La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

DIVULGACION DE NUEVOS DOCUMENTOS NORMATIVOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL M.H. MINISTERIO DE HACIENDA OCTUBRE 2008.

Publicada porEmerico Fleites Modificado hace 9 años

Presentaciones similares

Presentación del tema: "DIVULGACION DE NUEVOS DOCUMENTOS NORMATIVOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL M.H. MINISTERIO DE HACIENDA OCTUBRE 2008."— Transcripción de la presentación:

1 DIVULGACION DE NUEVOS DOCUMENTOS NORMATIVOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL M.H. MINISTERIO DE HACIENDA OCTUBRE 2008

2 AGENDA: 1.Divulgación de los nuevos Documentos Normativos. a) MAGER E-001 Metodología Para el Análisis y Gestión de Riesgos. b) PRSN-007 E-001 Análisis y Gestión de Riesgos. 2.Divulgación de las nuevas ediciones de los Documentos Normativos a) PRSN-001 E-004 Preparación de Documentos del SGSI

3 1. Divulgación de los nuevos Documentos Normativos. a) MAGER E-001 Metodología Para el Análisis y Gestión de Riesgos http://www.mh.gob.sv/pls/portal/docs/PAGE/SGSI/DOCUMENTOS%20 COMPARTIDOS/METODOLOGIAS/METODOLOGIA.PDF

4 INTRODUCCION El análisis de riesgos. Consiste en identificar las amenazas que acechan a los distintos componentes pertenecientes o relacionados con los Sistemas de Información (conocidos como «activos»); para determinar la vulnerabilidad del sistema o los procesos críticos ante amenazas y para estimar el impacto en términos de la pérdida de C-I-D o grado de perjuicio que una seguridad insuficiente puede tener en la gestión de la Institución. La gestión de los riesgos. Consiste en seleccionar e implantar medidas o “salvaguardas” de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios, basado en los resultados obtenidos en el análisis de riesgos.

5 ACTIVOS Para iniciar el proceso del análisis de riesgos, se debe elaborar un listado de los procesos o servicios críticos y los sistemas de información que los soportan (automatizados o manuales) con que cuenta el Dominio o Unidad Organizativa en estudio. Cada proceso en sí, se considera como un activo de primer nivel y este a su vez, posee un conjunto homogéneo o heterogéneo de activos dependientes del impacto de los mismos; estos se caracterizan en materia de seguridad en: Confidencialidad, Integridad, Disponibilidad (C-I-D)

6 TIPOS DE ACTIVOS De acuerdo a la norma ISO/IEC 27005 Gestión de Riesgos de Seguridad de la Información, los activos se pueden clasificar en los siguientes tipos: 1) Los Activos Primarios. Procesos y actividades del negocio. Información. NOTA: para propósitos de esta metodología se deberá entender que los Activos Primarios son los Servicios del Ministerio de Hacienda. 2) Los Activos de Soporte: Hardware. Software. Redes. Personal. Localidad. Organización. NOTA: para propósitos de esta metodología los Activos de Soporte serán los Tipos de Activos a utilizar en el Ministerio de Hacienda.

7 TIPOS DE ACTIVOS TIPO DE ACTIVOEJEMPLOS Hardware Comprende todos los elementos físicos (equipos, accesorios, periféricos, etc.) que soportan el procesamiento de datos de la institución. Documentos físicos (en papel), Servidores, Workstations, laptops, Tablet PC, asistente personal digital (PDA), Impresores, unidad de disco removibles, Disquetes, CD, DVD, cartucho de respaldo, discos duros removibles, memorias USB, cintas, documentación, fax, otros. Software Comprende todos los programas de computadora (desarrollados internamente o adquiridos) que se utilizan para realizar las diferentes actividades informáticas dentro de la institución tanto para personal técnico como usuarios. Sistemas Operativos. Software para tareas administrativas, de mantenimiento, monitoreo, de red, de seguridad, etc. Herramienta de diseño, desarrollo, mantenimiento y control de aplicaciones informáticas. Aplicaciones de negocio ya sean adquiridas o desarrolladas internamente (SITEP, SIDUNEA, SAFI, SIGADE, SIIT, SIIP, SIRH etc.). Servidor y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web, software de telefonía. Otros. Redes Son todos los dispositivos físicos (y sus protocolos) de telecomunicaciones utilizados para interconectar varias computadoras remotas o elementos de un sistema de información. Puentes (bridge), enrutadores (router), hubs, switches, firewall, IDS, IPS, balanceador de carga, aceleradores de contenido (servidor de caché), adaptadores de red (tarjeta de red). Medios o equipos de comunicaciones y telecomunicaciones de: redes telefónicas, Ethernet, GigabitEthernet, TenGigabitEthernet ADSL. Protocolos de redes inalámbricas (WiFi), bluetooth. Equipos GPRS (General Packet Radio Service). Hardware antispam. Otros.

