Objetivo | Proporcionar lineamientos de gestión en línea acorde a los objetivos de la organización, contemplando la normativa aplicable. Disponer de medidas para garantizar la confianza y seguridad de los sistemas y de la información en poder de la organización, así como proteger los activos de información y minimizar el impacto en los servicios causados por amenazas o incidentes de seguridad. Demostrar el compromiso de la Dirección con la seguridad de la información. |
Controles | Nivel 1 - PS.1-1: existe una política de seguridad aprobada por la Dirección.
- PS.1-2: la política es difundida a todo el personal y partes interesadas relevantes.
Nivel 2 - PS.1-3: la política define los responsables de su cumplimiento.
- PS.1-4: la política se encuentra disponible en un sitio accesible.
Nivel 3 - PS.1-5: la política es revisada ante cambios significativos de índole normativo o del contexto de la organización.
- PS.1-6: los resultados de las revisiones de la política son documentados y comunicado al CSI.
- PS.1-7: ante modificaciones la política es difundida nuevamente.
Nivel 4 - PS.1-8: la política es revisada periódicamente.
- PS.1-9: la política cuenta con indicadores definidos para su evaluación.
|
Guía de implementación | Política de Seguridad de la Información La Política de Seguridad de la Información debe estar respaldada por una planificación estratégica o plan de acción con roles y responsabilidades definidos para las diferentes funciones. Aprobación y difusión La Política de Seguridad de la Información debe estar respaldada por una planificación estratégica o plan de acción con roles y responsabilidades definidos para las diferentes funciones. Aprobación y difusión La Política de Seguridad de la Información debe ser aprobada por la Dirección o CSI y comunicada a todo el personal y terceras partes relevantes. Revisión La Política de seguridad de la información y demás políticas relacionadas, deben revisarse a intervalos regulares o cuando se produzcan cambios significativos para garantizar su adecuación y eficacia. Se deben definir indicadores para la medición de la efectividad de las políticas de seguridad definidas. |
Instituciones de salud | La Política de Seguridad de la Información debe brindar las mayores garantías para salvaguardar la integridad, confidencialidad y disponibilidad de las historias clínicas, velando por la privacidad de la información sensible que está en poder de la institución. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Resolución con la adopción de la Política de Seguridad de la Información, u otro mecanismo o registros que evidencie la Política formalmente aprobada.
- Acceso a la publicación de la Política de Seguridad de la Información (por ejemplo, sitio institucional, Intranet, otros) y evidencia de su difusión.
- Cuestionarios al personal para corroborar el conocimiento de la Política de Seguridad de la Información.
- Registro de revisión de la Política de Seguridad de la Información por parte de la Dirección (minutas, actas, correos, formularios, otros).
- Registro de cambios a la Política de Seguridad de la Información.
|
Normativa asociada | No aplica |