Story Transcript
PROCESO DE SISTEMA DE INFORMACIÓN
CODIGO
PROCEDIMIENTO
VERSIÓN
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ELABORO
REVISO
APROBO
Nombre:
Nombre:
Nombre
Cargo:
Cargo:
Cargo:
Fecha:
Fecha: :
Fecha:
Firma
Firma
Firma
1
PROCESO DE SISTEMA DE INFORMACIÓN
CODIGO
PROCEDIMIENTO
VERSIÓN
TABLA DE CONTENIDO 1.
OBJETIVO
2.
ALCANCE
3.
DEFINICIONES
4.
DESCRIPCION DE ACTIVIDADES
5.
FLUJOGRAMA
2
PROCESO DE SISTEMA DE INFORMACIÓN
CODIGO
PROCEDIMIENTO
VERSIÓN
1. OBJETIVO Generar fundamentos mínimos de cultura en la seguridad de la informacion por medio de la guia que nos ofrece la ISO/IEC 27001 y asi aplicarlos a nuestro entorno laboral, buscando ella confidencialidad, integridad y disponibilidad de la informacion en cada uno de nuestros puestos de trabajo hasta la implementacion de un sistema que nos minimice al maximo la fuga de informacion a terceros o la pérdida total por mal manejo de protección ante ataques generados por programas interno y/o externos.
2. ALCANCE INICIO: este procedimiento inicia desde el servidor con el que cuenta la institución FIN: hasta cada estación de trabajo en los diferentes procesos que se manejan
3. DEFINICIONES
Mensaje de datos: La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax. Comercio electrónico: Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera. Firma digital: Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación. Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto. Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos. 3
PROCESO DE SISTEMA DE INFORMACIÓN
CODIGO
PROCEDIMIENTO
VERSIÓN
4. DESCRIPCION DE ACTIVIDADES No
QUE
QUIEN
COMO
1
Iidentificar una herramienta adecuada como firewall o un medio de protección que minimice la fuga de informacion o el daño de información de cada estación de trabajo
Gestor de sistemas de información y Alta Gerencia
solicitando cotizaciones de herramientas mínimas de protección como antivirus y herramientas de filtro de manejo de páginas web, al igual que una herramienta de configuración general que se implemente desde el servidor para realizar la escalabilidad hasta cada estación de trabajo
2
3
Instalación de herramienta para evitar fuga de datos
Gestor de sistemas de información
Control de páginas no institucionales
Gestor de sistemas de información y gestor de HelpDesk
4
Manejo de antivirus
5
Manejo de programas instalados
6
verificar que cada
Gestor de sistemas de información y gestor de HelpDesk Gestor de sistemas de información y gestor de HelpDesk Gestor de sistemas
Manejando la red como dominio se autenticara los usuarios que podrán ingresar a los aplicativos y los equipos permitidos para la verificación de la base de datos denegando a su vez los puertos habilitados por el cual por medio de la red puedan ingresar a cualquiera de los equipos conectados a la red.
En el mismo equipo de detección de intrusos o sobre el equipo de conexión se configurara las paginas netamente institucionales, con el fin de evitar amenazas de troyanos que puedan afectar la red e inclusive atacar directamente al servidor
CUANDO
REGISTRO
Anual
Cotización entregada a gerencia para la adquisición y factura de venta de la solicitud entregada
semanal
Diario
Instalación de antivirus con el fin de evitar en un alto porcentaje la contaminación de medios extraíbles directamente conectados a la maquina
trimestral
Por medio de la configuración de la maquina se restringirá la instalación de programa que puedan afectar la instalación de aplicaciones que afecten el manejo de las funciones laborales y el daño del equipo
trimestral
en cada estación de trabajo al realizará la revisión trimestral de las hojas de vida y en el
trimestral
registro generado por el sistema implementado y verificación encontrada en los puestos de trabajo en la visita realizada por sistema de información registro encontrado en el bloqueo de cada estación de trabajo al tratar de ingresar de forma no permitida (conocido como historial de navegación) hoja de vida con la información de la última actualización realizada hoja de vida con la información de la última actualización realizada hoja de vida con la
4
PROCESO DE SISTEMA DE INFORMACIÓN
CODIGO
PROCEDIMIENTO
VERSIÓN
4. DESCRIPCION DE ACTIVIDADES No
QUE
QUIEN
COMO
colaborador que hace uso de equipos informáticos conozca el debido manejo de la herramienta y los requisitos mínimos de manejo de la informacion
de información y gestor de HelpDesk
momento de realizar la instalación del antivirus adquirido por la institución
CUANDO
REGISTRO información de la última actualización realizada y acta de socializacion
5. FLUJOGRAMA POR FAVOR REVISAR SI HAY QUE HACER ALGUN CAMBIO PARA GENERAR EL FLUJOGRAMA, YA QUE CUALQUIER CAMBIO AFECTA A LA ELABORACION DEL MISMO
TABLA DE CONTROL DE CAMBIOS No
FECHA
1
13/07/2015
2
13/07/2015
3
13/07/2015
CAMBIO el objetivo estaba descrito como un concepto y se realiza cambio aplicándolo a la funcionabilidad del sistema de informacion que se maneja en el hospital y unidades funcionales el alcance no estaba definido en el documento inicial entregado el inicio y el final no estaba definido como actividad en la tabla de descripción de actividades
RESPONSIBLE DEL CAMBIO sistema de informacion y calidad sistema de informacion y calidad sistema de informacion y calidad
5