8 TIPOS DE ACTIVOS TIPO DE ACTIVOEJEMPLOS Personal Comprende a todos los grupos de personas involucradas en el uso, mantenimiento, administración y toma de decisiones en los sistemas de información. Usuarios. Desarrolladores de aplicaciones del negocio. Administrador de bases de datos, Administrador de sistemas, administrador de datos o aplicaciones, personal de back-up y restauraciones, personal de Help Desk. Administradores de servidores de aplicaciones, portales, directorios de usuarios. Desplegadores de aplicaciones. Oficiales de seguridad. Gerente de alto nivel, líder de proyectos. Otros. Localidad Comprende todos los lugares, servicios básicos y suministros para que las distintas instalaciones funcionen adecuadamente, con el objeto de que los sistemas de información operen en condiciones normales. Edificios, instalaciones, parqueos, recintos, bodegas, oficinas, centros de procesamiento de datos, oficinas periféricas, establecimientos, locales, zonas de acceso reservado, zonas de seguridad. Suministro eléctrico, Líneas telefónicas, PBX, PABX, suministro de agua, servicios y medios (equipo, control) de enfriamiento y purificación del aire, tuberías de agua para enfriamiento, aires acondicionados. Otros. Organización Comprende a todos los grupos de personas que realizan actividades de soporte para la organización así como también terceros que le prestan servicios ya sea en forma contractual o no. Departamentos que prestan servicios de soporte en la organización: recursos humanos, compras, administración, seguridad a oficinas y edificios, servicio contra incendios, auditoria, Finanzas, Servicios generales y de mantenimiento. Proveedores de servicios y contratistas vinculados mediante contrato: consultorías, outsourcing, servicios informáticos, limpieza, vigilancia. Personal de servicio social.

9 VALORACIÓN DE LAS CARACTERÍSTICAS ASOCIADAS A LOS ACTIVOS La valoración del estado de seguridad de los activos, permiten estimar los niveles de impacto en sus tres características C-I-D (confidencialidad, integridad, disponibilidad) Valoración del Impacto en términos de la perdida de confidencialidad Criterio Alto (3)La divulgación no autorizada de la información tiene un efecto crítico para la organización. Ej.: divulgación de información Confidencial o sensible. Medio (2)La divulgación no autorizada de la información tiene un efecto limitado para la organización. Ej.: divulgación de información de uso interno. Bajo (1)La divulgación de la información no tiene ningún efecto para la organización. Ej.: divulgación de información pública. Valoración del Impacto en términos de la perdida de integridad Criterio Alto (3)La destrucción o modificación no autorizada de la información tiene un efecto severo para la organización. Medio (2)La destrucción o modificación no autorizada de la información tiene un efecto considerable para la organización. Bajo (1)La destrucción o modificación de la información tiene efecto leve para la organización.

10 VALORACIÓN DE LAS CARACTERÍSTICAS ASOCIADAS A LOS ACTIVOS Valoración del Impacto en términos de la perdida de disponibilidad Criterio Alto (3)La interrupción en el acceso a la información o los sistemas tiene un efecto severo para la organización. Medio (2)La interrupción en el acceso a la información o los sistemas tiene un efecto considerable para la organización. Bajo (1)La interrupción en el acceso a la información o los sistemas tiene un efecto mínimo para la organización.

