PLAN DE SEGURIDAD

ID
1
2
3
4
5
6
7
8
9

EGURIDAD
Seccion
Historia de revision
Acerca de este documento
Quin debe utilizar este documento?
Resumen ejecutivo
Identificacion del organismo
Contactos personales
Leyes o reglamentos aplicables
CERRADO / EVALUACIONES DE ARTCULOS (informes de auditora, anlisis de brechas, etc.)
CONTROLES DE SEGURIDAD DATOS Y COMENTARIOS

Se ponen las versiones los autores las fechas de realizacion del documento

Este documento se proporciona en formato de plantilla. Una vez poblada de detalles, este documento entreg

Esta plantilla tambin proporciona un documento con los controles de seguridad de la informacin

El plan de seguridad refleja el aporte de la gestin responsable del sistema, incluidos los propietarios de la in

Informacion detallada de la agencia nombre codigo direccion nombre del director

incluyen informacin de contacto de la autoridad de seguridad de la informacin, informacin de enlace de s

La lista de las leyes o reglamentos aplicables se proporciona en esta seccin.
En esta seccin incluyen abierto o cerrado auditora de TI hallazgos, conclusiones derivadas de riesgo, evalu
Instrucciones: En las secciones que siguen, documentar la ubicacin de la poltica de la agencia, el procedim

fecha de iniciofecha de termino

D.4 Apndice: Construir las actividades del componente del sistema

ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

Apndice: Construir las actividades del componente del sistema

SECCION
Compruebe que el entorno de desarrollo y prueba ha sido
Revisin y / o codificacin plan y las actividades de prueba
unidades de software de cdigo individual y la base de datos en el idioma (s) de programacin seleccionada
Compilar las unidades de cdigo individuales y corregir errores
Inspeccionar y modificar el cdigo
Expandir la Matriz de Trazabilidad de Requisitos (RTM) para reflejar las unidades y mdulos de cdigo

Actualizacin / desarrollar procedimientos de prueba de software en el plan de pruebas (Unidad e Integracin

Ejecutar pruebas de unidad y colocar el cdigo de prueba bajo el control de configuracin
Definir las pruebas de integracin

Integrar unidades de software y componentes y prueba como los agregados se desarrollan de acuerdo con e
Inspeccionar y modificar el cdigo
Ejecutar pruebas de integracin y el cdigo de lugar bajo control CM
Realizar compilacin de software (establecer la lnea de base)
Desarrollar Versin Descripcin del documento (VDD)
Desarrollar Verificacin, validacin y pruebas (V, V & T) Plan
Finalizar el Plan de Formacin
Desarrollar Manual de Operaciones
Desarrollar el Plan de instalacin y conversin (ICP)
Actualizacin del Plan de Proyecto
fase de salida del resumen

instalado correctamente
Obtener una formacin en la codificacin y prueba de metodologas, tcnicas y herramientas.
Revisar el SDD / DBDD y el SRS
Compilar el cdigo fuente de errores y comprobacin de sintaxis
Realizar una revisin de cdigo usando los estndares de codificacin que se hace referencia en el plan del
Use una herramienta automatizada en su caso actualizar el RTM.
Revisin SDD, DBDD, y SRS segn sea el caso
Prueba de cada unidad y la base de datos garantizando que satisfaga sus necesidades.
Actualizar la TP (Unidad e Integracin), segn sea necesario
Compilar el cdigo fuente de errores y comprobacin de sintaxis

Realizar una revisin de cdigo usando los estndares de codificacin que se hace referencia en el plan del p
Crear la lnea de base de desarrollo e incorporan Notificacin

Documentar los procedimientos de compilacin de resultados internos y en las instrucciones de construccin

Revisin FRD, SRS, SDD, DS, DBDD, y SSP, y el cdigo fuente y la documentacin del cdigo relacionado
Revisin FRD, SRS, SDD, DS, DBDD, y SSP

