Sobre el Cuestionario Jefe de Infraestructura Jefe de Comunicaciones DBA Jefe de Unidad de Gestión Informática Gestor de Proyecto Alcances Misión Institución Visión Institución Objetios !strate"icos Institución Objetios de #a Unidad Misión Visión Objetio !strate"ico $ue Persi"ue
Objetio !strate"ico $ue a%oya e# &oft'are Va#ores de #a Unidad Empresa
Limitaciones
Comentarios
Historial de Cambios Version No. ()** ()*(
Version ()*
Fecha
Descripción de Cambios
*+)*()+*(, Creación de de P# P#anti##as ba base +-)(+)+*(+
Fecha Tope
Plan de Trabajo
(.)*()+*(, Inicio de !ntreista con P#anti##a Ane/o A
Persona - mpresa Ju#io 0amas 1 Deca#in2
Autor
Normas Normas !S" #$%%& '#%%( !mplementación !mplementación - stado de Clasi)icación en n*mero + porcentaje
Proceso Proceso Cum%#e c on #a norma y esta esta docum entado Proceso Proceso se se ## ea a c abo y se debe docum entar Proceso Proceso no c um%#e con #a no rma y debe ser redise3ado redise3ado Proceso no está en su #u"ar 4 no esta im%#ementado Proceso Proceso no es a%#icab# e
Status '- !mplementación !mplementación de procesos cumplen con la norma !S" #$ %%&'#%%( + docume docume t n e c r e P n !
(**5 -*5 9*5 .*5 8*5 7*5 ,*5 6*5 +*5 (*5 *5
!S" #$%%&'#%%( Controles Ap1ndice-A !mplementación stado por la Clasi)icación en n*mero + p
$ (. /0 ,$.
#, &$. ( /. /0 ,$.
Contro#es documentados e im%#em entados Contro#es im%#e mentados deben ser documentados Contro#es im%#em entados no cum%# en con #as normas: tiene $ue redise3ar Contro# no im%#ementado y documentado Contro#es no a%#ic ados
Normas !S" #$%%&'#%%( !mplementación - stado de Clasi)icación en n*me
+*
*
tado
e " a t n e c r e % e c n a i # % m o C
* Proceso Cum%#e con #a norma y esta documentado
* se Proceso ##ea a cabo y se debe documentar
* no Proceso cum%#e con #a norma y debe ser redise3ado
* no Proceso está en su #u"ar 4 no esta im%#ementado
Status '- !mplementación de procesos cumplen con la norma !S" #$%%&'#%%( + d (**5 -*5 9*5 .*5 8*5 7*5 ,*5 6*5 +*5 (*5 *5
o t
n Apendice A - Controles !mplem entac ión - stado por dominio e i
orcentaje (+**5
n ó i c a
(***5 9**5 8**5 ,**5
d a i
m r o f n i #
s o n a s i
m u
# a t n e i
s e n o i c a r
m i n e t n a m o
y
n ó i c a m r o f n i
# #
o i c o " e # i
i
i i i
i i
# i
+**5 *5
d i r u " e & e d a c i t i # o P
i a # e d d a d i r u " e s a # e d n ó i c a ; i n a " r O
i t c A e d n ó i t s e G
< s o s r u c e r s o # e d d a d i r u " e s a 0
i b m a
e % O
y
y
a c i s i f
n ó i c a c i n u
d a d i r u " e s a 0
m o C e d n ó i t s e G
e c c A e d # o r t n o C
o # # o r r a s e d : n ó i c a m r o f n i e d s a m e t s i s e d n ó i c i s i u $ d A
i e d d a d i r u " e s e d s e t n e d i c n i e d n ó i t s e G
n # e d
d a d i
d a d i u n i t n o c
m r o f n o C
e d n ó i t s e G
ros
* no es Proceso a%#icab#e
ocumentado
Conf ormidad 5 Meta
i
# i
i
Conformidad 5
# i
i i
i
Meta
tapa !mplementación de la !S" #$%%&'#%%( - Cl2usula =eferencia
Proceso Cumple con la norma + esta documentado
I&O C#auses
*
Proceso no Proceso se lle5a a cumple con la cabo + se debe norma + debe ser documentar redise7ado
*
*
Situación de la aplicación de la norma !S" #$%%&'#%%( - anne3ure
=eferencia
Controles documentados e implementados
Controles implementados deben ser documentados
Contro#s
+6
7
stado Adecuación !mplementación !S" #$%%& contra Cl2usulas Cantidad !S" Clause
,)( 1 =e$uisitos Genera#es ,)+ 1 !stab#ecimiento y "estión de# &G&I ,)6 1 =e$uisitos de documentación 7)( 1 Com%romiso de #a dirección 7)+ 1 Gestión de =ecursos 8 1 Auditoria Interna &G&I .)( 1 Genera# .)+ 1 =eisiones de !ntrada .)6 1 =eisiones de sa#ida 9)( 1 Mejora continua 9)+ 1 Acciones Correctias 9)6 1 Acciones Preentias
* * * * * * * * * * * *
Controles implementados no cumplen con las normas8 tiene 9ue redise7ar
,-
Con)ormidad >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*?
!mplementación stado Adecuación se4*n la norma !S" #$%%& anne3ure - A Controles
7 8 . 9 (* (( (+ (6 (, (7
Descripción del dominio Cantidad Po#itica de &e"uridad Or"ani;ación de #a se"uridad de #a información Gestión de Actios 0a se"uridad de #os recursos
* * * * * * * * * * *
Con)ormidad >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*? >DIV4*?
Controles + "bjeti5os - !S" #$%%#'#%%( - T1cnicas de Se4uridad Funciones
Administración
No. de controls (8
Con)ormidad 695
6eta
(**)**5
I &4 A#ta Dirección !m%#eados
7+
(75
. , (
7.5 *5 *5
(**)**5 (**)**5 (**)**5 (**)**5
s Proceso no est2 en su lu4ar : no esta implementado
Proceso no es aplicable
*
*
- A Controles
Control no Controles no implementado + aplicados documentado
,-
.
6eta
(**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5
6eta
(**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5 (**5
*
l an2lisis de brechas' estado de aplicación de !S" #$%%& !S" #$%%& clausulas / /.&
;e9uisito obli4atorio para el S
/.# /.#.& ,)+)( aE ,)+)( bE ,)+)( cE ,)+)( dE ,)+)( eE
0a or"ani;ación debe estab#ecer: im%#ementar: o%erar: monitorear: reisar: mantener y mejorar un &G&I documentado stablecimiento + 4estión del S
,)+)( fE
Identificar y ea#uar #as o%ciones %ara e# tratamiento de #os ries"os
,)(
,)+)( "E ,)+)(
,)+)+ dE
,)+)+ eE ,)+)+ fE ,)+)+ "E ,)+)+
&e#eccionar #os objetios de contro# y contro#es %ara e# tratamiento de #os ries"os Obtener #a a%robación de #a "estión de #os ries"os residua#es %ro%uestos Obtener #a autori;ación de #a "erencia %ara im%#ementar y o%e rar e# &G&I Pre%arar una Dec#aración de a%#icabi#idad !mplementar el S
,)+)6 aE
!jecutar e# se"uimiento y reisar #os %rocedimientos y otros contro#es
,)+)6 bE
0#ear a cabo reisiones %eriódicas de #a eficacia de# &G&I Medir #a efectiidad de #os contro#es %ara erificar $ue se
,)+)6 cE ,)+)6 dE
=eisar #as ea#uaciones de ries"o a intera#os %#anificados y reisar #os ries"os residua#es y #os nie#es ace%tab#es de ries"os identificados
,)+)6 eE
=ea#i;ar auditorFas de I&M& internas a intera#os %#anificados er 8E
Status
,)+)6 fE ,)+)6 "E ,)+)6
=ea#i;ar AuditorFas Internas de I&M& una %#anificados Intera#os er 8E Actua#i;ación de se"uridad %#anea tomar en cuenta #os resu#tados de# se"uimiento y #a reisión de #as actiidades Grabar acciones y eentos $ue %odrFan tener un im%acto en #a eficacia o e# rendimiento de# &G&I er ,)6)6E 6antener + mejorar el S
,)6)( bE ,)6)( cE
Dec#araciones documentadas de #a %o#Ftica de# &G&I er ,)+)(bE y objetios A#cance de# &G&I er ,)+)(aE Procedimientos y contro#es en a%oyo de# &G&I
,)6)( dE
Descri%ción de #a metodo#o"Fa de ea#uación de ries"os er ,)+)(cE
,)6)( eE ,)6)( fE
Informe de ea#uación de ries"os er ,)+)(c a ,)+)("E P#an de tratamiento de# ries"o er ,)+)+bE
,)6)( "E
Procedimientos necesitados %or #a or"ani;ación %ara ase"urarse de #a efica; %#anificación: o%eración y contro# de sus % rocesos de se"uridad de #a información y describir #a forma de medir #a efectiidad de #os contro#es er ,)+)6cE
,)6)(
0os re"istros re$ueridos %or esta orma Internaciona# ase ,)6)6E
,)6)( iE /.,.#
Dec#aración de a%#icabi#idad Control de los documentos
,)6)( aE
,)6)+ ,)6)+ aE ,)6)+ bE ,)6)+ cE ,)6)+ dE ,)6)+ eE
,)6)+ fE
,)6)+ "E ,)6)+
0os documentos re$ueridos %or e# &G&I serán %rote"idos y contro#ados) Debe estab#ecerse un %rocedimiento documentado % ara definir #as acciones de "estión necesarias %ara A%robar documentos adecuación antes de su emisión Documentos $ue sean necesarios =eisar y actua#i;ar y re1a%robar #os documentos Ase"urarse de $ue se identifican #os cambios y e# estado de reisión actua# de #os documentos Ase"Hrese de $ue #as ersiones %ertinentes de #os documentos a%#icab#es están dis%onib#es en #os %untos de uso Ase"Hrese de $ue #os documentos %ermanecen #e"ib#es y fáci#mente identificab#es Ase"Hrese de $ue #os documentos se encuentran a dis%osición de $uienes #os necesitan: y de conformidad con #os %rocedimientos a%#icab#es a su c#asificación son transferidos: a#macenados y fina#mente e#iminados Ase"urarse de $ue se identifican #os documentos de ori"en e/terno Ase"Hrese de $ue se contro#a #a distribución de documentos Preenir e# uso no intencionado de documentos obso#etos A%#icar una identificación adecuada en #os documentos si se manten"an %or cua#$uier ra;ón Control de los re4istros
,)6)6 ,)6)6 ,)6)6 ,)6)6 ,)6)6
,)6)6 ( (.& 7)( 7)( aE 7)( bE 7)( cE
7)( dE
7)( eE 7)( fE 7)( "E 7)(
0os re"istros deben estab#ecerse y mantenerse %ara %ro%orcionar eidencia de #a conformidad con #os re$uisitos y e# funcionamiento efica; de# &G&I L 0os re"istros deben ser %rote"idos y contro#ados) Prote"idos seri 0os =e"istros Deben K Contro#ados) 0os re"istros deben %ermanecer #e"ib#es: fáci#mente identificab#es y recu%erab#es) 0os contro#es necesarios %ara #a identificación: a#macenamiento: %rotección: recu%eración: tiem%o de retención y dis%osición de re"istros deben ser documentados e im%#ementados) Deberá ##earse un re"istro de #os resu#tados de# %roceso: como se indica en ,)+ y de todas #as a%ariciones de #os incidentes de se"uridad si"nificatios re#acionados con e# &G&I) ;esponsabilidad de la dirección Compromiso de la dirección Dirección debe %ro%orcionar eidencia de su com%romiso con e# estab#ecimiento: im%#ementación: o%eración: monitoreo: reisión: mantenimiento y mejora de# &G&I %or !# estab#ecimiento de una %o#Ftica de &G&I Ase"urarse de $ue se estab#ecen #os objetios y %#anes de# &G&I !stab#ecer #as funciones y res%onsabi#idades de se"uridad de #a información Comunicar a #a or"ani;ación #a im%ortancia de satisfacer #os objetios de se"uridad de #a información y $ue se ajuste a #a %o#Ftica de se"uridad de #a información: #as atribuciones $ue #a #ey y #a necesidad de mejora continua Pro%orcionar recursos suficientes %ara estab#ecer: im%#ementar: o%erar: monitorear: reisar: mantener y mejorar e# &G&I er 7)+)(E Decidir #os criterios de ace%tación de ries"os y #os nie#es ace%tab#es de ries"o Ase"urar $ue #as auditorFas internas de# &G&I se ##ean a cabo er 8E 0a rea#i;ación de reisiones %or #a dirección de #os &G&I er .E
