Cuentas Cooperativa Favi UTP

Bancolombia cuenta de ahorros No.11539962215

Banco de Bogotá cuenta de ahorros No. 468002316

Banco Colpatria cuenta de ahorros No. 5772153203

 

 

cooperativa@faviutp.com
+57 6 3 11 14 43 

Requisitos generales

 


​​​​​​​​POLÍTICAS


POLÍTICAS
Código Título Descripción
A05PS1 Política del SGSI. Conjunto de directrices de la Política del Sistema de Gestión de Seguridad de la Información establecidas por la cooperativa, con el fin de orientar y facilitar el logro de los objetivos.
A05PS2 Políticas de Tercer Nivel del sistema de Seguridad de ​la Información. Brinda las herramientas apropiadas para dar cumplimiento a las políticas establecidas por la cooperativa FAVI UTP que busca garantizar la integridad y disponibilidad de la información que se genera, procesa, almacena y/o transmite en los sistemas de Información de la cooperativa, brindando así una guía clara para todos sus colaboradores, proveedores y contratistas en cabeza del Gerente de la cooperativa.

ALCANCE DEL SISTEMA


ALCANCE DEL SISTEMA
Código Título Descripción
01 Alcance del Sistema de Seguridad de la Información.​ La cooperativa FAVI UTP con el sistema de gestión de seguridad de la información busca establecer políticas, guías y controles para conservar la integridad, disponibilidad y confidencialidad de la información. El Sistema de Gestión de Seguridad de la información debe ser aplicado en todos los activos de la cooperativa FAVI UTP, en sus procesos y en sus plataformas tecnológicas.

OBJETIVOS


OBJETIVOS
Código Título Descripción
01 Objetivos del Sistema de Seguridad de la Información.​
  1. Asegurar la confidencialidad, integridad y disponibilidad de la información de la cooperativa FAVI UTP, así como la información de sus asociados y terceros en su poder; acorde con el nivel de riesgo aceptado por la cooperativa.
  2. Gestionar los riesgos en seguridad de la información que facilite la identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgos.
  3. Mantener y evaluar el Sistema de gestión de seguridad de la Información.


RIESGOS


RIESGOS
Código Título Descripción
A05PR Política de Administración del Riesgo.
  • Identificar los factores internos y externos que se puedan convertir en eventos adversos que afecten o impidan el normal desarrollo y la gestión eficaz de los procesos.
  • Valorar los riesgos, así como a la debida selección de métodos para su tratamiento y monitoreo.
  • Preservar la eficacia operativa de la cooperativa FAVI así como la salvaguarda de sus bienes y el bienestar de sus colaboradores.
  • Garantizar el mejor manejo de los recursos, el cumplimiento de los objetivos de los procesos y el logro de los propósitos institucionales.
  • Definir estrategias de comunicación y divulgación de la administración del riesgo en la cooperativa
  • Capacitar y entrenar al talento humano de la cooperativa para una efectiva administración del riesgo.
  • Administrar los riesgos de corrupción para evitarlos o reducirlos a través de acciones encaminadas a prevenir su materialización o disminuir la probabilidad e impacto de materialización.
A05PAR Procedimiento de Administración de Riesgos. Procedimiento que administra los riesgos dentro de la cooperativa en materia de seguridad de la información.
A05GAR Guía metodológica para el análisis de riesgos de seguridad y privacidad de la información. Documento que se encarga de definir la metodología de gestión de riesgos de seguridad y privacidad de la información.
A05MAA ​Riesgos de Seguridad de la Información y plan de tratamiento de Seguridad de la Información​​ La Matriz se encuentra consolidada como Mapa de riesgos.


REQUISITOS LEGALES


REQUISITOS LEGALES
Código Título Descripción
01 Normograma del Sistema Integrado de Gestión. Formado establecido para Normograma del Sistema Integrado de Gestión de la Cooperativa FAVI UTP.

 

Documentación

 

ABECÉ DE SEGURIDAD DE LA INFORMACIÓN


ABECÉ DE SEGURIDAD DE LA INFORMACIÓN
Código Título Descripción
01​ Abecé de Seguridad de la Información. Documento que describe de manera general cómo está compuesto el sistema de Seguridad de la Información en la cooperativa.


CONTROL


CONTROL DE DOCUMENTOS Y REGISTROS
Código Título Descripción
01 Declaración de Aplicabilidad. ​​Documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001, para la cooperativa FAVI UTP.


ANEXO A5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN


ANEXO A5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Código Título Descripción
A05PS1 Política del Subsistema Seguridad de la Información. Conjunto de directrices de la Política del sistema de Gestión de Seguridad de la Información establecidas por la cooperativa, con el fin de orientar y facilitar el logro de los objetivos.
A05PS2 Políticas de Tercer Nivel del sistema de Seguridad de la Información. El presente manual tiene como objetivo brindar las herramientas apropiadas para dar cumplimiento a las políticas establecidas por la cooperativa FAVI UTP que busca garantizar la confidencialidad, integridad y disponibilidad de la información que se genera, procesa, almacena y/o transmite en los sistemas de Información, brindando así una guía clara para todos sus funcionarios.