Identificar las modificaciones que deben hacerse a la estrategia de formacin para reflejar el impacto de cua
Revisin SRS, DBDD, SDD
Desarrollar procedimientos que deben seguirse cuando se instala el sistema: Incluir
las actividades del proyecto de pista

Preparar un plan de accin aceptable para abordar cada problema o inquietud recibido. (Nota: A veces, los p
Reunin salida Conducta
- Cargos actuales de los aprobadores, adems de los problemas y / o preocupaciones, y cualquier otra cuesti
- Los planes de accin deben ser presentados para cada tema o inquietud

DIRIGE
Lder de desarrollo
Lder de Desarrollo de Software
Lder de Desarrollo de Software

Lder de Desarrollo de Software

Equipo de requerimientos
Lder de Desarrollo de Software
Lder de Desarrollo de Software
Lder de Desarrollo de Software
Lder de Desarrollo de Software
Lder de Desarrollo de Software

Equipo CM
Equipo CM
Equipo de pruebas de software
Equipo de Entrenamiento

Equipo de operaciones
Equipo de operaciones
PM tcnica
PM tcnica

D.5 Apndice: evaluar el sistema de Preparacin Fase Actividades

ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Apndice: evaluar el sistema de Preparacin Fase Actividades

SECCION
Finalizar el Medio Ambiente y los componentes del test para ser ejecutado
Preprese para ejecutar las pruebas, iniciar la ejecucin de las pruebas y verificar los resultados:
Registrar y verificar los resultados de prueba
conclusiones del informe (discrepancias), completando un CR
Presentar al CR Configuracion al comit de control
correcciones enviadas volver a hacer la prueba
Evaluar los resultados
Expandir la Matriz de Trazabilidad de Requisitos (RTM) para reflejar
Auditora de Configuracin Conducta
Actualizacin de la versin Descripcin Documento (VDD)
Finalizar el plan de instalacin y conversin (ICP)
Material de formacin de prueba segn se requiera
Manual de Usuario de prueba
Completar la evaluacin de la seguridad y autorizacin (SA & A) para el sistema.
Actualizacin del Plan de Proyecto
fase de salida de la opinin

DESCRIPCION

Verificar el entorno de prueba del sistema cumple con los requisitos especficos relacionados con el sistema
Revise la siguiente:
Al trmino de las pruebas individuales identificadas en el Plan V, V & T, comparar los resultados reales con lo
Documentacin de apoyo puede incluir imgenes de los datos de prueba antes y despus de la prueba fue e
Las correcciones o cambios en el producto de software deben ser controladas bajo gestin de la configuraci
Repita los pasos 2-6 segn sea apropiado hasta que todas las pruebas se han ejecutado y documentado en l
Compilar el resultado de cada prueba individual documentado en el plan de V, V & T en los resultados de la p
Use una herramienta automatizada si es aplicable para actualizar la matriz de trazabilidad.
Evaluar si el sistema, subsistema o elemento de configuracin cumple con sus requisitos tcnicos y en caso
Construir opinin Notificacin, requisitos funcionales de documentos (FRD), SRS, Diseo Descripcin del softw
Segn sea necesario actualizar el ICP en base a las modificaciones necesarias en el sistema como resultado
Referencias para algunos de estos materiales de capacitacin se enumeran en la OPM SDLC
Revisar el SRS y el Documento de Requisitos del usuario (URD), segn sea necesario
Revisar la OPM Seguridad de TI y Poltica de privacidad
Determinar si el proyecto estima por los recursos, el costo y el horario necesita ser revisada.
Notificar al equipo de proyecto y su equipo ampliado (usuarios, POC, reas de apoyo) que una salida Fase d

