0 1 Introduccin Alcance 1.1 General 1.2 Aplicacin Referencias normativas Trminos y definiciones SGSI 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.3.1 4.3.2 4.3.3
2 3 4
Requerimientos generals Establecer y manejar el SGSI Establecer el SGSI Implementar y operar Monitorear y revisar Mantener y mejorar Requerimientos de documentacin General Control de documentos Control de registros
Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestin de recursos 5.2.1 Provision de recursos 5.2.2 Capacitacin, conocimiento y capacidad Auditoria interna Revisin gerencial 7.1 General 7.2 Insumo de la revisin 7.3 Resultado de la revisin Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Accion correctiva 8.3 Accin preventiva
Anexo A: Objetivos de control y controles
6 7
#Ctrls 2
Se dispone de una poltica de SI aprobada por la direccin, publicada y comunicada a todos los empleados y partes externas pertinentes. La poltica de seguridad de informacin se revisa a intervalos planificados, y si ocurren cambios significativos se asegura su conveniencia, adecuacin y eficacia continua.
1 1 11 5 9
13 32 25 16 5
Cumplimiento regulatorio
A15
Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.
10
133
Dominio - Control
Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.
#Ctrls
40
Repetible
60 80 100
Repetible
40
Definido Gestionado
60 80
Optimizado
100