Manual Sgsi

MANUAL Cdigo: DOC-SGSI-02
Fecha de aprobacin: 07/08/2017

SISTEMA DE GESTIN DE SEGURIDAD Pgina: 1 de 16
DE LA INFORMACIN Versin: 05
MANUAL DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN
Curso Seguridad de Redes

UNIVERSIDAD NACIONAL MAYOR DE SAN
MARCOS
Las nicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en
la Intranet, seccin Sistema de Gestin de la Seguridad de la Informacin
CARGO NOMBRE FIRMA

Oficial De
JEFE DE Seguridad Putiza Lpez,
GRUPO: de la Anthony
Informacin
INTEGRAN
TES DEL
GRUPO:
Quispe Quispe, Kerly
1
Janeth
Terrazas Garca,
2
Guillermo Moiss
Comit de
Seguridad Ramrez Vera, Carlos
3
de la Augusto
Informacin
Zuiga Yamashita,
4
Miguel ngel
Olivares Chuquiure,
5
Kevin
REVISADO Ugaz Cachay,

POR: Winston
GERENTE Gonzales Suarez,

GENERAL: Juan Carlos
Historial de cambios
Se agreg factores internos y externos de la FISI, junto con anlisis FODA.
Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS ....................................................................................................... 5
2. DOCUMENTOS DE REFERENCIA .......................................................................................................... 5

3. REQUISITOS LEGALES .......................................................................................................................... 5
4. RESPONSABLES ................................................................................................................................... 6
5. ABREVIATURAS Y DEFINICIONES ......................................................................................................... 6

6. LIDERAZGO Y COMPROMISO .............................................................................................................. 7
7. POLTICA DE SEGURIDAD DE LA INFORMACIN .................................................................................. 9
8. OBJETIVOS EN INDICADORES .............................................................................................................. 9

9. ROLES ORGANIZACIONALES, RESPONSABILIDADES Y AUTORIDADES. ............................................... 13
10. GESTIN DEL RIESGO ........................................................................................................................ 15
11. RECURSOS ........................................................................................................................................ 16
12. COMPETENCIA Y TOMA DE CONCIENCIA .......................................................................................... 16

13. COMUNICACIN ............................................................................................................................... 16
14. INFORMACIN DOCUMENTADA ....................................................................................................... 16

15. REVISIN GERENCIAL ....................................................................................................................... 17
15.1 INFORMACIN PARA LA REVISIN .......................................................................................................... 17
15.2 RESULTADOS DE LA REVISIN..............................................................................................................18
16. AUDITORA INTERNA ....................................................................................................................... 18
17. SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE PROYECTOS. ................................................. 18
18. INTERCAMBIO DE INFORMACIN CON ORGANISMOS EXTERNOS. ................................................... 18

19. SANCIONES ....................................................................................................................................... 19
1. Objetivo, alcance y usuarios

1.1 Objetivo
El objetivo del documento es presentar en forma clara y coherente los elementos que
conforman la poltica de seguridad que deben conocer y cumplir todas las partes interesadas
que presten sus servicios o tengan algn tipo de relacin con la Facultad de Ingeniera de
Sistemas e Informtica.
1.2 Alcance
Este documento se aplica a todo el Sistema de Gestin de Seguridad de la Informacin (SGSI).
1.3 Usuarios
Los usuarios de este documento son todas las partes interesadas del SGSI.
2. Documentos de referencia
DOC-SGSI-01 Alcance del Sistema de Gestin de Seguridad de la Informacin
Norma ISO/IEC 27001:2013.
ISO 31000:2009 Gestin del Riesgo, principios y directrices.
3. Requisitos legales
4. Responsables
Decanato (Mg. GONZALES SUAREZ, Juan Carlos)
Encargado de la Unidad de la Unidad de Matricula
Director Administrativo
Directores de Escuela
Comit de Seguridad de la Informacin
Oficial de Seguridad de la Informacin
5. Abreviaturas y definiciones
Accin correctiva: Medida de tipo reactivo orientada a eliminar la causa de una no conformidad
asociada a la
implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: Medida de tipo pro-activo orientada a prevenir potenciales no conformidades
asociadas a la
implementacin y operacin del SGSI.
Aceptacin del Riesgo: Decisin de aceptar un riesgo.
Activo: Algo que tenga valor para la organizacin.
Control: Herramienta de la gestin del riesgo, incluidas polticas, pautas, estructuras
organizacionales, que pueden ser de naturaleza administrativa, tcnica, gerencial o legal.
Pauta: Descripcin que aclara qu es lo que se debe hacer y cmo se hace, con el fin de alcanzar
los objetivos planteados en las polticas.
Instalaciones de proceso de informacin: Sistemas de informacin, servicio o infraestructura,
locaciones fsicas que los almacena.
Seguridad de la informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, asimismo, otras propiedades como la autenticidad, no rechazo, contabilidad y
confiabilidad, tambin pueden ser consideradas.
Evento de seguridad de informacin: Es una ocurrencia identificada en un sistema, servicio, o red,
el cual indica una posible brecha de la poltica de seguridad de informacin o fallas de las
salvaguardias o una situacin desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de informacin: Es indicado por una o varias series de eventos inesperados
y no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de
amenazar la seguridad de informacin.
Poltica: Direccin general y formal expresada por la gerencia.
Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias.
Anlisis del riesgo: Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo.
Evaluacin del riesgo: Proceso general de anlisis y evaluacin del riesgo.
Valoracin del riesgo: Proceso de comparacin del riesgo estimado contra el criterio del riesgo
dado para determinar el significado de este.
Gestin del riesgo: Actividades coordinadas para dirigir y controlar el riesgo en una organizacin.
Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas para modificar el
riesgo.
Propietarios de activos de informacin: reas o personas que tienen la responsabilidad directa
frente a la organizacin de responder por el uso y el estado de los activos a su cargo.
Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad
para gestionar un riesgo.
Usuario de la Informacin: es quien usa la informacin, pudiendo ser una persona, rea, estacin
de trabajo, servicio o software.
Amenaza: Causa potencial de un incidente no deseado que puede resultar en dao al sistema u
organizacin.
Vulnerabilidad: Debilidad de un activo o grupo de activos que pueden ser explotados por una o
ms amenazas.
Adems, se consideran las abreviaturas:
SGSI: Sistema de Gestin de Seguridad de la Informacin.

FISI: Facultad de Ingeniera e Informtica
Consejo Supervisor Universitario: Tercio Estudiantil.
6. Liderazgo y compromiso
La Facultad de Ingeniera de Sistemas e Informtica est comprometida con la Seguridad de la
Informacin al adoptar integralmente los principios de esta. Garantizar el apoyo al proceso de
establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del

Sistema de Gestin de la Seguridad de la Informacin, del cual es parte integral el presente
manual.
Los encargados de la Seguridad de la Informacin y el Comit de Seguridad de la Informacin
expuestos al inicio del documento, tienen asignadas las siguientes funciones:
Asimismo, el Comit de Seguridad de la Informacin tendr asignadas las siguientes funciones:

Cumplir y velar por el cumplimiento de lo establecido en los documentos del SGS1.
Apoyar y dar seguimiento a las actividades de seguridad en los planes de trabajo de
las Unidades de la FISI.
Participar en el anlisis de riesgo de la informacin en la FISI, cumpliendo la
metodologa establecida en el SGSI.
Reportar oportunamente las vulnerabilidades e incidentes de seguridad utilizando el
mecanismo establecido para la gestin de incidentes de seguridad de la informacin.
Contribuir a la divulgacin de la seguridad y el SGSI en toda la FISI.
Apoyar en la implantacin los controles, lineamientos y procedimientos de seguridad
establecidos en los documentos del SGSI.
Asesorar cuando le sea solicitado, sobre mecanismos que permitan la continuidad del
negocio de los procesos crticos de la FISI.
Asimismo, el Comit de Seguridad de la Informacin es el encargado de revisar y actualizar
anualmente la documentacin del SGSI, teniendo en cuenta la actualizacin de los
documentos que se toma como referencia. Las modificaciones deben ser presentadas al
Decano de la FISI para que sea aprobado.
El Oficial de Seguridad de la Informacin se encargar de realizar las propuestas y mejoras del
SGSI ante el Comit de Seguridad de la Informacin.
Todos los Jefes de las Unidades que conforman la FISI, previa identificacin y valoracin de sus
activos de informacin, forman parte del grupo responsable de la Seguridad de la Informacin y,
por tanto, deben seguir los lineamientos de gestin enmarcados en esta Poltica y en los
estndares, normas, guas y procedimientos, recomendados por el Comit de Seguridad de la
Informacin y aprobados por las directivas.
7. Poltica de Seguridad de la Informacin

La Facultad de Ingeniera de Sistemas e Informtica considera a la informacin como un activo
de vital importancia y el aseguramiento de la confidencialidad, disponibilidad e integridad como
primordial para realizar con normalidad sus actividades institucionales. Por tanto, establece los
mecanismos para su proteccin en los medios de soporte, comunicacin y tratamiento de todo
tipo de amenazas, sean internas o externas, deliberadas o accidentales.
La Facultad de Ingeniera de Sistemas e Informtica garantiza el apoyo al proceso de

planificacin, implementacin, revisin y mejora del Sistema de Gestin de la Seguridad de
la Informacin, asumiendo con ello, el compromiso de proteger los recursos de informacin.
La Facultad de Ingeniera de Sistemas e Informacin establece los mecanismos para respaldar

la difusin y actualizacin, tanto de la presente poltica como de los dems componentes del
Sistema de Gestin de Seguridad de la Informacin
8. Objetivos en indicadores
Para el SGSI se definen dos tipos de indicadores:
Indicador de Gestin: Los indicadores de gestin estn relacionados a la administracin del

SGSI, de un proceso o un sistema.
Indicador de Cumplimiento: Los indicadores de cumplimiento estn relacionados con el

grado de consecucin de las actividades o tareas definidas en el SGSI.
INDICADOR 01: ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN
IDENTIFICADOR: SGSI/ID-01 TIPO DE INDICADOR: INDICADOR DE GESTIN

DEFINICIN
El indicador permite determinar y hacer seguimiento, al compromiso por parte de la alta direccin de la FISI, en cuanto a seguridad
de la informacin, en lo relacionado con la asignacin de personas y responsabilidades relacionadas a la seguridad de la informacin
al interior de la entidad.
OBJETIVO
Hacer un seguimiento a la inclusin de nuevos activos crticos de informacin y su control, dentro del marco de seguridad y
privacidad de la informacin.
VARIABLES FORMULA FUENTE DE INFORMACION
V03: Nmero de activos crticos de
Alcance del SGSI, Inventario de activos de
informacin incluidos en el alcance de
informacin, Matriz de riesgos.
implementacin del modelo.
V04: Nmero de activos crticos de (V03/V04)*100
informacin incluidos en el documento de
Inventario de Activos de informacin, nuevos.
Alcance, activos incluidos en la zona de riesgo
aceptable.
METAS
MNIMA 75-80% SATISFACORIA 80-90% SOBRESALIENTE 100%
OBSERVACIONES
El indicador de cada proceso debe ser recolectado y promediado para construir un indicador que refleje el estado a nivel de la
facultad.
El termin incluir un activo debe ser entendido como realizar la correcta clasificacin del activo, tratamiento, evaluacin de
riesgos sobre el mismo y determinacin de controles para minimizar el riesgo calculado. Para este indicador, solo se tienen en
cuenta los controles que no implican adquisicin de hardware o software.
INDICADOR 03: TRATAMIENTOS DE EVENTOS RELACIONADOS EN MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
IDENTIFICADOR: SGSI/ID-03 TIPO DE INDICADOR: INDICADOR DE GESTIN