DIRIGE
Equipo de pruebas
Equipo de pruebas
Equipo de pruebas
Equipo de prueba

Equipo de pruebas
Equipo
Equipo
Equipo
Equipo
Equipo
Equipo

de pruebas
de requerimientos
CM
CM
de operaciones
de entrenamiento

Lder de desarrollo

Tecnico PM
Tecnico PM
Tecnico PM

politicas de seguridad
ID

SECCION
1 INTRODUCCIN
1.1 PROPOSITO
1.2 ALCANCE
1.3 HISTORIA
1.4 RESPOSABILIDADES
1.5 POLITICA GENERAL DE DEFINICIONES

2 Poltica de los activos de TI

2.1 Propsito
2.2 Alcance
2.3 Definicin de la Poltica

3 Poltica de control de acceso

3.1 Propsito
3.2 Alcance
3.3 Definicin de la Poltica

4 Poltica de control contrasea

4.1 Propsito
4.2 Alcance
4.3 Definicin de la Poltica

5 Poltica de email
5.1 Propsito
5.2 Alcance
5.3 Definicin de la Poltica

6 Poltica de internet
6.1 Propsito
6.2 Alcance
6.3 Definicin de la Poltica

7 Poltica de antivirus
7.1 Propsito
7.2 Alcance

7.3 Definicin de la Poltica

8 Politica de la clasificacion de la informacio

8.1 Propsito
8.2 Alcance
8.3 Definicin de la Poltica

9 Poltica de acceso remoto

9.1 Propsito
9.2 Alcance
9.3 Definicin de la Poltica

10 Poltica de outsourcing
10.1 Propsito
10.2 Alcance
10.3 Definicin de la Poltica

DESCRIPCION

La Poltica de Seguridad de la Informacin establece los tipos y niveles de seguridad de los recursos de tecno
Este documento est dirigido Poltica de Seguridad para definir los requisitos de seguridad para el uso adecu
Este documento se aplica a todos los usuarios de la organizacin, incluidos los usuarios temporales, visitante
Esta seccin de la Poltica de Seguridad est dirigido a comprobar el tiempo de vida de una versin especfic
Identificar todos los roles involucrados y sus responsabilidades en la aplicacin de las polticas en este docum
1. Las excepciones a las polticas definidas en cualquier parte de este documento slo podrn ser autorizado
2. Cada vez que se invoca una excepcin de orden, una entrada debe ser introducido en un registro de segur
3. Todos los servicios de TI se deben utilizar en el cumplimiento de los requisitos tcnicos y de seguridad defi
4. Las infracciones de las polticas en este documento pueden dar lugar a medidas disciplinarias. En algunos

Esta seccin de la Poltica de Seguridad enumera las polticas para el manejo seguro de los activos de TI.
La seccin de Poltica de Activos de TI define los requisitos para el manejo correcto y seguro de todos los act
Escribe aqu los que esta poltica est dirigida a. Al hacer esto que est facilitando la distribucin de las polt
1. Los activos de TI slo deben ser utilizadas en conexin con las actividades comerciales que tienen asignad
2. Todos los activos de TI deben clasificarse en una de las categoras en las categoras de seguridad de la Or
3. Cada usuario es responsable de la conservacin y el uso correcto de los activos de TI que han sido asignad
4. Todos los activos de TI deben estar en lugares con restricciones de acceso de seguridad, las condiciones a
5. Active desktop y porttiles deben ser asegurados si no se corrige. Siempre que sea posible, esta poltica d
6. El acceso a los activos est prohibido para personas no autorizadas. Concesin de acceso a los activos inv
7. Todo el personal que interactan con los activos de TI deben tener la formacin adecuada.
8. Los usuarios debern mantener los activos asignados a ellos limpio y libre de accidentes o uso incorrecto.
9. El acceso a los activos en la ubicacin Organizacin debe ser restringido y debidamente autorizado, incluy
10. Los equipos de TI tcnicas son el nico responsable de mantener y actualizar configuraciones. Ninguno o
11. Especial cuidado se debe tomar para la proteccin de ordenadores porttiles, PDAs y otros activos portt
12. Cuando se viaja en avin, equipos porttiles, como ordenadores porttiles y PDAs debe permanecer en p
13. Siempre que sea posible, el cifrado y borrado de tecnologas deben ser implementadas en activos portt
14. Las prdidas, robo, daos, manipulacin u otro incidente relacionado con activos que compromete la seg
15. La eliminacin de los activos debe hacerse de acuerdo con los procedimientos especficos para la protecc

