Business">
Pe Sgsi 001
Pe Sgsi 001
Pe Sgsi 001
a.- Objetivos
Establecer un marco de trabajo para las autoridades y directivos que permita controlar el
funcionamiento de la seguridad de la información dentro de la organización.
Asignar las responsabilidades en relación con seguridad de la información.
Promover la segregación de funciones.
Establecer los mecanismos de coordinación con los contactos y encargados apropiados.
Promover comunicación y contactos con comunidades y grupos asociadas a la seguridad de
la información para fortalecer la comunidad interna tanto técnica como profesional.
Se favorecerá la integración de la seguridad de la información en la gestión de los proyectos
institucionales, sin importar la naturaleza del proyecto.
b.- Alcance
Esta política se aplica a todos los trabajadores y terceras partes que tengan o no una relación directa
o indirecta de acceso a la información que pueda afectar los activos de información de la [Empresa
XXX]. También se aplica a cualesquiera de sus relaciones con terceros que impliquen el acceso a
sus datos, utilización de sus recursos o a la administración y control de sus sistemas de información.
Esta política rige independientemente del lugar en el trabajador presta sus servicios a la
organización, total o parcialmente, e indistintamente de la modalidad de trabajo ya sea “presencial”,
Política De La Organización De La Seguridad De La Información
“a distancia”, “teletrabajo” u otra, en las condiciones que establezca la legislación vigente, los
planteamientos de la Dirección del Trabajo o los Estados de Excepción Constitucional decretados
por el Presidente de la República.
La Política deberá ser revisada por el Comité de Seguridad de la Información. No obstante, aquello,
la [Unidad responsable de Ciberseguridad] promoverá la revisión permanente de esta Política y
generará las propuestas de actualización que sean necesarias, con el objetivo de apoyar el ciclo de
mejora continua del SGSI.
Entre los cambios que hacen necesaria la revisión de las políticas, se debe destacar:
Además, este Comité determinará la metodología y los alcances que estime necesarios para cumplir
los objetivos estratégicos de revisión y cumplimiento de las políticas y su mejora continua.
Las versiones pertinentes de los documentos aplicables se encontrarán disponibles para quienes lo
necesiten y serán almacenados y transferidos de acuerdo con los procedimientos aplicables a su
clasificación.
f.- Difusión
[Directorio]:
Supervisión General.
Responsabilidad:
Responsabilidad:
Proponer las definiciones estratégicas, lineamientos y prioridades, así como también los
recursos e insumos, que permitan orientar y focalizar las políticas, planes, programas e
iniciativas en materias de Seguridad de la Información.
Definir roles y las responsabilidades de todo el personal involucrado, incluyendo además
colaboradores y terceras personas en materia de Seguridad de la información.
Evaluar y seleccionar materias a incorporar en la Política de Seguridad de la Información.
Impulsar y proponer al Jefe de Servicio las políticas y directrices definidas en materia de
seguridad de la información.
Apoyar y promover la seguridad de la información dentro de la empresa, mediante la
difusión, educación y concientización sobre las Políticas y otras medidas de seguridad.
Coordinar, supervisar y monitorear la implementación de las Políticas y procedimientos de
la seguridad de la información.
Coordinar los esfuerzos con las diferentes Divisiones, Departamentos, Servicios y todos los
grupos interés de la empresa que tengan responsabilidades sobre la seguridad de la
información.
Analizar, evaluar y priorizar las estrategias de tratamiento de riegos en la Seguridad de la
Información.
Asegurar la protección de los activos de información en la empresa.
Reportar al [Directorio], el resultado de la implementación de la Política, de los Riesgos, y
de las medidas de administración de la Seguridad de la Información.
Aprobar los aspectos operativos de la implementación del Sistema de Gestión de Seguridad
de la Información.
Definir los mecanismos a través de los cuales se implementará el alcance de la Política
General de Seguridad.
Política De La Organización De La Seguridad De La Información
Responsabilidad:
Jefes de División:
Responsabilidad:
Responsabilidad:
Responsabilidad:
Asesoría jurídica.
Responsabilidad:
Responsabilidad:
Coordinación y operativo.