7)+)+ aE
0a determinación de #as com%etencias nece sarias %ara e# %ersona# $ue rea#i;a #as #abores $ue afectan e# &G&I
7)+)+ bE
Pro%orcionar formación o tomar otras acciones %or ejem%#o: $ue em%#ean a %ersona# com%etenteE %ara satisfacer estas necesidades
7)+)+ cE 7)+)+ dE
7)+)+ > 8
!a#uación de #a eficacia de #as medidas ado%tadas !# mantenimiento de #os re"istros de educación: formación:
8 aE
Cum%#ir con #os re$uisitos de esta norma internaciona# y #a #e"is#ación %ertinente o #as normas
8 bE
Cum%#ir con #os re$uisitos de se"uridad de información identificados
8 cE 8 dE 8
Im%#antación y e# mantenimiento efica; 0#ee a cabo como se es%eraba) &e debe %#anificar un %ro"rama de auditorFas
8
$ $.& .)( $.# .)+ .)+ aE .)+ bE .)+ cE .)+ dE .)+ eE .)+ fE .)+ "E .)+
0a dirección res%onsab#e de# área $ue está siendo auditada debe ase"urarse de $ue se toman acciones sin demora injustificada %ara e#iminar #as no conformidades detectadas y sus causas) 0as actiidades de se"uimiento deben inc#uir #a erificación de #as acciones tomadas y e# informe de #os resu#tados de #a erificación er 9E) ;e5isión por la dirección del S
.)6 bE
Actua#i;ación de #a ea#uación de ries"os y %#an de tratamiento de ries"os
.)6 dE
Modificación de #os %rocedimientos y contro#es de se"uridad de #a información $ue e# efecto: si es necesario: %ara res%onder a eentos internos o e/ternos $ue %ueden im%actar en e# &G&I 0as necesidades de recursos
.)6 eE
Mejora #a forma en $ue se está midiendo #a eficacia de #os contro#es
.)6 cE
@ @.&
6ejora del S
9)(
0a or"ani;ación debe mejorar continuamente #a eficacia d e# &G&I a tras de# uso de #a %o#Ftica de se"uridad de #a información: #os objetios de se"uridad de #a información: resu#tados de #as auditorFas: e# aná#isis de #os sucesos su%erisados: #as acciones correctias y %reentias y #a reisión %or #a dirección ase .E)
@.#
a acción correcti5a
9)+
0a or"ani;ación debe tomar acciones %ara e#iminar #a causa de no conformidades con #os re$uisitos de# &G&I: a fin de %reenir #a recurrencia) !# %rocedimiento documentado %ara acciones correctias debe definir #os re$uisitos %ara
9)+ aE 9)+ bE 9)+ cE
0a identificación de #as no conformidades Determinar #as causas de #as no conformidades 0a ea#uación de #a necesidad de ado%tar medidas %ara "aranti;ar $ue #as no conformidades no ue#an a ocurrir
9)+ dE
0a determinación y a%#icación de #as medidas correctoras necesarias
9)+ eE 9)+ fE @.,
=esu#tados de #a "rabación de acciones tomadas ase ,)6)6E =eisión de #as acciones correctias tomadas a acción pre5enti5a
9)6
0a or"ani;ación debe determinar acciones %ara e#iminar #a causa de no conformidades %otencia#es con #os re$uisitos de# &G&I a fin de %reenir su ocurrencia) 0as acciones %reentias tomadas deben ser a%ro%iadas a #os efectos de #os %rob#emas %otencia#es) !# %rocedimiento documentado %ara #a acción % reentia deberá definir #os re$uisitos %ara
9)6 aE
0a identificación de #as no conformidades %otencia#es y sus causas
9)6 bE
0a ea#uación de #a necesidad de actuar %ara %reenir #a ocurrencia de no conformidades
9)6 cE
0a determinación y a%#icación de #as medidas %reentias necesarias
9)6 dE 9)6 eE
=esu#tados de #a "rabación de acciones tomadas ase ,)6)6E =eisión de #as acciones %reentias tomadas
9)6
0a or"ani;ación debe identificar #os ries"os $ue #o %recisen y determinar #as necesidades de acción %reentia $ue se centran #a atención en #os ries"os cambiado si"nificatiamente
e+enda Cantidad
Codi4os Status
*
D
*
6D
*
;D
*
PNP
*
NA BNot Applicable
%
uscar
Halla=4os
Si4ni)icado
!# contro# se documentó e im%#ementó !# Contro# se ##ea a cabo y e# % roceso debe ser documentado %ara ase"urar #a re%etibi#idad de# %roceso y miti"ar #os ries"os) !# contro# no cum%#e #as normas y debe ser redise3ado %ara cum%#ir con #as normas !# %roceso no está en su #u"ar 4 no im%#ementado) Contro# re$ueridos ni documentado ni im%#ementadoE !# contro# no es a%#icab#e %ara #a em%resa ni %ara e# ne"ocio
;ecomendaciones
Contribution
ED!V:% ED!V:% ED!V:%
ED!V:%
ED!V:%
Declaración de aplicabilidad de la norma !S" : !C #$%%& Ane3o A controla a la' Ane3o A de re)erencia A.(
T?tulo de control
Descripción del control
Función
Status
uscar
Halla=4os
Politica de Se4uridad Para proporcionar a la dirección de 4estión + apo+o a la se4uridad de la in)ormación de acuerdo con los re9uerimientos del ne4ocio + las le+es + re4lamentos pertinentes.
A(.&
!n)ormación Politica de Se4uridad
A)7)()(
Documento de Po#itica de se"urida de #a información
Un documento de %o#Ftica de se"uridad de #a información deberá ser a%robado %or #a administración: y %ub#icado y comunicado a todos #os em%#eados y co#aboradores e/ternos)
A)7)()+
=eie' of t
0a %o#Ftica de se"uridad de #a información será reisada a intera#os %#anificados o si se %roducen cambios si"nificatios %ara ase"urar su coneniencia: adecuación y eficacia)
"r4ani=ación de la se4uridad de la in)ormación A.> Para 4estionar la se4uridad de la in)ormación dentro de la or4ani=ación
A.>.&
"r4ani=ación !nterna
A)8)()(
Com%romiso de #a dirección de se"uridad de #a información
Gestión a%oyará actiamente a #a se"uridad dentro de # a or"ani;ación a tras de una dirección c# ara: demuestra e# com%romiso: #a asi"nación e/%#Fcita: y e# reconocimiento de # as res%onsabi#idades de se"uridad de #a información)
A)8)()+
Coordinación de #a se"uridad de información
Actiidades de se"uridad de información estarán coordinadas %or re%resentantes de diferentes sectores de #a or"ani;ación con un %a%e# re#eante y función de trabajo)
A)8)()6
0a asi"nación de #as res%onsabi#idades de se"uridad de #a información
odas #as res%onsabi#idades de se"uridad de #a información deben estar c#aramente definidas)
A)8)(),
Proceso de autori;ación %ara insta#aciones de %rocesamiento de información
Un %roceso de autori;ación de #a administración %ara #as nueas insta#aciones de %rocesamiento de información se define y se a%#ica)
A)8)()7
0os acuerdos de confidencia#idad
=e$uisitos %ara #os acuerdos de confidencia#idad o de no diu#"ación $ue ref#ejen #as necesidades de #a or"ani;ación %ara #a %rotección de #a información deben ser identificados y reisados con re"u#aridad)
A)8)()8
Contacto con #as autoridades
&e mantendrán #os contactos a%ro%iados con #as autoridades %ertinentes)
A)8)().
Contacto con "ru%os de interes es%ecia#
&e mantendrán #os contactos a%ro%iados con #os "ru%os de inters es%ecia# u otros foros de se"uridad es%ecia#i;ados y asociaciones %rofesiona#es)
A)8)()9
=eisiones inde%endientes de #a %o#icita de se"uridad de #a información
!# enfo$ue de #a or"ani;ación %ara #a "estión de se"uridad de #a información y su a%#icación es decir: #os objetios de contro#: contro#es: %o#Fticas: %rocesos y %rocedimientos %ara #a se"uridad de #a informaciónE se reisará de forma inde%endiente a intera#os %#anificados: o cuando se %roducen cambios si"nificatios en #a im%#ementación de se"uridad se %roducen)
A>.#
Partes 3ternas
A)8)+)(
Identificación de #os ries"os re#acionados con #os a"entes e/ternos
Para mantener la se4uridad de la in)ormación + de las instalaciones de procesamiento de in)ormación de la or4ani=ación 9ue se tiene acceso8 procesan8 comunican a8 o administrados por entidades e3ternas. 0os ries"os %ara #a información y #as insta#aciones de %rocesamiento de información de #a or"ani;ación de # os %rocesos de ne"ocio re#acionados con #as %artes e/ternas deben ser identificados y #os contro#es a%ro%iados im%#ementados antes de conceder e# acceso)
ero/ Interna# Use On#y
Ane3o A de re)erencia
6,,79.-.8)/#s
T?tulo de control
Descripción del control
A)8)+)+
Abordar #a se"uridad cuando se trata de c#ientes
odos #os re$uisitos de se"uridad identificados deberán diri"irse antes de dar a #os c#ientes e# acceso a #a información o de #os actios de #a or"ani;ación)
A)8)+)6
Abordar #a se"uridad en #os contratos de terceros
Acuerdos con terceros re#acionados con e# acceso: tratamiento: #a comunicación o #a "estión de #a información o de #as insta#aciones de %rocesamiento de información de #a or"ani;ación: o #a adición de %roductos o sericios a #as insta#aciones de %rocesamiento de información se referirán a todos #os re$uisitos de se"uridad %ertinentes)
A.$
A.$.&
a responsabilidad de los acti5os
A).)()(
Inentarios de Actios
A).)()+
Pro%iedad de Actios
oda #a información y #os actios asociados a #as insta#aciones de tratamiento de #a información serán %ro%iedad de una %arte desi"nada de #a or"ani;ación)
A).)()6
Uso ace%tab#es de #os actios
ormas %ara e# uso ace%tab#e de #a información y de #os actios asociados a #as insta#aciones de %rocesamiento de información deberán ser identificados: documentados e im%#ementados)
A.$.#
clasi)icación de la in)ormación
A).)+)(
directrices de c#asificación
A).)+)+
!ti$uetado de #a información y #a mani%u#ación
A.@
Para lo4rar + mantener la protección adecuada de los acti5os de la or4ani=ación. odos #os actios deben estar c#aramente identificados y un inentario de todos #os actios im%ortantes estab#ecimiento y e# mantenimiento)
Para ase4urar 9ue la in)ormación reciba un ni5el adecuado de protección. 0a información se c#asificará en función de su a#or: #os re$uisitos #e"a#es: #a sensibi#idad y criticidad %ara #a or"ani;ación) Un conjunto a%ro%iado de %rocedimientos %ara e# eti$uetado de información y de tramitación se desarro##ará y ejecutará de conformidad con e# sistema de c#asificación ado%tado %or #a or"ani;ación)
a se4uridad de los recursos humanos
A.@.&
Antes del mpleo
Para ase4urarse de 9ue los empleados8 contratistas + usuarios de terceras partes entiendan sus responsabilidades8 + son adecuados para las )unciones 9ue se consideran para8 + para reducir el ries4o de robo8 )raude o mal uso de las instalaciones.