DEFINICION
El indicador permite determinar la eficiencia en el tratamiento de eventos relacionados la seguridad de la informacin. Los eventos
sern reportados por los usuarios o determinadas en las auditoras planeadas para el sistema.
OBJETIVO
El objetivo del indicador es reflejar la gestin y evolucin del modelo de seguridad y privacidad de la informacin al interior de una
entidad.
VARIABLES FORMULA FUENTE DE INFORMACION
V05: Nmero de anomalas cerradas.
Auditoras internas, herramientas de monitoreo.
(V05/V06) *100
V06: Nmero total de anomalas encontradas. Auditoras internas, herramientas de monitoreo.
METAS
MNIMA 75-80% SATISFACTORIA 80-90% SOBRESALIENTE 100%
INDICADOR 04 PLAN DE SENSIBILIZACIN

IDENTIFICADOR: SGSI/ID-04 TIPO DE IDENTIFICADOR: INDICADOR DE GESTIN
DEFINICIN
El indicador permite medir la aplicacin de los temas sensibilizados en seguridad de la informacin por parte de los usuarios
finales. Estas mediciones se podrn realizar por medio de auditoras especializadas en el tema o de forma aislada por parte
de los responsables de la capacitacin y sensibilizacin.
OBJETIVO
El objetivo del indicador es establecer la efectividad de un plan de capacitacin y sensibilizacin previamente definido
como medio para el control de incidentes de seguridad.
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
V07: Nmero de fallas o no cumplimientos Oficial de Seguridad de la
encontrados en las sensibilizaciones programadas o Informacin, auditoras internas,
eventos realizados para evaluar el tema. atencin al usuario, listas de
(V07/V08) *100
asistencia
V08: Total de personal a capacitar. Total de funcionarios de la
entidad.
METAS
MNIMA 75-80% SATISFACTORIA 80- 90% SOBRESALIENTE 100%
OBSERVACIONES
Para el levantamiento de la informacin que permita obtener datos para la medicin el responsable debe idear planes,
laboratorios o actividades peridicas que permitan medir lo capacitado o divulgado.
INDICADOR 05 CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA INFORMACIN EN LA ENTIDAD
IDENTIFICADOR: SGSI/ID-05 TIPO DE IDENTIFICADOR: INDICADOR DE CUMPLIMIENTO

DEFINICIN
Cumplimiento de polticas de seguridad de la informacin en la FISI.
OBJETIVO
Busca identificar el nivel de estructuracin de los procesos de la entidad orientados a la seguridad de la
informacin.
V09: La entidad ha definido una poltica general VSI0X = 1 Gua del Modelo de
de seguridad de la informacin? (S se Operacin / Usuarios Internos
V10: La entidad ha definido una organizacin interna evidencia) Gua del Modelo de
en trminos de personas y responsabilidades con el fin VSIOX = 0 Operacin / Usuarios Internos
de cumplir las polticas de seguridad de la informacin (NO se
y documenta estas actividades? evidencia)
VSI11: La entidad cumple con los requisitos legales, Gua del Modelo de
reglamentarios y contractuales con respecto al Operacin / Usuarios Internos
manejo de la informacin?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES
INDICADOR 06 IDENTIFICACIN DE LINEAMIENTOS DE SEGURIDAD DE LA ENTIDAD

