Subsec Subsecre retar taríí
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO DIAGNOSTICO
Dirección de Presupuestos
DOMINIO
Política de seguridad Organización de la Seguridad de la Información Gestión de Actios Seguridad de recursos !umanos Seguridad "ísica # Am$iental Gestión de las comunicaciones # o%eraciones &ontrol de acceso Ad'uisición( desarrollo # mantenimiento mantenimiento de los sistemas de información información Gestión de un incidente en la seguridad de la información Gestión de la continuidad del negocio &um%limiento ESTADO DE LA INSTITUCION (DIAGNOSTICO)
% CUMPLIMIENTO
COBERTURA
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Estado Estado de la Instución Instución por Dominio !"# &um%limiento 0.00 Gestión de la continuidad del negocio 0.00 Gestión de un incidente en la seguridad de la i nformación 0.00 Ad'uisición( desarrollo # mantenimiento de los sistemas de información 0.00 &ontrol de acceso 0.00 Gestión de las comunicaciones # o%eraciones 0.00 Seguridad "ísica # Am$iental 0.00 Seguridad de recursos !umanos 0.00 Gestión de Actios 0.00 Organización de la Seguridad de la Información 0.00
73
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO DIAGNOSTICO
Programa de mejoramiento de la gestiónMinisterio del Interior
Subs Subsecr ecret etar aríí Dirección de Presupuestos -
0.00
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO DIAGNOSTICO
Subs Subsecr ecret etar aríí Dirección de Presupuestos -
0.00
73
Red de Expertos del Interior - División Informáca División Tecnoloías Tecnoloías de Información
Programa de mejoramiento de la gestiónMinisterio del Interior
Red de Expertos del Interior - División Informáca División Tecnoloías Tecnoloías de Información
Column C
73
Red de Expertos del Interior - División Informáca División Tecnoloías Tecnoloías de Información
Programa de mejoramiento de la gestiónMinisterio del Interior
Red de Expertos del Interior - División Informáca División Tecnoloías Tecnoloías de Información
73
Programa de mejoramiento de la gestiónMinisterio del Interior
Red de Expertos PMG-SSI Subsecretaria del Interior Dirección de Presupuestos
CRITERIO
MATRIZ MATRIZ DE DIAGNÓSTICO . - T I A M F O O O N Z T ) I I S ! A L AMBITO U E O R N S M N O D I I T R C G D A ( R
A.+..
Art. ocumento de la %olítica de seguridad de la información
CONTROL l documento de la %olítica de seguridad de la información de$iera ser a%ro$ado %or la irección( # %u$licado # comunicado a todos los em%leados # las %artes e4ternas releantes.
Art. a
2 Art. , 2 $ 1 3 S A.+.. 2 , + 1 0 / % P Art. c
-eisión de la %olítica de seguridad de la información
A.+..1
A.2..
;a %olítica de seguridad de la información de$iera ser reisada ainteralos %laneados o si ocurren cam$ios significatios %ara asegurar su continua idoneidad( eficiencia # efectiidad.
