Guía de Implementación del Marco de Ciberseguridad 5.0

PS.1 Adoptar una Política de Seguridad de la información

Requisito PS.1Adoptar una Política de Seguridad de la información
ObjetivoProporcionar lineamientos de gestión en línea acorde a los objetivos de la organización, contemplando la normativa aplicable. Disponer de medidas para garantizar la confianza y seguridad de los sistemas y de la información en poder de la organización, así como proteger los activos de información y minimizar el impacto en los servicios causados por amenazas o incidentes de seguridad. Demostrar el compromiso de la Dirección con la seguridad de la información.
Controles

Nivel 1

  • PS.1-1: existe una política de seguridad aprobada por la Dirección.
  • PS.1-2: la política es difundida a todo el personal y partes interesadas relevantes.

Nivel 2

  • PS.1-3: la política define los responsables de su cumplimiento.
  • PS.1-4: la política se encuentra disponible en un sitio accesible.

Nivel 3

  • PS.1-5: la política es revisada ante cambios significativos de índole normativo o del contexto de la organización.
  • PS.1-6: los resultados de las revisiones de la política son documentados y comunicado al CSI.
  • PS.1-7: ante modificaciones la política es difundida nuevamente.

Nivel 4

  • PS.1-8: la política es revisada periódicamente.
  • PS.1-9: la política cuenta con indicadores definidos para su evaluación. 
Guía de implementación

Política de Seguridad de la Información
La Política de Seguridad de la Información debe estar respaldada por una planificación estratégica o plan de acción con roles y responsabilidades definidos para las diferentes funciones.

Aprobación y difusión
La Política de Seguridad de la Información debe estar respaldada por una planificación estratégica o plan de acción con roles y responsabilidades definidos para las diferentes funciones.

Aprobación y difusión
La Política de Seguridad de la Información debe ser aprobada por la Dirección o CSI y comunicada a todo el personal y terceras partes relevantes.

Revisión
La Política de seguridad de la información y demás políticas relacionadas, deben revisarse a intervalos regulares o cuando se produzcan cambios significativos para garantizar su adecuación y eficacia. Se deben definir indicadores para la medición de la efectividad de las políticas de seguridad definidas.
 

Instituciones de saludLa Política de Seguridad de la Información debe brindar las mayores garantías para salvaguardar la integridad, confidencialidad y disponibilidad de las historias clínicas, velando por la privacidad de la información sensible que está en poder de la institución. 
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Resolución con la adopción de la Política de Seguridad de la Información, u otro mecanismo o registros que evidencie la Política formalmente aprobada.
  • Acceso a la publicación de la Política de Seguridad de la Información (por ejemplo, sitio institucional, Intranet, otros) y evidencia de su difusión.
  • Cuestionarios al personal para corroborar el conocimiento de la Política de Seguridad de la Información.
  • Registro de revisión de la Política de Seguridad de la Información por parte de la Dirección (minutas, actas, correos, formularios, otros).
  • Registro de cambios a la Política de Seguridad de la Información.
Normativa asociadaNo aplica

Etiquetas