RED DE EXPERTOS PMG – SSI 2010 INFORME DE DIAGNÓSTICO
Anuncio
INFORME DE DIAGNÓSTICO Programa de Mejoramiento de la Gestión Sistema de Seguridad de la Información Etapa I – Diagnóstico Red de Expertos Subsecretaría del Interior – División Informática Dirección de Presupuestos – División Tecnologías de la Información RED DE EXPERTOS PMG – SSI 2010 _________________________________________________________________________ Contenido Informe de diagnóstico ........................................................................................................... 3 Introducción ............................................................................................................................ 3 Resumen ejecutivo .................................................................................................................. 3 Desarrollo ............................................................................................................................... 3 Conclusiones Generales .......................................................................................................... 5 Historial de revisiones ............................................................................................................ 6 2 RED DE EXPERTOS PMG – SSI 2010 _________________________________________________________________________ Informe de diagnóstico Este informe tiene el objetivo de complementar la matriz de diagnóstico reportada por los servicios públicos comprometidos en la etapa I del Sistema de Seguridad de la Información del PMG 2010. De esta manera, el presente informe permitirá que dichas instituciones entreguen información con mayor extensión y detalle. Introducción Describir brevemente los contenidos que tiene el informe en el servicio público correspondiente. Resumen ejecutivo En esta sección se deberá explicar lo siguiente: Cómo se estructuró el diagnóstico, señalando los actores participantes, las instancias en que lo hicieron, las fechas aproximadas, entre otros datos que puedan parecer de utilidad para el servicio. Qué procesos han sido seleccionados para los dominios que deben focalizarse en algunos de ellos. En este mismo punto se deberá señalar bajo qué criterios se realizó tal selección y qué activos de información están involucrados. Desarrollo En esta sección deberá describir, para cada uno de los dominios que componen el diagnóstico, políticas, procedimientos, buenas prácticas, estructuras organizacionales, u otra implementación dentro de la organización, que permitirá resolver cada brecha. - Políticas de Seguridad Descripción de las políticas de seguridad existentes en la institución, considerando al menos la existencia de: o Políticas o Estándares o Procedimientos internos - Seguridad Organizacional Descripción del nivel de gestión de seguridad existente en la institución, considerando la existencia de: o Un comité de Seguridad de la Información o Personal de Seguridad de la información (Gestión y TIC) 3 RED DE EXPERTOS PMG – SSI 2010 _________________________________________________________________________ - Clasificación, control y etiquetado de bienes Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del presente informe, se deberá describir el nivel de clasificación de los activos de información de tales procesos. - Seguridad Física y del ambiente Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del presente informe, se deberá describir los controles existentes respecto a: o Seguridad Física o Seguridad de equipamiento de usuarios, y seguridad de acceso - Seguridad del Personal Descripción de las políticas de contratación, despido y creación de cuentas del personal. - Gestión de las operaciones y las comunicaciones Descripción del nivel de seguridad y controles existentes en las operaciones y las comunicaciones, considerando al menos: o Procedimientos técnicos y responsabilidades del personal o Administración de contratos con terceros o Protección contra virus y código malicioso o Estrategias de respaldos y administración de medios o Administración de la red o Sistemas de monitoreo - Control de acceso Describir los ámbitos existentes, considerando: o Administración de cuentas de usuario o Segregación de roles y perfiles o Controles de acceso a la red o Control de acceso a los sistemas operativos o Control de acceso a la información y aplicativos o Controles para la comunicación móvil y remota 4 RED DE EXPERTOS PMG – SSI 2010 _________________________________________________________________________ - Desarrollo y mantenimiento de sistemas Describir los controles existentes para el desarrollo de sistemas, puesta en producción de aplicativos y versionamiento. - Gestión de la continuidad del negocio Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del presente informe, se deberá describir los planes existentes para la recuperación ante desastres tecnológicos, garantizar la continuidad de tales procesos en la institución y los planes de emergencia ante catástrofes (incendios, inundaciones, terremotos, etc). - Nivel de cumplimiento institucional (Insertar gráfico obtenido de la matriz de diagnóstico) Conclusiones Generales Describir en forma breve los pasos a seguir por la institución para el cierre de las brechas. 5 RED DE EXPERTOS PMG – SSI 2010 _________________________________________________________________________ Historial de revisiones Nº Revisión Fecha Aprobación Motivo de la revisión 6 Páginas Modificadas Autor
