Estándar de cumplimiento de seguridad de la información

2 de diciembre de 2009

Objetivo

Esta norma establece los requisitos de presentación de informes sobre el cumplimiento de la seguridad de la información para las agencias participantes del Estado de Iowa. Los informes informarán a la Junta de Gobernanza Tecnológica sobre el estado actual del cumplimiento de las normas de seguridad por parte de las agencias y las iniciativas en curso para reducir los riesgos.

Descripción general

Conforme a lo dispuesto en la sección 8A.204 del Código de Iowa, la Junta de Gobernanza Tecnológica, en colaboración con el Departamento de Servicios Administrativos, desarrolla y adopta estándares de tecnología de la información según lo establecido en la sección 8A.206. Estos estándares de seguridad de la información a nivel empresarial contribuyen a proteger la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos y la información del estado. Cada director de agencia es responsable de garantizar que su agencia cumpla con dichos estándares. Esta norma establece el requisito de que las agencias informen a la Junta de Gobernanza Tecnológica.

Alcance

Esta norma se aplica a todos los organismos participantes, según lo define el Capítulo 8A.201 del Código de Iowa. Se recomienda a los organismos no participantes que sigan esta y otras normas, políticas, directrices, procesos y procedimientos a nivel empresarial.

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en la norma:

• Estándares de seguridad de la información empresarial : Los estándares de seguridad de la información desarrollados y adoptados por la Junta de Gobernanza Tecnológica (TGB) según IAC 11 - 25.9 se encuentran en la página de Estándares del Departamento de Gestión .

Actualizaciones

Este documento se revisará al menos cada dos años y se actualizará según sea necesario.

Estándar de cumplimiento de seguridad de la información empresarial

1. Cumplimiento . Las agencias deberán cumplir con todos los estándares de seguridad de la información empresarial del Estado de Iowa. Para cumplir con estos estándares, la agencia debe cumplir con el requisito o haber obtenido una exención de acuerdo con la norma IAC 11-25.11.
2. Informes . Los directores de las agencias deberán informar anualmente, mediante un formulario proporcionado por la Junta de Gobernanza Tecnológica, que cumplen con todos los estándares de seguridad de la información empresarial del Estado de Iowa vigentes al momento de la presentación del informe. El formulario de informe de la agencia debe completarse, firmarse y presentarse a la Junta de Gobernanza Tecnológica anualmente antes del 15 de marzo.
3. Medidas correctivas . Las agencias que no cumplan con los estándares de seguridad de la información empresarial deberán presentar un plan correctivo a la Junta de Gobernanza Tecnológica anualmente, antes del 15 de marzo. El plan correctivo deberá identificar los componentes que no cumplen con los estándares y establecer un cronograma para lograr el cumplimiento.
4. Verificación : La Oficina de Seguridad de la Información (ISO) del DAS realizará evaluaciones periódicas para verificar que las agencias cumplan con los estándares de seguridad de la información empresarial. Los resultados de las evaluaciones se comunicarán a la Junta de Gobernanza Tecnológica, y la ISO recomendará medidas para corregir los casos de incumplimiento.

Fecha de entrada en vigor

Esta norma entrará en vigor el 1 de septiembre de 2010.

Aplicación

Esta norma será aplicada por la Junta de Gobernanza Tecnológica.

Diferencia

Las solicitudes de excepción a cualquiera de los requisitos de esta norma deberán presentarse por escrito al Consejo de Gobernanza Tecnológica.