPARTEINTERESADAUSUARIOSREQUISITOSDEL SGSILOGROS YRESULTADOS Disponibilidad delservicio. Confidencialidadde la información. Cumplimiento entiempos de entregapactados. Establecerelacuerdo de nivel deservicio. Aplicarlosprocedimientosestablecidos. Cumplir con losacuerdos de nivelde servicioGarantizar: Disponibilidad delos servicios. IntegridadyConfidencialidadde la información. Contarconlainformación requerida,durantelosplazosestablecidos. Cumplimiento de lanormatividadaplicable Determinarlasnormasqueaplican para elSGSI y el SGS. Contar con herramientastecnológicasapropiadas. Disponer de manuales,políticas,procedimientos, guías, Apoyo tecnológicopermita seguir lasdirectricesestablecidasdelSGSI. Capacitación. Políticasdeseguridad. Acuerdosdeconfidencialidad. Documentación delSGSI. Cumplir con losrequerimientosylasdirectricesestablecidas por losdiferentesentesgubernamentales. Mejorar la imagende la institución eincrementar el nivelde competitividad. Definir directrices ypolíticas ajustadasa las condicionesde operación de laUniversidad. ApropiacióndelSGSI, través deaplicación de laspolíticas.NECESIDADESEXPECTATIVASContar con servicios de: Aulas de informática. Internet. App SIRA. App BIBLIOTECA. App SIUPS.GOBIERNOFUNCIONARIOS

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Página 6 de 26Versión : 13instructivos y formatos,que permitan seguirlineamientos del SGSI.PROVEEDORES Especificacionestécnicas de lo requerido,acorde a las políticas deseguridad del SGSI. Direccionamientoclaro y ióndeinquietudes. Información Transparencia enel desarrollo de losprocesosinstitucionales. Consistenciayveracidad de lainformaciónsuministrada por lainstitución.COMUNIDAD Acuerdodeconfidencialidadcon terceros. Políticasdeseguridad,actualizadas. Acuerdos de Nivelde Servicio. Aplicarlasdirectricesestablecidasporgobierno en línea. Minimizar el riesgodel mal uso de laInformación. ProtegeralaUniversidad contraposiblesdemandas. Facilitar el acceso alainformaciónpública de manerapermanente.1.1.4. Contexto TecnológicoLa Universidad cuenta con interconexión de fibra óptica de 1000 MB entre todos los edificios, talcomo se puede visualizar en la Figura: 1 Infraestructura tecnológica . Los sistemas de informaciónse encuentran centralizados en el Data Center ubicado en la Sede de Tunja.Figura: 1 Infraestructura tecnológica

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Página 7 de 26Versión : 13El servicio de internet, para los años 2016 y 2018 es contratado con la empresa MediaComerce. Enla Figura: 2 Capacidad de Internet, se encuentra el crecimiento en conectividad en los últimos años.Figura: 2 Capacidad de InternetA continuación, se relacionan los sistemas de información, los cuales dan soporte a los procesosinstitucionales, los cuales son soportados en gestores de bases de datos Oracle y Mysql.PROCESOSEstratégicosAPLICACIONES Direccionamiento SIG: SIGPlaneación: Plan de Acción-Banco de ProyectosComunicación Pública: Correo Electrónico, Página Web, IntranetInstitucional SIPEF: Aseguramiento de la Calidad Institucional y deProgramas: SIPAMEC