ANEXO A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN


ANEXO A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Código Título Descripción
A06MRR Matriz de Ro​les y Responsabilidades. Formato elaborado para elaborar la Matriz de Roles y Responsabilidades en el Sistema de Gestión de Seguridad de la información.
A06GCA Guía Contacto con las autoridades y Grupos de Interés Especial. Guía diseñada para Brindar una directriz apropiada para las partes internas encargadas actualizar el Sistema de Gestión de Seguridad de la Información.


ANEXO A7 SEGURIDAD EN RECURSOS HUMANOS


ANEXO A7 SEGURIDAD EN RECURSOS HUMANOS
Código Título Descripción
06 Manual de funciones de la cooperativa FAVI UTP El manual específico de funciones y de competencias laborales para los funcionarios de la cooperativa.
A07PYS Formato Paz y Salvo. Formato diseñado para dejar constancia de paz y salvo al funcionario de la entidad cuando se cambia de dependencia y/o retiro de la entidad.


ANEXO A8 GESTIÓN DE ACTIVOS


ANEXO A8 GESTIÓN DE ACTIVOS
Código Título Descripción
GGGU02 Guía Gestión de Activos de Información. Guía que se encarga de documentar el procedimiento que gestiona los activos y registros de información.
GGPD01 Procedimiento Calificación y Etiquetado de la Información. Procedimiento que se encarga de calificar adecuadamente la información de la cooperativa FAVI UTP.
GSGU10 Guía de Gestión de Medios Removibles. Guía interna diseñada para Brindar los lineamientos para la adecuada gestión de los medios removibles en la cooperativa FAVI UTP.
GGGU03 Guía de Tratamiento de la Información. Guía que se encarga de definir los lineamientos para el adecuado tratamiento de la información que es producida, gestionada o custodiada por la cooperativa.
GSGU06 Guía de Borrado seguro de la información. Guía interna diseñada para definir los pasos para eliminar de forma segura la información de la cooperativa.


ANEXO A9 CONTROL DE ACCESO


ANEXO A9 CONTROL DE ACCESO
Código Título Descripción
GSGU05 Guía de Acceso a redes y a servicios en red. Guía interna diseñada para Establecer los parámetros de seguridad de la información aplicables a las redes de comunicaciones de la cooperativa.
GSGU09 Guía de Gestión Segura de Usuarios. Guía interna diseñada para Establecer los parámetros de seguridad de la información aplicables a la administración de las cuentas de usuarios asignadas a funcionarios, contratistas y terceras partes de la cooperativa.

ANEXO A10 CRIPTOGRAFÍA


ANEXO A10 CRIPTOGRAFÍA
Código Título Descripción
A05PS2 Políticas de Tercer nivel del ​sistema de Se​gurid​​ad de la Información. El presente manual tiene como objetivo brindar las herramientas apropiadas para dar cumplimiento a las políticas establecidas por la cooperativa FAVI UTP que busca garantizar la confidencialidad, integridad y disponibilidad de la información que se genera, procesa, almacena y/o transmite en los sistemas de Información, brindando así una guía clara para todos sus funcionarios.

ANEXO A11SEGURIDAD FÍSICA Y DEL ENTORNO


ANEXO A11SEGURIDAD FÍSICA Y DEL ENTORNO
Código Título Descripción
A11IAS Formato Ingreso a áreas seguras de Tecnología. Formato diseñado para registrar el Ingreso a áreas seguras de Tecnología.​
A11SFE Guía de Seguridad Física y del Entorno. Guía que se encarga de describir la forma en que los funcionarios, contratistas y visitantes deben ingresar a las insta​laciones de la cooperativa.


ANEXO A12 SEGURIDAD DE LAS OPERACIONES


ANEXO A12 SEGURIDAD DE LAS OPERACIONES
Código Título Descripción
GSPD02 Procedimiento de Gestión de Cambios. Procedimiento que se encarga de Responder de manera controlada a los requerimientos de cambios de tecnología de la información.
GSGU11 Guía de Seguridad en las Operaciones. Guía interna diseñada para Definir los lineamientos para asegurar porque las operaciones que se ejecutan a diario a nivel de la Oficina de Tecnologías de la Información en la cooperativa, se ejecuten de manera correcta y segura en las instalaciones de procesamiento de información.
GSGU07 Guía de Copias de Seguridad. Guía interna diseñada para Respaldar y duplicar activos de información mediante la utilización de elementos tecnológicos de almacenamiento externo o diferente a los utilizados en la operación normal.
GSGU04 Guía de Prestación del Servicio para la atención de requerimientos. Guía interna diseñada para Identificar y establecer los requerimientos recibidos en TI.
GSPD04 Procedimiento de Gestión de Requerimientos. Procedimiento que se encarga a Identificar y gestionar los requerimientos en TI recibidos por las dependencias o interesados.


