DEFINICIÓN DEL MARCO DE
SEGURIDAD Y PRIVACIDAD DE
LA INFORMACIÓN Y DE LOS
SISTEMAS DE INFORMACIÓN
Diagnóstico de seguridad
y privacidad
Identifica y analiza los riesgos
existentes
Entendiemiento
estratégico LI.ES.01
Generar valor y a contribuir al logro de los objetivos
estratégicos
Definición de la
Arquitectura Empresarial
LI.ES.02
Arquitectura Empresarial que permita materializar su
visión estratégica. Teniendo en cuenta las
características específicas del sector o la institución
Alineación del gobierno de
TI - LI.GO.01
Garantizar la integración y la alineación con la
normatividad vigente, las políticas, los procesos y los
servicios del Modelo Integrado de Planeación y Gestión
de la institución.
Cadena de Valor de TI -
LI.GO.04
Implementar el macro-proceso de gestión de TI
Análisis de
vulnerabilidades - LI.ST.14
Implementar el análisis de vulnerabilidades de la
infraestructura tecnológica, a través de un plan de
pruebas que permita identificar y tratar los riesgos que
puedan comprometer la seguridad de la información o
que puedan afectar la prestación de un servicio de TI
Plan de seguridad y
privacidad de la
información
Define las acciones a implementar a nivel de seguridad y
privacidad, así como acciones de mitigación del riesgo.
Definición de la Arquitectura
Empresarial LI.ES.02
Políticas y estándares para la
gestión y gobernabilidad de
TI - LI.ES.06
temas: seguridad, continuidad del negocio, gestión de
información, adquisición, desarrollo e implantación de
sistemas de información, acceso a la tecnología y uso de
las facilidades por parte de los usuarios
Participación en proyectos
con componentes de TI -
LI.ES.08
participar de forma activa en la concepción, planeación y
desarrollo de los proyectos
Alineación del gobierno de TI
- LI.GO.01
Cadena de Valor de TI -
LI.GO.04
Liderazgo de proyectos de TI -
LI.GO.09
liderar la planeación, ejecución y seguimiento a los
proyectos de TI.
Seguridad y privacidad de los
sistemas de información -
LI.SIS.22
incorporar aquellos componentes de seguridad para el
tratamiento de la privacidad de la información, la
implementación de controles de acceso, así como los
mecanismos de integridad y cifrado de la información.
IMPLEMENTACIÓN DEL PLAN DE
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Y DE LOS
SISTEMAS DE INFORMACIÓN
Gestión de riesgos de
seguridad privacidad de la
información
Proteger los derechos de los usuarios de la entidad y mejorar los niveles de confianza en los
mismos a través de la identificación, valoración, tratamiento y mitigación de los riesgos de
los sistemas de información.
Auditoría y trazabilidad de
Componentes de información -
LI.INF.15
definir los criterios necesarios para
asegurar la trazabilidad y auditoría sobre
las acciones de creación, actualización,
modificación o borrado de los Componentes
de información.
Seguridad y privacidad de los
sistemas de información -
LI.SIS.22
incorporar aquellos componentes de
seguridad para el tratamiento de la
privacidad de la información, la
implementación de controles de acceso,
MONITOREO Y
MEJORAMIENTO CONTINUO
Actividades para el seguimiento, medición, análisis
y evaluación del desempeño de la seguridad y
privacidad a efecto de generar los ajustes o
cambios pertinentes y oportunos
Tablero de indicadores -
LI.ES.13
tablero de indicadores sectorial y
por institución
Conformidad - LI.GO.03
evaluar, monitorear y direccionar
los resultados de las soluciones
Evaluación del desempeño de
la gestión de TI - LI.GO.12
Realizar el monitoreo y
evaluación de desempeño de la
gestión
Revisa e implementa acciones de mejora continua
que garanticen el cumplimiento del plan de
seguridad y privacidad de la Información