Responsabilidad:
Informar y notificar al personal que ingrese a la empresa sobre sus obligaciones respecto
del cumplimiento de la Política General de Seguridad de la Información y de todas las
normas, procedimientos y prácticas aplicadas en la [Empresa XXX]. Informar a la [Unidad
responsable de Ciberseguridad] sobre el personal contratado, a efecto de protocolizar,
identificar o designar el perfil de usuario del personal ingresado. Se deberá procurar que la
entrega de esta información sea automatizada y en tiempo real con el objetivo de disminuir
los riesgos de ciberseguridad vinculados a estos casos.
Informar oportunamente a la [Unidad responsable de Ciberseguridad] acerca de los
movimientos del personal para la creación, cambios de estado o eliminación de cuentas de
correo institucionales. Se deberá procurar que la entrega de esta información sea
automatizada y en tiempo real con el objetivo de disminuir los riesgos de ciberseguridad
vinculados a estos casos.
Avisar oportunamente a la [Unidad responsable de Ciberseguridad] en el caso de
modificación de las funciones de un funcionario o empleado de planta, contrata u
honorarios, para realizar un análisis de los derechos de accesos a la información actual que
posee el usuario en cuestión y se retiran permisos de acceso a la información o se otorgarán
nuevos derechos propios de la función asumida, según requiera su Jefatura. Se deberá
procurar que la entrega de esta información sea automatizada y en tiempo real con el
objetivo de disminuir los riesgos de ciberseguridad vinculados a estos casos.
Coordinar con la [Unidad responsable de Ciberseguridad] y el Departamento de
Administración el ingreso, desvinculación o cambios del personal, para resguardar o
recuperar la información de bienes que se encuentran a su cargo y los privilegios de acceso
de información.
Incorporación de la normativa vigente, que se refiera al Sistema de Seguridad de la
información, en los actos administrativos y contratos. Las normas y política expresadas en
esta resolución, se considerarán parte integrante y se adjuntarán a los decretos o
resoluciones de nombramiento o contrataciones de personal, de planta, a contrata o sobre la
base de honorarios.
Responsabilidad:
Operativa Específica.
Responsabilidad:
Trabajadores:
Responsabilidad:
Confidencialidad de la Información
Los contratos o convenios de trabajo, cooperación o servicios suscritos con terceras partes y que
involucren los activos de información, deberán contar con cláusulas de confidencialidad o no
divulgación, debidamente validadas por la [unidad jurídica].
Política De La Organización De La Seguridad De La Información
Todo contrato, convenio o acuerdo con personal externo deberá tener claramente definidas las
exigencias y los distintos niveles de servicios (uso, intercambio, procesamiento, etc.), en términos
de seguridad de la información, requisito que se contemplará como un numeral de las
especificaciones técnicas.
La empresa deberá exigir, al momento del contrato o inicio de operaciones del servicio, la
suscripción de un acuerdo de confidencialidad entre la empresa y la empresa proveedora, al igual
que uno entre la empresa y cada uno de los trabajadores de la empresa contratada que tengan
participación directa en los servicios prestados o tomen conocimientos de datos institucionales
independientemente de si éstos son considerados públicos, reservados o secretos.
Por la complejidad y transversalidad del concepto se implementará una política específica y las
medidas que apoyen la seguridad para proteger la información a la que se accede, procesa o
almacena en los sitios de trabajo a distancia y de teletrabajo.
la seguridad física existente del sitio de teletrabajo, considerando la seguridad física del
edificio y del entorno local;
el entorno de teletrabajo físico propuesto;
los requisitos de seguridad para las comunicaciones, considerando la necesidad de contar
con acceso remoto a los sistemas internos de la organización, la sensibilidad de la
Política De La Organización De La Seguridad De La Información
De manera obligatoria se deberá incorporar las recomendaciones y buenas prácticas sugeridas por el
CSIRT de Gobierno.
En tanto no se disponga de una legislación para el sector público, a efectos de las políticas en las
que se integre el concepto de “trabajo a distancia” o “teletrabajo” se asumirán las siguientes
definiciones, basadas en la Ley N°21.220:
Trabajo a distancia:
Política De La Organización De La Seguridad De La Información
Es trabajo a distancia aquel en el que el trabajador presta sus servicios, total o parcialmente, desde
su domicilio u otro lugar o lugares distintos de los establecimientos, instalaciones o faenas de la
empresa.
Teletrabajo: