NORMA NTP – ISO 17799 – 2007 (27001)
CUMPLIMIENTO
CUMPLIMIENTO
OBJETIVO
Tiene
como objetivo evitar los incumplimientos de cualquier ley civil o penal,
requisito reglamentario, regulación u obligación contractual, y de todo
requisito de seguridad
QUE
SE DEBE HACER ?
Para
lograr el cumplimiento de la NTP ISO 17799 – 2007 toda Entidad debe cumplir con
los siguientes parámetros que se detallan a continuación:
1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES
El diseño, operación, uso y gestión de
los sistemas de información puede estar sujeto a requisitos estatutarios,
regulatorios y contractuales de seguridad
Se debería buscar el asesoramiento
sobre requisitos legales específicos de los asesores legales de la
organización, o de profesionales del derecho calificados.
Los requisitos legales varían de un
país a otro, al igual que en el caso de las transmisiones internacionales de
datos (datos creados en un país y transmitidos a otro).
Se deberían definir, documentar y
mantener actualizado de forma explícita todos los requisitos legales,
regulatorios y contractuales que sean importantes para cada sistema de
información.
Implementación
Los controles, medidas y
responsabilidades específicos deben ser similarmente definidos y documentados
para cumplir dichos requerimientos.
2. REVISIONES DE LA POLÍTICA DE SEGURIDAD
Y DE LA CONFORMIDAD TÉCNICA
Control
Los gerentes deberían asegurarse que
se cumplan correctamente todos los procedimientos de seguridad dentro de su
área de responsabilidad cumpliendo las políticas y estándares de
Seguridad.
Implementación
Los gerentes deben realizar revisiones
regulares que aseguren el cumplimiento de las políticas y normas de seguridad.- Si se encuentra una no conformidad como resultado de la revisión, los gerentes deben de determinar las causas de la no conformidad.
- evaluar la necesidad de acciones para asegurar que la no conformidad no vuelva a ocurrir;
3. CONSIDERACIONES SOBRE LA AUDITORÍA INFORMÁTICA
OBJETIVO:
Maximizar la efectividad y
minimizar las interferencias en el proceso de auditoria del sistema.
Se deberían establecer controles para
salvaguardar los sistemas operativos y las herramientas de auditoria durante
las auditorias del sistema. También se requiere protección para salvaguardar la
integridad y evitar el mal uso de las herramientas de auditoria.
Control
Se deberían planificar cuidadosamente y acordarse los
requisitos y actividades de auditoria
Que impliquen comprobaciones en los
sistemas operativos, para minimizar el riesgo de interrupción de los procesos
de negocio.
Implementación
Se debería observar las siguientes
pautas:
- deberían acordarse los requisitos de auditoria con la gerencia apropiada.
- debería acordarse y controlarse el alcance de las verificaciones.
- las verificaciones se deberían limitar a accesos solo de lectura al software y a los datos.
- otro acceso distinto a solo lectura, únicamente se debería permitir para copias aisladas de archivos del sistema, que se deberían borrar cuando se termine la auditoria.
- los recursos de tecnología de la información para realizar verificaciones deberían ser explícitamente identificados y puestos a disposición.
- los requisitos para procesos especiales o adicionales deberían ser identificados y acordados.
- todos los accesos deberían ser registrados y supervisados para producir un seguimiento de referencia; el uso de seguimiento de referencia de tiempo debe ser considerado para sistemas o datos críticos.
- todos los procedimientos, requisitos y responsabilidades deberían estar documentados.
- las personas que llevan a cabo la auditoria deben ser independientes de las actividades auditadas.
No hay comentarios:
Publicar un comentario