A)9)()(
=o#es y =es%onsabi#idades
@unciones y res%onsabi#idades de #os em%#eados: contratistas y usuarios de terceras %artes de %rotección se definen y documentan de conformidad con #a %o#Ftica de se"uridad de #a información de #a or"ani;ación)
A)9)()+
Proyección
Contro#es de erificación de antecedentes de todos #os candidatos a em%#eo: contratistas y usuarios de terceras %artes se ##earán a cabo de conformidad con #as #eyes: re"u#aciones y tica: y %ro%orciona# a #os re$uerimientos de# ne"ocio: #a c#asificación de #a información $ue se acceda: y #os ries"os %ercibidos)
A)9)()6
erminos y condiciones de# em%#eo
Como %arte de su ob#i"ación contractua#: #os em%#eados: contratistas y usuarios de terceras %artes se %ondrán de acuerdo y firmar #os trminos y condiciones de su contrato de trabajo: en e# $ue e/%ondrá y res%onsabi#idades de sus de #a or"ani;ación %ara #a se"uridad de #a información)
Función
Pa"e 66 of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A)8)+)+
Abordar #a se"uridad cuando se trata de c#ientes
odos #os re$uisitos de se"uridad identificados deberán diri"irse antes de dar a #os c#ientes e# acceso a #a información o de #os actios de #a or"ani;ación)
A)8)+)6
Abordar #a se"uridad en #os contratos de terceros
Acuerdos con terceros re#acionados con e# acceso: tratamiento: #a comunicación o #a "estión de #a información o de #as insta#aciones de %rocesamiento de información de #a or"ani;ación: o #a adición de %roductos o sericios a #as insta#aciones de %rocesamiento de información se referirán a todos #os re$uisitos de se"uridad %ertinentes)
A.$
Función
a responsabilidad de los acti5os
A).)()(
Inentarios de Actios
A).)()+
Pro%iedad de Actios
oda #a información y #os actios asociados a #as insta#aciones de tratamiento de #a información serán %ro%iedad de una %arte desi"nada de #a or"ani;ación)
A).)()6
Uso ace%tab#es de #os actios
ormas %ara e# uso ace%tab#e de #a información y de #os actios asociados a #as insta#aciones de %rocesamiento de información deberán ser identificados: documentados e im%#ementados)
A.$.#
clasi)icación de la in)ormación
A).)+)(
directrices de c#asificación
A).)+)+
!ti$uetado de #a información y #a mani%u#ación
Para ase4urar 9ue la in)ormación reciba un ni5el adecuado de protección. 0a información se c#asificará en función de su a#or: #os re$uisitos #e"a#es: #a sensibi#idad y criticidad %ara #a or"ani;ación) Un conjunto a%ro%iado de %rocedimientos %ara e# eti$uetado de información y de tramitación se desarro##ará y ejecutará de conformidad con e# sistema de c#asificación ado%tado %or #a or"ani;ación)
a se4uridad de los recursos humanos
Antes del mpleo
Para ase4urarse de 9ue los empleados8 contratistas + usuarios de terceras partes entiendan sus responsabilidades8 + son adecuados para las )unciones 9ue se consideran para8 + para reducir el ries4o de robo8 )raude o mal uso de las instalaciones.
A)9)()(
=o#es y =es%onsabi#idades
@unciones y res%onsabi#idades de #os em%#eados: contratistas y usuarios de terceras %artes de %rotección se definen y documentan de conformidad con #a %o#Ftica de se"uridad de #a información de #a or"ani;ación)
A)9)()+
Proyección
Contro#es de erificación de antecedentes de todos #os candidatos a em%#eo: contratistas y usuarios de terceras %artes se ##earán a cabo de conformidad con #as #eyes: re"u#aciones y tica: y %ro%orciona# a #os re$uerimientos de# ne"ocio: #a c#asificación de #a información $ue se acceda: y #os ries"os %ercibidos)
A)9)()6
erminos y condiciones de# em%#eo
Como %arte de su ob#i"ación contractua#: #os em%#eados: contratistas y usuarios de terceras %artes se %ondrán de acuerdo y firmar #os trminos y condiciones de su contrato de trabajo: en e# $ue e/%ondrá y res%onsabi#idades de sus de #a or"ani;ación %ara #a se"uridad de #a información)
ero/ Interna# Use On#y
6,,79.-.8)/#s
T?tulo de control
Descripción del control
A.@.#
Durante el empleo
Para ase4urar 9ue todos los empleados8 contratistas + usuarios de terceras partes son conscientes de la in)ormación amena=as + preocupaciones8 sus responsabilidades + obli4aciones de se4uridad8 + est2n e9uipados para apo+ar la pol?tica de se4uridad de la or4ani=ación en el curso de su trabajo normal8 + para reducir el ries4o de error humano.
A)9)+)(
Gestion de res%onsabi#idades
Administración e/i"ir a #os em%#eados: contratistas y usuarios de terceras %artes %ara a%#icar #a se"uridad de conformidad con #as %o#Fticas y %rocedimientos de #a or"ani;ación estab#ecidas
A)9)+)+
Concienciación sobre #a se"uridad de #a información: #a educación y #a formación
odos #os em%#eados de #a or"ani;ación y: en su caso: #os contratistas y usuarios de terceras %artes: deberán recibir una ca%acitación adecuada sensibi#i;ación y actua#i;aciones re"u#ares en #as %o#Fticas y %rocedimientos de #a or"ani;ación: $ue sea re#eante %ara su función de trabajo)
A)9)+)6
Proceso Dici%#inario
abrá un %roceso disci%#inario forma# %ara #os em%#eados $ue
A.@.,
Para ase4urarse de 9ue los empleados8 contratistas + usuarios de l termino o cambio de empleo terceras partes salen de una or4ani=ación o el cambio de empleo de una manera ordenada.
A)9)6)(
ermino de res%onsabi#idades
0as res%onsabi#idades %ara #a rea#i;ación de #a terminación de# em%#eo o cambio de em%#eo: deberán estar c#aramente definidas y asi"nadas)
A)9)6)+
=etorno de #os actios
odos #os em%#eados: contratistas y usuarios de terceras %artes deberán deo#er todos #os actios de #a or"ani;ación en su %oder a #a terminación de su em%#eo: contrato o acuerdo))
A)9)6)6
!#iminacion de #os derec
0os derec
A.0
Halla=4os
Para lo4rar + mantener la protección adecuada de los acti5os de la or4ani=ación. odos #os actios deben estar c#aramente identificados y un inentario de todos #os actios im%ortantes estab#ecimiento y e# mantenimiento)
A.@.&
Ane3o A de re)erencia
uscar
A.$.&
A.@
Status
a se4uridad )isica + ambiental Para pre5enir el acceso no autori=ado )?sico8 da7os e inter)erencia a las instalaciones + la in)ormación de la or4ani=ación.
A0.&
Areas Se4uras
A-)()(
PerFmetro de se"uridad fFsica
PerFmetros de %rotección se uti#i;arán barreras ta#es como %aredes: %uertas de entrada de #a tarjeta contro#ada o mostradores de rece%ción tri%u#adosE %ara %rote"er áreas $ue contienen #as insta#aciones de %rocesamiento de #a información y de #a información)
A-)()+
Contro#es de entradas fisicas
0as áreas se"uras $uedará %rote"ido %or entrada a%ro%iada contro#es %ara ase"urarse de $ue se #es %ermite e# acceso só#o e# %ersona# autori;ado ))
A-)()6
Ase"urar oficinas: sa#as e insta#aciones
0a se"uridad fFsica de #as oficinas:
A-)(),
0a %rotección contra amena;as e/ternas y ambienta#es
0a %rotección fFsica contra da3os %or incendio: inundación: terremoto: e/%#osión: disturbios cii#es: y otros ti%os de catástrofes natura#es o de ori"en
A-)()7
rabajar en ;onas se"uras
Protección fFsica y %autas %ara e# trabajo en #as áreas de se"uridad deben ser dise3adas y a%#icadas)
A-)()8
Nonas de acceso %Hb#ico: de entre"a y de car"a
0os %untos de acceso: ta#es como #as ;onas de entre"a y de car"a y otros %untos en #os $ue #as %ersonas no autori;adas %uedan entrar #os #oca#es se deberán contro#ar y: si es %osib#e: ais#ada de #as insta#aciones de
Función
Pa"e 6, of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A.@.#
Durante el empleo
Para ase4urar 9ue todos los empleados8 contratistas + usuarios de terceras partes son conscientes de la in)ormación amena=as + preocupaciones8 sus responsabilidades + obli4aciones de se4uridad8 + est2n e9uipados para apo+ar la pol?tica de se4uridad de la or4ani=ación en el curso de su trabajo normal8 + para reducir el ries4o de error humano.
A)9)+)(
Gestion de res%onsabi#idades
Administración e/i"ir a #os em%#eados: contratistas y usuarios de terceras %artes %ara a%#icar #a se"uridad de conformidad con #as %o#Fticas y %rocedimientos de #a or"ani;ación estab#ecidas
A)9)+)+
Concienciación sobre #a se"uridad de #a información: #a educación y #a formación
odos #os em%#eados de #a or"ani;ación y: en su caso: #os contratistas y usuarios de terceras %artes: deberán recibir una ca%acitación adecuada sensibi#i;ación y actua#i;aciones re"u#ares en #as %o#Fticas y %rocedimientos de #a or"ani;ación: $ue sea re#eante %ara su función de trabajo)
A)9)+)6
Proceso Dici%#inario
abrá un %roceso disci%#inario forma# %ara #os em%#eados $ue
A.@.,
Función
ermino de res%onsabi#idades
0as res%onsabi#idades %ara #a rea#i;ación de #a terminación de# em%#eo o cambio de em%#eo: deberán estar c#aramente definidas y asi"nadas)
A)9)6)+
=etorno de #os actios
odos #os em%#eados: contratistas y usuarios de terceras %artes deberán deo#er todos #os actios de #a or"ani;ación en su %oder a #a terminación de su em%#eo: contrato o acuerdo))
A)9)6)6
!#iminacion de #os derec
0os derec
Para pre5enir el acceso no autori=ado )?sico8 da7os e inter)erencia a las instalaciones + la in)ormación de la or4ani=ación.
Areas Se4uras
A-)()(
PerFmetro de se"uridad fFsica
PerFmetros de %rotección se uti#i;arán barreras ta#es como %aredes: %uertas de entrada de #a tarjeta contro#ada o mostradores de rece%ción tri%u#adosE %ara %rote"er áreas $ue contienen #as insta#aciones de %rocesamiento de #a información y de #a información)
A-)()+
Contro#es de entradas fisicas
0as áreas se"uras $uedará %rote"ido %or entrada a%ro%iada contro#es %ara ase"urarse de $ue se #es %ermite e# acceso só#o e# %ersona# autori;ado ))
A-)()6
Ase"urar oficinas: sa#as e insta#aciones
0a se"uridad fFsica de #as oficinas:
A-)(),
0a %rotección contra amena;as e/ternas y ambienta#es
0a %rotección fFsica contra da3os %or incendio: inundación: terremoto: e/%#osión: disturbios cii#es: y otros ti%os de catástrofes natura#es o de ori"en
A-)()7
rabajar en ;onas se"uras
Protección fFsica y %autas %ara e# trabajo en #as áreas de se"uridad deben ser dise3adas y a%#icadas)
A-)()8
Nonas de acceso %Hb#ico: de entre"a y de car"a
0os %untos de acceso: ta#es como #as ;onas de entre"a y de car"a y otros %untos en #os $ue #as %ersonas no autori;adas %uedan entrar #os #oca#es se deberán contro#ar y: si es %osib#e: ais#ada de #as insta#aciones de %rocesamiento de información %ara eitar e# acceso no autori;ado)
ero/ Interna# Use On#y
6,,79.-.8)/#s
T?tulo de control
Descripción del control Para e5itar la p1rdida8 da7o8 robo o el compromiso de los acti5os + la interrupción de las acti5idades de la or4ani=ación.
