Se entiende por política, las reglas generales
de comportamiento definidas para la interacción entre los usuarios y los
activos informáticos. Las políticas son independientes de los ambientes propios
de la entidad y representan la base de un modelo de seguridad.
Las Políticas de seguridad dependen de la
cultura de la organización. Por esta razón las políticas y procedimientos deben
estar hechos a la medida, según los requerimientos específicos de cada
organización. Para la definición de las políticas y procedimientos se realiza
un proceso de validación en conjunto con la organización con el fin de generar
políticas y procedimientos que se ajusten a esta. Como punto de partida para la
definición de las políticas se tendrá como referencia el análisis de riesgo
realizado, los controles del ISO 17799/ISO 27001.
Las políticas cubrirán los siguientes temas:
Seguridad en la Organización:
O Roles y Responsabilidades de Seguridad de la Información
o Políticas para la conexión con terceros.
Clasificación de la Información:
O Importancia de la información según la organización.
Seguridad en el recurso Humano:
O Responsabilidades de seguridad de la información para los diferentes
cargos.
O Entrenamiento a empleados en seguridad de la información como parte de su
proceso de inducción y mejoramiento continuo. Seguridad Física:
O Seguridad ambiental
O Control de Acceso físico.
Administración de las operaciones de cómputo y comunicaciones.
·
Políticas sobre el uso del correo electrónico
·
Políticas sobre el uso de Internet.
·
Políticas sobre el uso de recursos.
Control de Acceso.
Desarrollo y mantenimiento de Sistemas.
Continuidad de Negocio.
Conformidad con leyes civiles, legales y contractuales.
Las políticas constan de:
- ·
Audiencia
- ·
Introducción
- ·
Definiciones
- ·
Objetivo
- ·
Enunciado de la Política
- ·
Políticas y Procedimientos relacionados
- ·
Roles y responsabilidades
- · Violaciones a la política
iso 17799
No hay comentarios:
Publicar un comentario