Marco Normativo
Professional Practices for Business Continuity Planners of DRII (Disaster Recovery Institute International): Promueve una base de conocimiento común para la planeación de la continuidad del negocio/ recuperación de desastres de la industria, por medio de proporcionareducación, asistencia y publicación de una base de estándares.
ICREA-Std-131-2011 (International Computer Room Expert Association): Norma internacional para la construcción de Centros de Procesamiento de Datos. Es un conjunto de mejores prácticas que define la forma de construir un Centro de Datos de acuerdo con los niveles de confiabilidad y seguridad deseados. Incluyendo aspectos generales, instalaciones eléctricas, aire acondicionado, comunicaciones, enviroment y seguridad.
PMBOK (Project Management Body of Knowledge): Es un conjunto de procesos reconocidos generalmente como buenas prácticas dentro de la administración de proyectos. También proporciona y promueve un lenguaje común para la discusión, documentación y aplicación de la administración de proyectos.
ISO/IEC 27001:2005 (“Information Technology – Security Techniques – Information Security Management Systems – Requirements”): Estándar internacional que proporciona un modelo para establecer, implementar, operar, revisar y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS, por sus siglas en inglés).
ISO/IEC 27002:2005 (“Information Technology – Security Techniques- Code of Practice for Information Security Management”): Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
ISO/IEC 20000-1:2011 (“Information Technology – Service Management – Part 1: Service Management System Requirements”): Estándar internacional que especifica los requisitos para el proveedor del servicio para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de servicios.
ISO/IEC 20000-2:2012 (“Information Technology – Service Management – Part 2: Guidance on the Application of Service Management Systems”): Es una guía de buenas prácticas sobre la aplicación de los sistemas de gestión de servicios basado en los requisitos de ISO 20000-1.
ITIL (Infraestructure Technology Information Library): Marco de trabajo de las buenas prácticas para la administración de la entrega de servicios de
TI. Proporciona un conjunto de procedimientos de gestión para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
PAS 56 (Publicly Available Specification) “Guide of Business Continuity Management”: Establece el proceso, principios y terminología de la administración de la continuidad del negocio, describe las actividades y resultados. Proporciona una serie de recomendaciones de buenas prácticas.
PAS 99:2006 Gestión Integrada (“Specification of common management system requirements as a framework for integration”): es la primera especificación de requisitos del mundo para sistemas de gestión integrada que se basa en los seis requisitos comunes de la guía ISO 72.
CobiT (“Control Objetives for Information and Related Technology”): Marco de gobierno y control para TI con un conjunto de herramientas de soporte que permite a los directores cerrar la brecha entre los requerimientos control, elementos técnicos y riesgos del negocio.
NFPA (Nacional Fire Proteccion Association) 1600 “Standar on Disaster/Emergency Management and Business Continuity Programs”: Estándar que permite desarrollar documentos relacionados con la preparación para, respuesta a, y recuperación de desastres resultado de eventos naturales, humanos o tecnológicos.
COMMON CRITERIA: Estándar de criterios de evaluación de seguridad de tecnología de información usado y reconocido globalmente. Proporciona mayor flexibilidad al evaluar un producto contra un perfil de protección, el cual esta estructurado para manejar problemas de seguridad específicos.
COSO (Committee of Sponsoring Organizations): Establece un marco de trabajo integrado para el control interno en las organizaciones.
SOX (Ley SARBANES – OXLEY): Ley estadounidense que establece un marco de transparencia para las actividades de las empresas multinacionales que cotizan en Bolsa de Valores de Estados Unidos y tiene como objetivo el darle mayor certidumbre a inversionistas. BASEL II (International Convergence of Capital Measurement and Capital Standards – A Revised Framework): Representa recomendaciones para revisar los estándares internacionales de medición del adecuado capital bancario. Fue creado para promover una mayor consistencia en la manera en que los bancos y los reguladores bancarios realizan la administración de riesgos a través de sus límites nacionales.
Q9 (Quality Risk Management): Lineamiento que proporciona principios y ejemplos de herramientas para la administración de riesgos de calidad.
Proceso sistemático para la evaluación, control, comunicación y revisión de riesgos en la calidad del medicamento a través de su ciclo de vida de producción.
ISO/IEC 22301:2012 ("Societal Security - BBusiness Continuity - Management Systems - Requirements"): Estandar internacional que proporciona un modelo para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión de continuiddad de negocio.