DEFINICIN
Grado de la seguridad de la informacin y los equipos de cmputo.
OBJETIVO
Busca medir el nivel de preparacin del recurso humano y su apropiacin en cuanto a la seguridad de la
informacin y los equipos de cmputo.
V12: La entidad ha definido lineamientos de trabajo VSI0X = 1 Usuarios Internos.
a travs del comit o responsable de seguridad para (S se
que sus funcionarios cumplan las polticas de evidencia)
seguridad y evala peridicamente su pertinencia?
VSIOX = 0
V13: La entidad ha definido lineamientos en cuanto (NO se Usuarios Internos.
a la proteccin de las instalaciones fsicas, equipos evidencia)
de cmputo y su entorno para evitar accesos no
autorizados y minimizar riesgos de la informacin de
la entidad?
METAS
OBSERVACIONES
INDICADOR 07: VERIFICACIN DEL CONTROL DE ACCESO

DEFINICIN
Grado control de acceso en la entidad.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto al control de acceso en la
entidad.
VSI14: La entidad ha definido lineamientos, Usuarios Internos.
normas y/o estndares para controlar el acceso de
los usuarios a sus servicios de Gobierno en lnea y
a sus redes de comunicaciones?
VSI15: La entidad ha definido lineamientos, Usuarios Internos.

normas y/o estndares para controlar el uso y el
VSI0X = 1
acceso a los sistemas de informacin, las
(S se
aplicaciones y los depsitos de informacin con las
que cuenta la entidad? evidencia)
VSI16: La entidad ha definido lineamientos, VSIOX = 0

normas y/o estndares para controlar las (NO se
terminales mviles y accesos remotos a los evidencia)
recursos de la entidad?
METAS
OBSERVACIONES
INDICADOR 08: ATAQUES INFORMTICOS A LA ENTIDAD.

DEFINICIN
Porcentaje de ataques informticos recibidos en la entidad que impidieron la prestacin de alguno de sus
servicios.
OBJETIVO
Busca conocer el nmero de ataques informticos que recibe la entidad
VSI28: Cuntos ataques informticos recibi VSI0X = 1 Herramientas de
la entidad en el ltimo ao? (S se Monitoreo/Usuarios Internos.
VSI29: Cuntos ataques recibi la entidad en el evidencia) Herramientas de
ltimo ao que impidieron la prestacin de algunos Monitoreo/Usuarios Internos.
de los servicios que la entidad ofrece a los VSIOX = 0
ciudadanos y empresas? (NO se
evidencia)
METAS
OBSERVACIONES
9. Roles organizacionales, responsabilidades y autoridades

Es fundamental definir roles y responsables para apoyar y cumplir la poltica de seguridad de la
informacin, a continuacin, se relacionan y describen.
9.1 Comit SGSI: se encarga de:
Planear, crear, mantener, revisar, auditar y mejorar el sistema, acorde a lo establecido
en el estndar ISO/27001:2013.
Dirigir y verificar los avances y la eficacia del SGSI, teniendo como indicadores los
objetivos y metas propuestas y resultado de auditoras internas.
Vigilar que se cumplan las polticas, normas y procedimientos de seguridad de la
informacin. Evaluar y validar las normas, procedimientos, mtodos y controles
definidos para la seguridad de la informacin.
Evaluar la efectividad de los controles y salvaguardas.
Plantear planes y capacitaciones con el propsito de concientizar al personal acerca
de la seguridad de la informacin
Planear y definir las acciones a seguir que garanticen la continuidad de los procesos
crticos en caso de presentarse situaciones imprevistas que afecten la seguridad de la
informacin y el normal funcionamiento de las actividades de la institucin.
En la institucin estar conformado por:
Representante legal
Usuario de servicios de informacin
Administrador de seguridad informtica
Especialista de seguridad de la informacin (opcional)
9.2 Propietario de activo de informacin: se encarga de
Clasificar la informacin de acuerdo a los niveles de clasificacin definidos en la
institucin. Establecer para los usuarios que niveles de acceso tendrn autorizados
sobre la informacin. Autorizar la asignacin de niveles de acceso sobre la
informacin.
Definir y asegurar la implementacin de controles tendientes a la proteccin de los
activos. Revisar peridicamente los accesos y privilegios otorgados sobre la
informacin.
Velar por que se garantice la integridad, confidencialidad y disponibilidad de la
informacin.
9.3 Usuarios de la informacin: Son responsables de:
Emplear solo para fines autorizados la informacin sobre la cual tienen acceso
autorizado. Cumplir con las medidas de seguridad que en la institucin se tengan
establecidas y definidas en las polticas, normas y procedimientos de seguridad de la
informacin.
Reportar de manera oportuna cualquier violacin de las polticas y normas de
seguridad de la que tengan conocimiento.
Usar los sistemas de informacin y la red solo para propsitos autorizados e inherentes
a la funcin asignada.
10. Gestin del riesgo
Tecnologa Personas Servicios

