Definición de procedimientos

Siguiendo el modelo proporcionado por la ISO 71502 y la legislación aplicable como mínimo van a revisarse o estudiar la conveniencia de crear (y en ese caso crearlos) los siguientes procedimientos organizativos, jurídicos y técnicos circunscritos a los siguientes grupos:

- Política de seguridad

Revisión y evaluación periódica de la política de seguridad
Control y gestión de la documentación

- Aspectos organizativos de la seguridad

Asignación de responsabilidades para la seguridad de la información

- Clasificación y control de activos

Inventario de activos

Clasificación de activos
Clasificación de la información
Revisión y clasificación periódica de activos
Revisión periódica del análisis de riesgos
Marcado y tratamiento de la información

- Seguridad ligada al personal

Contratación del personal
Formación
Comunicación de las incidencias de seguridad

- Seguridad física y del entorno

Instalación y protección de equipos
Mantenimiento de los equipos

- Gestión de comunicaciones y operaciones

Procesos operacionales
Control de cambios operacionales
Gestión de incidencias
Medidas y controles contra software malicioso
Recuperación de la información
Gestión de soportes extraíbles
Eliminación de soportes
Análisis y gestión de riesgos
Planificación de la capacidad del sistema
Autorización de salida de material y/o información
Copias de respaldo y restauración

- Desarrollo y mantenimiento de sistemas

Identificación y autenticación de usuarios
Restricción de acceso a la información
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso lógico a la información
Sistema de gestión - Gestión de contraseñas
Control de cambios de sistema operativo
Selección, control y aprobación de software externo
Especificación de los requerimientos de seguridad
Control de software en operación

- Gestión de continuidad de negocio

Gestión de la continuidad del negocio
Mantenimiento y evaluación de los planes de continuidad

- Conformidad legal

Identificación de la legislación aplicable
Revisión de cumplimiento de la legislación
Auditorías internas

- Procedimientos legales

Procedimiento de actuación ante una inspección de la Agencia de Protección de Datos
Procedimiento para el registro de nombres de dominio
Procedimiento para proteger una oferta comercial en Internet
Procedimiento para las acciones de marketing digital y relacional
Procedimiento de publicidad y acciones de promoción
Procedimiento de uso de derechos exclusivos de terceros
Procedimiento para la validez de la contratación on line
Procedimiento para la protección al consumidor en las ventas y servicios vía Internet
Procedimiento para el uso de Intranet, Extranet, y red corporativa
Procedimiento para el uso corporativo desde el punto de vista legal del correo electrónico y aplicaciones de Internet
Procedimiento para la adquisición y uso de programas de ordenador
Procedimiento de atención a los derechos de acceso, rectificación, oposición y cancelación de los afectados
Procedimiento de creación, modificación y supresión de los ficheros de datos personales
Procedimiento de actualización y mantenimiento de la calidad de ficheros de datos personales
Procedimiento de validación de la cesión o comunicación de datos
Procedimiento de validación de transferencias internacionales de datos
Procedimiento de utilización de técnicas electrónicas, informáticas y telemáticas por la organización
Procedimiento de uso de infraestructuras de clave pública
Procedimiento para la contratación con prestadores de servicios de Internet y Telecomunicaciones
Con carácter condicional se estudiará la conveniencia de crear procedimientos relativos a:
Identificación de riesgos por el acceso de terceros
Contratación de servicios
Externalización
Contratación de empresas colaboradoras
Seguridad del correo electrónico
Sistemas públicamente disponibles
Control de entrada, almacenamiento y salida de la información
Intercambio físico de información
Intercambio lógico de información
Gestión remota de equipos
Control del paso de desarrollo a pruebas
Control del paso de pruebas a producción
Control de cambios de software
Control del diseño de aplicaciones

Cursos similares a Implantación de un sistema de gestión de seguridad