A0.#
Se4uridad de los e9uipos
A-)+)(
!m%#a;amiento y Protección de# e$ui%o
!# e$ui%o deberá estar situado o %rote"ido %ara reducir #os ries"os de #as amena;as y %e#i"ros ambienta#es: y #as o%ortunidades %ara e# acceso no autori;ado)
A-)+)+
A%oyo a #os sericios %Hb#icos
!# e$ui%o deberá estar %rote"ida contra fa##as de ener"Fa y otras interru%ciones causadas %or fa##as en e# a%oyo a #os sericios %Hb#icos)
A-)+)6
se"uridad de# cab#eado
!ner"Fa y te#ecomunicaciones cab#eado $ue trans%orta datos o e# a%oyo a #os sericios de información deben estar %rote"idos contra #a interce%tación o da3o)
A-)+),
!# mantenimiento de# e$ui%o
!# e$ui%o debe mantenerse correctamente %ara %ermitir su continua dis%onibi#idad e inte"ridad)
A-)+)7
&e"uridad de #os e$ui%os fuera de #as insta#aciones
&e"uridad se a%#icará a #os e$ui%os fuera de #as insta#aciones: teniendo en cuenta #os diferentes ries"os de trabajar fuera de #os #oca#es de #a or"ani;ación)
A-)+)8
0a e#iminación se"ura o de re1uso de e$ui%os
odos #os e#ementos de# e$ui%o $ue contiene #os medios de a#macenamiento deberán ser ea#uados %ara erificar $ue #os datos sensib#es y e# soft'are con #icencia se
A-)+).
!#iminación de #os e$ui%os
!$ui%o: #a información o e# soft'are no se tomarán fuera de# sitio sin #a %reia autori;ación)
A&%
A&%.&
Procedimientos + responsabilidades operacionales
To ensure the correct and secure operation o) in)ormation processin4 )acilities.
A(*)()(
Procedimientos o%eraciona#es: adecuadamente documentados
0os %rocedimientos de o%eración deberán ser documentados: mantenidos y %uestos a dis%osición de todos #os usuarios $ue #os necesitan)
A(*)()+
Gestión de# Cambio
0os cambios en #as insta#aciones y #os sistemas de %rocesamiento de información deben contro#arse)
A(*)()6
0a se"re"ación de funciones
Deberes y áreas de res%onsabi#idad deben estar se%arados %ara reducir #as o%ortunidades de modificación o ma# uso de #os actios de #a or"ani;ación no autori;ado o ino#untario)
A(*)(),
Halla=4os
a se4uridad )isica + ambiental
A0.&
Ane3o A de re)erencia
uscar
Para ase4urarse de 9ue los empleados8 contratistas + usuarios de l termino o cambio de empleo terceras partes salen de una or4ani=ación o el cambio de empleo de una manera ordenada.
A)9)6)(
A.0
Status
!starán se%aradas de desarro##o: %rueba e insta#aciones o%eraciona#es &e%aración de desarro##o: %rueba %ara reducir e# ries"o de acceso no autori;ado o a#teraciones en e# sistema e insta#aciones o%eraciona#es o%eratio) Para implementar + mantener el ni5el adecuado de se4uridad de la in)ormación + la prestación de ser5icios en l?nea con los acuerdos de prestación de ser5icios de terceros.
A&%.#
A(*)+)(
&ericio de entre"a
&e e#ará %or $ue #os contro#es de se"uridad: #as definiciones de sericio: y #os nie#es de enFo inc#uidos en e# tercer acuerdo de %restación de sericios de# %artido se im%#ementan: o%erado y mantenido %or e# tercero)
A(*)+)+
!# se"uimiento y #a reisión de #os sericios de terceros
0os sericios: #os informes y #os re"istros %ro%orcionados %or e# tercero deberán ser contro#ados re"u#armente y reisados: y #as auditorFas se ##earán a cabo con re"u#aridad)
A(*)+)6
Gestión de cambios en #os sericios de terceros
os cambios en #a %restación de sericios: inc#uido e# mantenimiento y #a mejora de #as actua#es %o#Fticas de se"uridad de información: %rocedimientos y contro#es: se "estionarán: teniendo en cuenta #a criticidad de #os sistemas y %rocesos $ue interienen em%resas y re1ea#uación de
Función
Pa"e 67 of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
A0.#
Se4uridad de los e9uipos
A-)+)(
!m%#a;amiento y Protección de# e$ui%o
!# e$ui%o deberá estar situado o %rote"ido %ara reducir #os ries"os de #as amena;as y %e#i"ros ambienta#es: y #as o%ortunidades %ara e# acceso no autori;ado)
A-)+)+
A%oyo a #os sericios %Hb#icos
!# e$ui%o deberá estar %rote"ida contra fa##as de ener"Fa y otras interru%ciones causadas %or fa##as en e# a%oyo a #os sericios %Hb#icos)
A-)+)6
se"uridad de# cab#eado
!ner"Fa y te#ecomunicaciones cab#eado $ue trans%orta datos o e# a%oyo a #os sericios de información deben estar %rote"idos contra #a interce%tación o da3o)
A-)+),
!# mantenimiento de# e$ui%o
!# e$ui%o debe mantenerse correctamente %ara %ermitir su continua dis%onibi#idad e inte"ridad)
A-)+)7
&e"uridad de #os e$ui%os fuera de #as insta#aciones
&e"uridad se a%#icará a #os e$ui%os fuera de #as insta#aciones: teniendo en cuenta #os diferentes ries"os de trabajar fuera de #os #oca#es de #a or"ani;ación)
A-)+)8
0a e#iminación se"ura o de re1uso de e$ui%os
odos #os e#ementos de# e$ui%o $ue contiene #os medios de a#macenamiento deberán ser ea#uados %ara erificar $ue #os datos sensib#es y e# soft'are con #icencia se
A-)+).
!#iminación de #os e$ui%os
!$ui%o: #a información o e# soft'are no se tomarán fuera de# sitio sin #a %reia autori;ación)
A&%
Descripción del control
Función
To ensure the correct and secure operation o) in)ormation processin4 )acilities.
A(*)()(
Procedimientos o%eraciona#es: adecuadamente documentados
0os %rocedimientos de o%eración deberán ser documentados: mantenidos y %uestos a dis%osición de todos #os usuarios $ue #os necesitan)
A(*)()+
Gestión de# Cambio
0os cambios en #as insta#aciones y #os sistemas de %rocesamiento de información deben contro#arse)
A(*)()6
0a se"re"ación de funciones
Deberes y áreas de res%onsabi#idad deben estar se%arados %ara reducir #as o%ortunidades de modificación o ma# uso de #os actios de #a or"ani;ación no autori;ado o ino#untario)
!starán se%aradas de desarro##o: %rueba e insta#aciones o%eraciona#es &e%aración de desarro##o: %rueba %ara reducir e# ries"o de acceso no autori;ado o a#teraciones en e# sistema e insta#aciones o%eraciona#es o%eratio) Para implementar + mantener el ni5el adecuado de se4uridad de la in)ormación + la prestación de ser5icios en l?nea con los acuerdos de prestación de ser5icios de terceros.
A&%.#
A(*)+)(
&ericio de entre"a
&e e#ará %or $ue #os contro#es de se"uridad: #as definiciones de sericio: y #os nie#es de enFo inc#uidos en e# tercer acuerdo de %restación de sericios de# %artido se im%#ementan: o%erado y mantenido %or e# tercero)
A(*)+)+
!# se"uimiento y #a reisión de #os sericios de terceros
0os sericios: #os informes y #os re"istros %ro%orcionados %or e# tercero deberán ser contro#ados re"u#armente y reisados: y #as auditorFas se ##earán a cabo con re"u#aridad)
A(*)+)6
Gestión de cambios en #os sericios de terceros
os cambios en #a %restación de sericios: inc#uido e# mantenimiento y #a mejora de #as actua#es %o#Fticas de se"uridad de información: %rocedimientos y contro#es: se "estionarán: teniendo en cuenta #a criticidad de #os sistemas y %rocesos $ue interienen em%resas y re1ea#uación de #os ries"os)
ero/ Interna# Use On#y
A&%.,
6,,79.-.8)/#s
T?tulo de control
Descripción del control
Plani)icación + aceptación del Para minimi=ar el ries4o de )allo de los sistemas. sistema
A(*)6)(
"estión de #a ca%acidad
!# uso de #os r ecursos deberá ser monitoreada: afinado: y %royecciones de #as futuras necesidades de c a%acidad %ara ase"urar e# rendimiento de# sistema re$uerido)
A(*)6)+
#a ace%tación de# sistema
0os criterios de ace%tación %ara #os nueos sistemas de información: actua#i;aciones y nueas ersiones serán estab#ecidos y # as %ruebas adecuadas de# sistemaE ##earon a cabo durante e# desarro##o y antes de #a ace%tación)
A&%./
Protección contra códi4o malicioso + mó5il
A(*),)(
Contro#es contra códi"o ma#icioso
&e ##earán a cabo #a detección: %reención y recu%eración contro#es de %rotección contra códi"o ma#icioso y #os %rocedimientos a%ro%iados de sensibi#i;ación usuario)
A(*),)+
Contro#es contra códi"os mói#es
Cuando se autorice e# uso de códi"o mói#: #a confi"uración deberá "aranti;ar $ue e# códi"o mói# autori;ado o%era de acuerdo con una %o#Ftica de se"uridad c#aramente definido: y e# códi"o mói# no autori;ado %uede ser im%edido de ejecutar)
A&%.(
ac-up
A(*)7)(
Información bac21u%
A&%.>
A(*)8)(
contro#es de red
=edes se "estionarán adecuadamente y contro#ados: con e# fi n de %rote"erse de #as amena;as: y %ara mantener #a se"uridad de #os sistemas y a%#icaciones $ue uti#i;an #a red: inc#uyendo #a información en tránsito)
A(*)8)+
&e"uridad de #os sericios de red
0as caracterFsticas de se"uridad: nie#es de sericio y #os re$uisitos de "estión de todos #os sericios de #a red deben ser identificados e inc#uidos en cua#$uier acuerdo de sericios de red: si estos sericios se ofrecen en #a em%resa o subcontratado)
A&%.$
manejo del soporte
A(*).)(
Gestión de so%ortes e/traFb#es
A(*).)+
0a e#iminación de #os medios de comunicación
A(*).)6
Información de# manejo de #os %rocedimientos
0os %rocedimientos %ara e# manejo y a#macenamiento de #a información se estab#ecerán %ara %rote"er esta información contra su diu#"ación o uso no autori;ado)
A(*).),
&e"uridad de #a documentación de# sistema
Documentación de# sistema deben estar %rote"idos contra e# acceso no autori;ado)
A&%.@
!ntercambio de in)ormación
A(*)9)(
Halla=4os
Ane3o A de re)erencia
uscar
Para e5itar la p1rdida8 da7o8 robo o el compromiso de los acti5os + la interrupción de las acti5idades de la or4ani=ación.
A&%.&
A(*)(),
Status
Para prote4er la inte4ridad del so)tGare + la in)ormación.
Para mantener la inte4ridad + la disponibilidad de instalaciones de procesamiento de la in)ormación + de la in)ormación. Co%ias de res%a#do de #a información y soft'are serán tomadas y ana#i;adas con re"u#aridad de acuerdo con #a %o#Ftica de co%ia de se"uridad acordado) Para 4aranti=ar la protección de la in)ormación en las redes + la protección de la in)raestructura de apo+o.
Para e5itar la di5ul4ación no autori=ada8 modi)icación8 eliminación o destrucción de bienes8 + la interrupción de las acti5idades comerciales. Deberá
Para mantener la se4uridad de la in)ormación + so)tGare intercambiado dentro de una or4ani=ación + con cual9uier entidad e3terna.
