Post on 24-Jan-2016
AREA DE SEGURIDAD DE LA INFORMACION
Agenda
1. Inducción de la modificaciones en los procedimientos normativos de SGSI.
2. Inducción a la edición # 3 del MAS.
3. Elaboración de procedimientos y documentos de seguridad del SGSI.
4. Lanzamiento oficial del nuevo portal del SGSI.
5. Programación para revisión de la clasificación de la información del MH.
• Procedimientos de Normativos de Seguridad
PRSN-001-E1 Preparación de Procedimientos y Documentos del SGSI
• Definir los lineamientos para la elaboración, actualización y aprobación de los procedimientos normativos y operativos del Sistema de Gestión de Seguridad de la Información.
• Definir los lineamientos para la elaboración, actualización y aprobación de los manuales siguientes: Manual de Seguridad de la Información (MAS), Manual de Políticas de Seguridad de la Información (MPS); las Guías de Trabajo de Seguridad (GTS); las Fichas de Proceso de Seguridad (FDPS); los planes siguientes: Plan de Seguridad de la Información (PLS), Plan de Contingencia y Continuidad del Negocio (PCCN); las metodologías siguientes: Metodología Para Administración de Riesgos (MAR), Metodología de Contingencia y Continuidad del Negocio (MECCON); y la Declaración de Aplicabilidad (DAPL).
PRSN-002-E1 Control de Documentos del SGSI
• Sistematizar el control y la distribución (magnética y física) de los documentos del Sistema de Gestión de Seguridad de la Información (SGSI), en cada Unidad Organizativa de la Institución.
• Establecer un procedimiento que permita asegurar el registro, actualización, archivo, disponibilidad, uso y destrucción (si aplica) de los documentos del Sistema de Gestión de Seguridad de la Información.
PRSN-004-E1 Mantenimiento de Requisitos de Seguridad de la Información
• Establecer el procedimiento que permita identificar y documentar las disposiciones legales y técnicas vigentes sobre la seguridad de la
información, a fin de mantener el SGSI actualizado.
PRSN-005-E1 Planificación y Ejecución de Auditorias Internas del SGSI
• Definir los pasos a seguir para planificar y realizar Auditorías de Seguridad de la Información y/o Seguimiento de Acciones Correctivas o Preventivas por No Conformidades de Auditorías anteriores, para evaluar la eficacia del Sistema de Gestión de Seguridad de la Información, conforme con los requisitos de la Norma ISO/IEC 27001:2005.
PRSN-006-E1 Acciones Correctivas o Preventivas de Seguridad de la Información
• Establecer la forma de elaborar e implantar Acciones Correctivas o Preventivas eficaces, para eliminar las causas de No Conformidades reales o potenciales determinadas por auditorias o monitoreos; así como establecer la sistemática de identificación y tratamiento de oportunidades de mejora por parte de las Unidades Organizativas del Ministerio de Hacienda.
PRSN-010-E2 Clasificación y Marcado de la Información
• Asegurar un nivel de protección adecuado para la información, clasificándola en términos de su valor, uso, requisitos legales y confidencialidad para el Ministerio de Hacienda.
• Desarrollar e implementar un apropiado procedimiento para manejo y marcado de la información de acuerdo al esquema de clasificación adoptado en el Ministerio de Hacienda.
• Inducción a la edición # 3 del MAS
• Clasificación de la Información 9.2.4 La información de cada Dependencia y la confiada a ella por terceros, se clasificará atendiendo a su valor y requerimientos legales en una de las siguientes categorías:a) Confidencial o Sensible
• Información cuyo acceso estará restringido de acuerdo con el concepto de necesidad de conocer entre dos o más personas. Su divulgación requiere la autorización del Propietario y en el caso de terceros, también un acuerdo firmado de confidencialidad. Su divulgación no autorizada en algunos casos podría afectar o dañar los intereses o la imagen del Ministerio de Hacienda. b) Uso interno
• Se aplica a la información menos crítica pero aún importante para la Institución, disponible a los empleados. Su acceso o divulgación en algunos casos, requiere la autorización del propietario, jefe de la Unidad Organizativa, Director o Titular. c) Pública
• Información que ha sido explícitamente autorizada por los Titulares para ser divulgada públicamente y cumple con la Política de Comunicaciones de la Institución contenida en el MAPO o cuando sea requerido por las disposiciones legales y técnicas vigentes.
Porcentaje de Información de Uso Interno, Público
y Confidencial en medios Físicos y Magnéticos.
84%
16%
Medios Físicos
Medios Mágneticos
Auditoria Interna
24%
76%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección Financiera
36%
64%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
10%
90%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección General de Contabilidad Gubernamental
55%
45%Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección General de Presupuesto
14%
86%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección General de Administración
21%
79%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Tribunal de Apelaciones de los Impuestos Internos y de Aduanas
24%
76%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección Nacional de Administración Financiera
75%
25%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección General de Inversión y Crédito Público
33%
67%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Unidad de Comunicaciones
0%
100%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Unidad Normativa de Adquisiciones y Contrataciones de la Administración Pública
67%
33%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección de Política Económica y Fiscal
48%
52%
Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Dirección General de Tesorería
55%
45%Confidencial
Uso Interno y Publico
Información de Uso Interno, Público y Confidencial (Actual)
Unidad Asesora Técnica y Legal
• Lanzamiento Oficial del portal del SGSI.
• Elaboración de procedimientos y documentos de seguridad del SGSI.
ANEXOS DEL PRSN-010
• Anexo 1 Clasificación de la Información en Medios Físicos.• Anexo 2 Clasificación de la Información en Medios Magnéticos. (Parte A y B).• Anexo 3 Modelo de Acuerdo de Confidencialidad.• Anexo 4 Listado de Destrucción de Activos de la Información Confidencial o
Sensible.• Anexo 5 Requisitos del Manejo de la Información.• Anexo 6 Lineamientos de Marcado de la Información.• Anexo 7 Modelo del Acuerdo de Renuncia de los Derechos de Propiedad
Intelectual.• Anexo 8 Responsabilidades Sobre el Manejo de la Información Confidencial o
Sensible.• Anexo 9 Modelo de Acta Notarial de Confidencialidad.• Anexo 10 Exigencias de Seguridad en los Procesos de Contratación.• Anexo 11 Exigencias de Seguridad en los Contratos de Trabajo.• Anexo 12 Cláusulas de Confidencialidad.• Anexo 13 Cláusulas de Renuncia de los Derechos de Propiedad Intelectual.• Anexo 14 Ejemplos del llenado de los formularios ASI-F011 y ASI-F016 A y B.
• Programación para revisión de la clasificación de la información del MH.
• Gracias por su atención