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02MisionalesVersión : 13 Página 8 de 26 Lineamientos Curriculares: SIRAProgramación Académica: SIRA-SIRD. SIPEF: Ejecución de PrácticasAcadémicas, SEDIAdmisiones y Control de Registro Académico: SIRA-TAEGestión Fortalecimiento y productividad de la Investigación: SGIExtensión: Consultorio Jurídico y Red de MuseosGestión de los Servicios de Bienestar Universitarios: SIIUPS, RestauranteApoyo Gestión del Talento Humano: HUMANOGestión Financiera: SIAFI **, Costos ABC. **Gestión de adquisiciones, Bienes y Servicios: ProveedoresGestión de Bibliotecas: OLIB **UNISALUD: UnisaludGestión de Ayudas Audiovisuales: Carnetización , SAC**Gestión Normativa: Reportes y Radicador, Compilación NormativaGestión Electoral: Sistema de Voto Electrónico. Certificados y TransferenciasGestión de Recursos Informáticos: Mesa de Ayuda, PROACTIVA**Evaluación Evaluación Independiente: SGA,Sistema de Riesgos,SIPEF- Plan de MejoramientoEl contexto de la institución y las expectativas de las partes interesadas, deben ser revisadas cada vez que serealice el análisis de riesgos.1.1.5.Proyección TecnológicaA continuación, se presenta la proyección tecnológica de mejora, hasta el año 2021.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 9 de 261.2. ENFOQUE BASADO EN PROCESOSEl Sistema de Gestión de Seguridad de la Información (SGSI), planteado tendrá un enfoque basado enprocesos, como se ve en la Figura: 3 Ciclo PHVA del SGSI. El SGSI se incorpora a la organización mediantela adopción de un modelo PHVA que define las etapas de establecimiento, implementación, operaciónseguimiento, mantenimiento y mejora del sistema frente a la seguridad de la información.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 10 de 26Figura: 3 Ciclo PHVA del SGSIPara el funcionamiento eficiente del Sistema de Gestión de Seguridad de la Información, se deben identificar ygestionar las actividades involucradas para la protección de la información de los procesos de la organizaciónbuscando que estas prácticas de seguridad sean integradas en el actuar diario.Este enfoque basado en procesos para la gestión de seguridad de la información hace énfasis en la importanciade: Comprender los requisitos de seguridad de la información de la UPTC y la necesidad de establecerpolíticas, procedimientos y objetivos en relación con la seguridad de la información.Determinar, diseñar, implementar y operar controles para dar tratamiento a los riesgos de seguridadde la información de la UPTC en el contexto de los riesgos que impactan los procesos de laorganización.Incorporar actividades de protección de información a nivel de los procesos dentro del alcance deSGSI.El seguimiento y revisión permanente del desempeño y eficacia del SGSI.La mejora continua basada en la medición de los objetivos planteados inicialmente.Basado en el énfasis planteado, el Sistema de Gestión de Seguridad de la Información adopta el modelo deprocesos “Planificar-Hacer-verificar-Actuar” (PHVA), aplicándolo para estructurar todos los procesos queapoyan el sistema. La Figura 1, ilustra cómo el SGSI toma como elementos de entrada los requisitos deseguridad de la información y las expectativas planteadas por la Universidad, y a través de las acciones yprocesos diseñados para soportar el sistema (SGSI) produce resultados de seguridad de la información quebuscan cumplir estos requisitos y expectativas.En la figura 1 se observa el ciclo PHVA del SGSI en la UPTC y se destacan los procesos y procedimientos queayudan en el cumplimiento del Sistema.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 11 de 26Figura 1 - Ciclo PHVA para el SGSILas etapas del modelo de procesos que enmarcan el SGSI se definen de la siguiente forma: Planificar (establecer el SGSI): Establecer la política, los objetivos, procesos y procedimientos deseguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin deentregar resultados acordes con las políticas y objetivos globales de una organización.Hacer (implementar y operar el SGSI): Implementar y operar la política, los controles, procesos yprocedimientos del SGSI.Verificar (hacer seguimiento y revisar el SGSI): Evaluar y en donde sea aplicable, medir eldesempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica yreportar los resultados a la dirección para su revisión.Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas con base en losresultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continuadel SGSI.En la Figura: 4 Mapa de Procesos del SGSI, se observan los procesos que intervienen en cada una de lasetapas del ciclo PHVA en el SGSI.Figura: 4 Mapa de Procesos del SGSI1.3. COMPATIBILIDAD CON OTROS SISTEMASEl Sistema de Gestión de Seguridad de la Información definido en la norma NTC-ISO/IEC 27001 y el cual es laguía maestra para el diseño del SGSI para la UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIAse encuentra alineado con la NTC-ISO 9001, con el fin de apoyar la implementación y operación, consistente eintegrada y garantizar el coexistir con sistemas de gestión relacionados que se vayan definiendo en laUniversidad, además conserva procesos comunes con la norma ISO 20000-1:2011.