REQUISITO/ CONTROL
ENTREGABLE
n el Sericio5 6e4iste un documento documento denominado Política de Seguridad de la información( 'ue est a%ro$ado %or el 8efe Política de de Sericio( # 'ue refleja claramente el com%romiso( a%o#o e inters en el fomento Seguridad General # desarrollo de una cultura de seguridad institucional9
T E E M M I " D DEL DEL ESTADO O U I L N E L C N P I ACTUAL
e$e adjuntar %olítica de seguridad con definiciones es%ecificadas en re'uerimiento
SI
l documento Politica de Seguridad5 6contiene una definición de seguridad de los actios de información( sus o$jetios glo$ales( alcance e im%ortancia9
e$e adjuntar %olítica de Política de seguridad con definiciones Seguridad General es%ecificadas en re'uerimiento
SI
l documento Politica de Seguridad5 6contiene un %*rrafo 'ue se:ale los medios de difusión de sus contenidos al interior de la organización9 organización9
e$e adjuntar %olítica de Política de seguridad con definiciones Seguridad General es%ecificadas en re'uerimiento
SI
n la actualidad( el documento Politica de Seguridad5 6se %u$lica # se comunica a todos los funcionarios # %artes e4ternas releantes9
e$e adjuntar %olítica de Política de seguridad con definiciones Seguridad General es%ecificadas en re'uerimiento
SI
e$e adjuntar %olítica de seguridad con definiciones es%ecificadas en re'uerimiento
SI
e$e adjuntar %olítica de Política de seguridad con definiciones Seguridad General es%ecificadas en re'uerimiento
SI
SI
l documento Politica de Seguridad5 6contiene un %*rrafo 'ue se:ale cada cu*nto tiem%o se reealuar* odos los funcionarios de la institución #( cuando n la actualidad5 6el Sericio entrega entrega la formación # ca%acitación en sea releante( los contratistas # terceras %ersonas adecuada o ca%acitación releante %ara su función la$oral seguridad de la de$ieran reci$ir una adecuada ca%acitación en 'ue inclu#a re'uisitos de seguridad a todos los funcionarios información seguridad # actualizaciones regulares so$re las de %lanta( contrata # %ersonal a !onorarios9 %olíticas # %rocedimientos institucionales conforme sea releante %ara su función la$oral.
A.?.1.3
Proceso disci%linario disci%linario
e$iera e4istir un %roceso disci%linario %ara los em%leados 'ue !an cometido un incum%limiento de la seguridad.
n la actualidad5 6e4iste un %roceso %roceso disci%linario %ara los funcionarios de %lanta( contrata # %ersonal a !onorarios 'ue !an cometido una iolación a la seguridad de la información9
A.?.3.
-es%onsa$ilidades -es%onsa$ilidades de termino
Se de$ieran definir # asignar claramente las res%onsa$ilidades res%onsa$ilidades de realizar el trmino o el cam$io de em%leo.
n la actualidad5 6las res%onsa$ilidades res%onsa$ilidades # de$eres *lidos( *lidos( aFn luego de la desinculación o cam$ios en las funciones( se encuentran contenidas dentro de los contratos de !onorarios o resoluciones de nom$ramiento de funcionarios a contrata # %lanta9
A.?.3.1
eolución eolución de los actios actios
>odos los usuarios em%leados( contratistas #
n la actualidad5 6e4iste un %rocedimiento %rocedimiento %ara 'ue todos
SI
A.?..1
Inestigación de antecedentes
A.?..3
Art. 1
A.?.1..P*rr. A.?.1..P*rr.
Art. 10 ;etra a -es%onsa$ilidades -es%onsa$ilidades de la dirección
7 % $ A.?.1..P*rr.1 A.?.1..P*rr.1 , & 3 8 7 % 7 3 A.?.1..P*rr.3 A.?.1..P*rr.3 + 2 A.?.1..P*rr. A.?.1..P*rr. 2 , 2 1 A.?.1.1 3 S
>rminos # condiciones del em%leo
;os c!e'ueos de erificación de antecedentes de todos los candidatos %ara em%leo( contratistas # terceros de$ieran llearse a ca$o en concordancia con las le#es( regulaciones # tica releantesE # de$ieran ser %ro%orcionales a los re'uerimientos comerciales( la clasificación de la información a la cual se a a tener acceso # los riesgos %erci$idos.
n la eta%a de selección5 6Se llea a ca$o la erificación de antencedentes legales( com%ortamientos ticos( # otros antecedentes de releancia segFn la clasificación de la información a la cual a a tener acceso( de todos los candidatos a un cargo( sea de %lanta( contrata o %ersonal a !onorarios9
&omo %arte de su o$ligación contractualE los usuarios em%leados( contratistas # terceros de$ieran ace%tar # firmar un contrato con los trminos # condiciones de su em%leo( el cual de$iera esta$lecer sus res%onsa$ilidades # las de la institución %ara la seguridad de la información.
l 8efe de Sericio5 6!a im%artido la instrucción 'ue indi'ue 'ue las res%onsa$ilidades de seguridad a%lica$les al %ersonal de$er*n ser e4%licitadas en la eta%a de selección e incluirse e4%resamente en los decretos o resoluciones de nom$ramiento o en las contrataciones res%ectias9
;a dirección de$iera re'uerir a los usuarios em%leados( contratistas # terceras %ersonas 'ue a%li'uen la seguridad en concordancia con %olíticas # %rocedimientos $ien esta$lecidos %or la institución.
