8.1 Responsabilidad por los activos
8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos
Control a Ejecutar
Se deben identificar, documentar e implementar reglas para el uso aceptable de información y de activos asociados con información e instalaciones de procesamiento de información.
Guía de referencia
Tiene la organización una política referente al uso aceptable de los activos de información, así como la validación de su cumplimiento
Las reglas para el uso aceptable incluyen el uso del correo electrónico, Internet y mensajería instantánea.
Las reglas para el uso aceptable incluyen directrices para uso de los dispositivos móviles especialmente para su utilización fuera de las instalaciones de la organización.
8.1.4 Devolución de activos
Control a Ejecutar
Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo.
Guía de referencia
El proceso de terminación de la relación laboral o contractual incluye la devolución de activos físicos y electrónicos entregados previamente, que son propiedad de la organización o que se han confiado a ella.
Cuando los empleados o partes externas utilizan sus propios equipos, deben existir procedimientos para asegurar que toda la información es transferida a la organización y borrada del equipo en forma segura.
Cuando un empleado o parte externa posea conocimiento que son importantes para la operación de la organización, esa información se debería documentar y transferir a la organización.
Existe un procedimiento para controlar la copia no autorizada de información (propiedad intelectual, información confidencial), durante el periodo de notificación de la terminación de la relación laboral o contractual.
8.2 Clasificación de la información
8.2.1 Clasificación de la información
Control a Ejecutar
La información se debe clasificar en función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada.
Guía de Referencia
Existe para los activos de información algún tipo de clasificación en términos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organización.
El esquema de clasificación tiene en cuenta que la importancia de la información puede cambiar
La clasificación se realiza en términos de confidencialidad, integridad y disponibilidad
Los activos y recursos de la organización han sido clasificados y documentados
La organización cuenta con un entendimiento claro del tipo de datos que sus sistemas recolectan (Ej.: privacidad) y los controles necesarios para proteger su integridad y confidencialidad
8.2.2 Etiquetado de la información
Control a Ejecuatar
Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la información, de acuerdo con el esquema de clasificación de información adoptado por la organización.
Guía de referencia
Toda información clasificada es etiquetada
Existen procedimientos para el manejo y etiquetado de la información de acuerdo con el esquema de clasificación
Los procedimientos de etiquetado abarcan los activos de información en formato físico y electrónico.
8.2.3 Manejo de activos
Control a Ejecutar
Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasificación de información adoptado por la organización.
Guía de referencia
Existe un procedimiento para el manejo de los activos de acuerdo a la clasificación
8.3 Manejo de medios de soporte
8.3.1 Gestión de medios de soporte removibles
Control a Ejecutar
Se deben implementar procedimientos para la gestión de medios removibles, de acuerdo con el esquema de clasificación adoptado por la organización.
Guía de referencia
Existen los controles y procedimientos apropiados para proteger los medios removibles, de acuerdo a la clasificación
Control a Ejecutar
Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.
Guía de referencia
Existen procedimientos formales para eliminación de medios en forma segura y sin riesgo.
Control a Ejecutar
Los medios que contienen información se deben proteger contra acceso no autorizado, uso indebido o corrupción durante transporte.
Guía de Referencia
Existen procedimientos para el manejo y almacenamiento de la información para protegerla de divulgación no autorizada, mal uso o destrucción.
Descargar Procedimientos
PROCEDIMIENTO PARA INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
PROCEDIMIENTO GESTIÓN DEL RIESGO EN ACTIVOS DE INFORMACIÓN
PROCEDIMIENTO ELIMINACIÓN SEGURA Y REUTILIZACIÓN DE EQUIPOS
No hay comentarios.:
Publicar un comentario