Vulnerabilidades
Amenazas Activos de informacin
ISO 31000
Identificacin, anlisis y valoracin de riesgos
ISO 27005
Figura 1. Gestin de riesgos ISO 27001
El ISO 31000: 2009 proporciona principios y directrices sobre la gestin de riesgos, puede ser
utilizado por cualquier empresa pblica, privada o comunitaria, asociacin, grupo o individuo. Por
lo tanto, la norma ISO 31000: 2009 no es especfica para cualquier industria o sector. Esta norma
est destinada a satisfacer las necesidades de un rango amplio de partes involucradas,
incluyendo:
aquellos responsables del desarrollo de la poltica de gestin del riesgo dentro de la
organizacin;
aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la
organizacin como unidad o dentro de un rea, proyecto o actividad especficos;
aquellos que necesitan evaluar la eficacia de una organizacin en cuanto a la gestin del
riesgo; y
aquellos que desarrollan normas, guas, procedimientos y cdigos de prctica que, parcial
o totalmente, establecen la manera de gestionar el riesgo dentro del contexto especfico
de estos documentos.
Figura 2. Relaciones entre los principios, el marco de referencia y los procesos para la
gestin del riesgo
Anlisis y Evaluacin de Riesgos de Seguridad de la Informacin
Identificacin de las amenazas
Identificacin de las vulnerabilidades
Identificacin de los Riesgos
Seleccin de la Probabilidad de Ocurrencia
Determinar el impacto en los Activos de Informacin
Valoracin del Riesgo Inherente
Identificacin de controles existentes
Definicin de los niveles de aceptacin de Riesgos
11. Recursos
El Decanato de la FISI ser responsables de garantizar los recursos necesarios para la
implementacin, mantenimiento y mejoramiento continuo del SGSI, para lo cual deben
garantizar:
Partida presupuestal: asignando los recursos necesarios que garanticen que se
implemente, mantenga y mejore el SGSI.
Recurso humano especializado: programando capacitaciones y campaas de
concientizacin a los empleados de la institucin en el sentido del buen uso, resguardo
y proteccin de la informacin.
12. Competencia y Toma de Conciencia
El Decanato de la facultad determinar las competencias de los puestos que tienen influencia en
la seguridad de la informacin de los servicios proporcionados por la FISI y otros que considere
pertinentes. El comit de seguridad de la Informacin ser el encargado de formular las

estrategias que permitan a las partes interesadas tomar conciencia de la poltica de seguridad de
la informacin, su contribucin a la eficacia del SGSI y las implicancias de no estar conformes con
los requerimientos del SGSI.
13. Comunicacin
El comit de seguridad de la Informacin de la FISI mantiene comunicacin con todo el
personal por medio de publicaciones, reuniones informativas, emails, entre otros, donde
fluye la informacin, especfica tales como:
Alertas de seguridad de la Informacin.
Poltica y Objetivos de la seguridad de la Informacin.
Actas de reunin
Modificaciones a la documentacin del SGSI, etc.
14. Informacin documentada

