ISO 27001_Declaracion de aplicabilidad.xlsx

ID

Controles según la norma ISO/IEC 27001

A.5 A.5.1

Políticas de segridad de la in!ormaci"n Dire irecci"n de la gerencia #ara la segridad de la in!ormac maci"n

A.5.1.1

Políticas #ara segridad de la in!ormaci"n

A.5.1.2

$e%isi"n de de #o #olít líticas #a #ara se segridad de de la in in!orma rmaci"n

A.& A.&.1

Organi'aci"n de la segridad de la in!ormaci"n Organi'aci"n interna

A.&. A.&.1. 1.11

$oles oles ( res res#ons #onsa) a)ililidad i dades es so)r so)ree segr egrid idad ad de la in! in!orma ormaci ci"n "n

A.&.1.2

Segregaci"n de de)eres

A.&.1.*

Contacto con atoridades

A.&.1.+

Contacto co con gr gr#os de de inter,s es#ecial

A.&.1.5

Segridad de la in!orma rmaci"n en gesti"n de #ro( ro(ectos

A.&.2

Dis#ositi%os m"%iles ( tele-tra)ao

A.&.2.1

Política so)re dis#ositi%os m"%iles

A.&.2.2

ele-tra)ao

A.7 A.7.1

S e g  r i d a d r e la c io n a d a c o n e l # e r s o n a l Antes del em#leo

A#lica)ilidad S/O3

4sti!icaci"n de elecci"n/ no elecci"n

A.7.1.1

S e le c c i" n

A.7.1.2

,rminos ( condiciones de em#leo

A.7.2

Drante el em#leo

A.7.2.1

esti"n de de re res#onsa)ilidades

A.7. A.7.2. 2.22

Conc Concie ienc ncia iaci ci"n "n66 edc edcac aci" i"nn ( ca#a ca#aci cita taci ci"n "n so)r so)ree Seg Segririda dadd de la in!o in!orm rmac aci" i"nn

A.7.2.*

Proceso disci#linario

A.7.*

erminaci"n o cam)io del em#leo

A.7.*.1

ermi rminaci"n o cam)io de de re res#onsa)ilidades de del em em#leo

A. A..1

esti"n de acti%os $es#onsa)ilidad so)re los acti%os

A..1.1

In%entario de acti%os

A..1.2

Pro#iedad de los acti%os

A..1.*

8so ace#ta)le de los acti%os

A..1.+

De%olci"n de acti%os

A..2 A..2.1 A..2.2 A..2.* A..*

Clasi!icaci"n de la in!ormaci"n Clasi!icaci"n de la in!ormaci"n Eti9etado de la in!ormaci"n :aneo de acti%os esti"n de medios

A..*.1

esti"n de medios remo%i)les

A..*.2

E l i m i n a c i" n d e m e d io s

A..*.* A.; A.;.1 A.;.1.1 A.;.1.2 A.;.2

rans!erencia de medios !ísicos Control de acceso $e9isitos co comerciales #a #ara elel co control de de ac acceso Política de control de acceso Acceso a redes ( a ser%icios de red esti"n de acceso del sario

A.;.2.1

$egistro de sarios ( )aa

A.;.2.2

Concesi"n de acceso de sarios

A.;.2.*

esti"n de derec
A.;.2.+

esti"n de in!ormaci"n secreta de atenticaci"n de sario s

A.;.2.5

$e%isi"n derec
A.;.2.&

Eliminaci"n o aste de derec
A.;.*

$es#onsa)ilidades del sario

A.;.*.1

8so de in!ormaci"n secreta de atenticaci"n

A.;.+

Control de acceso a a#licaciones ( sistemas

A.;.+.1

$estricci"n al acceso a la in!ormaci"n

A.;.+.2

Procedimientos de registro en el terminal

A.;.+.*

Sistema de gesti"n de cla%es

A.;.+.+

8so de #rogramas de tilidad #ri%ilegiada

A.;.+.5

Control de acceso al c"digo !ente del #rograma

A.10 A.10.1

Cri#togra!ía Controles cri#togr=!icos

A.10.1.1

Política del so de controles cri#togr=!icos

A.10.1.2 A.11 A.11.1

esti"n cla%e Segridad !ísica ( del entorno >reas segras

A.11.1.1

Perímetro de segridad !ísica

A.11.1.2

Controles de entrada !ísicos

A.11.1.*

Segridad de o!icinas
A.11.1.+

Protecci"n ante amena'as e?ternas ( am)ientales

A.11.1.5

ra)ao en =reas segras

A.11.1.&

>reas de entrega ( carga

A.11.2

E9i#os

A.11.2.1

8)icaci"n ( #rotecci"n del e9i#o

A.11.2.2

Ser%icios #ú)licos

A.11.2.*

Segridad en el ca)leado

A.11.2.+

:antenimiento de e9i#o

A.11.2.5

Eliminaci"n de acti%os

A.11.2.&

Segridad de e9i#os ( acti% os !era de las in stalacio nes

A.11.2.7

Eliminaci"n segra o re-so del e9i#o

A.11.2.

E9i#o de sario desatendido

A.11.2.;

Política de #antalla ( escritorio lim#io

A.12 A.12.1

Segridad o#erati%a Procedimientos ( res#onsa)ilidades o#erati%os

A.12.1.1

Procedimientos o #erati%os d ocmentados

A.12.1.2

esti"n de cam)ios

A.12.1.*

esti"n de ca#acidad

A.12.1.+

Se#araci"n de am)ientes de desarroll o6 #re)a ( o#erati%o

A.12.2

Protecci"n contra so!t@are malicioso

A.12.2.1

Controles contra so!t@are malicioso

A.12.*

Co#ias de segridad

A.12.*.1

Co#ia de segridad de la in!ormaci"n

A.12.+

$egistros ( s#er%isi"n

A.12.+.1

$egistro de e%entos

A.12.+.2

Protecci"n de la in!ormaci"n del registro

A.12.+.*

$egistros del administrador ( o#erador  

A.12.+.+

Sincroni'aci"n de reloes

A.12.5

Control del so!t@are o#eracional

A.12.5.1

Instalaci"n de so!t@are en sistemas o#erati%os

A.12.&

esti"n de %lnera)ilidad t,cnica

A.12.&.1

esti"n de %lnera)ilidades t,cnicas

A.12.&.2

$estricciones so)re instalaci"n de so!t@are

A.12.7

Consideraciones de aditoría de los sistemas de in!ormaci"n

A.12.7.1

Controles de aditoría so)re sis temas de in!ormaci"n

A.1* A.1*.1

Segridad de las comnicaciones esti"n de segridad de red

A.1*.1.1

Controles de red

A.1*.1.2

Segridad de los ser%icios de red

A.1*.1.*

Segregaci"n en redes

A.1*.2

Políticas ( #rocedimientos #ara

A.1*.2.1

Políticas ( #rocedimientos #ara trans!erencia de la in!ormaci"n

A.1*.2.2

Acerdos so)re trans!erencia de in!ormaci"n

A.1*.2.*

:ensaes electr"nicos

A.1*.2.+

Acerdos de con!idencialidad ( no di%lgaci"n

A.1+ A.1+.1

Ad9isici"n6 desarrollo ( mantenimiento de sistemas $e9isitos de segridad de los sistemas de la in!ormaci"n

A.1+.1.1

An=lisis de re9erimientos ( es#eci!icaciones #ara segridad de la in!ormaci"n

A.1+.1.2

Segridad de ser%icios de a#lic aci"n en redes #ú)licas

A.1+.1.*

Protecci" n de transaccio nes de ser%icios de a#li caciones

A.1+.2 A.1+.2.1

Segridad en #rocesos de desarrollo ( so#orte Política de desarrollo segro

A.1+.2.2

Procedimientos #ara control de cam)ios

A.1+.2.*

$e%isi"n t,cnica de a#licaciones lego de cam)ios en la #lata!orma o#erati%a

A.1+.2.+

$estriccio nes so)re cam)ios a #a9etes de so!t@are

A.1+.2.5

Princi#ios de ingeniería #ara sistema segro

A.1+.2.&

Am)iente de desarrollo segro

A.1+.2.7

Desarrollo e?ternali'ado

A.1+.2.