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 12 de 261.4. ALCANCE DEL DOCUMENTOEste documento presenta los aspectos claves para la implementación del Sistema de Gestión de Seguridad dela Información en la UPTC conforme a lo estipulado en la norma NTC –ISO/IEC 27001. Es así como se defineun alcance para el sistema, la organización para un modelo de gestión y los aspectos para el establecimiento,implementación, operación y seguimiento del SGSI.Este documento va dirigido e involucra a todo el personal de la UNIVERSIDAD PEDAGÓGICA YTECNOLÓGICA DE COLOMBIA y a todos los niveles de la organización, debido a que la implementación,operación y cumplimiento de lo dispuesto en el SGSI es responsabilidad de todo el personal como parte de lasactividades del día a día.1.5. POLÍTICA DEL SGSILa Universidad Pedagógica y Tecnológica de Colombia, se compromete a preservar la confidencialidad,disponibilidad e integridad, de sus activos de información, protegiéndolos contra amenazas internas y externas,mediante la implementación del sistema de gestión de seguridad de la información y la metodología para lagestión del riesgo, manteniendo la mejora continua; adicionalmente a cumplir con las disposicionesconstitucionales y legales aplicables a la entidad, así como las disposiciones internas, relacionadas con laseguridad de la información, para todas sus sedes.1.6. OBJETIVOS DEL SGSI Establecer y mantener las políticas del Sistema de Gestión de Seguridad de la Información.Administrar los riesgos de seguridad de la información para mantenerlos en niveles aceptablesteniendo en cuenta la clasificación de los riesgos.Identificar y dar seguimiento a los incidentes de seguridad de la información.Proteger los activos de información, con base en los criterios de confidencialidad, integridad,disponibilidad.Divulgar el Sistema de gestión de seguridad de la información, para fortalecer la cultura de protecciónde la información a la comunidad universitaria.1.7. ALCANCE DEL SGSIEl Alcance del Sistema de Gestión de Seguridad de la Información de la Universidad Pedagógica y Tecnológicade Colombia es para el Proceso Gestión de Recursos Informáticos de la Institución en la Sede Central localizadaen Tunja y sedes seccionales de Chiquinquirá, Duitama y Sogamoso.Dentro de la declaración de aplicabilidad se excluye el numeral A 6.2.2. Teletrabajo, debido a que esta no esuna modalidad de trabajo considerada por la Universidad.1.8. ENFOQUE ORGANIZACIONAL DE VALORACIÓN DE RIESGOMediante la Metodología de Gestión de riesgos del SGSI, se establecen los criterios contra los cuales se evalúanlos riesgos de seguridad de la información de la UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DECOLOMBIA para los procesos dentro del alcance del SGSI.Mediante esta metodología se llevan a cabo las siguientes actividades generales con respecto a los riesgos: Identificación de activos.Identificación de amenazas y vulnerabilidades.Valoración de los riesgos.Criterios para la aceptación del riesgo.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02 Versión : 13Página 13 de 26Identificación de los niveles de riesgos aceptables.Definición de planes de acción.Comunicación y monitoreo de riesgos.Mediante esta metodología se identifican para cada uno de los activos dentro del alcance, los riesgos,posteriormente se analizan y evalúan los riesgos, se identifican y se evalúan las opciones para el tratamientode los mismos. Se encuentra en la GUÍA PARA LA GESTIÓN DEL RIESGO DE ACTIVOS DE INFORMACIÓNA-RI-P11-G01.La Universidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Moderado1.9. PROCEDIMIENTOS PARA DEFINICIÓN DE RIESGOS DEL SGSIA continuación, se presentan las actividades que deben ser desarrolladas para la gestión de riesgos en la etapade establecimiento del SGSI: Identificación de riesgos.Análisis y evaluación de riesgos.Identificación y evaluación de las opciones de tratamiento de riesgos.Selección de los objetivos de control y los controles para el tratamiento de los riesgos.Estas actividades se encuentran definidas en el procedimiento Gestión del Riesgo de Seguridad de laInformación (A-RI-P11) generado en el marco del SGSI, que establece los criterios contra los cuales se evalúanlos riesgos de seguridad de la información de la Universidad Pedagógica y Tecnológica de Colombia.1.10.DOCUMENTACIÓN DE LA ETAPA DE ESTABLECIMIENTO DEL SGSIEn la etapa de establecimiento se deben generar y actualizar los siguientes documentos necesarios para elSGSI: Los procedimientos que soportan el SGSI se observan en el numeral g del capítulo 4 de este documento.El alcance y límites del SGSI. (En este documento)El enfoque para la valoración del riesgo (Guía para la Gestión del Riesgo de Activos de Información A-RI-P11G01).La identificación, análisis, evaluación de los riesgos y los controles a ser aplicados para su mitigación.(Identificación y Clasificación del Riesgo de Seguridad de la Información A-RI-P11-F01).La declaración de aplicabilidad. A-RI-P11-F03.1.11.SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS.La seguridad de la información en la Gestión de Proyectos, dentro del Sistema de Seguridad de la Informaciónde la Universidad Pedagógica y Tecnológica de Colombia, será considerada de dos maneras, en los proyectosque estén relacionados con las tecnologías de las Información y las Comunicaciones: 2.Identificación temprana de riesgos relacionados con seguridad de la información, realizando unaevaluación de riesgos de acuerdo con la guía A-RI-P11-G01, Guía para la Gestión del Riesgo deActivos de Información, con el fin de identificar amenazas, vulnerabilidades o riesgos en los proyectos.Definir un objetivo relacionado con la seguridad de la Información, dentro de los objetivos del proyecto.NORMAS QUE APLICAN PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN.Normas que aplican para los sistemas de gestión de servicios ISO 20000-1:2011 y gestión de seguridad de lainformación ISO 27001:2013.