Po#Fticas forma#es de cambio: #os %rocedimientos y #os contro#es deberán 0as %o#Fticas y #os %rocedimientos estar en su # u"ar %ara %rote"er e# intercambio de información mediante e# de intercambio de información uso de todo ti%o de insta#aciones de comunicación) 0os acuerdos se estab#ecieron %ara e# intercambio de información y
Función
Pa"e 68 of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia A&%.,
T?tulo de control
Descripción del control
Función
"estión de #a ca%acidad
!# uso de #os r ecursos deberá ser monitoreada: afinado: y %royecciones de #as futuras necesidades de c a%acidad %ara ase"urar e# rendimiento de# sistema re$uerido)
A(*)6)+
#a ace%tación de# sistema
0os criterios de ace%tación %ara #os nueos sistemas de información: actua#i;aciones y nueas ersiones serán estab#ecidos y # as %ruebas adecuadas de# sistemaE ##earon a cabo durante e# desarro##o y antes de #a ace%tación)
A&%./
Protección contra códi4o malicioso + mó5il
A(*),)(
Contro#es contra códi"o ma#icioso
&e ##earán a cabo #a detección: %reención y recu%eración contro#es de %rotección contra códi"o ma#icioso y #os %rocedimientos a%ro%iados de sensibi#i;ación usuario)
A(*),)+
Contro#es contra códi"os mói#es
Cuando se autorice e# uso de códi"o mói#: #a confi"uración deberá "aranti;ar $ue e# códi"o mói# autori;ado o%era de acuerdo con una %o#Ftica de se"uridad c#aramente definido: y e# códi"o mói# no autori;ado %uede ser im%edido de ejecutar)
A&%.(
ac-up
A(*)7)(
Información bac21u%
A&%.>
A(*)8)(
contro#es de red
=edes se "estionarán adecuadamente y contro#ados: con e# fi n de %rote"erse de #as amena;as: y %ara mantener #a se"uridad de #os sistemas y a%#icaciones $ue uti#i;an #a red: inc#uyendo #a información en tránsito)
A(*)8)+
&e"uridad de #os sericios de red
0as caracterFsticas de se"uridad: nie#es de sericio y #os re$uisitos de "estión de todos #os sericios de #a red deben ser identificados e inc#uidos en cua#$uier acuerdo de sericios de red: si estos sericios se ofrecen en #a em%resa o subcontratado)
A&%.$
manejo del soporte
A(*).)(
Gestión de so%ortes e/traFb#es
A(*).)+
0a e#iminación de #os medios de comunicación
A(*).)6
Información de# manejo de #os %rocedimientos
0os %rocedimientos %ara e# manejo y a#macenamiento de #a información se estab#ecerán %ara %rote"er esta información contra su diu#"ación o uso no autori;ado)
A(*).),
&e"uridad de #a documentación de# sistema
Documentación de# sistema deben estar %rote"idos contra e# acceso no autori;ado)
A&%.@
!ntercambio de in)ormación
A(*)9)+
Para mantener la inte4ridad + la disponibilidad de instalaciones de procesamiento de la in)ormación + de la in)ormación. Co%ias de res%a#do de #a información y soft'are serán tomadas y ana#i;adas con re"u#aridad de acuerdo con #a %o#Ftica de co%ia de se"uridad acordado) Para 4aranti=ar la protección de la in)ormación en las redes + la protección de la in)raestructura de apo+o.
Para e5itar la di5ul4ación no autori=ada8 modi)icación8 eliminación o destrucción de bienes8 + la interrupción de las acti5idades comerciales. Deberá
Para mantener la se4uridad de la in)ormación + so)tGare intercambiado dentro de una or4ani=ación + con cual9uier entidad e3terna.
Po#Fticas forma#es de cambio: #os %rocedimientos y #os contro#es deberán 0as %o#Fticas y #os %rocedimientos estar en su # u"ar %ara %rote"er e# intercambio de información mediante e# de intercambio de información uso de todo ti%o de insta#aciones de comunicación) 0os acuerdos de intercambio
0os acuerdos se estab#ecieron %ara e# intercambio de información y soft'are entre #a or"ani;ación y #as %artes e/ternas)
6,,79.-.8)/#s
T?tulo de control
Descripción del control
A(*)9)6
Medios fFsicos en tránsito
0os medios $ue contienen información deben estar %rote"idos contra e# acceso no autori;ado: ma# uso o corru%ción durante e# trans%orte más a##á de #os #Fmites fFsicos de una or"ani;ación)
A(*)9),
Mensajeria !#ectronica
Información ino#ucrado en #a mensajerFa e#ectrónica será debidamente %reserado)
A(*)9)7
&istemas de información de ne"ocios
0as %o#Fticas y %rocedimientos deberán ser desarro##ados e im%#ementados %ara %rote"er #a información asociada a #a intercone/ión de #os sistemas de información de ne"ocios)
A&%.0
Ser5icios de comercio electrónico
Para 4aranti=ar la se4uridad de los ser5icios de comercio electrónico8 + su uso se4uro.
A(*)-)(
Comercio !#ectronico
Información ino#ucrado en e# comercio e#ectrónico $ue %asa a tras de redes %Hb#icas: serán %rote"idos de #a actiidad fraudu#enta: dis%uta de contrato: y #a diu#"ación y modificación no autori;ada)
A(*)-)+
ransacciones On1#ine
Información ino#ucrada en #as transacciones en # Fnea deberán estar %rote"idos %ara %reenir #a transmisión incom%#eta: ma# enrutamiento: a#teración mensaje no autori;ado: #a diu#"ación no autori;ada: #a du%#icación de mensajes no autori;ada o #a re%roducción)
A(*)-)6
Información %Hb#ica
0a inte"ridad de #a información %uesta a dis%osición de un sistema de acceso %Hb#ico debe ser %rote"ido %ara eitar #a modificación no autori;ada)
A&%.&%
6onitoreo
A(*)(*)(
=e"istro de Auditoria
0os re"istros de auditorFa de "rabación de #as actiidades de# usuario: e/ce%ciones y eentos de se"uridad de información se %roducen y se conserarán durante un %erFodo acordado %ara ayudar en futuras inesti"aciones y #a i"i#ancia de# contro# de acceso)
A(*)(*)+
Uso de# sistema de monitoreo
Procedimientos %ara e# uso de i"i#ancia de #as insta#aciones de %rocesamiento de información se estab#ecerán y #os resu#tados de #as actiidades de se"uimiento de reisiones re"u#ares)
A(*)(*)6
Protección de #os re"istros de información
Insta#aciones de re"istro y #a información de re"istro se %rote"erán contra #a mani%u#ación y acceso no autori;ado)
A(*)(*),
Para detectar las acti5idades de procesamiento de in)ormación no autori=ados.
Administración y o%eración de #os Actiidades de# administrador de# sistema y "estor de #a red se re"istrarán) re"istros de información
A(*)(*)7
@a##o de =e"istros
@a##os se re"istrarán: ana#i;arán y tomarán #as medidas corres%ondientes)
A(*)(*)8
&incroni;ación de =e#ojes
0os re#ojes de todos #os sistemas de %rocesamiento de información %ertinentes dentro de una or"ani;ación o dominio de se"uridad se %ueden sincroni;ar con una fuente
A&&
Halla=4os
Para prote4er la inte4ridad del so)tGare + la in)ormación.
ero/ Interna# Use On#y
Ane3o A de re)erencia
uscar
Plani)icación + aceptación del Para minimi=ar el ries4o de )allo de los sistemas. sistema
A(*)6)(
A(*)9)(
Status
Control de Acceso
A&&.&
;e9uerimiento de ne4ocio de control de acceso
A(()()(
Po#Ftica de contro# de acceso
A&&.#
A(()+)(
=e"istro de Usuarios
abrá un re"istro de usuario forma# y %rocedimiento de #a matrFcu#a en e# #u"ar %ara otor"ar y reocar e# acceso a todos #os sistemas y sericios de información)
A(()+)+
Administración de Prii#e"ios
0a asi"nación y e# uso de #os %rii#e"ios se #imitarán y contro#ados)
Para controlar el acceso a la in)ormación. &e estab#ecerá una %o#Ftica de contro# de acceso: documentado y reisado basado en #os re$uisitos em%resaria#es y de se"uridad %ara e# acceso) Para 4aranti=ar el acceso del usuario autori=ado + e5itar el acceso no autori=ado a los sistemas de in)ormación.
Función
Pa"e 6. of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(*)9)6
Medios fFsicos en tránsito
0os medios $ue contienen información deben estar %rote"idos contra e# acceso no autori;ado: ma# uso o corru%ción durante e# trans%orte más a##á de #os #Fmites fFsicos de una or"ani;ación)
A(*)9),
Mensajeria !#ectronica
Información ino#ucrado en #a mensajerFa e#ectrónica será debidamente %reserado)
A(*)9)7
&istemas de información de ne"ocios
0as %o#Fticas y %rocedimientos deberán ser desarro##ados e im%#ementados %ara %rote"er #a información asociada a #a intercone/ión de #os sistemas de información de ne"ocios)
A&%.0
Ser5icios de comercio electrónico
Para 4aranti=ar la se4uridad de los ser5icios de comercio electrónico8 + su uso se4uro.
A(*)-)(
Comercio !#ectronico
Información ino#ucrado en e# comercio e#ectrónico $ue %asa a tras de redes %Hb#icas: serán %rote"idos de #a actiidad fraudu#enta: dis%uta de contrato: y #a diu#"ación y modificación no autori;ada)
A(*)-)+
ransacciones On1#ine
Información ino#ucrada en #as transacciones en # Fnea deberán estar %rote"idos %ara %reenir #a transmisión incom%#eta: ma# enrutamiento: a#teración mensaje no autori;ado: #a diu#"ación no autori;ada: #a du%#icación de mensajes no autori;ada o #a re%roducción)
A(*)-)6
Información %Hb#ica
0a inte"ridad de #a información %uesta a dis%osición de un sistema de acceso %Hb#ico debe ser %rote"ido %ara eitar #a modificación no autori;ada)
A&%.&%
6onitoreo
A(*)(*)(
=e"istro de Auditoria
0os re"istros de auditorFa de "rabación de #as actiidades de# usuario: e/ce%ciones y eentos de se"uridad de información se %roducen y se conserarán durante un %erFodo acordado %ara ayudar en futuras inesti"aciones y #a i"i#ancia de# contro# de acceso)
A(*)(*)+
Uso de# sistema de monitoreo
Procedimientos %ara e# uso de i"i#ancia de #as insta#aciones de %rocesamiento de información se estab#ecerán y #os resu#tados de #as actiidades de se"uimiento de reisiones re"u#ares)
A(*)(*)6
Protección de #os re"istros de información
Insta#aciones de re"istro y #a información de re"istro se %rote"erán contra #a mani%u#ación y acceso no autori;ado)
A(*)(*),
Función
@a##os se re"istrarán: ana#i;arán y tomarán #as medidas corres%ondientes)
A(*)(*)8
&incroni;ación de =e#ojes
0os re#ojes de todos #os sistemas de %rocesamiento de información %ertinentes dentro de una or"ani;ación o dominio de se"uridad se %ueden sincroni;ar con una fuente
Control de Acceso
A&&.&
;e9uerimiento de ne4ocio de control de acceso
A(()()(
Po#Ftica de contro# de acceso
A&&.#
A(()+)(
=e"istro de Usuarios
abrá un re"istro de usuario forma# y %rocedimiento de #a matrFcu#a en e# #u"ar %ara otor"ar y reocar e# acceso a todos #os sistemas y sericios de información)
A(()+)+
Administración de Prii#e"ios
0a asi"nación y e# uso de #os %rii#e"ios se #imitarán y contro#ados)
Para controlar el acceso a la in)ormación. &e estab#ecerá una %o#Ftica de contro# de acceso: documentado y reisado basado en #os re$uisitos em%resaria#es y de se"uridad %ara e# acceso) Para 4aranti=ar el acceso del usuario autori=ado + e5itar el acceso no autori=ado a los sistemas de in)ormación.
ero/ Interna# Use On#y
6,,79.-.8)/#s
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(()+)6
Administración de Pass'ord de Usuarios
0a asi"nación de contrase3as se contro#a a tras de un %roceso de "estión forma#)
A(()+),
=eisión de #os derec
0a dirección reisará #os derec
A&&.,
;esponsabilidades de los usuarios
Para pre5enir el acceso no autori=ado de usuarios8 + el compromiso o el robo de las instalaciones de procesamiento de la in)ormación + de la in)ormación.
A(()6)(
Uti#i;ación de Contrase3a
A(()6)+
!$ui%o de usuarios desatendido
A(()6)6
Po#Ftica de escritorio y %anta##a en b#anco o des%ejado
A&&./
Control de acceso de red
Para pre5enir el acceso no autori=ado a los ser5icios en red.