Pre)a de segridad del sistema

A.1+.2.;

Pre)a de ace#taci"n del sistema

A.1+.* A.1+.*.1 A.15 A.15.1

Datos de #re)a Protecci"n de datos de #re)a $elaciones con #ro%eedores Segridad de la in!ormaci"n en las relaciones con #ro%eedores

A.15.1.1

Política de segridad de la in!ormaci"n #ara relaciones con #ro%eedores

A.15.1.2

ratamie nto de la segridad en contratos con #ro%eedores

A.15.1.*

Cadena de sministro de tecnología de in!ormaci"n ( comnicaci"n

A.15.2

esti"n de ser%icio de entrega de #ro%eedores

A.15.2.1

S#er%isi"n ( re%isi"n de ser%icios de #ro%eedores

A.15.2.2

esti"n de cam)ios en los ser%icios de #ro%eedores

A.1& A.1&.1

esti"n de los incidentes de segridad de la in!ormaci"n esti"n de los incidentes ( meoras en la segridad de la in!ormaci"n

A.1&.1.1

$es#onsa)ilidades ( #rocedimientos

A.1&.1.2

$e#orte de e%entos de segridad

A.1&.1.*

$e#orte de de)ilid ades de segrid ad de la in!ormaci"n

A.1&.1.+

E%alaci"n ( decisi"n so)re e%entos de segridad de la in!ormaci"n

A.1&.1.5

$es#esta a incidentes de segrid ad de la in!ormaci"n

A.1&.1.&

A#rendi'ae a #artir de los incidentes en segridad de la in!ormaci"n

A.1&.1.7 A.17 A.17.1

$ecolecci"n de e%idencia As#ectos de segrid ad de la in!ormaci"n en la gesti"n de continid ad del negocio Continidad de segridad de la in!ormaci"n

A.17.1.1

Pla ni!icaci"n de continidad segridad de la in!ormaci"n

A.17.1.2

Im#le mentaci" n de continidad de segridad de la in!ormaci" n

A.17.1.*

eri!icaci"n6 re%isi"n ( e%alaci"n de continidad de segridad de la in!ormaci"n

A.17.2

$edndancias

A.17.2.1

Dis#oni)il id ad de instalacio nes #ara #roceso de in!ormaci" n

A.1 A.1.1

Cm#limiento Cm#limiento de re9erimientos legales ( contractales

A.1.1.1

Identi! icaci"n de la legislaci"n a#lica)le ( de re9erimientos contractales

A.1.1.2

Derec
A.1.1.*

Protecci"n de registros

A.1.1.+

Pri%acidad ( #rotecci" n de in !ormaci" n #ersonal identi!ica)le

A.1.1.5

$eglaci"n de controles cri#togr=!icos

A.1.2

$e%isiones de segridad de la in!ormaci"n

A.1.2.1

$e%isi"n inde#endiente de segrid ad de la in!ormaci"n

A.1.2.2

Cm#limiento de #olíticas ( normas de segridad

A.1.2.*

$e%isi"n del cm#limiento t,cnico

O)eti%os del control

:,todo de im#lementaci"n

odas las #olíticas indicadas )ao esta colmna

Cada #olítica tiene n #ro#ietario designado 9e de)e re%isar el docmento según n inter%alo #lani!icado

as res#onsa)ilidades so)re segridad de la in!ormaci"n se detallan en %arios docmentos del SSI Si es necesario6 el cargo de!ine res#onsa)ilidades adicionales

Cal9ier acti%idad 9e incl(a in!ormaci"n sensi)le es a#ro)ada #or na #ersona e im#lementada #or otra Estrategia de continidad del negocio6 Plan de res#esta a los incidentes El cargo es el res#onsa)le de s#er%isar detallar los nom)res de gr#os de inter,s ( !oros de segridad

El gerente de #ro(ecto de)e inclir las reglas corres#ondientes so)re segridad de la in!ormaci"n en cada #ro(ecto

Política de so ace#ta)le / Política so)re com#taci"n m"%il ( teletra)ao6 Política rae t #ro#io dis#ositi%o FGOD3 Política de so ace#ta)le / Política so)re com#taci"n m"%il ( teletra)ao