La FISI cuenta con un Sistema de Gestin documentado que describe su funcionamiento.
La documentacin del SGSI comprende cuatro (4) niveles de documentacin, tal como se
indica a continuacin:
Nivel 1: Documentos y Manuales: Documentos que cumplen algn tipo de regulacin o
requisito legal o requisito dentro o fuera de lo estipulado por la Norma ISO/IEC 27001
Nivel 2: Polticas: Documentos que establecen las necesidades y requisitos de proteccin
en el mbito de la organizacin y es la gua o marco para la creacin de otro tipo de
documento ms detallado. Formalmente describe qu tipo de gestin de la seguridad
se pretende lograr y cules son los objetivos perseguidos.
Nivel 3: Procedimientos: Documentos que especifican la forma para llevar a cabo
actividades o procesos.
Nivel 4: Formatos y Registros: Forman parte de la Documentacin General del SGSI de la
FISI y siendo un tipo especial de documentos.
Esta documentacin ser revisada anualmente por el Oficial de Seguridad de la Informacin
en coordinacin con el Comit de Seguridad de la Informacin y el Decanato de la facultad
15. Revisin Gerencial

El Decanato, como responsable de asegurar la adecuacin, eficacia y conveniencia del SGSI,
programa su revisin anualmente, con el apoyo del Comit de Seguridad de la Informacin
y del Oficial de Seguridad de la Informacin; adicionalmente, puede convocar a otros
miembros de las Unidades de la facultad que l considere.
La Revisin por el Decanato permite verificar el grado de cumplimiento de los Objetivos de

Seguridad, as como su validez y la de la Poltica de Seguridad de la Informacin, para
determinar los ajustes necesarios.
15.1 Informacin para la Revisin

Para la Revisin por el Decanato, se deber disponer de la siguiente informacin:
Resultado de las Auditoras Internas y Externas.

Anlisis y gestin de riesgo.
Resultados de los planes de tratamiento de riesgo
Situacin de las Acciones Correctivas y Preventivas aplicadas como consecuencia de
las observaciones o no conformidades levantadas durante las Auditoras Internas,
inspecciones, o cualquier otra causa.
Grado de cumplimiento de las acciones propuestas como consecuencia de los
acuerdos tomados en las Revisiones por el Decanato, anteriores.
Grado de cumplimiento de los Objetivos de Seguridad de la informacin propuestos.
Cualquier otra informacin que se estime necesaria.
15.2 Resultados de la Revisin
Basado en el resultado del anlisis efectuado a la informacin presentada para la Revisin
por la Direccin se determina:
La pertinencia de la Poltica y Objetivos de Seguridad de la informacin.
El grado de cumplimiento del SGSI implantado.
Si el Sistema de Gestin, en la forma en que se encuentra descrito, satisface los
requerimientos de la Norma.
16. Auditora Interna

Esta metodologa se encuentra registrada en el documento: Auditoras Internas de seguridad de
la informacin, all se encuentra especificado los mecanismos y herramientas a usarse, as como
tambin la programacin de estos.
La FISI debe establecer controles de seguridad que garanticen un adecuado uso de las
herramientas de auditoria y minimizar la interrupcin de los sistemas durante el proceso.
17. Seguridad de la Informacin en la gestin de proyectos.

Cada unidad de la FISI, en coordinacin con el Oficial de Seguridad de la Informacin, deber
atender la seguridad de la informacin en la gestin de proyectos al margen del tipo de
proyecto que se desarrolle.
18. Reutilizacin y/o baja de equipos informticos que almacenen o procesen

informacin.
Se deber realizar un proceso de borrado seguro (sobre escritura) y destruccin de los
componentes informticos que contengan informacin antes que se realice la baja o
reutilizacin del mismo.
19. Sanciones
El incumplimiento de las disposiciones establecidas en las polticas, procedimientos,
directivas y en el presente manual, tendr como resultado la aplicacin de sanciones segn
disponga el Comit de Seguridad de la Informacin acorde con el ttulo X del reglamento
interno de la FISI.