l 8efe de Sericio5 6!a im%artido instrucciones so$re el uso de sistemas inform*ticos( con nfasis en %ro!i$ición de instalación de softHare no autorizado( documentos # arc!ios guardados en el com%utador9
Art. 10 ;etra $
SI
l 8efe de Sericio5 6!a im%artido instrucciones so$re el uso de la red interna( uso de Internet( uso del correo electrónico( acceso a sericios %F$licos( recursos com%artidos( sericios de mensajería # comunicación remota9
Art. 10 ;etra c
l 8efe de Sericio5 6!a im%artido instrucciones so$re la generación( transmisión( rece%ción( %rocesamiento # almacenamiento de actios de información9 Art. 10 ;etra d l 8efe de Sericio5 6!a im%artido %rocedimientos %ara re%ortar incidentes de seguridad9 &onocimiento( educación >odos los funcionarios de la institución #( cuando n la actualidad5 6el Sericio entrega entrega la formación # ca%acitación en sea releante( los contratistas # terceras %ersonas adecuada o ca%acitación releante %ara su función la$oral seguridad de la de$ieran reci$ir una adecuada ca%acitación en 'ue inclu#a re'uisitos de seguridad a todos los funcionarios información seguridad # actualizaciones regulares so$re las de %lanta( contrata # %ersonal a !onorarios9 %olíticas # %rocedimientos institucionales conforme sea releante %ara su función la$oral.
A.?.1.3
Proceso disci%linario disci%linario
e$iera e4istir un %roceso disci%linario %ara los em%leados 'ue !an cometido un incum%limiento de la seguridad.
n la actualidad5 6e4iste un %roceso %roceso disci%linario %ara los funcionarios de %lanta( contrata # %ersonal a !onorarios 'ue !an cometido una iolación a la seguridad de la información9
A.?.3.
-es%onsa$ilidades -es%onsa$ilidades de termino
Se de$ieran definir # asignar claramente las res%onsa$ilidades res%onsa$ilidades de realizar el trmino o el cam$io de em%leo.
n la actualidad5 6las res%onsa$ilidades res%onsa$ilidades # de$eres *lidos( *lidos( aFn luego de la desinculación o cam$ios en las funciones( se encuentran contenidas dentro de los contratos de !onorarios o resoluciones de nom$ramiento de funcionarios a contrata # %lanta9
A.?.3.1
eolución eolución de los actios actios
>odos los usuarios em%leados( contratistas # terceras %ersonas de$ieran deoler todos los actios de la institución 'ue tengan en su %osesión al trmino de su em%leo( contrato o acuerdo.
n la actualidad5 6e4iste un %rocedimiento %rocedimiento %ara 'ue todos los funcionarios de %lanta # contrata # %ersonal a !onorarios( deuelan todos los actios de la institución 'ue tengan en su %osesión al trmino de sus funciones o de su contrato9
-etiro de los derec!os de ;os derec!os de acceso de todos los usuarios acceso em%leados( contratistas # terceras %ersonas a la información # los medios de %rocesamiento de información de$ieran ser retirados al trmino de su em%leo( contrato o acuerdo( o de$ieran ser reajustados de acuerdo al cam$io.