Estado

 0 - 15B3

P 1& - 50B3

El cargo %eri!ica a cada candidato descri)ir el m,todo #ara las %eri!icacionesH #or e.6 re%isando el C6 #oni,ndose en contacto con em#leadores anteriores6 %eri!icando antecedentes #enal6 sitaci"n !inanciera6 etc.H Política de segridad #ara #ro%eedores

odos los em#leados !irman la Declaraci"n de ace#taci"n de los docmentos del SSI ( la Declaraci"n de con!idencialidadH Política de segridad #ara #ro%eedores

a direcci"n e?ige acti%amente 9e todos los em#leados6 #ro%eedores ( socios im#lementen todas las reglas del SSI

Política de segridad de la in!ormaci"n6 Plan de ca#acitaci"n ( concienciaci"n6 Política de segridad #ara #ro%eedores Procedimiento #ara gesti"n de incidentes6 Declaraci"n de ace#taci"n de los docmentos del SSI

odos los acerdos con #ro%eedores ( socios contienen cl=slas 9e sigen %igentes des#,s de !inali'ado el em#leo6 como tam)i,n las Declaraciones de con!idencialidad !irmadas con los em#leados.

In%entario de acti%os6 Política de clasi!icaci"n de la in!ormaci"n In%entario de acti%os6 Política de so ace#ta)le Política de 8so ace#ta)le Política de 8so ace#ta)le6 Política de segridad #ara #ro%eedores

Política de Clasi!icaci"n de la In!ormaci"n Política de Clasi!icaci"n de la In!ormaci"n Política de Clasi!icaci"n de la In!ormaci"n Política de Clasi!icaci"n de la In!ormaci"n Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de eliminaci"n ( destrcci"n Política de Clasi!icaci"n de la In!ormaci"n

Política de control de acceso Política de control de acceso

Política de control de acceso / Política de cla%es Política de control de acceso / Política de cla%es Política de control de acceso Política de control de acceso / Política de cla%es Política de control de acceso Política de control de acceso

Política de so ace#ta)le6 Política de control de acceso / Política de cla%es

Política de control de acceso / Política de clasi!icaci"n de la in!ormaci"n E?iste n #roceso de registro segro #ara todos los ordenadores de la red Política de control de acceso / Política de cla%es

Solamente el cargo tiene derec
Política del so de controles cri#togr=!icos Política del so de controles cri#togr=!icos

as =reas con in!ormaci"n sensi)le est=n #rotegidas descri)ir c"mo6 con #aredes6 etc.

El acceso a las =reas segras de la organi'aci"n de)en estar controladas descri)ir c"mo taretas de acceso6 entrada #rinci#al con gardia6 etc.

o se #ede acceder a las instalaciones desde =reas #ú)licas ( las =reas segras no son %isi)les #ara #ersonas aenas a la em#resa

Ja( n sistema de alarma instalado ( conectado al centro de monitoreo de nom)re del #ro%eedor del ser%icio de segridadH
Procedimientos #ara tra)ao en =reas segras

as =reas de acceso #ú)lico son controladas descri)ir c"mo ( las =reas de carga ( descarga indicar c=les est=n controladas descri)ir c"mo

odo el e9i#amiento est= )icado en n =rea !ísicamente #rotegida6 ( el e9i#amiento altamente sensi)le indicar c=l est= )icado en nom)re del =rea segraH #or e.6 sala de ser%idores

os a#aratos de alimentaci"n contina indicar c=lesH #or e.6 dis#ositi%os de 8PS6 generadores de el ectricidad6 etc. est=n instalados #ara indicar #ara 9, e9i#os de I ( de otra clase os ca)les de energía ( de datos est=n instalados dentro de =reas segras de la organi'aci"n (6 donde no !e #osi)le6 est=n #rotegidos indicar c"mo El cargo de)e lle%ar n registro de mantenimiento de todos los e9i#os6 según las instrcciones del !a)ricanteH ( de)e garanti'ar el mantenimiento en tiem#o ( !orma Política de 8so ace#ta)le