Manual Sgsi

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Sgsi

Enviado por

Direitos autorais:

Formatos disponíveis

MANUAL Cdigo: DOC-SGSI-02

Fecha de aprobacin: 07/08/2017

MANUAL DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

Curso Seguridad de Redes

CARGO NOMBRE FIRMA

REVISADO Ugaz Cachay,

GERENTE Gonzales Suarez,

2. DOCUMENTOS DE REFERENCIA .......................................................................................................... 5

5. ABREVIATURAS Y DEFINICIONES ......................................................................................................... 6

7. POLTICA DE SEGURIDAD DE LA INFORMACIN .................................................................................. 9

8. OBJETIVOS EN INDICADORES .............................................................................................................. 9

10. GESTIN DEL RIESGO ........................................................................................................................ 15

11. RECURSOS ........................................................................................................................................ 16

12. COMPETENCIA Y TOMA DE CONCIENCIA .......................................................................................... 16

14. INFORMACIN DOCUMENTADA ....................................................................................................... 16

16. AUDITORA INTERNA ....................................................................................................................... 18

17. SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE PROYECTOS. ................................................. 18

18. INTERCAMBIO DE INFORMACIN CON ORGANISMOS EXTERNOS. ................................................... 18

1. Objetivo, alcance y usuarios

Adems, se consideran las abreviaturas:

SGSI: Sistema de Gestin de Seguridad de la Informacin.

establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del

Asimismo, el Comit de Seguridad de la Informacin tendr asignadas las siguientes funciones:

7. Poltica de Seguridad de la Informacin

La Facultad de Ingeniera de Sistemas e Informtica garantiza el apoyo al proceso de

La Facultad de Ingeniera de Sistemas e Informacin establece los mecanismos para respaldar

Indicador de Gestin: Los indicadores de gestin estn relacionados a la administracin del

Indicador de Cumplimiento: Los indicadores de cumplimiento estn relacionados con el

INDICADOR 01: ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN

IDENTIFICADOR: SGSI/ID-01 TIPO DE INDICADOR: INDICADOR DE GESTIN

INDICADOR 03: TRATAMIENTOS DE EVENTOS RELACIONADOS EN MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

IDENTIFICADOR: SGSI/ID-03 TIPO DE INDICADOR: INDICADOR DE GESTIN

MNIMA 75-80% SATISFACTORIA 80-90% SOBRESALIENTE 100%

INDICADOR 04 PLAN DE SENSIBILIZACIN

INDICADOR 05 CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA INFORMACIN EN LA ENTIDAD

IDENTIFICADOR: SGSI/ID-05 TIPO DE IDENTIFICADOR: INDICADOR DE CUMPLIMIENTO

INDICADOR 06 IDENTIFICACIN DE LINEAMIENTOS DE SEGURIDAD DE LA ENTIDAD

INDICADOR 07: VERIFICACIN DEL CONTROL DE ACCESO

VSI15: La entidad ha definido lineamientos, Usuarios Internos.

VSI16: La entidad ha definido lineamientos, VSIOX = 0

INDICADOR 08: ATAQUES INFORMTICOS A LA ENTIDAD.

9. Roles organizacionales, responsabilidades y autoridades

Tecnologa Personas Servicios

Amenazas Activos de informacin

Figura 1. Gestin de riesgos ISO 27001

pertinentes. El comit de seguridad de la Informacin ser el encargado de formular las

14. Informacin documentada

15. Revisin Gerencial

La Revisin por el Decanato permite verificar el grado de cumplimiento de los Objetivos de

15.1 Informacin para la Revisin

Resultado de las Auditoras Internas y Externas.

16. Auditora Interna

17. Seguridad de la Informacin en la gestin de proyectos.

18. Reutilizacin y/o baja de equipos informticos que almacenen o procesen

Você também pode gostar