Marco regulatorio de Seguridad de la Información
El marco regulatorio interno del Banco Central tienen políticas de alto nivel aprobadas por la Junta Directiva, que establecen los compromisos de cumplimiento institucionales, se derivan de ellas las políticas específicas que establecen el marco de acción y la gobernanza que se implementan para el cumplimiento de las políticas de alto nivel para los temas relacionados.
Estas políticas se acompañan de los procesos definidos y aprobados en nuestro sistema de calidad.
Política de alto nivel
• Política de alto nivel seguridad de la información (vigente desde el 11 de noviembre de 2009)
La Política de Seguridad se desarrolla basándose en la norma ISO/IEC 27001:2005 “Tecnologías de Información – Técnicas de Seguridad – Sistema de administración de seguridad de la información".
Se entiende por seguridad de la información “la conservación de la confidencialidad, integridad y disponibilidad de la información; incorporando otras propiedades de igual importancia como son la autenticidad, la responsabilidad, el no repudio, e inclusive la certeza".
Por ello es necesario establecer un adecuado marco de gestión para todas las fases del ciclo de vida de la misma, a saber, generación, selección, conservación, divulgación y uso. La información y los procesos que la soportan, los sistemas de información y la red de telecomunicaciones utilizada por el Banco Central de Costa Rica, constituyen activos de información de gran valor para la organización. Estos activos deben ser utilizados en todos los casos dentro de un adecuado entorno de seguridad, cualquiera sea el medio que los soporte y el ambiente tecnológico en que se procesen.
Enunciado: Garantizar la protección de los activos de información del Banco Central de Costa Rica, de uso no autorizado, modificación, daños o destrucción accidental o intencional.
• Política de alto nivel de la continuidad del negocio (vigente desde el 11 de noviembre de 2009)
La política de continuidad del negocio se fundamenta en la norma ISO/IEC 27001:2005 “Tecnologías de Información – Técnicas de Seguridad – Sistema de administración de seguridad de la información" de la ISO y con la norma BSI25999 – “Business Continuity Management-BCM" del British Standard Institute.
Se entiende la continuidad de negocio como la capacitad estratégica y táctica de la organización para planificar y responder a incidentes e interrupciones de negocio de modo que se logre la operación continua del mismo de acuerdo a un nivel aceptable establecido previamente.
Adicionalmente, la Administración de la Continuidad del Negocio es un proceso de administración holístico que identifica amenazas potenciales para la organización y el impacto que se podría causar a la misma, si dichas amenazas se materializan. Además, provee un marco de trabajo para que la organización pueda mejorar su habilidad para recuperarse de interrupciones con la capacidad para alcanzar sus objetivos clave y de modo que pueda brindar una respuesta efectiva para salvaguardar los intereses de sus involucrados clave, su reputación, marca y actividades de valor agregado.
Enunciado: Garantizar que se toman medidas para establecer un Modelo de Administración de la Continuidad de Negocio adecuado a las características, necesidades y servicios que brinda del Banco Central de Costa Rica.
Documentos relacionados