Esta seccin de la Poltica de Seguridad listas de polticas para garantizar el control de acceso.
La seccin de Poltica de Control de Acceso define los requisitos para el control adecuado y seguro del acceso
Esta poltica se aplica a todos los usuarios de la organizacin, incluidos los usuarios temporales, visitantes co
1. Cualquier sistema que maneja informacin valiosa debe ser protegido con un sistema de control de acceso
2. Cualquier sistema que maneja informacin confidencial debe estar protegido por un sistema de control de
3. Lista de control de acceso discrecional debe estar en su lugar para controlar el acceso a los recursos para
4. Los controles de acceso obligatorios deben estar en su lugar para regular el acceso de proceso que opera
5. El acceso a los recursos debe concederse sobre una base por grupo en lugar de sobre una base por usuari
6. El acceso se conceder en virtud del principio de "menos privilegio", es decir, cada identidad debe recibir
7. Siempre que sea posible, debera permitirse el acceso a la definida en el centro y las identidades administ
8. Los usuarios deben abstenerse de tratar de manipular o evadir el control de acceso con el fin de obtener u
9. Los controles automticos, tecnologas de anlisis y procedimientos de revisin peridicas deben estar en
Esta seccin de la Poltica de Seguridad listas de polticas para garantizar el control de contrasea.

La seccin de Poltica de Control de contrasea define los requisitos para el manejo correcto y seguro de las
Esta poltica se aplica a todos los usuarios de la organizacin, incluidos los usuarios temporales, visitantes co
1. Cualquier sistema que maneja informacin valiosa debe ser protegido con un sistema de control de acceso
2. Cada usuario debe tener una identidad separada y privada para acceder a los servicios de TI de la red.
3. Las identidades deben ser creados y gestionados de forma centralizada. Se anima inicio de sesin nico p
4. Cada identidad tiene que tener una contrasea segura, privada, alfanumrico para poder acceder a cualqu
5. Cada usuario regular podr utilizar la misma contrasea para no ms de 90 das y no menos de 3 das. La
6. contrasea para algunas identidades especiales no expirar. En esos casos, la contrasea debe tener al m
7. El uso de credenciales administrativas para el trabajo no administrativo no se recomienda. Los administra
Est prohibido 8. Intercambio de contraseas. Ellos no deben ser revelados o est expuesta a la vista del pb
9. Siempre que una contrasea se considerar comprometida, debe ser cambiada inmediatamente.
10. Para aplicaciones crticas, certificados digitales y la autenticacin de mltiples factores que usan tarjetas
11. Las identidades deben ser bloqueados si la contrasea se sospecha conjeturar en la cuenta.

Esta seccin de la Poltica de Seguridad enumera las polticas para el manejo seguro de correo electrnico.
La seccin de Poltica de Correo define los requisitos para el uso correcto y seguro del correo electrnico en l
Esta poltica se aplica a todos los usuarios de la organizacin, incluidos los usuarios temporales, visitantes co

. Todas las direcciones de correo electrnico asignadas, almacenamiento de buzn de correo y enla
2. El uso de los recursos de la Organizacin para la publicidad no autorizada, el negocio externo, co
3. En ningn caso se pueden utilizar los recursos de correo electrnico para revelar informacin co
4. El uso de los recursos de correo electrnico de la Organizacin para la difusin de mensajes con
5. El uso de los recursos de correo electrnico de la Organizacin se mantiene slo en la medida y
6. Los usuarios deben tener identidades privadas para acceder a sus mensajes de correo electrnic
7. La privacidad no est garantizada. Cuando aparecen los requisitos ms fuertes para la confidenc
8. Las identidades de acceso a correo electrnico corporativo deben ser protegidos por contrasea
9. Los mensajes salientes de los usuarios corporativos deberan haber aprobado firmas al pie del m
10. Anexos deben ser limitadas en tamao de acuerdo a los procedimientos especficos de la Organ
11. Siempre que sea posible, el uso de tecnologas de derechos digitales se anima para la protecci
12. tecnologas de anlisis para el virus y el malware deben estar en su lugar en los ordenadores c
13. Los incidentes de seguridad deben ser informados y manipulados tan pronto como sea posible
14. contenido de los buzones de correo corporativo se almacena centralmente en lugares donde la

