Comuníquese, publíquese, etc.
RODOLFO NIN NOVOA, Vicepresidente de la República en ejercicio de la
Presidencia; JORGE BRUNI; NELSON FERNANDEZ; ANDRES MASOLLER; GONZALO
FERNANDEZ; MARIA SIMON; VICTOR ROSSI; RAUL SENDIC; JULIO BARAIBAR; MARIA
JULIA MUÑOZ; ERENSTO AGAZZI; HECTOR LESCANO; CARLOS COLACCE; MARINA
ARISMENDI.
ANEXO I
Política de Seguridad de la Información para Organismos de la
Administración Pública
La Dirección del Organismo reconoce la importancia de identificar y
proteger los activos de información del Organismo. Para ello, evitará la
destrucción, divulgación, modificación y utilización no autorizada de toda
información, comprometiéndose a desarrollar, implantar, mantener y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información.
La Dirección del Organismo declara el cumplimiento con la normativa y
legislación vigente en relación con aspectos de seguridad de la
información.
La Seguridad de la Información se caracteriza como la preservación de:
a) su confidencialidad, asegurando que sólo quienes estén autorizados
puedan acceder a la información;
b) su integridad, asegurando que la información y sus métodos de
proceso sean exactos y completos;
c) su disponibilidad, asegurando que los usuarios autorizados tengan
acceso a la información cuando lo requieran.
La seguridad de la información se consigue implantando un conjunto
adecuado de controles, tales como políticas, procedimientos, estructuras
organizativas, software e infraestructura. Estos controles deberán ser
establecidos para asegurar los objetivos de seguridad del Organismo.
El Organismo designará un Responsable de la Seguridad de la Información,
quien se encargará de la guía, implementación y el mantenimiento del
Sistema de Gestión de Seguridad de la Información.
La presente Política de Seguridad de la Información debe ser conocida y
cumplida por todo el personal del Organismo, independiente del cargo que
desempeñe y de su situación contractual.
Esta Política de Seguridad de la Información se integrará a la normativa
básica del Organismo, incluyendo su difusión previa, y la instrumentación
de las sanciones correspondientes por incumplimiento de la presente
política, así como de los documentos relacionados a ésta.
Es política del Organismo:
* Establecer objetivos anuales con relación a la Seguridad de la
Información.
* Desarrollar un proceso de evaluación y tratamiento de riesgos de
seguridad, y de acuerdo a su resultado implementar las acciones
correctivas y preventivas correspondientes, así como elaborar y actualizar
el plan de acción.
* Clasificar y proteger la información de acuerdo a la normativa
vigente y a los criterios de valoración en relación a la importancia que
posee para el Organismo.
* Cumplir con los requisitos del servicio, legales o reglamentarios y
las obligaciones contractuales de seguridad.
* Brindar concientización y formación en materia de seguridad de la
información a todo el personal.
* Contar con una política de gestión de incidentes de seguridad de la
información de acuerdo a los lineamientos establecidos por el CERTuy.
* Establecer que todo el personal es responsable de registrar y
reportar las violaciones a la seguridad, confirmadas o sospechadas de
acuerdo a los procedimientos correspondientes.
* Establecer los medios necesarios para garantizar la continuidad de
las operaciones del Organismo.