11 AMENAZAS Las amenazas son los eventos que pueden desencadenar un incidente en la Institución, produciendo daños materiales o pérdidas inmateriales en sus activos. TIPOS DE AMENAZAS 1) Amenazas ambientales Terremotos, inundación, huracanes, tormentas 2) Amenazas humanas Intencionales / amenazas deliberadas Alteración de datos o robo, destrucción de datos, robo de hardware, accesos no autorizados, intervenciones. No intencionales / amenazas accidentales Errores de operación, errores de diseño, errores de software o programación, errores de usuarios, tropezar con cables eléctricos, fallas de hardware

12 LISTADO DE AMENAZAS ANEXO 1 AMENAZASDESCRIPCION DE LA AMENAZA TIPO DE AMENAZA IMPACTA ENAFECTA A SALVAGUARDAS / CONTROLES DEL ANEXO “A” DE LA NORMA ISO/IEC 27001 PARA DETECTAR, CONTROLAR O PREVENIR LAS AMENAZAS AMBIENTAL DELIBERADA ACCIDENTAL DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD HARDWARE SOFTWARE RED PERSONAL LOCALIDAD ORGANIZACION Fuego La amenaza de fuego abarca la posibilidad de incendios que afecten a cualquiera de los activos de tipo físicos que conforman los sistemas, incluyendo la documentación y medios magnéticos. La vulnerabilidad de un edificio o cuarto al fuego depende de la medida y el alcance que un incendio pueda tener al extenderse una vez que ha comenzado y daños a los equipos en el que afecten a los procesos de negocio. SI NOSI NOSI NO 9.1.4 Protección contra amenazas externas, ambientales e internas. 9.2.1 Ubicación y protección del equipo. 9.2.3 Seguridad del cableado. 9.2.4 Mantenimiento de equipo. 10.5.1 Back-up de respaldo de la información. 12.3.2 Gestión de claves. 14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio. 14.1.2 Continuidad del negocio y evaluación del riesgo. 14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información. 14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio. 15.1.3 Protección de registros organizacionales. Inundación La amenaza de inundación cubre la posibilidad que el agua (por lluvia, tormenta, depresión tropical, tormenta tropical, huracán, etc.) afecte a cualquiera de los activos de tipo físico incluyendo los medios físicos y magnéticos de almacenamiento. La vulnerabilidad de un edificio o cuarto al daño ocasionado por el agua depende del alcance que el agua puede tener al entrar al cuarto y dañar el equipo en él, lo cual afectaría los procesos del negocio. SINO SINOSI NOSINOSINO 9.1.4 Protección contra amenazas externas, ambientales e internas. 9.2.1 Ubicación y protección del equipo. 9.2.3 Seguridad del cableado. 10.5.1 Back-up de respaldo de la información. 14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio. 14.1.2 Continuidad del negocio y evaluación del riesgo. 14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información. 14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio. 15.1.3 Protección de registros organizacionales.

13 MÉTRICAS DE LAS AMENAZAS El Nivel de Amenaza se mide utilizando uno de los criterios especificados en la siguiente tabla: Nivel de amenazas Criterio por probabilidad Criterio por frecuencia Criterio por condición de ocurrencia Criterio por atractivo Ejemplos Alto (3)La ocurrencia es muy probable (probabilidad mayor del 50%) Más de una vez al mes Bajo circunstancias normales El atacante se beneficia en gran medida por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable. Código malicioso Medio (2)La ocurrencia es probable (probabilidad igual al 50%) Alrededor de una vez cada tres meses Por errores descuidados El atacante se beneficia de alguna manera por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable. Fallas de hardware Bajo (1)La ocurrencia es menos probable (probabilidad es mayor que cero y menor del 50%) Alrededor de una vez al año En rara ocasión El atacante no se beneficia por el ataque Desastres naturales No Aplica (0)

14 VULNERABILIDADES Vulnerabilidad de un activo es la potencialidad o posibilidad de ocurrencia del peor escenario al materializarse una amenaza sobre dicho activo. La vulnerabilidad es una propiedad de la relación entre un activo y una amenaza. METRICAS DE LAS VULNERABILIADADES El nivel de la vulnerabilidad se mide en términos de la existencia de una salvaguarda o medida de seguridad que prevenga la materialización de las amenazas hacia los activos considerando la efectividad de dichas salvaguardas, de acuerdo a: Nivel de vulnerabilidadesCriterioEjemplos Alto (3)No existe ninguna medida de seguridad implementada para prevenir la ocurrencia de la amenaza No se utilizan contraseña para que los usuarios ingresen a los sistemas. Medio (2)Existe una medida de seguridad implementada que no cumple las necesidades esperadas para prevenir la amenaza Existe norma para la utilización de contraseñas pero no se aplica. Bajo (1)La medida de seguridad es adecuada Existe norma para la utilización de contraseñas y es aplicada.

15 RELACION ENTRE RIESGOS, AMENAZAS Y VULNERABILIDADES Riesgos VulnerabilidadesAmenaza Activos de información Controles * Protecciones Requeridas Valor del activo explotar exponer tener aumentar indicar aumentar reducir proteger contra se cumple

16 RIESGOS El riesgo es combinación de la probabilidad de un evento y sus consecuencias en un activo, un dominio o en toda la institución. TIPOS DE RIESGOS El riesgo actual se define o calcula considerando las salvaguardas actualmente implementadas. El riesgo residual se considera como el que se da tras la aplicación de nuevas salvaguardas dispuestas en un escenario de simulación o en el mundo real. METRICAS DE LOS RIESGOS Ecuación: Riesgo = Valoración del Impacto en términos de la perdida de (CID) x Amenaza (A) x Vulnerabilidad (V)

17 METRICAS DE LOS RIESGOS El nivel aceptable del riesgo es de 8. Si el resultado es de 9 o más, se considerará un riesgo alto para la organización. Para los activos que tengan un riesgo de 9 o más, la organización debe de analizar como bajar esos riesgos. Los riesgos pueden ser tratados de las siguientes formas; por reducción, evasión, aceptación o trasferencia. Si la organización escoge reducir el riesgo debe implementar salvaguardas y analizar nuevamente y revisar que el resultado del análisis de riesgos sea menor o igual a 8 después de implementadas las salvaguardas. Nivel de Amenazas (A)Bajo (1)Medio (2)Alto (3) Nivel de Vulnerabilidades (V) Bajo (1) Medio (2) Alto (3) Bajo (1) Medio (2) Alto (3) Bajo (1) Medio (2) Alto (3) Valoración del Impacto en términos de la perdida de (CID) en los Activos Bajo (1) 123246369 Medio (2) 24648126 18 Alto (3) 369612189 27

18 UMBRALES DEL RIESGO METODOS DE TRATAMIENTO DE LOS RIESGOS Los métodos para tratar los riesgos son cuatro: 1)Evitar el Riesgo: cuando los riesgos identificados son demasiado altos y los costos de implementación del tratamiento del riesgo exceden los beneficios entonces se puede decidir eliminar el riesgo por completo, lo cual se puede lograr de la siguiente forma: eliminando la actividad de alto riesgo o cambiar las condiciones bajo las cuales la actividad es operada. Por ejemplo: a) si un edificio se encuentra en un lugar que es demasiado propenso a inundaciones entonces se mueven todas las oficinas y recursos de ese edificio a otras instalaciones con menos riesgo. b) si los programas de email se estiman de riesgos altos contra la fuga de información y estos no tienen contramedidas para prevenirlo, entonces podría dejar de usarse el servicio de email en la organización. NIVELES DE RIESGOUMBRALES Crítico9, 12,18, 27 Medio6, 8 Trivial1, 2, 3, 4

19 METODOS DE TRATAMIENTO DE LOS RIESGOS 2) Reducir el Riesgo (mitigación del riesgo): Es el método de tratamiento del riesgo que selecciona una o varias salvaguardas o controles apropiados para reducir el riesgo a un nivel aceptable para la organización. 3) Aceptar el Riesgo: Es el método de tratamiento del riesgo que consiste en tomar la decisión de aceptar las consecuencias de un riesgo en particular, es decir que no se realiza ninguna acción respecto al riesgo. Se puede utilizar este método cuando el costo de la pérdida es bajo, el riesgo es bajo o cuando el costo de implementar salvaguardas o controles supera los beneficios 4) Transferir el Riesgo: Es el método de tratamiento del riesgo que consiste en transferir el riesgo a otra entidad interna o externa mediante el traspaso de la gestión del activo, gestión del riesgo, adquisición de seguros, etc. para cambiar o compartir las responsabilidades de la pérdida.

20 CONTRAMEDIDAS O SALVAGUARDAS Se define como contramedida o salvaguarda a la acción, control, procedimiento o dispositivo físico o lógico que reduce el riesgo. Para reducir el riesgo, se necesita la mejora de salvaguardas existentes o la incorporación de nuevas. El Manual de Seguridad de la Información de la Institución (MAS) contiene un listado de lineamientos los cuales son controles generales, que dan pié a la implantación de controles específicos, establecidos para disminuir los niveles de riesgos asociados. Es importante mencionar que los controles de la norma ISO/IEC27002:2005 poseen una guía de consideraciones que pueden utilizarse para implantar las contramedidas o salvaguarda. TIPOS DE SALVAGUARDAS Las salvaguardas se tipifican, según su forma de actuación, en dos tipos: Las preventivas que actúan sobre la vulnerabilidad antes de la agresión y reducen la potencialidad de materialización de la amenaza. Este tipo de contramedida actúa en general contra amenazas humanas. Las correctivas o restablecedores (recuperación) que actúan sobre el impacto tras la agresión y reducen su gravedad. Este tipo de contramedida actúa en general con amenazas de todos los tipos.

21 ETAPAS DEL ANALISIS DE RIESGOS Para realizar el análisis se utiliza el PRSN-007 Análisis y Gestión de Riesgos.

22 1. Divulgación de los nuevos Documentos Normativos. b) PRSN-007 E-001 Análisis y Gestión de Riesgos http://www.mh.gob.sv/pls/portal/docs/PAGE/SGSI/DOCUMENTOS%20 COMPARTIDOS/PN/PRSN-007-E1.PDF

23 RESPONSABILIDADES Es responsabilidad de los Titulares: Aprobar recursos adicionales o aceptar los riesgos asociados a los procesos o servicios críticos presentados por los Directores, Presidente y Jefes de las Unidades Asesoras al Despacho de cada dependencia; cuando éstos últimos determinen que los riesgos no pueden ser gestionados con los recursos disponibles. Los Titulares podrán solicitar opinión técnica independiente cuando lo estimen conveniente. Es responsabilidad de los Directores, Presidente y Jefes de las Unidades Asesoras al Despacho: Efectuar periódicamente el análisis de riesgo de la información de su dependencia cumpliendo la metodología establecida en el SGSI. Designar al equipo de trabajo responsable del análisis de riesgo de la dependencia, el cual estará conformado por los Encargados de Seguridad de la Información y personal que conozca los sistemas de información de su dependencia. Aprobar los procesos o servicios críticos a incluir en el análisis de riesgos. Aprobar el tratamiento de riesgos residuales propuesto. Gestionar los recursos necesarios para la implementación de salvaguardas y controles que contribuyan a la reducción o transferencia de los riesgos en su dependencia. Revisar anualmente el Análisis y Gestión de Riesgos de su dependencia.

24 RESPONSABILIDADES Es responsabilidad de los Jefes de Unidades Organizativas: Participar en el análisis de riesgo de la información de su dependencia cumpliendo la metodología establecida en el SGSI. Gestionar con su jefe inmediato los recursos para el tratamiento de los riesgos de la información. Aplicar las medidas necesarias para gestionar el riesgo asociado a los sistemas de información de sus unidades (MAS). Participar en la definición de los procesos o servicios críticos a incluir en el análisis de riesgos. Validar la “Tabla de Análisis y Gestión de Riesgos”, para los servicios o activos bajo su responsabilidad. Participar en la revisión de riesgos cada año de la información de su Unidad Asesora al Despacho o dependencia. Es responsabilidad del Coordinador de Seguridad de la Información: Planificar y coordinar a nivel macro las actividades para la ejecución del análisis de riesgos en la institución. Es responsabilidad del Técnico de Seguridad de la Información: Capacitar y asesorar al personal designado por las dependencias para ejecutar el análisis de riesgos.