Política de so ace#ta)le / Política so)re com#taci"n m"%il ( teletra)ao

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de eliminaci"n ( destrcci"n

Política de so ace#ta)le / Política de #antalla ( escritorio lim#io

Política de so ace#ta)le / Política de #antalla ( escritorio lim#io

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de gesti"n de cam)io El cargo es el res#onsa)le de s#er%isar el so de los acti%os de IC ( de #lani!icar la ca#acidad necesaria

os sistemas de desarrollo6 de #re)as ( o#eracionales est=n se#arados

a
Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n

os reloes de los sistemas en todos los ordenadores est=n sincroni'ados indicar c"mo est=n sincroni'ados ( con 9, !ente
Política de 8so ace#ta)le

El cargo es el res#onsa)le de s#er%isar todas las %lnera)ilidades de las a#licaciones ( de los dem=s sistemas6 ( el cargo de)e escoger las medidas 9e se tomar=n en caso 9e se identi!i9en ne%as %lnera)ilidades

Política de 8so ace#ta)le

Cada aditoría se #lani!ica ( coordina con la direcci"nH las aditorías se reali'an solamente con derec
Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n

a red se se#ara de la sigiente manera indicar 9, segmentos de la red est=n se#arados6 indicar si la se#araci"n es !ísica o l"gica

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de trans!erencia de la In!ormaci"n6 Política rae t #ro#io dis#ositi%o FGOD3

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de trans!erencia de la in!ormaci"n Política de clasi!icaci"n de la in!ormaci"n6 Política de so ace#ta)le El !ormlario Declaraci"n de con!idencialidad es #rede!inido

Al ad9irir ne%os sistemas de in!ormaci"n o al cam)iar los %igentes6 el cargo de)e docmentar los re9isitos de segridad en la Es#eci!icaci"n de re9erimientos de segridad Política de desarrollo segro Política de desarrollo segro Política de desarrollo segro Política de desarrollo segro

El cargo es el res#onsa)le de s#er%isar ( #ro)ar todas las a#licaciones lego de a#licar cam)ios en los sistemas o#erati%os #ero antes de 9e sean #estos en #rodcci"n

Procedimientos o#erati%os #ara tecnología de la in!ormaci"n ( de la comnicaci"n / Política de gesti"n de cam)io Política de desarrollo segro Política de desarrollo segro Política de segridad #ara #ro%eedores6 Política de desarrollo segro Política de desarrollo segro

Política de desarrollo segro Política de desarrollo segro

Política de segridad #ara #ro%eedores Política de segridad #ara #ro%eedores Política de segridad #ara #ro%eedores

Política de segridad #ara #ro%eedores

Política de segridad #ara #ro%eedores

Procedimiento #ara gesti"n de incidentes

Procedimiento #ara gesti"n de incidentes

Procedimiento #ara gesti"n de incidentes Procedimiento #ara gesti"n de incidentes Procedimiento #ara gesti"n de incidentes6 Plan de res#esta a los incidentes

Procedimiento #ara gesti"n de incidentes6 Procedimiento #ara medidas correcti%as Procedimiento #ara gesti"n de incidentes

Procedimiento #ara identi!icaci"n de re9isitos6 Política de continidad del negocio6 :etodología #ara el an=lisis del im#acto en el negocio6 Estrategia de continidad del negocio

Plan de continidad del negocio

Plan de mantenimiento ( re%isi"n del SC6 Plan de #re)a ( %eri!icaci"n6 Kormlario de re%isi"n #ostincidente

Estrategia de rec#eraci"n #ara in!raestrctra de I

ista de re9isitos legales6 normati%os6 contractales ( de otra índole Política de 8so ace#ta)le Procedimiento #ara control de docmentos ( registros6 Política de desarrollo segro El cargo es el res#onsa)le de im#lementar los re9erimientos legales relacionados con la #rotecci"n de datos #ersonales ista de re9isitos legales6 normati%os6 contractales ( de otra índole / Política del so de controles cri#togr=!icos

Procedimiento #ara aditoría interna6 aditoría de certi!icaci"n reali'ada #or nom)re de la entidad de certi!icaci"n

odos los #ro#ietarios de acti%os de in!ormaci"n6 como tam)i,n la direcci"n6 re%isan #eri"dicamente la im#lementaci"n de los controles de segridad

El cargo es el res#onsa)le de %eri!icar 9e los sistemas de in!ormaci"n cm#lan t,cnicamente con los re9erimientos de segridad

Estado Creado Iniciado Eectando erminado eri!icando Cancelado  51 - 5B3

K & - 100B3