Esta seccin de la Poltica de Seguridad listas de polticas para el acceso seguro a Internet.
La seccin de Poltica de Internet define los requisitos para el acceso adecuado y seguro a Internet.
Esta poltica se aplica a todos los usuarios de la organizacin, incluidos los usuarios temporales, visitantes co
1. Se permite el acceso limitado a Internet para todos los usuarios.
2. Se permite el uso del servicio de mensajera para fines comerciales.
3. El acceso a sitios pornogrficos, sitios de piratera informtica y otros sitios de riesgo est totalmente desa
4. La descarga es un privilegio asignado a algunos usuarios. Se puede solicitar un servicio.
5. Acceso a Internet es principalmente para fines de negocios. Se permite -algunos de navegacin personal l
6. El trfico entrante y saliente se debe regular el uso de servidores de seguridad en el permetro. Volver a la
7. En el acceso a Internet, los usuarios deben comportarse de una manera compatible con el prestigio de la O
8. trfico de Internet debe ser monitoreado en los servidores de seguridad. Cualquier ataque o abuso deben
9. Las medidas razonables deben estar en su lugar en los servidores, estaciones de trabajo y equipos para la

Esta seccin de la Poltica de Seguridad enumera las polticas para la aplicacin de anti-virus y otras formas
La seccin de poltica antivirus define los requisitos para la correcta aplicacin de antivirus y otras formas de
Esta poltica se aplica a los servidores, estaciones de trabajo y equipos de la Organizacin, incluyendo los dis

1.
2.
3.
4.
5.
6.

Todos los equipos y dispositivos con acceso a la red de organizacin debe tener un cliente antivirus instala
Todos los servidores y estaciones de trabajo de propiedad de la Organizacin o permanentemente en uso
Los equipos de organizacin que trabaja de forma permanente en la red de otra organizacin pueden esta
Los equipos que viajan de la Organizacin que rara vez se conectan a la red de organizacin puede tener
Todos los antivirus instalados deben actualizar automticamente su definicin de virus. Ellos deben ser mo
Se requiere de los visitantes computadoras y todos los equipos que se conectan a la red de la Organizaci

Esta seccin de la poltica de seguridad define un marco para la clasificacin y el uso de la informacin de ac
La seccin de Informacin Poltica de Clasificacin define un marco para la clasificacin de la informacin en
Esta poltica se aplica a toda la informacin creada, propiedad o gestionados por la Organizacin, incluidos lo
. Los propietarios de la informacin deben garantizar la seguridad de su informacin y los sistemas que lo so
2. Informacin de Gestin de Seguridad es responsable de garantizar la confidencialidad, integridad y dispon
3. El incumplimiento debe ser reportado inmediatamente al responsable de seguridad de la informacin. Si e
4. La informacin de la Organizacin se clasifica de acuerdo a su impacto en la seguridad. Las categoras act
5. La informacin confidencial definida como tiene el ms alto nivel de seguridad. Slo un nmero limitado d
6. La informacin definida como sensible debe ser manejado por un mayor nmero de personas. Es necesari
7. La informacin definida como compartible puede ser compartida fuera de los lmites de la Organizacin, p
8. La informacin definida como pblica puede ser compartida como registros pblicos, por ejemplo, conteni
9. La informacin es considerada como privada pertenece a los individuos que son responsables del manteni
10. La informacin se clasifica en forma conjunta por el oficial de seguridad de la informacin y la informaci

