estandares iso 27001 (3)
DESCRIPTION
Trabajo de Recopilacion de Información De estanadres ISO-27001TRANSCRIPT
SEGURIDAD DE LA INFORMACIÓN
Implantación en el Ministerio de Hacienda
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
La seguridad de la información es preservar su:
BASE LEGAL
Artículo 39 del decreto No 4 “Normas Técnicas de Control Interno” de la Corte de Cuentas
Decreto No 29 “Reglamento de Normas Técnicas de Control Interno Específicas del Ministerio de Hacienda” de la Corte de Cuentas.
Capítulo 7 del “Manual de Políticas de Control Interno del Ministerio de Hacienda”
Art. 36 Definición de Políticas y Procedimientos de los Controles Generales de los Sistemas de Información (NTCIE del Ministerio de Hacienda)
Los Titulares, Directores y demás jefaturas, deben establecer las políticas y procedimientos sobre los controles generales, comunes a todos los sistemas de información, como mínimo relativas a la Seguridad de la Información, Planes de Contingencia, Desarrollo y Mantenimiento de Aplicaciones, Huellas de Auditoría, Documentación, Control y Licenciamiento de Software…..
Sistema de Gestión de Seguridad de la Información (SGSI)
Comprende la Política, el Manual, la Estructura Organizativa, los Procesos y los recursos necesarios para implantar la gestión de la Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
A través del Acuerdo Ejecutivo No 36, se delega a la DINAFI la Coordinación del SGSI (Se crea el Área de Seguridad de la Información).
A través del Acuerdo Ejecutivo No 291 se delega a la DGEA las Auditorias Internas del SGSI (UGC de SEDE).
Soporte del SGSI
Además de ser un requisito legal; uno de puntos más importantes de la Seguridad y el SGSI, es que se cuenta con el apoyo de los Titulares.
La Seguridad se convierte en un proceso igual a la Calidad.
Ventajas de implementar un SGSI
Cumplimiento de la legislación Conocer los riesgos y poder gestionarlos Credibilidad, confianza y fiabilidad Compromiso Basado en Procesos Adopción de las Mejores Prácticas Preservar la información
Adopción de Estándares Internacionales ISO/IEC 27001:2005
“Especificaciones para los Sistemas de Gestión de Seguridad de la Información”
ISO/IEC 17799:2005
“Código de Buenas Practicas para la Gestión de la Seguridad de la Información”
CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA DEL SGSI
Rol de la DINAFI•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles•Preparar la relación de controles
Rol de la DINAFI y DIRECCIONES•Definir plan de gestión de riesgos•Implantar plan de gestión de riesgos•Implantar controles seleccionados
Rol de la UGC y DINAFI•Desarrollar procedimientos de monitoreo•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI
->
Rol de las Unidades Organizativas del MH •Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo
Establecer el SGSI
Implantar y operar el SGSI
Mantener y mejorar el SGSI
Monitorear y revisar el SGSI
planificar
verificar
haceractuar
Estado Actual del SGSI
Fase de Establecimiento
Fase de Implantación
El SGSI es certificable por organismos como AENOR al igual que el SGC.
Proyección del SGSI
2006 – Elaboración de la base legal y documentos de soporte del SGSI.
2007 Implantación en la DINAFI y primer auditoria en la
misma. Avanzar y apoyar en la implantación en las otras
Direcciones y Unidades Organizativas 2008 Auditorias a las demás Direcciones 2009 Posible Pre Auditoría de Certificación
Estructura Documental del SGSI
Política de Seguridad (MAPO) Manual de Seguridad (MAS) Procedimientos Normativos (PRSN) Procedimientos Operativos (PRSO) Fichas de Proceso Otros
SGSI
Buenas Prácticas
ISO 17799Análisis de
Riesgos
Requisitos Legales
Manual de Seguridad
ISO 27001
Política de Seguridad
Procedimientos Normativos
Procedimientos Operativos
Planes de Contingencia
Plan de Seguridad
Aceptación del Riesgo
Diagrama de documentos
Procesos
Manual de Seguridad
Contiene el desarrollo y las especificaciones de cómo cumplir los requisitos del SGSI (según la ISO 27001)
Contiene los controles (lineamientos) que se adoptarán para la reducción de los riesgos más comunes en la Institución
Recursos Necesarios
Área de Seguridad de la Información Encargados de Seguridad de la Información
(Por cada Dependencia) Contratos y soporte por especialistas de los
productos y soluciones tecnológicas con que cuenta el M.H.
Las responsabilidades se encuentran definidas en el Manual de Seguridad
ESTRUCTURA FUNCIONAL
Lineamientos de Seguridad
1. Organización de la Seguridad de la Información2. Gestión de Activos3. Seguridad de los Recursos Humanos4. Seguridad Física y Ambiental5. Gestión de Comunicaciones y Operaciones6. Control de Accesos7. Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información8. Gestión de Incidentes de Seguridad de la Información9. Gestión de Continuidad del Negocio10. Conformidad
SGSI
Estará disponible a través del “Portal Corporativo Intranet” del Ministerio de Hacienda
La metodología en la elaboración, revisión y publicación de la documentación será igual a la del SGC.
Se cuenta con Sistema de Mesa de Ayuda para la comunicación entre el Área de Seguridad de la Información, Proveedores y las Dependencias
Colaboración Solicitada:
Designar al o a los encargados de Seguridad de La Información por Dirección. Remitir a más tardar el 20 de Septiembre.
Se realizará una presentación detallada del SGSI y MAS para los Encargados de Seguridad seleccionados, el día 22 de Septiembre.
Se requiere que los encargados de Seguridad divulguen el SGSI al interior de cada Dirección, presentando a más tardar los formularios de inducción completados, el 1 de Noviembre.
GRACIAS POR SU ATENCIÓN