A((),)(
Po#Ftica sobre e# uso de #os sericios de red
0os usuarios só#o deberán dis%oner de acceso a #os sericios $ue
A((),)+
Autenticación de usuario %ara #as cone/iones e/ternas
Mtodos de autenticación adecuados se uti#i;an %ara contro#ar e# acceso de usuarios remotos)
A((),)6
Identificación de #os e$ui%os en #as redes
Identificación automática de #os e$ui%os se considerará como un medio %ara autenticar #as cone/iones de #os #u"ares y e$ui%os es%ecFficos)
A((),),
Dia"nóstico remoto y %rotección %uerto de confi"uración
&e contro#ará e# acceso fFsico y #ó"ico a #os %uertos de dia"nóstico y confi"uración)
A((),)7
&e"re"ación en redes
Gru%os de sericios de información: #os usuarios y #os si stemas de información deberán estar se%arados de #as redes
A((),)8
Contro# de #a cone/ión de red
Para #as redes c om%artidas: es%ecia#mente a$ue##as $ue se e/tienden a tras de fronteras de #a or"ani;ación: #a ca%acidad de #os usuarios %ara conectarse a #a red se #imitará: en #Fnea con #a %o#Ftica y #os re$uisitos de #as a%#icaciones de ne"ocio de contro# de acceso ase (()(E)
A((),).
Contro# de =uta de red
Contro#es de enrutamiento se a%#icarán a #as redes %ara "aranti;ar $ue #as cone/iones de #a com%utadora y #os f#ujos de información no infrin"en #a %o#Ftica de contro# de acceso de #as a%#icaciones de ne"ocio)
A(()7)(
Halla=4os
Administración y o%eración de #os Actiidades de# administrador de# sistema y "estor de #a red se re"istrarán) re"istros de información @a##o de =e"istros
A&&.(
uscar
Para detectar las acti5idades de procesamiento de in)ormación no autori=ados.
A(*)(*)7
A&&
Status
0os usuarios estarán ob#i"ados a se"uir # as buenas %rácticas de s e"uridad en #a se#ección y uso de contrase3as) 0os usuarios deberán ase"urarse de $ue e# e$ui%o desatendido tiene #a %rotección adecuada) &e ado%tarán una %o#Ftica de escritorio #im%io de %a%e#es y so%ortes de a#macenamiento e/traFb#es y una %o#Ftica de #a %anta##a c#ara %ara #as insta#aciones de %rocesamiento de información)
Control de acceso del sistema Para pre5enir el acceso no autori=ado a los sistemas operati5os. operati5o !# acceso a #os sistemas o%eratios se contro#a mediante un %rocedimiento Procedimientos de Inicio &e"uro de inicio de sesión se"uro)
A(()7)+
Identificación y autenticación de usuarios
odos #os usuarios deben tener un identificador Hnico ID de usuarioE só#o %ara su uso %ersona#: y una tcnica de autenticación adecuados serán e#e"idos %ara corroborar #a identidad dec#arada de un usuario)
A(()7)6
&istema de "estión de contrase3as
&istemas de "estión de contrase3as serán interactios y se ase"urarán de contrase3as de ca#idad)
A(()7),
Uso de #as uti#idades de# sistema
!# uso de %ro"ramas uti#itarios $ue %odrFan ser ca%aces de sistema y de a%#icación contro#es %rimordia#es será restrin"ido y estrec
A(()7)7
&esión de tiem%o de es%era
&esiones inactias se cerrarán des%us de un %erFodo definido de
Función
Pa"e 69 of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(()+)6
Administración de Pass'ord de Usuarios
0a asi"nación de contrase3as se contro#a a tras de un %roceso de "estión forma#)
A(()+),
=eisión de #os derec
0a dirección reisará #os derec
A&&.,
;esponsabilidades de los usuarios
Para pre5enir el acceso no autori=ado de usuarios8 + el compromiso o el robo de las instalaciones de procesamiento de la in)ormación + de la in)ormación.
A(()6)(
Uti#i;ación de Contrase3a
A(()6)+
!$ui%o de usuarios desatendido
A(()6)6
Po#Ftica de escritorio y %anta##a en b#anco o des%ejado
A&&./
Control de acceso de red
Para pre5enir el acceso no autori=ado a los ser5icios en red.
A((),)(
Po#Ftica sobre e# uso de #os sericios de red
0os usuarios só#o deberán dis%oner de acceso a #os sericios $ue
A((),)+
Autenticación de usuario %ara #as cone/iones e/ternas
Mtodos de autenticación adecuados se uti#i;an %ara contro#ar e# acceso de usuarios remotos)
A((),)6
Identificación de #os e$ui%os en #as redes
Identificación automática de #os e$ui%os se considerará como un medio %ara autenticar #as cone/iones de #os #u"ares y e$ui%os es%ecFficos)
A((),),
Dia"nóstico remoto y %rotección %uerto de confi"uración
&e contro#ará e# acceso fFsico y #ó"ico a #os %uertos de dia"nóstico y confi"uración)
A((),)7
&e"re"ación en redes
Gru%os de sericios de información: #os usuarios y #os si stemas de información deberán estar se%arados de #as redes
A((),)8
Contro# de #a cone/ión de red
Para #as redes c om%artidas: es%ecia#mente a$ue##as $ue se e/tienden a tras de fronteras de #a or"ani;ación: #a ca%acidad de #os usuarios %ara conectarse a #a red se #imitará: en #Fnea con #a %o#Ftica y #os re$uisitos de #as a%#icaciones de ne"ocio de contro# de acceso ase (()(E)
A((),).
Contro# de =uta de red
Contro#es de enrutamiento se a%#icarán a #as redes %ara "aranti;ar $ue #as cone/iones de #a com%utadora y #os f#ujos de información no infrin"en #a %o#Ftica de contro# de acceso de #as a%#icaciones de ne"ocio)
A&&.( A(()7)(
Función
Control de acceso del sistema Para pre5enir el acceso no autori=ado a los sistemas operati5os. operati5o !# acceso a #os sistemas o%eratios se contro#a mediante un %rocedimiento Procedimientos de Inicio &e"uro de inicio de sesión se"uro) odos #os usuarios deben tener un identificador Hnico ID de usuarioE só#o %ara su uso %ersona#: y una tcnica de autenticación adecuados serán e#e"idos %ara corroborar #a identidad dec#arada de un usuario)
A(()7)6
&istema de "estión de contrase3as
&istemas de "estión de contrase3as serán interactios y se ase"urarán de contrase3as de ca#idad)
A(()7),
Uso de #as uti#idades de# sistema
!# uso de %ro"ramas uti#itarios $ue %odrFan ser ca%aces de sistema y de a%#icación contro#es %rimordia#es será restrin"ido y estrec
A(()7)7
&esión de tiem%o de es%era
&esiones inactias se cerrarán des%us de un %erFodo definido de inactiidad)
ero/ Interna# Use On#y
6,,79.-.8)/#s
T?tulo de control
Descripción del control
A(()7)8
0imitación de tiem%o de cone/ión
0as restricciones a #os tiem%os de cone/ión se uti#i;an %ara %ro%orcionar se"uridad adiciona# %ara a%#icaciones de a#to ri es"o)
A&&.>
l control de aplicaciones + acceder a in)ormación
A(()8)(
=estricción de acceso Información
Para pre5enir el acceso no autori=ado a la in)ormación contenida en los sistemas de aplicación. !# acceso a #as f unciones de información y sistemas de a%#icaciones %or #os usuarios y e# %ersona# de a%oyo se # imitará de acuerdo con #a %o#Ftica de contro# de acceso definido)
Ais#amiento de# sistema &ensib#e &istemas sensib#es deben tener un ais#adoE entorno informático dedicado)
A&&.$
Computadores 6obiles + Teletrabajo
A(().)(
Com%utadores Mobi#es y comnucaciones
Una %o#Ftica forma# deberá estar en su #u"ar: y se ado%tará medidas de se"uridad %ara %rote"er contra #os ries"os de# uso de #as insta#aciones de com%utación mói# y #a comunicación)
A(().)+
e#etrabajo
Una %o#Ftica: %#anes y %rocedimientos o%eratios deberá ser desarro##ado e im%#ementado %ara #as actiidades de te#etrabajo)
Para 4aranti=ar la se4uridad de la in)ormación cuando se utili=an las instalaciones de computación + teletrabajo mó5il.
Ad9uisición de sistemas de in)ormación8 desarrollo + mantenimiento A&# A&#.&
os re9uisitos de se4uridad de Para ase4urar 9ue la se4uridad es una parte inte4ral de los sistemas los sistemas de in)ormación de in)ormación. Dec#araciones de #os re$uerimientos de# ne"ocio %ara #os nueos sistemas de información: o mejoras de #os sistemas de información e/istentes es%ecificarán #os re$uisitos %ara #os contro#es de se"uridad)
A(+)()(
Aná#isis de #os re$uisitos de se"uridad y #as es%ecificaciones
A&#.#
Procesamiento correcto en aplicaciones
A(+)+)(
Va#idación de Datos de !ntrada
(+)+)+
Contro# de# %rocesamiento interno
Com%robaciones de a#idación deberán ser incor%orados en #as a%#icaciones %ara detectar cua#$uier corru%ción de #a información a tras de #os errores de %rocesamiento o actos de#iberados)
(+)+)6
Inte"ridad de #os mensajes
=e$uisitos %ara "aranti;ar #a autenticidad y #a %rotección de #a inte"ridad de# mensaje en #as a%#icaciones deben ser identificados: y #os contro#es a%ro%iados identificados e im%#ementados)
(+)+),
Va#idación de datos de sa#ida
0a sa#ida de datos desde una a%#icación deberá ser a#idado %ara ase"urarse de $ue e# %rocesamiento de #a información a#macenada es correcta y adecuada a #as circunstancias)
A&#., A(+)6)(
Halla=4os
&e ado%tarán una %o#Ftica de escritorio #im%io de %a%e#es y so%ortes de a#macenamiento e/traFb#es y una %o#Ftica de #a %anta##a c#ara %ara #as insta#aciones de %rocesamiento de información)
Identificación y autenticación de usuarios
A(()8)+
uscar
0os usuarios estarán ob#i"ados a se"uir # as buenas %rácticas de s e"uridad en #a se#ección y uso de contrase3as) 0os usuarios deberán ase"urarse de $ue e# e$ui%o desatendido tiene #a %rotección adecuada)
A(()7)+
Ane3o A de re)erencia
Status
Para e5itar errores8 la p1rdida8 modi)icación o mal uso de la in)ormación en la aplicación no autori=ada. 0a entrada de datos a #as a%#icaciones deberá ser a#idado %ara ase"urarse de $ue esta información es correcta y a%ro%iada)
Para prote4er la con)idencialidad8 autenticidad o inte4ridad de la in)ormación por medios cripto4r2)icos. Po#Ftica sobre e# uso de contro#es Una %o#Ftica sobre e# uso de contro#es cri%to"ráficos %ara #a %rotección de cri%to"ráficos #a información debe ser desarro##ado e im%#ementado Controles cripto4r2)icos
(+)6)+
Gestión de c#aes
A&#./
Se4uridad de los archi5os del sistema
A(+),)(
Contro# de# &oft'are O%eraciona#
A(+),)+
Protección de #os datos de %rueba de# sistema
Gestión de c#aes estará en e# #u"ar %ara a%oyar e# uso de # a or"ani;ación de #as tcnicas cri%to"ráficas) Para 4aranti=ar la se4uridad de los archi5os del sistema abrá %rocedimientos %ara contro#ar #a insta#ación de soft'are en #os sistemas o%eratios 0os datos de %rueba deben s e#eccionarse cuidadosamente y %rote"idos y contro#ados)
Función
Pa"e 6- of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(()7)8
0imitación de tiem%o de cone/ión
0as restricciones a #os tiem%os de cone/ión se uti#i;an %ara %ro%orcionar se"uridad adiciona# %ara a%#icaciones de a#to ri es"o)
A&&.>
l control de aplicaciones + acceder a in)ormación
A(()8)(
=estricción de acceso Información
A(()8)+
Función
Status
uscar
Halla=4os
Para pre5enir el acceso no autori=ado a la in)ormación contenida en los sistemas de aplicación. !# acceso a #as f unciones de información y sistemas de a%#icaciones %or #os usuarios y e# %ersona# de a%oyo se # imitará de acuerdo con #a %o#Ftica de contro# de acceso definido)
Ais#amiento de# sistema &ensib#e &istemas sensib#es deben tener un ais#adoE entorno informático dedicado)
A&&.$
Computadores 6obiles + Teletrabajo
Para 4aranti=ar la se4uridad de la in)ormación cuando se utili=an las instalaciones de computación + teletrabajo mó5il.