ISO/IEC 27799:2008 (Health informatics - Information security management in health using ISO/IEC 27002): Establece un conjunto mínimo derequerimientos que deben reunirse con el objetivo de garantizar una apropiada seguridad de información a las organizaciones de la salud.
ISO/IEC 27005:2011 (“Information Technology - Security Techniques - Information Security Risk Management): Proporciona las directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión de riesgo.
BS 25777:2008 (Information and Communications Technology – Continuity management, Code of Practice): Es una guía de buenas prácticas sobre gestión de la continuidad TIC. Un estándar que define un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones.
BS 10008:2008 (Evidential Weight and Legal Admissibility of Electronic Information – Specification): Estándar sobre el peso de las evidencias y la admisibilidad legal de la Información Electrónica.
BS 10012:2009 (Data protection. Specification for a Personal Information Management System): Este estándar pretende establecer y mantener un sistema de gestión de información personal y regular la gestión de la información personal.
BS 7858:2006 (Security Screening of Individuals Employed in a Security Environment - Code of Practice): Estándar que propone varias recomendaciones para la inspección de seguridad de las personas empleadas en un entorno de seguridad.
BS 8470:2006 (Secure Destruction of Confidential Material - Code of Practice): Estándar que propone varias recomendaciones para la gestión y el control de la recolección, el transporte y la destrucción de materiales confidenciales para garantizar una destrucción segura de los mismos.
BS 8549:2006 (Security Consultancy - Code of Practice): Esté estándar específica la gestión, operación y contratación de personal para la provisión de los servicios de consultoría de seguridad contratados.
ISO/TR 15489-1:2001 (Information and Documentation - Record Management – Part 1: General): Este estándar tiene como fin regular la gestión integral de documentos y sistemas archivísticos.Especifica los elementos que componen la gestión de documentos y define los resultados que deberían alcanzarse.
ISO/TR 15489-2:2001 (Information and Documentation - Record Management – Part 2: Guidelines): Este estándar proporciona una metodología de implementación. Facilita una serie de directrices que complementan al estándar ISO 15489-1.
ISO/IEC 19770-1:2012 (Information Technology - Software Asset Management - Part 1: Processes and tiered assessment of conformance): Este estándar establece una línea base para ayudar a las organizaciones a colocar procesos y procedimientos para un efectivo control de activos informáticos.
ISO/IEC 19770-2:2009 (Information Technology - Software Asset Management - Part 2: Software Identification Tag): Este estándar define los requerimientos de datos para dar soporte a ISO 197770–1.
ISO/IEC 24762:2008 (Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services): Este estándar proporciona las directrices sobre la provisión de información y la recuperación de desastres de los servicios de TI.
ISO/IEC 38500:2008 (Corporate governance of information technology): Este estándar fija las directrices para un buen gobierno de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.
ISO/IEC 17025:2005 (General requirements for the competence of testing and calibration laboratories): Este estándar internacional establece los requisitos generales para la competencia en la realización de ensayos ) o de calibraciones, incluido el muestreo. Cubre los ensayos y las calibraciones que se realizan utilizando métodos normalizados, métodos no normalizados y métodos desarrollados por el propio laboratorio.
PCI-DSS (Payment Card Industry Data Security Standards): es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.
MAAGTICSI (Manual Administrativo de Aplicación General en Materia de Tecnologías de Información y Comunicaciones y Seguridad de la Información): Con la aplicación de este manual se busca definir los procesos que en materia de TIC regirán a la Institución, con el propósito de regular y homologar sugestión, independientemente de la estructura organizacional con que ésta cuente.
LFDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares): El objeto de esta ley es el de garantizar la privacidad y el derecho a la autodeterminación informativa de los datos personales; regular el tratamiento legítimo, controlado y regulado de los datos personales, así como la protección de los datos personales en posesión de los particulares.
ISO 13335-3 (Information Technology. Guidelines for the management of IT security. Techniques for the management of IT Security): El propósito de este estándar es describir y recomendar técnicas para el éxito en la administración de la seguridad de TI. Estas técnicas pueden ser usadas para evaluar los requerimientos de seguridad y los riesgos, y ayudar a establecer y mantener los controles de seguridad apropiados, es decir, el correcto nivel de seguridad de TI. Riesgo integral (Disposiciones de carácter prudencial en materia de Administración Integral de Riesgos aplicables a las Instituciones de Crédito): Permite minimizar el riesgo de una institución que se rija por la Comisión Nacional Bancaria y de Valores. |