25 RESPONSABILIDADES Es responsabilidad de los Encargados de Seguridad de la Información de cada Dirección y Unidad Asesora al Despacho: Participar en el Análisis y Gestión de Riesgos de su dependencia. Es responsabilidad del Equipo de trabajo para el análisis de riesgos de la dependencia: Identificar y proponer los procesos o servicios críticos de su dependencia, que serán sujetos de análisis. Efectuar Análisis y Gestión de Riesgos de los procesos o servicios críticos de su dependencia y la información asociada.

26 FLUJOGRAMAS DEL ANALISIS Y GESTION DE RIESGOS

27

28

29

30 TABLA DE ANALISIS Y GESTION DE RIESGOS ETAPA 2: ANÁLISIS DE RIESGOSETAPA 3: GESTIÓN DE RIESGOS 123456789101112131415 SERVICI OS CRITICO S NOMBR E DEL ACTIVO DE LA INFORM ACION CIDAMENAZAS CONTROLE S IMPLEMENT ADOS ACTUALME NTE JUSTIFICA CION CRITERI O AMENAZ A NIVEL DE AMENA ZAS NIVEL DE VULNE RAB. RIESGO ACTUAL METODO DEL TRATAMIEN TO DEL RIESGO SALVAGUA RDAS A IMPLEMENT AR DESPUES DE APLICADOS LOS CONTROLES NIVEL DE AMENAZ AS NIVEL DE VULNER AB. RIESG O RESID UAL C I D C I D C I D C I D C I D C I D

31 2- Divulgación de las nuevas ediciones de los Documentos Normativos a) PRSN-001 E-004 Preparación de Documentos del SGSI CAMBIOS MAS IMPORTANTES PRSN-001 E-004 Se elimina la elaboración de “Fichas de Proceso de Seguridad (FDPS)”. En la sección 8. Anexos, se agrega el Anexo 10: Estructura de los Lineamientos Específicos de Seguridad de la Información.

32 ANEXO 10 ESTRUCTURA DE LOS LINEAMIENTOS ESPECIFICOS DE SEGURIDAD DE LA INFORMACION SECCIÓN 1 Objetivo Describir lo que se pretende lograr como resultado de la aplicación de los lineamientos específicos por establecer. SECCIÓN 2 Alcance Detallar las unidades organizativas y los roles funcionales, que deberán de aplicar lo regulado en los lineamientos específicos que se están definiendo. Adicionalmente, en caso de ser necesario, en este apartado deberá especificarse aquellas circunstancias especiales bajo las cuales, no se aplicarán los lineamientos descritos.

33 ANEXO 10 SECCIÓN 3 Referencia Lineamiento del MAS Especificar el(los) lineamientos del Manual de Seguridad de la Información (MAS), de los cuales se desagregan los lineamientos específicos. SECCIÓN 4 Definiciones En caso de utilizar algún vocabulario técnico especial dentro de los lineamientos específicos, deberá detallarse las definiciones de los mismos. Si no existiere terminología que sea necesario definir, deberá escribirse N/A (No Aplicable). SECCIÓN 5 Lineamientos Específicos En este apartado deberán detallarse de manera clara y ordenada, los lineamientos específicos relacionados con el tema que se está regulando, evitando duplicar situaciones que ya se encuentren normadas en otras disposiciones legales y técnicas vigentes. En caso de ser necesario, los lineamientos podrán agruparse en temas específicos, de manera que se facilite su comprensión y aplicación.

34 ANEXO 10 SECCIÓN 6 Anexos Se incorpora el(los) anexo(s) que se consideran necesarios para facilitar la comprensión y ejecución de los lineamientos. En caso de no existir anexos, se detallará N/A (No Aplica). SECCIÓN 7 Modificaciones Deberá incorporarse en el formato contenido en el Anexo 4 Registro de Modificaciones de éste procedimiento, cuando se realice modificaciones a los lineamientos específicos.

35 ¿ PREGUNTAS ? GRACIAS

Descargar ppt "DIVULGACION DE NUEVOS DOCUMENTOS NORMATIVOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL M.H. MINISTERIO DE HACIENDA OCTUBRE 2008."

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.

También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.

DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Evaluación de Productos

Evaluación de Productos
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Presentaciones similares

Anuncios Google