MACROPROCESO: ADMINISTRATIVOSPROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSMANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNCódigo : A-RI-M02Versión : 13Página 14 de 26DESCRIPCIÓNAÑO 1999 2000 Ley 527 de Agosto de 1999 Comercio electrónico: Define y reglamenta el acceso y uso de los mensajes dedatos (probatoria), del comercio electrónico y de las firmas digitales, se establecen las entidades decertificación (parte de una PKI) y se dictan otras disposicionesLey 594 de 2000 Ley General de Archivos (Sector Público): Regula la obligación que tienen las entidadespúblicas y privadas que cumplen funciones públicas, de elaborar programas de gestión documental,independientemente del soporte en que se produzca la información para su cometido estatal, del objetosocial para el que fueron creadas. ANEXO 11.2 SEGURIDAD DE LA INFORMACIÓN: La conservación encondiciones seguras de estos documentos se efectúa en locales especialmente habilitados, al amparo dedesastres naturales o accidentales, de robos o usos indebidos, de campos magnéticos o de diferenciastérmicas o hidrométricas excesivas.Ley 603 de 2000: LA DIAN trabaja con entidade

vitales de seguridad, centrar los esfuerzos en la seguridad de la información y lograr su protección. Además, con la implementación del Sistema se unen esfuerzos para cumplimiento a los requisitos de la estrategia Gobierno en línea considerados en el eje de Seguridad y privacidad. 1. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Related Documents:

El Sistema Operativo Linux Javier Parapar Contenido Contenido 1 El software libre y Linux. Distribuciones 2 Primeros pasos en Linux 3 Instalaci on de distribuciones 4 Gesti on de archivos (I) 5 Gesti on de archivos (y II) 6 Edicion de archivos de texto 7 Gesti on de usuarios y procesos 8 Shell scripts 9 Arranque, reinicio y apagado del sistema 10 Logs del sistema 11 Sistema gr afico Xwindow

Un Modelo de Gesti n para la Supervisi n Escolar fue elaborado por la Direcci n General de Desarrollo de la Gesti n e Innovaci n Educativa, de la Subsecretar a de Educaci n B sica, en el marco del Programa Escuelas de Calidad, y es una obra derivada de los libros Orientaciones t cnicas para fortalecer la acci n

La comunicazione non verbale – Interpretazione del linguaggio del corpo, dei gesti e della mimica facciale „Arbeitswelt 2020“ 25 - 29 aprile 2016 A Nell-Breuning-Haus, Wiesenstraße 17, D-52134 Herzogenrath Martedì, 26 aprile, ore 14:30 Comunicazione non verbale Interpretazione del linguaggio del corpo, dei gesti e della mimica facciale

Anatomia del sistema nervioso Sistemas, estructuras y celulas que componen nuestro sistema nervioso II Organizaci6n general del sistema nervioso I) Cl!luias del sistema nervioso I) Tl!cnicas y orientaciones en neuroanatomla I] Ml!dula espinal I) Las cinco divisiones principales del encl!falo

Freccia del sistema di ancoraggio lineare flessibile Esempio: Perdita di efficacia del sistema di trattenuta per non corretto dimensionamento della lunghezza del cordino in relazione alla freccia del sistema di ancoraggio f Nel progetto, nella selta e nell’utilizzo, oorre tenere onto di: Resistenza del sistema di ancoraggio

I.Situación del sistema financiero hasta el año 2000. La crisis del sistema en 1998-1999. II.Evaluación del sistema financiero, FSAP 2000. III.La Reforma Legal Monetaria y Bancaria del 2002. IV.El crédito, las tasas de interés y el margen de intermediación antes y después de la reforma. V.Fortalecimiento patrimonial y saneamiento mediante

Gli italiani, si sa, sono famosi per il loro gesticolare ed il muoversi con animosità mentre parlano. Alcuni gesti, inoltre, hanno veramente un significato più complesso che può sostituire non solo una parola ma i

Caudal de Diseño del Sistema de Riego en litros por minuto (l/min). Anote este número en el espacio para l/min. Luego, busque la presión estática del sistema y yendo hacia abajo en esa columna busque la presión de funcionamiento del sistema; regístrela en el espacio kPa/Bares. La presión de funcionamiento será utilizada al elegir los .