Consulta del Reglamento de Gobernanza Tecnológica para el Municipio de Monterrey
#GobernanzaTecnologica AhoraInnovamosJuntos Iniciativa de Reglamento de Gobernanza Tecnológica para el Municipio de Monterrey
Enmienda a "Artículo 49. "
Cuerpo
-
-["
La política de seguridad deberá contener procedimientos continuos, mecanismos y controles que consideran, al menos lo siguiente:
1. Configuración segura de los componentes tecnológicos de la infraestructura tecnológica, incluyendo entre otros: Exposición de puertos y servicios estrictamente necesarios; instalación de mecanismos para detección y prevención de: intrusiones, virus, códigos maliciosos; así como asegurar la actualización periódica de actualizaciones del fabricante;
2. Mecanismos de autenticación y autorización del personal responsable bajo el principio de mínimo privilegio. Se entenderá como principio de mínimo privilegio a la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal referido;
3. Garantizar la seguridad de la información almacenada y transmitida, y de los canales a través de los que se envíen dicha información, así como los mecanismos de autenticación y autorización;
4. Procesos de gestión para la atención de incidentes de seguridad de la información que se presenten en la operación de los distintos servicios, donde se aseguren la detección, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, solución, seguimiento y reporte;
5. Auditoría de pruebas de escaneo de vulnerabilidades y amenazas en el acceso y administración de los sistemas y aplicaciones, el cual podrá ser realizado por un tercero. La auditoría deberá considerar la realización de dichas pruebas al menos una vez cada tres meses, así como con un plan de remediación para las vulnerabilidades críticas detectadas;
6. Programa de pruebas de penetración, el cual establezca que se realizarán al menos dos pruebas al año sobre sistemas y aplicativos que estén relacionados o conectados a alguna red. Dichas pruebas se deberán realizar por un tercero independiente que cuente con personal con capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia. Asimismo, se deberá contar con un plan de remediación para las vulnerabilidades críticas detectadas;
7. Mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la operación; y 8. Registros de auditoría íntegros, que incluirán la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por los solicitantes de datos con la información obtenida.
"] -
+["
La política de seguridad deberá contener procedimientos continuos, mecanismos y controles que consideran, al menos lo siguiente:
1. Configuración segura de los componentes tecnológicos de la infraestructura tecnológica, incluyendo entre otros: Exposición de puertos y servicios estrictamente necesarios; instalación de mecanismos para detección y prevención de: intrusiones, virus, códigos maliciosos; así como asegurar la actualización periódica de actualizaciones del fabricante;
2. Mecanismos de autenticación y autorización del personal responsable bajo el principio de mínimo privilegio. Se entenderá como principio de mínimo privilegio a la habilitación del acceso únicamente a la información y recursos necesarios para el desarrollo de las funciones propias del personal referido;
3. Garantizar la seguridad de la información almacenada y transmitida, y de los canales a través de los que se envíen dicha información, así como los mecanismos de autenticación y autorización;
4. Procesos de gestión para la atención de incidentes de seguridad de la información que se presenten en la operación de los distintos servicios, donde se aseguren la detección, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, solución, seguimiento y reporte;
5. Auditoría de pruebas de escaneo de vulnerabilidades y amenazas en el acceso y administración de los sistemas y aplicaciones, el cual podrá ser realizado por un tercero. La auditoría deberá considerar la realización de dichas pruebas al menos una vez cada tres meses, así como con un plan de remediación para las vulnerabilidades críticas detectadas;
6. Programa de pruebas de penetración, el cual establezca que se realizarán al menos dos pruebas al año sobre sistemas y aplicativos que estén relacionados o conectados a alguna red. Dichas pruebas se deberán realizar por un tercero independiente que cuente con personal con capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia. Asimismo, se deberá contar con un plan de remediación para las vulnerabilidades críticas detectadas;
7. Mecanismos de respaldo y procedimientos de recuperación de la información que mitiguen el riesgo de interrupción de la operación; y
8. Registros de auditoría íntegros, que incluirán la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por los solicitantes de datos con la información obtenida.
"]
Reportar contenido inapropiado
Este contenido no es apropiado?
0 comentarios
Deja tu comentario
Inicia sesión con tu cuenta o regístrate para añadir tu comentario.
Cargando los comentarios ...