Esta seccin de la Poltica de Seguridad listas de polticas para el acceso remoto seguro a los recursos intern
La seccin de poltica de acceso remoto define los requisitos para el acceso remoto seguro a los recursos inte
Esta poltica se aplica a los usuarios y dispositivos que necesitan acceder a los recursos internos de la Organ
1. Para acceder a los recursos internos desde ubicaciones remotas, los usuarios deben tener la autorizacin n
2. Slo los canales seguros con autenticacin mutua entre el servidor y los clientes deben estar disponibles p
3. El acceso remoto a la informacin confidencial no se debe permitir. La excepcin a esta regla slo puede a
4. Los usuarios no deben conectarse desde ordenadores pblicos a menos que el acceso es para la visualizac

Esta seccin de la Poltica de Seguridad listas de polticas para la externalizacin de los servicios, funciones y
La seccin de poltica de contratacin externa define los requisitos necesarios para minimizar los riesgos aso
Esta poltica se aplica a la Organizacin; los proveedores de servicios a los que los servicios de TI, se han ext
1. Antes de la externalizacin de cualquier servicio, funcin o proceso, una cuidadosa estrategia se debe seg
2. Siempre que sea posible, un proceso de licitacin se deben seguir para seleccionar entre varios proveedor
3. En cualquier caso, el proveedor de servicios debe ser seleccionado despus de evaluar su reputacin, exp
4. Las auditoras se deben planificar con antelacin para evaluar el desempeo del proveedor de servicios an
5. Un contrato de servicio y los niveles de servicio definidos deben ser acordados entre la Organizacin y el p
6. El proveedor de servicios debe obtener la autorizacin de la Organizacin, si se propone contratar a un ter

uarios en la mayor medida posible contra las amenazas de seguridad que podran poner en peligro sus resultados integ
icas en este documento es obligatorio para esta circunscripcin.
nes para cada uno de ellos. Las polticas deben ser revisados y actualizados peridicamente con el tiempo para manten

nejar la peticin y autorizacin de excepciones.

cio aprobado y.

n externa deben ser revisados y mantenidos peridicamente.

e o software de instalacin.

iembro del equipo de seguridad de informacin. Los activos que almacenan informacin sensible deben ser totalmente

e la direccin de correo electrnico personal en Internet para fines personales puede ser permitido si al hace
prohibido.

uenta asociada debe ser desactivado de acuerdo con los procedimientos establecidos para el ciclo de vida de
ados adecuados.
el oficial de seguridad de la informacin puede aprobar la intercepcin y divulgacin de mensajes.
a para la gestin de identidades. El intercambio de contraseas no se recomienda. Los usuarios no deben pas

sponder por s mismos a los ataques de seguridad.

dad y restauracin deben ser manejados de acuerdo a los procedimientos establecidos para la gestin de la

e afectado. navegacin personal no se recomienda durante las horas de trabajo.

rial cuestionable, infraccin de derechos de autor y otros estn estrictamente prohibidos.

lticas se aplican a los ordenadores y dispositivos que acceden a los recursos de la organizacin externa.

ispositivos itinerantes que se conecta peridicamente a la red de la Organizacin o que se pueden gestionar a travs d
s estarn protegidos tambin.

ilidad de la informacin Organizacin.

n procedimientos especiales definidas por la Gestin de Seguridad.

cin de la funcin relacionada.

macin y la otorgada por la administracin de accesos.

ursos, una empresa especializada debe ser contratado para realizar la auditora.

en peligro sus resultados integridad, privacidad, reputacin y de negocio.

nte con el tiempo para mantenerse al da con los cambios en los riesgos, las tecnologas y los reglamentos.

sensible deben ser totalmente eliminado en presencia de un miembro del equipo de seguridad de la informacin antes

ede ser permitido si al hacerlo no hay consumo perceptible en los recursos del sistema de organizacin y la

cidos para el ciclo de vida de las cuentas.

acin de mensajes.
a. Los usuarios no deben pasar por otro usuario.

ecidos para la gestin de la continuidad de TI.

nizacin externa.

se pueden gestionar a travs de canales seguros a travs de Internet.

y los reglamentos.

uridad de la informacin antes de desecharlas.

istema de organizacin y la productividad del trabajo no se ve afectado.