n la actualidad5 6e4iste un %rocedimiento %rocedimiento %ara eliminar los derec!os de acceso a los medios de %rocesamiento de la información del Sericio de todos los funcionarios de %lanta %lanta # contrata # %ersonal a !onorarios( al trmino de sus funciones o de su contrato( o %ara ajustarlos segFn el cam$io de funciones9
A.?.3.3
SI
P+$,ra$ajo en *reas aseguradas
Se de$iera dise:ar # a%licar la %rotección física # los lineamientos %ara tra$ajar en *reas aseguradas. reas de acceso %F$lico( Se de$ieran controlar los %untos de acceso como 6;a autoridad !a im%artido instrucciones res%ecto al control entrega # carga las *reas de entrega # carga # otros %untos %or de las *reas de acceso %F$lico( entrega # carga9 donde %ersonas no)autorizadas %uedan ingresar a las localidades #( si fuese %osi$le( de$ieran aislarse de los medios de %rocesamiento de información %ara eitar el acceso no autorizado. $icación # %rotección del Se de$iera u$icar o %roteger el e'ui%o %ara reducir n el sericio( 6el e'ui%amiento est* u$icado o %rotegido de e'ui%o las amenazas # %eligros am$ientales # forma 'ue se reduzcan las amenazas # %eligros o%ortunidades o%ortunidades %ara acceso no)autorizado. am$ientales # acceso no autorizado9
Art. ? letra a
art ? letra c
[email protected]
Art. 7
[email protected]
Art. 0 ;etra a Seguridad Seguridad del ca$leado ca$leado
Sericios %F$licos de so%orte
Mantenimiento Mantenimiento de e'ui%o e'ui%o
[email protected].+
Seguridad del e'ui%o fuera de las localidades
[email protected]
Art. 12 ;etra e Seguridad de la eliminación o re)uso del e'ui%o
[email protected]
SI
6;a autoridad !a im%artido instrucciones relatias al consumo de alimentos( $e$idas # ta$aco en las cercanías de los medios de %rocesan # so%ortan información9
[email protected]..P*rr.3
[email protected]..P*rr.3
[email protected].
6l sericio cuenta con %rotección contra da:os causados %or fuego9 6l sericio cuenta cuenta con %rotección contra contra da:os causados causados %or inundación9 6l sericio cuenta con %rotección contra da:os causados %or terremoto9 6l sericio cuenta con %rotección contra da:os causados %or e4%losión9 6l sericio cuenta con %rotección contra da:os causados %or reuelta ciil9 6l sericio cuenta cuenta con %rotección contra contra otras formas formas de desastres naturales o %or causa !umana9 6;a autoridad !a im%artido lineamientos %ara tra$ajar en *reas seguras9
-etiro de %ro%iedad %ro%iedad
Se de$iera %roteger el e'ui%o de fallas de energía # otras interru%ciones causadas %or fallas en los sericios %F$licos de so%orte. l ca$leado de la energía # las telecomunicaciones telecomunicaciones 'ue llean la data o dan so%orte a los sericios de información de$ieran %rotegerse contra la interce%ción o da:o.
n el sericio( 6la autoridad %romuee %r*cticas de escritorio lim%io9 l el sericio( 6el e'ui%amiento est* %rotegido de fallas de energía # otras interru%ciones causadas %or fallas en los sericios $*sicos de so%orte9 n el sericio( 6la autoridad !a im%artido instrucciones %ara %roteger contra interce%ción o da:o el ca$leado usado %ara energía # las telecomunicaciones %ara transmisión de datos o 'ue so%ortan los sericios de información9
Se de$iera mantener correctamente el e'ui%o %ara n el sericio 6se !an im%artido instrucciones %ara segurar asegurar su continua dis%oni$ilidad e integridad. 'ue se !aga mantenimiento del e'ui%amiento9 Se de$iera a%licar seguridad al e'ui%o fuera del local tomando en cuenta los diferentes riesgos de tra$ajar fuera del local de la institución. Se de$ieran c!e'uear los ítems del e'ui%o 'ue contiene medios de almacenaje %ara asegurar 'ue se !a#a retirado o so$re)escrito cual'uier data confidencial o licencia de softHare antes de su eliminación.
6;a autoridad !a im%artido instrucciones %ara 'ue se a%li'ue seguridad al e'ui%amiento fuera de las de%endencias de la institución9 n el sericio( 6se !a esta$lecido 'ue se de$e c!e'uear el e'ui%amiento 'ue contiene información %ara segurarse 'ue se !a#a retirado o so$re)escrito cual'uier dato confidencial o licencia antes de su eliminación9
l e'ui%o( información o softHare no de$iera retirarse sin autorización %reia.
6n el sericio se !a %reisto 'ue !a#a una autorización antes del retiro de e'ui%amiento( información o softHare9
SI
SI
SI
P+$,
