Directriz, Política, Marco Normativo y Gestión de la Seguridad de la Información PDF
Document Details
Uploaded by DauntlessGhost8947
null
Tags
Summary
This document is a guideline on information security, outlining policies, procedures, and roles. It covers topics such as principles of security, roles and responsibilities, and the importance of integrating security into all aspects of information management within an organization. The document also details the background and objectives of the policy.
Full Transcript
## Directriz, Política, Marco Normativo y Gestión de la Seguridad de la Información ### Antecedentes ADIF y ADIF AV tienen como objetivo gestionar un sistema de infraestructuras seguro, eficiente y sostenible. La Subdirección de Seguridad de la Información (SSI) vela por la privacidad, integridad y...
## Directriz, Política, Marco Normativo y Gestión de la Seguridad de la Información ### Antecedentes ADIF y ADIF AV tienen como objetivo gestionar un sistema de infraestructuras seguro, eficiente y sostenible. La Subdirección de Seguridad de la Información (SSI) vela por la privacidad, integridad y seguridad de los sistemas de información y redes. La seguridad es clave para prevenir, detectar, responder y recuperarse de incidentes en entornos tecnológicos en constante evolución. ### Objeto - Desarrollar la Política de Seguridad de la Información (PSI) mediante principios y compromisos claros. - Garantizar una gestión adecuada de la Seguridad de la Información alineada con la normativa vigente. - Integrar la seguridad en todas las etapas del ciclo de vida de los sistemas de información. ### Ámbito de Aplicación - Todo el personal interno y externo relacionado con la Seguridad de la Información. - Cualquier uso de los sistemas de información de la Organización. ### Principios Básicos de Seguridad - Seguridad como un proceso integral. - Gestión de la seguridad basada en los riesgos. - Prevención, detección, respuesta y conservación. - Existencia de líneas de defensa. - Vigilancia continua. - Reevaluación periódica. - Segregación de responsabilidades. ### Compromisos 1. Considerar la información, los sistemas de gestión y los operacionales como activos estratégicos. 2. Mantener una estructura organizativa definida en el Modelo de Gobierno. 3. Implantar las medidas necesarias para garantizar los niveles requeridos de seguridad. 4. Promover una cultura de concienciación en Seguridad de la Información. 5. Evolucionar el Sistema de Gestión de Seguridad de la Información. 6. Implementar mecanismos para garantizar la continuidad ante contingencias graves. 7. Colaborar con organismos y agencias gubernamentales relevantes. ### Roles y Responsabilidades | Rol | Descripción | | :------------------------------------ | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Responsable de Seguridad de la Información (RSI) | Lidera y coordina todas las actividades relacionadas con la seguridad de la información dentro de la organización. | | Delegado de Seguridad de la Información (DSI) | Actúa como enlace entre las áreas de negocio y el RSI, asegurando que se implementen los controles necesarios en cada área. | | Responsable de Negocio (RNEG) | Es responsable de definir los niveles de seguridad requeridos para los servicios e información bajo su gestión. | | Responsable de Sistemas (RSIS) | Opera y mantiene los sistemas de información, asegurando que cumplan con los niveles de seguridad establecidos. | | Responsable Juridico (RJ) | Proporciona asesoramiento legal sobre la normativa vigente en materia de seguridad de la información. | | Delegado de Protección de Datos (DPD) | Garantiza que se cumpla con la normativa de protección de datos dentro de la organización. | | Usuarios (USUARIOS) | Siguen las normas y procedimientos establecidos en el marco normativo para garantizar un uso seguro de los sistemas de información. | ### Control de Modificaciones | Revisión | Descripción | | :-------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Revisión 0: Creación del documento (2020). | | | Revisión 1: Actualización tras cambios legales (2021). | | | Revisión 2: Modificación de la PSI y directrices (2023). | | ### Comités | Comité | Descripción | | :-------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Comisión de Seguridad Integral (CSI) | Es el comité encargado de coordinar y supervisar todas las estrategias y objetivos relacionados con la seguridad de la organización. | | Comité de Seguridad de la Información (CSI) | Es el comité responsable de implementar medidas y acciones necesarias para prevenir y gestionar riesgos relacionados con la información. | ### Directrices de Seguridad | Categoría | Descripción | | :------------------------------------------ | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Gobernanza | | | Gestión de Activos | | | Protección de la Información | | | Seguridad en Recursos Humanos | | | Seguridad Fisica | | | Gestión de Eventos de Seguridad de la Información | | | Seguridad de Aplicaciones | | | Configuración Segura | | | Gestión de Identidad y Acceso | | | Gestión de Amenazas y Vulnerabilidades | | | Continuidad | | | Seguridad en Relaciones con Proveedores | | | Legal y Cumplimiento | | | Seguridad del Sistema y de la Red | |
