ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Norma 21002 Objetivo 10 Control 2 Y 3


Enviado por   •  20 de Julio de 2013  •  1.324 Palabras (6 Páginas)  •  319 Visitas

Página 1 de 6

10.2 Gestión de la entrega del servicio de terceros

Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

La organización debiera chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados por la tercera persona.

10.2.1 Entrega del servicio

Control

Se debiera asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan.

Lineamiento de implementación

La entrega del servicio por un tercero debiera incluir los acuerdos de seguridad pactados, definiciones del servicio y aspectos de la gestión del servicio. En caso de los acuerdos de abastecimiento externo, la organización debiera planear las transiciones necesarias (de

66información, medios de procesamiento de la información y cualquier otra cosa que necesite transferirse), y debiera asegurar que se mantenga la seguridad a través del período de transición.

La organización debiera asegurar que la tercera persona mantenga una capacidad de serviciosuficiente junto con los planes de trabajo diseñados para asegurar que se mantengan los nivelde continuidad del servicio después de fallas importantes en el servicio o un desastre.

10.2.2 Monitoreo y revisión de los servicios de terceros

Control

Los servicios, reportes y registros provistos por terceros debieran ser monitoreados y revisados regularmente, y se debieran llevar a cabo auditorías regularmente.

Lineamiento de implementación

El monitoreo y revisión de los servicios de terceros debiera asegurar que se cumplan los términos y condiciones de seguridad de los acuerdos, y que se manejen apropiadamente los incidentes y problemas de seguridad de la información. Esto debiera involucrar una relación y proceso de gestión de servicio entre la organización y la tercera persona para:

a) monitorear los niveles de desempeño del servicio para chequear adherencia con los acuerdos;

b) revisar de los reportes de servicio producidos por terceros y acordar reuniones deavance regulares conforme lo requieran los acuerdos;

c) proporcionar información sobre incidentes de seguridad de la información y la revisión de esta información por terceros y la organización conforme lo requieran los acuerdos y cualquier lineamiento y procedimiento de soporte;

d) revisar los rastros de auditoría de terceros y los registros de eventos de seguridad, problemas operacionales, fallas, el monitoreo de fallas e interrupciones relacionadas con el servicio entregado;

e) resolver y manejar cualquier problema identificado.

La responsabilidad de manejar la relación con terceros se debiera asignar a una persona o equipo de gestión de servicios.

La organización debiera mantener el control y la visibilidad general suficiente en todos los aspectos de seguridad con relación a la información confidencial o crítica o los medios de procesamiento de la información que la tercera persona ingresa, procesa o maneja.

La organización debiera asegurarse de mantener visibilidad en las actividades de seguridad como la gestión del cambio, identificación de vulnerabilidades y reporte/respuesta de un incidente de seguridad a través de un proceso, formato y estructura de reporte definidos.

La organización debiera mantener el control y la visibilidad general suficiente en todos los aspectos de seguridad con relación a la información confidencial o crítica o los medios de procesamiento de la información que la tercera persona ingresa, procesa o maneja. La organización debiera asegurarse de mantener visibilidad en las actividades de seguridad como la gestión del cambio, identificación de vulnerabilidades y reporte/respuesta de un incidente de seguridad a través de un proceso, formato y estructura de reporte definidos.

Otra información

En caso de abastecimiento externo, la organización necesita estar al tanto que la responsabilidad final de la información procesada por un proveedor externo se mantenga en la organización.

10.2.3 Manejo de cambios en los servicios de terceros

Control

Se debieran manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y procesos del negocio involucrados y la re-evaluación de los riesgos.

Lineamiento de implementación

El proceso de manejar los cambios en el servicio de terceros necesita tomar en cuenta:

 los cambios realizados por la organización para implementar:

1) aumentos los servicios

...

Descargar como (para miembros actualizados) txt (9 Kb)
Leer 5 páginas más »
Disponible sólo en Clubensayos.com