SAE trabaja con políticas de seguridad de la información
Para el Servicio de Acreditación Ecuatoriano es importante contar con una Política de Seguridad de la Información, por lo que ha desarrollado un documento que guiará el comportamiento personal y profesional de los funcionarios, contratistas o terceros, sobre la información obtenida, generada o procesada por la institución.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL SAE
El Servicio de Acreditación Ecuatoriano genera, utiliza, procesa, comparte y almacena información en medios electrónicos o escritos, clasificada como pública, confidencial, reservada y no reservada, aplicando el Esquema Gubernamental de Seguridad de la Información para definir los procesos, procedimientos y tecnologías a fin de garantizar la confidencialidad, integridad y disponibilidad de esa información, en los medios y el tiempo que su legitimidad lo requiera.
Esta política se aplica a toda la Institución para velar por la integridad, confidencialidad y la disponibilidad de la información, acorde con las necesidades de los diferentes grupos de interés identificados.
La máxima autoridad del SAE y el Comité de Seguridad de la Información de la institución, trabaja en la implementación del sistema de gestión de seguridad de la información, estableciendo un marco de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la institución.
Políticas del Sistema de Seguridad de la Información
A continuación las políticas que permitirán que la entidad trabaje bajo las mejores prácticas de seguridad y cumpla con los requisitos legales establecidos:
1. Política Organizativa de la Seguridad de la Información
(responsabilidades, contacto con autoridades, grupos de interés, dispositivos móviles y teletrabajo)
2. Seguridad Relativa a los Recursos Humanos
(acceso a los recursos de información sólo a personal que se vincula a la institución y es notificado a la UTIC)
3. Gestión de Activos
(cada activo debe estar inventariado, tener un responsable, ubicación, qué debe hacer y qué no debe hacer)
4. Control de Accesos
(registro de usuarios que acceden a informaicón, roles y privilegios; creación y eliminación de usuario)
5. Cifrado
(cifrar la información que se gestiona o manipula a través de las aplicaciones: VUE interno y Compras Públicas)
6. Seguridad Física y Ambiental
(acceso a las instalaciones, áreas restringuidas, seguridad en el área de trabajo, archivos sensibles protegidos)
7. Seguridad Operativa
(infraestructura tecnológica siempre operativa y disponible, control de código malicioso, copias de seguridad)
8. Seguridad en las Telecomunicaciones
(controles de red, mecanismos de seguridad, mensajería electrónica)
9. Adquisisción, Desarrollo y Mantenimiento de los Sistemas de Información
(mantenimiento de aplicaciones web y desarrollo en caso de requerirlo)
10. Relación con los Proveedores
(supervisión y revisión de servicios, acuerdos de seguridad de la información, contacto con proveedores)
11. Gestión de Incidentes de Seguridad de la Información
(todo incidente debe ser reportado para evitar amenazas de tipo tecnológico)
12. Seguridad de la Información en la Conitnuidad del Negocio
(Verificación, revisión y evaluación de la continuidad de la seguridad de la información)
13. Cumplimiento
(legislación aplicable, derechos de propiedad intelectual, protección de datos de privacidad)
Fecha de publicación: 16 enero 2023