ANEXO A13 SEGURIDAD EN LAS COMUNICACIONES


ANEXO A13 SEGURIDAD EN LAS COMUNICACIONES
Código Título Descripción
09 Acuerdo de Confidencialidad y Reserva de manejo de la Información​. Acuerdo para suscripción con contratistas que recopila los lineamientos acerca del adecuado trato a la información de la cooperativa de acuerdo a su calificación.


ANEXO A14 ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS


ANEXO A14 ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS
Código Título Descripción
RSPD01 ​​Gestión de arquitectura de tecnologías de la información​ ​Procedimiento que se encarga de Identificar la necesidad y requerimientos funcionales del negocio en términos de tecnología
​RSFT03 ​​​Requerimientos De Seguridad Para Aplicaciones ​Formato diseñado para realizar los Requerimientos De Seguridad Para Aplicaciones​​
RSPD02​​​ Gestión de Aplicaciones​ Procedimiento que se encarga de Implementar las soluciones tecnológicas requeridas por la entidad​
​RSGU01 Guía Gestión de Implantación​​​ ​Guía diseñada para Entregar y aceptar el sistema nuevo o ajustado en forma parcial o total y las realización de todas las pruebas necesarias para la puesta en producción​
​RSGU02 ​Guía Gestión de Mantenimiento​ ​Guía diseñada para Proporcionar las actividades para la gestión de mantenimiento de una solución tecnológica
​RSGU03 Guía Gestión de Desarrollo​​ Guía diseñada para La gestión de aplicaciones para el cumplimiento del ciclo de vida y el conocimiento técnico requerido para diseñar, probar, gestionar desarrollo de las aplicaciones​

ANEXO A15 RELACIÓN CON PROVEEDORES


ANEXO A15 RELACIÓN CON PROVEEDORES
Código Título Descripción
ASFT24 Criterios De Selección A Proveedores Y Productos Críticos SIG. Formato que se utiliza para revisar los Criterios De Selección A Proveedores Y Productos Críticos Para Sistema Integrado de Gestión.

ANEXO A16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN


ANEXO A16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Código Título Descripción
A16GIS Guía de Gestión de Incidentes de Seguridad de la Información. Gestionar adecuadamente los incidentes y eventos de seguridad de la información.
GSPD01 Procedimiento de Gestión de Incidentes. Procedimiento que se encarga de Atender, asegurar y resolver todos los incidentes de TI.


ANEXO A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO


ANEXO A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO
Código Título Descripción
A17CN Procedimiento de Gestión de Continuidad del Negocio. Procedimiento que se encarga de Fortalecer la capacidad de respuesta de la Superintendencia Nacional de Salud ante situaciones de fallas o desastres.


ANEXO A18 CUMPLIMIENTO


ANEXO A18 CUMPLIMIENTO
Código Título Descripción
ASFT03 Normograma del Sistema Integrado de Gestión. Registro consolidado del Listado Maestro De Documentos Y Registros.
GDPO01 Política de Protección de Datos de la Superintendencia Nacional de Salud. Conjunto de directrices de la Política de protección de datos establecidas por la Entidad, con el fin de orientar y facilitar el logro de los objetivos institucionales.

 

Medición seguimiento y mejora

 


CAPACITACIONES​​


Tabla de Documentos
​​​​​Número Nombre capacitación ​Descripción
1 Presentación a Gestores del SSI Dar a conocer el Subsistema de Gestión de Seguridad de la Información a los gestores de cada dependencia y divulgar el adecuado tratamiento de la información en la Superintendencia Nacional de Salud.
2 Principios básicos Seguridad de la Información ​Exponer los pilares de seguridad de la Información y los métodos de obtener información.
​3 ​Políticas Subsistema de Seguridad de la Información ​Expone cada una de las políticas del subsistema de Seguridad de la Información y aplicabilidad en las actividades diarias de la Entidad.
4​ ​Manejo de Onedrive y carpetas compartidas​​ ​Divulgación​ de los beneficios del uso de la herramienta de almacenamiento en la nube y las carpetas compartidas.
​5 ​Uso de Controles Criptográficos ​​Normas de buen uso de los controles criptográficos.
​6 ​Calificación y Etiquetado de la Información y Continuidad del Negocio ​Expone las características de los tipos de calificación de la Información en la Entidad y aspectos de continuidad de negocios de la Entidad.
​7 ​​ISO 27001:2013 ​Expone cada uno de los objetivos de control de la Norma ISO 27001:20​13, la Política de Seguridad de la Información y los procesos de alcance de la vigencia 2016.
​8 Prevención de ataques informáticos​​​ ​Conceptos como blockchain, deepweb y los métodos que usan los delincuentes informáticos
​9 ​Uso de banca segura​​ ​Contiene recomendaciones en el manejo de transacciones bancarias.