Politicas De Proveedores
Enviado por nlenigan • 28 de Agosto de 2012 • 8.432 Palabras (34 Páginas) • 345 Visitas
1
Politicas de Seguridad para personal empresas proveedoras Fecha: 14/03/2012 Referencia: PS-PRV v3.0 EJIE S.A. Mediterraneo, 14 01010 Vitoria-Gasteiz Posta-kutxatila / Apartado: 809 01080 Vitoria-Gasteiz Tel. 945 01 73 00* Fax. 945 01 73 01 www.ejie.es Este documento es propiedad de EJIE, S.A. y su contenido es confidencial. Este documento no puede ser reproducido, en su totalidad o parcialmente, ni mostrado a otros, ni utilizado para otros propositos que los que han originado su entrega, sin el previo permiso escrito de EJIE, S.A.. En el caso de ser entregado en virtud de un contrato, su utilizacion estara limitada a lo expresamente autorizado en dicho contrato. EJIE, S.A. no podra ser considerada responsable de eventuales errores u omisiones en la edicion del documento.
2
Control de documentacion Titulo de documento: Historico de versiones Codigo: Version: Fecha: Resumen de cambios: 1.0 01/12/2000 Primera version PS-PRV 2.0 05/05/2008 Adaptacion al modelo ISO/IEC 27001:2005 PS-PRV 2.1 31/07/2008 Inclusion de clausulas de control relacionadas con el Plan de Continuidad de Negocio PS-PRV 2.2 8/10/2010 Revision general PS-PRV 3.0 14/3/2012 Adaptacion global del documento para diferentes tipologias de servicio Cambios producidos desde la ultima version Revision y reorganizacion general del documento. Control de difusion Autor: Juan Jose Carrasco Firma: Fecha: 14/3/2012 Aprobado por: Inaki Gurpegui Firma: Fecha: 21/03/2012 Distribucion: Publica
3
Contenido Capitulo/seccion Pagina 1 Introduccion 5 Proposito 5 Ambito de aplicacion 5 2 Politica General de Seguridad de EJIE !Error! Marcador no definido. 3 Politicas Generales de Seguridad para Proveedores 6 3.1. Cumplimiento de la Politica General de Seguridad de EJIE 6 3.2. Prestacion de servicios a EJIE 6 3.3. Confidencialidad de la Informacion 7 3.4. Propiedad intelectual 8 3.5. Intercambio de informacion 8 3.6. Uso apropiado de los recursos 9 3.7. Responsabilidades del usuario 10 3.8. Equipos de usuario 11 3.9. Gestion de activos 12 4 Politicas Especificas de Seguridad para Proveedores 13 4.1. Aplicabilidad de las Politicas Especificas de Seguridad para Proveedores13 4.2. Seleccion de personal 14 4.3. Auditoria de seguridad 14 4.4. Comunicacion de incidencias 15 4.5. Seguridad fisica 15 4.6. Gestion de activos 16 4.7. Arquitectura de seguridad 16 4.8. Seguridad de sistemas 16 4.9. Seguridad de red 18 4.10. Trazabilidad de uso de los sistemas 19
4
4.11. Control y gestion de identidades y accesos 19 4.12. Gestion de cambios 20 4.13. Gestion tecnica de cambios 20 4.14. Seguridad en desarrollo 21 4.14. Gestion de contingencias 21 5 Requisitos de seguridad para la externalizacion 22 6 Seguimiento y control 23 7 Actualizacion de las Politicas de Seguridad 24
5
1 Introduccion Proposito
En toda organizacion existe informacion cuya perdida o uso indebido puede danar su reputacion. Asimismo, el deterioro o indisponibilidad de los Sistemas de Informacion puede interrumpir el normal desarrollo de la operativa, produciendo efectos negativos en la calidad del servicio y los beneficios de la compania.
El principal objetivo de este documento es establecer el marco normativo en relacion a la seguridad de la informacion para los proveedores de EUSKO JAURLARITZAREN INFORMATIKA ELKARTEA ¡V SOCIEDAD INFORMATICA DEL GOBIERNO VASCO, S.A. (en adelante EJIE), describiendo lo que se espera de todo el personal que trabaja para EJIE pero que pertenece a otras empresas proveedoras, y que en el desarrollo de sus funciones pueda tener acceso a la informacion, sistemas de informacion o recursos de EJIE en general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la informacion y sistemas manejados por EJIE.
Para ello, las empresas proveedoras a las que se les remitan estas politicas de seguridad se responsabilizan de informar de ellas a las personas que destinen en EJIE, asi como de obtener su compromiso por escrito de que se comprometen a respetar dichas Politicas.
La Politica de Seguridad refleja requerimientos legales y eticos, tanto en actuaciones informales de los empleados que trabajan para EJIE pertenecientes a empresas proveedoras, como en la realizacion de su operativa.
Con dicho proposito, esta politica contempla lo establecido en las Politicas de Seguridad de EJIE, y refleja las obligaciones a las que esta sujeta EJIE por la legislacion vigente, y en particular por la Ley Organica 15/1999, de 13 de diciembre, de Proteccion de Datos de caracter personal (en adelante, LOPD) y todos sus desarrollos asociados.
Ambito de aplicacion
Todas las actividades desarrolladas para EJIE por personal que presta servicios para esta organizacion pero que pertenece a otras empresas proveedoras, vinculadas a traves del correspondiente contrato de provision de servicios.
El apartado 2 (Politicas Generales de Seguridad para Proveedores) de la presente politica sera aplicable a cualquier proveedor, independientemente del tipo de servicio proporcionado.
Cada uno de los sub-apartados del apartado 3 - Politicas Especificas de Seguridad para Proveedores de la presente politica sera aplicable exclusivamente a aquellos proveedores cuyos servicios proporcionados se correspondan con el tipo de servicio indicado en cada caso, tal y como se indica al comienzo del citado apartado.
6
2 Politicas Generales de Seguridad para Proveedores 3.1. Cumplimiento de la Politica General de Seguridad de EJIE
Todo el personal externo que desarrolle labores para EJIE debera tomar parte en el desarrollo de la Politica General de Seguridad de EJIE, disponible en la web, observando sus directrices y colaborando en su aplicacion dentro del ambito de actuacion de cada uno.
3.2. Prestacion de servicios a EJIE
a) Los proveedores solo podran desarrollar para EJIE aquellas actividades cubiertas bajo el correspondiente contrato de provision de servicios. De este modo, se entendera que todas las actividades desarrolladas para EJIE por personal perteneciente a empresas proveedoras se encuadran en los contratos de provision de servicios que vinculan a EJIE con estos proveedores.
b) Las actividades desarrolladas por el personal perteneciente a empresas proveedoras se realizaran de acuerdo a lo establecido en el correspondiente contrato de provision de servicios, asi como a las normas y procedimientos establecidos a tal efecto entre EJIE y el proveedor correspondiente.
c) La empresa proveedora proporcionara a EJIE periodicamente la relacion de personas, perfiles, funciones y responsabilidades asociados al servicio provisto, e informara puntualmente de cualquier cambio (alta, baja, sustitucion o cambio de funciones o responsabilidades) que se produzca en dicha relacion.
d) De acuerdo a lo establecido en las clausulas asociadas al contrato de provision de servicios,
...