A(().)(
Com%utadores Mobi#es y comnucaciones
Una %o#Ftica forma# deberá estar en su #u"ar: y se ado%tará medidas de se"uridad %ara %rote"er contra #os ries"os de# uso de #as insta#aciones de com%utación mói# y #a comunicación)
A(().)+
e#etrabajo
Una %o#Ftica: %#anes y %rocedimientos o%eratios deberá ser desarro##ado e im%#ementado %ara #as actiidades de te#etrabajo)
Ad9uisición de sistemas de in)ormación8 desarrollo + mantenimiento A&# A&#.&
os re9uisitos de se4uridad de Para ase4urar 9ue la se4uridad es una parte inte4ral de los sistemas los sistemas de in)ormación de in)ormación. Dec#araciones de #os re$uerimientos de# ne"ocio %ara #os nueos sistemas de información: o mejoras de #os sistemas de información e/istentes es%ecificarán #os re$uisitos %ara #os contro#es de se"uridad)
A(+)()(
Aná#isis de #os re$uisitos de se"uridad y #as es%ecificaciones
A&#.#
Procesamiento correcto en aplicaciones
A(+)+)(
Va#idación de Datos de !ntrada
(+)+)+
Contro# de# %rocesamiento interno
Com%robaciones de a#idación deberán ser incor%orados en #as a%#icaciones %ara detectar cua#$uier corru%ción de #a información a tras de #os errores de %rocesamiento o actos de#iberados)
(+)+)6
Inte"ridad de #os mensajes
=e$uisitos %ara "aranti;ar #a autenticidad y #a %rotección de #a inte"ridad de# mensaje en #as a%#icaciones deben ser identificados: y #os contro#es a%ro%iados identificados e im%#ementados)
(+)+),
Va#idación de datos de sa#ida
0a sa#ida de datos desde una a%#icación deberá ser a#idado %ara ase"urarse de $ue e# %rocesamiento de #a información a#macenada es correcta y adecuada a #as circunstancias)
A&#.,
Controles cripto4r2)icos
A(+)6)(
Po#Ftica sobre e# uso de contro#es cri%to"ráficos
(+)6)+
Gestión de c#aes
A&#./
Se4uridad de los archi5os del sistema
A(+),)(
Contro# de# &oft'are O%eraciona#
A(+),)+
Protección de #os datos de %rueba de# sistema
Para e5itar errores8 la p1rdida8 modi)icación o mal uso de la in)ormación en la aplicación no autori=ada. 0a entrada de datos a #as a%#icaciones deberá ser a#idado %ara ase"urarse de $ue esta información es correcta y a%ro%iada)
Para prote4er la con)idencialidad8 autenticidad o inte4ridad de la in)ormación por medios cripto4r2)icos. Una %o#Ftica sobre e# uso de contro#es cri%to"ráficos %ara #a %rotección de #a información debe ser desarro##ado e im%#ementado Gestión de c#aes estará en e# #u"ar %ara a%oyar e# uso de # a or"ani;ación de #as tcnicas cri%to"ráficas) Para 4aranti=ar la se4uridad de los archi5os del sistema abrá %rocedimientos %ara contro#ar #a insta#ación de soft'are en #os sistemas o%eratios 0os datos de %rueba deben s e#eccionarse cuidadosamente y %rote"idos y contro#ados)
ero/ Interna# Use On#y
6,,79.-.8)/#s
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(+),)6
Contro# de acceso a# códi"o fuente de# %ro"rama
!# acceso a# códi"o fuente de# %ro"rama se #imitará)
A&#.(
Se4uridad en desarrollo + soporte de procesos
A(+)7)(
Procedimientos de contro# de cambio
A(+)7)+
A(+)7)6 A(+)7), A(+)7)7 A&#.>
A(+)8)(
A&, A&,.&
Para mantener la se4uridad de so)tGare de sistema de aplicación + la in)ormación. 0a im%#ementación de #os cambios se contro#a mediante e# uso de %rocedimientos forma#es de contro# de cambios)
=eisión tcnica de a%#icaciones Cuando se cambian #os sistemas o%eratios: a%#icaciones crFticas de des%us de cambios en e# ne"ocio deben ser reisados y %robados %ara ase"urar $ue no
0as modificaciones a #os %a$uetes de soft'are se %ondrán trabas: otros: #as modificaciones necesarias: y todos #os cambios deben ser estrictamente contro#ados) &e im%edirá O%ortunidades %ara #a fu"a de información) Desarro##o de soft'are e/terna#i;ado será su%erisado y contro#ado %or #a or"ani;ación Para reducir los ries4os deri5ados de la e3plotación de las 5ulnerabilidades t1cnicas publicadas. 0a información o%ortuna acerca de #as u#nerabi#idades tcnicas de #os sistemas de información $ue se uti#i;an se obtienen: #a e/%osición de #a or"ani;ación a ta#es u#nerabi#idades ea#uado y tomado #as medidas adecuadas %ara
A(6)()(
Informar sobre #os eentos de se"uridad de información
0os eentos de se"uridad de información se comunicarán a tras de cana#es de "estión adecuadas tan %ronto como sea %osib#e)
A(6)()+
Informes debi#idades de se"uridad
odos #os em%#eados: contratistas y usuarios de terceras %artes de #os sistemas y sericios de información estarán ob#i"ados a obserar y re%ortar cua#$uier debi#idad de se"uridad $ue obseren o sos%ec
A&,.#
Para 4aranti=ar un en)o9ue coherente + e)ica= se aplica a la 4estión de incidentes de se4uridad de la in)ormación.
A(6)+)(
=es%onsabi#idades y %rocedimientos
=es%onsabi#idades y %rocedimientos de manejo deberán ser estab#ecidos %ara ase"urar una res%uesta rá%ida: efica; y ordenada a #os incidentes de se"uridad de #a información)
A(6)+)+
A%rendiendo de #os incidentes de se"uridad de #a información
abrá mecanismos $ue %ermitan a #os ti%os: o#Hmenes y costos de #os incidentes de se"uridad de #a información %ara ser cuantificados y contro#ados)
A(6)+)6
Aco%io de !idencias
Cuando una acción de se"uimiento contra una %ersona u or"ani;ación des%us de un incidente de se"uridad de información im%#ica una acción jurFdica cii# o %ena#E: se %ercibirá #a eidencia: conserado: y se %resentó a cum%#ir con #as re"#as %ara #a %rueba %reista en #a jurisdicción corres%ondiente s E)
A&/
Función
Pa"e ,* of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
A(+),)6
Contro# de acceso a# códi"o fuente de# %ro"rama
!# acceso a# códi"o fuente de# %ro"rama se #imitará)
A&#.(
Se4uridad en desarrollo + soporte de procesos
A(+)7)(
Procedimientos de contro# de cambio
A(+)7)+
A(+)7)6 A(+)7), A(+)7)7 A&#.>
A(+)8)(
A&, A&,.&
Función
=eisión tcnica de a%#icaciones Cuando se cambian #os sistemas o%eratios: a%#icaciones crFticas de des%us de cambios en e# ne"ocio deben ser reisados y %robados %ara ase"urar $ue no
0as modificaciones a #os %a$uetes de soft'are se %ondrán trabas: otros: #as modificaciones necesarias: y todos #os cambios deben ser estrictamente contro#ados) &e im%edirá O%ortunidades %ara #a fu"a de información) Desarro##o de soft'are e/terna#i;ado será su%erisado y contro#ado %or #a or"ani;ación Para reducir los ries4os deri5ados de la e3plotación de las 5ulnerabilidades t1cnicas publicadas. 0a información o%ortuna acerca de #as u#nerabi#idades tcnicas de #os sistemas de información $ue se uti#i;an se obtienen: #a e/%osición de #a or"ani;ación a ta#es u#nerabi#idades ea#uado y tomado #as medidas adecuadas %ara
A(6)()+
Informes debi#idades de se"uridad
A&,.#
Para 4aranti=ar un en)o9ue coherente + e)ica= se aplica a la 4estión de incidentes de se4uridad de la in)ormación.
A(6)+)(
=es%onsabi#idades y %rocedimientos
=es%onsabi#idades y %rocedimientos de manejo deberán ser estab#ecidos %ara ase"urar una res%uesta rá%ida: efica; y ordenada a #os incidentes de se"uridad de #a información)
A(6)+)+
A%rendiendo de #os incidentes de se"uridad de #a información
abrá mecanismos $ue %ermitan a #os ti%os: o#Hmenes y costos de #os incidentes de se"uridad de #a información %ara ser cuantificados y contro#ados)
A(6)+)6
Aco%io de !idencias
Cuando una acción de se"uimiento contra una %ersona u or"ani;ación des%us de un incidente de se"uridad de información im%#ica una acción jurFdica cii# o %ena#E: se %ercibirá #a eidencia: conserado: y se %resentó a cum%#ir con #as re"#as %ara #a %rueba %reista en #a jurisdicción corres%ondiente s E)
ero/ Interna# Use On#y
Ane3o A de re)erencia
A&/.&
6,,79.-.8)/#s
T?tulo de control
Descripción del control
Para contrarrestar las interrupciones a las acti5idades comerciales + os aspectos de se4uridad de prote4er los procesos cr?ticos de ne4ocio de los e)ectos de los )allos in)ormación de la 4estión de la principales de los sistemas de in)ormación o los desastres + ase4urar continuidad del ne4ocio su oportuna reanudación.
A(,)()(
Inc#uyendo se"uridad de #a información en e# %roceso de "estión de #a continuidad de# ne"ocio
Un %roceso "estionado se desarro##a y se mantiene #a continuidad de# ne"ocio en toda #a or"ani;ación $ue se ocu%a de #os re$uisitos de se"uridad de #a información necesaria %ara #a continuidad de# ne"ocio de #a or"ani;ación)
A(,)()+
Continuidad de# ne"ocio y aná#isis de ries"os
0os eentos $ue %ueden causar interru%ciones en #os %rocesos de ne"ocio deben ser identificados: junto con #a %robabi#idad y e# im%acto de estas interru%ciones y de sus consecuencias %ara #a se"uridad de #a información)
A(,)()6
Desarro##o e im%#ementación de %#anes de continuidad $ue inc#uyen se"uridad de #a información
0os %#anes deberán desarro##arse y a%#icarse %ara mantener o restaurar #as o%eraciones y ase"urar #a dis%onibi#idad de información a# nie# re$uerido y en #as esca#as de tiem%o re$ueridas si"uientes a #a interru%ción o e# fracaso de #os %rocesos crFticos de ne"ocio)
A(,)(),
Marco de %#anificación de #a continuidad de# ne"ocio
Deberá mantenerse un Hnico marco de #os %#anes de continuidad de# ne"ocio %ara ase"urar $ue todos #os %#anes son consistentes: %ara abordar de manera co
A(,)()7 A&(
Halla=4os
0a im%#ementación de #os cambios se contro#a mediante e# uso de %rocedimientos forma#es de contro# de cambios)
odos #os em%#eados: contratistas y usuarios de terceras %artes de #os sistemas y sericios de información estarán ob#i"ados a obserar y re%ortar cua#$uier debi#idad de se"uridad $ue obseren o sos%ec
A&/
uscar
Para mantener la se4uridad de so)tGare de sistema de aplicación + la in)ormación.
Informar sobre #os eentos de se"uridad de información
A(6)()(
Status
Pruebas: mantenimiento y re1 ea#uación de #os %#anes de continuidad de# ne"ocio Con)ormidad
0os %#anes de continuidad deberán ser %robados y actua#i;ados re"u#armente %ara ase"urarse de $ue están a# dFa y efectio)
A&(.&
l cumplimiento de los re9uisitos le4ales
Para e5itar el rebasamiento de cual9uier le+8 obli4aciones le4ales8 re4lamentarias o contractuales8 + de los re9uisitos de se4uridad.
A(7)()(
Identificación de #a #e"is#ación a%#icab#e
odos #os re$uisitos #e"a#es: re"#amentarios y contractua#es %ertinentes y %or e# enfo$ue de #a or"ani;ación %ara cum%#ir con estos re$uisitos se definirán e/%#Fcitamente: documentados: y se mantienen a# dFa %ara cada sistema de información y # a or"ani;ación)
A(7)()+
Derec
Procedimientos a%ro%iados se a%#icarán %ara "aranti;ar e# cum%#imiento de re$uisitos #e"a#es: re"#amentarios y contractua#es sobre e# uso de materia# con res%ecto a# cua# %uede
A(7)()6
Protección de #os re"istros de #a or"ani;ación
=e"istros im%ortantes estarán %rote"idos contra %rdida: destrucción y fa#sificación: de acuerdo con #os re$uisitos #e"a#es: re"#amentarios: contractua#es y de ne"ocios)
A(7)(),
Protección de datos y %riacidad de #a información %ersona#
Protección de datos y %riacidad se "aranti;ará como se re$uiere en #a #e"is#ación %ertinente: #os re"#amentos: y: si %rocede: #as c#áusu#as contractua#es)
A(7)()7
Preención de# uso indebido de #as insta#aciones de %rocesamiento de información
0os usuarios se decidan a uti#i;ar #as i nsta#aciones de %rocesamiento de información %ara fines no autori;ados)
A(7)()8
=e"u#ación de #os contro#es cri%to"ráficos
Contro#es cri%to"ráficos serán uti#i;ados en cum%#imiento de todos # os acuerdos: #eyes y re"#amentos)
A&(.#
l cumplimiento de las pol?ticas de se4uridad + las normas + el cumplimiento t1cnico
Para 4aranti=ar el cumplimiento de los sistemas con las pol?ticas + est2ndares de se4uridad de la or4ani=ación
Función
Pa"e ,( of 79
Status
uscar
Halla=4os
Ane3o A de re)erencia
A&/.&
T?tulo de control
Descripción del control
Función
Inc#uyendo se"uridad de #a información en e# %roceso de "estión de #a continuidad de# ne"ocio
Un %roceso "estionado se desarro##a y se mantiene #a continuidad de# ne"ocio en toda #a or"ani;ación $ue se ocu%a de #os re$uisitos de se"uridad de #a información necesaria %ara #a continuidad de# ne"ocio de #a or"ani;ación)
A(,)()+
Continuidad de# ne"ocio y aná#isis de ries"os
0os eentos $ue %ueden causar interru%ciones en #os %rocesos de ne"ocio deben ser identificados: junto con #a %robabi#idad y e# im%acto de estas interru%ciones y de sus consecuencias %ara #a se"uridad de #a información)
A(,)()6
Desarro##o e im%#ementación de %#anes de continuidad $ue inc#uyen se"uridad de #a información
0os %#anes deberán desarro##arse y a%#icarse %ara mantener o restaurar #as o%eraciones y ase"urar #a dis%onibi#idad de información a# nie# re$uerido y en #as esca#as de tiem%o re$ueridas si"uientes a #a interru%ción o e# fracaso de #os %rocesos crFticos de ne"ocio)
A(,)(),
Marco de %#anificación de #a continuidad de# ne"ocio
Deberá mantenerse un Hnico marco de #os %#anes de continuidad de# ne"ocio %ara ase"urar $ue todos #os %#anes son consistentes: %ara abordar de manera co
A&(
Pruebas: mantenimiento y re1 ea#uación de #os %#anes de continuidad de# ne"ocio Con)ormidad l cumplimiento de los re9uisitos le4ales
A(7)()(
Identificación de #a #e"is#ación a%#icab#e
odos #os re$uisitos #e"a#es: re"#amentarios y contractua#es %ertinentes y %or e# enfo$ue de #a or"ani;ación %ara cum%#ir con estos re$uisitos se definirán e/%#Fcitamente: documentados: y se mantienen a# dFa %ara cada sistema de información y # a or"ani;ación)
A(7)()+
Derec
Procedimientos a%ro%iados se a%#icarán %ara "aranti;ar e# cum%#imiento de re$uisitos #e"a#es: re"#amentarios y contractua#es sobre e# uso de materia# con res%ecto a# cua# %uede
A(7)()6
Protección de #os re"istros de #a or"ani;ación
=e"istros im%ortantes estarán %rote"idos contra %rdida: destrucción y fa#sificación: de acuerdo con #os re$uisitos #e"a#es: re"#amentarios: contractua#es y de ne"ocios)
A(7)(),
Protección de datos y %riacidad de #a información %ersona#
Protección de datos y %riacidad se "aranti;ará como se re$uiere en #a #e"is#ación %ertinente: #os re"#amentos: y: si %rocede: #as c#áusu#as contractua#es)
A(7)()7
Preención de# uso indebido de #as insta#aciones de %rocesamiento de información
0os usuarios se decidan a uti#i;ar #as i nsta#aciones de %rocesamiento de información %ara fines no autori;ados)
A(7)()8
=e"u#ación de #os contro#es cri%to"ráficos
Contro#es cri%to"ráficos serán uti#i;ados en cum%#imiento de todos # os acuerdos: #eyes y re"#amentos)
A&(.#
l cumplimiento de las pol?ticas de se4uridad + las normas + el cumplimiento t1cnico
Para e5itar el rebasamiento de cual9uier le+8 obli4aciones le4ales8 re4lamentarias o contractuales8 + de los re9uisitos de se4uridad.
Para 4aranti=ar el cumplimiento de los sistemas con las pol?ticas + est2ndares de se4uridad de la or4ani=ación
ero/ Interna# Use On#y
A(7)+)(
A(7)+)+ A&(.,
6,,79.-.8)/#s
T?tulo de control
Descripción del control
Función
Pa"e ,+ of 79
Status
Administradores se ase"urarán de $ue todos #os %rocedimientos de !# cum%#imiento de #as %o#Fticas y se"uridad dentro de su área de res%onsabi#idad se ##ean a cabo normas de se"uridad correctamente %ara #o"rar e# cum%#imiento con #as %o#Fticas y estándares de se"uridad) Com%robación de# cum%#imiento 0os sistemas de información deben ser reisados re"u#armente %or e# tcnico cum%#imiento de #as normas de a%#icación de #a se"uridad) Consideraciones de auditor?a Para ma3imi=ar la e)icacia + minimi=ar la inter)erencia a : desde el del sistema de in)ormación proceso de auditor?a de sistemas de in)ormación.
A(7)6)(
Contro#es de auditorFa de sistemas de información
=e$uisitos de auditorFa y #as actiidades re#acionadas con #os contro#es de #os sistemas o%eratios deberán ser %#aneadas cuidadosamente y acordaron reducir a# mFnimo e# ries"o de interru%ciones en #os %rocesos de ne"ocio)
A(7)6)+
Protección de #as
!# acceso a #as
Codi4os Status
Si4ni)icado
e+enda Cantidad
Halla=4os
0os %#anes de continuidad deberán ser %robados y actua#i;ados re"u#armente %ara ase"urarse de $ue están a# dFa y efectio)
A&(.&
Ane3o A de re)erencia
uscar
Para contrarrestar las interrupciones a las acti5idades comerciales + os aspectos de se4uridad de prote4er los procesos cr?ticos de ne4ocio de los e)ectos de los )allos in)ormación de la 4estión de la principales de los sistemas de in)ormación o los desastres + ase4urar continuidad del ne4ocio su oportuna reanudación.
A(,)()(
A(,)()7
Status
Contribution
uscar
Halla=4os
Ane3o A de re)erencia
A(7)+)(
A(7)+)+ A&(.,
T?tulo de control
Descripción del control
Función
Status
uscar
Halla=4os
Administradores se ase"urarán de $ue todos #os %rocedimientos de !# cum%#imiento de #as %o#Fticas y se"uridad dentro de su área de res%onsabi#idad se ##ean a cabo normas de se"uridad correctamente %ara #o"rar e# cum%#imiento con #as %o#Fticas y estándares de se"uridad) Com%robación de# cum%#imiento 0os sistemas de información deben ser reisados re"u#armente %or e# tcnico cum%#imiento de #as normas de a%#icación de #a se"uridad) Consideraciones de auditor?a Para ma3imi=ar la e)icacia + minimi=ar la inter)erencia a : desde el del sistema de in)ormación proceso de auditor?a de sistemas de in)ormación.
A(7)6)(
Contro#es de auditorFa de sistemas de información
=e$uisitos de auditorFa y #as actiidades re#acionadas con #os contro#es de #os sistemas o%eratios deberán ser %#aneadas cuidadosamente y acordaron reducir a# mFnimo e# ries"o de interru%ciones en #os %rocesos de ne"ocio)
A(7)6)+
Protección de #as
!# acceso a #as
Codi4os Status
Si4ni)icado
e+enda Cantidad
ero/ Interna# Use On#y
Contribution
6,,79.-.8)/#s
Ane3o A de re)erencia
T?tulo de control
Descripción del control
*
D
*
6D
!# contro# se documentó e im%#ementó !# Contro# se ##ea a cabo y e# %roceso debe ser documentado %ara ase"urar #a re%etibi#idad de# %roceso y miti"ar #os ries"os) !# contro# no cum%#e #as normas y debe ser redise3ado %ara cum%#ir con #as normas !# %roceso no está en su #u"ar 4 no im%#ementado) Contro# re$ueridos ni documentado ni im%#ementadoE !# contro# no es a%#icab#e %ara #a em%resa ni %ara e# ne"ocio
*
;D
*
PNP
* %
NA BNot Applicable
Función
Pa"e ,6 of 79
Status ED!V:% ED!V:% ED!V:% ED!V:% ED!V:%
uscar
Halla=4os
Ane3o A de re)erencia
T?tulo de control
Descripción del control
*
D
*
6D
*
;D
!# contro# se documentó e im%#ementó !# Contro# se ##ea a cabo y e# %roceso debe ser documentado %ara ase"urar #a re%etibi#idad de# %roceso y miti"ar #os ries"os) !# contro# no cum%#e #as normas y debe ser redise3ado %ara cum%#ir con #as normas !# %roceso no está en su #u"ar 4 no im%#ementado) Contro# re$ueridos ni documentado ni im%#ementadoE !# contro# no es a%#icab#e %ara #a em%resa ni %ara e# ne"ocio
*
PNP
* %
NA BNot Applicable
ero/ Interna# Use On#y
;ecomendaciones
Función
6,,79.-.8)/#s
Status
uscar
Halla=4os
ED!V:% ED!V:% ED!V:% ED!V:% ED!V:%
Pa"e ,, of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e ,7 of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e ,8 of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e ,. of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e ,9 of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e ,- of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 7* of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 7( of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 7+ of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 76 of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 7, of 79
;ecomendaciones
ero/ Interna# Use On#y
;ecomendaciones
6,,79.-.8)/#s
Pa"e 77 of 79
;ecomendaciones
ero/ Interna# Use On#y
6,,79.-.8)/#s
Pa"e 78 of 79
Nota '
os n*meros en esta hoja deben ser llenados en marcha manualment
Cantidad de &tatus Funciones Administracion CI&O @inan;as =ecursos umanos I &4 A#ta Dirección !m%#eados Gran ota#
&tatus D
Funciones Administración CI&O @inan;as =ecursos umanos I &4
PP
=D
8 (
( (-
, 9 ,
( +7
A 9 (6 6 , (8 6 ( ( ,-
6 +6
D
,-
PNP
;D
8 (
( (-
, 9 ,
( +7
MD ( (
6D 9 (6 6 , (8 6
Gran ota#
8 (
6
.
7
(8 6, 6 79 9 , ( (66
Nota '
os n*meros en esta hoja deben ser llenados en marcha manualment
Cantidad de &tatus Funciones Administracion CI&O @inan;as =ecursos umanos I &4 A#ta Dirección !m%#eados Gran ota#
&tatus D
Funciones Administración CI&O @inan;as =ecursos umanos I &4 A#ta Dirección !m%#eados Gran ota# Conformidad Porcentua# 5
PP
=D
8 (
( (-
, 9 ,
( +7
A 9 (6 6 , (8 6 ( ( ,-
6 +6
D
,-
PNP
;D
8 (
( (-
, 9 ,
( +7 6
MD
Gran ota# ( (
6D
8 (
6
.
7
(8 6, 6 79 9 , ( (66
9 (6 6 , (8 6 ( (
+6
,-
,-
7
(+8
(95
6-5
6-5
,5
(**5
