Anda di halaman 1dari 45

Nm.

NOMBRE DEL CONTROL

Polticas de seguridad de la informacin

5.1

Directrices establecidas por


la direccin para la seguridad de la
informacin

5.1.1

Polticas para la seguridad de la


informacin

5.1.2

Revisin de las polticas


para seguridad de la informacin

Organizacin de la
seguridad de la informacin
Organizacin interna

6.1

6.1.1

Roles y responsabilidades para la


seguridad de informacin

6.1.2

Separacin de deberes

6.1.3

Contacto con las


autoridades

6.1.4

Contacto con grupos de inters especial

6.1.5

Seguridad de la informacin
en la gestin de proyectos

6.2

Dispositivos mviles y
teletrabajo

6.2.1

Poltica para dispositivos mviles

6.2.2

Teletrabajo

7.1

Seguridad de los recursos


humanos
Antes de asumir el empleo

7.1.1

Seleccin

7.1.2

Trminos y condiciones del empleo

7.2

Durante la ejecucin del empleo

7.2.1

Responsabilidades de la direccin

7.2.2

Toma de conciencia, educacin y


formacin en la seguridad de la
informacin

7.2.3

Proceso disciplinario

7.3

Terminacin o cambio de
empleo

7.3.1

Terminacin o cambio de
responsabilidades de empleo

Gestin de activos

8.1

Responsabilidad por los activos

8.1.1

Inventario de activos

8.1.2

Propiedad de los activos

8.1.3

Uso aceptable de los activos

8.1.4

Devolucin de activos

8.2

Clasificacin de la informacin

8.2.1

Clasificacin de la informacin

8.2.2

Etiquetado de la informacin

8.2.3

Manejo de activos

8.3.1

Gestin de medios removibles

8.3.2

Disposicin de los medios

8.3.3

Transferencia de medios fsicos

Control de acceso

9.1

Requisitos del negocio para


control de acceso

9.1.1

Poltica de control de acceso

9.1.2

Poltica sobre el uso de los servicios de


red

9.2

Gestin de acceso de
usuarios

9.2.1

Registro y cancelacin del registro de


usuarios

9.2.2

Suministro de acceso de usuarios

9.2.3

Gestin de derechos de
acceso privilegiado

9.2.4

Gestin de informacin de autenticacin


secreta de
usuarios

9.2.5

Revisin de los derechos de acceso de


usuarios

9.2.6

Retiro o ajuste de los derechos de


acceso

9.3

Responsabilidades de los
usuarios

9.3.1

Uso de la informacin de autenticacin


secreta

9.4

Control de acceso a sistemas y


aplicaciones

9.4.1

Restriccin de acceso
Informacin

9.4.2

Procedimiento de ingreso seguro

9.4.3

Sistema de gestin de
contraseas

9.4.4

Uso de programas utilitarios privilegiados

9.4.5

Control de acceso a cdigos


fuente de programas

10

Criptografa

10.1

Controles criptogrficos

10.1.1

Poltica sobre el uso de controles


criptogrficos

10.1.2

Gestin de llaves

11

Seguridad fsica y del


entorno

11.1

reas seguras

11.1.1

Permetro de seguridad fsica

11.1.2

Controles fsicos de entrada

11.1.3

Seguridad de oficinas,
recintos e instalaciones

11.1.4

Proteccin contra amenazas externas y


ambientales

11.1.5

Trabajo en reas seguras

11.1.6

reas de despacho y carga

11.2

Equipos

11.2.1

Ubicacin y proteccin de los equipos

11.2.2

Servicios de suministro

11.2.3

Seguridad del cableado

11.2.4

Mantenimiento de equipos

11.2.5

Retiro de activos

11.2.6

Seguridad de equipos y activos fuera de


las instalaciones

11.2.7

Disposicin segura o reutilizacin de


equipos

11.2.8

Equipos de usuario
desatendidos

11.2.9

Poltica de escritorio limpio y pantalla


limpia

12
12.1

12.1.1

Seguridad de las
operaciones

Procedimientos
operacionales y responsabilidades
Procedimientos de operacin
documentados

12.1.2

Gestin de cambios

12.1.3

Gestin de capacidad

12.1.4

Separacin de los
ambientes de desarrollo, pruebas y
operacin

12.2

Proteccin contra cdigos maliciosos

12.2.1

Controles contra cdigos maliciosos

12.3
12.3.1

Copias de respaldo
Respaldo de informacin

12.4

Registro y seguimiento

12.4.1

Registro de eventos

12.4.2

Proteccin de la informacin
de registro

12.4.3

Registros del administrador y del


operador

12.4.4

sincronizacin de relojes

12.5
12.5.1

Control de software
operacional
Instalacin de software en sistemas
operativos

12.6

Gestin de la vulnerabilidad
tcnica

12.6.1

Gestin de las vulnerabilidades tcnicas

12.6.2

Restricciones sobre la instalacin de


software

12.7

Consideraciones sobre
auditorias de sistemas de informacin

12.7.1

Informacin controles de auditora de


sistemas

13
13.1

Seguridad de las
comunicaciones

Gestin de la seguridad de
las redes

13.1.1

Controles de redes

13.1.2

Seguridad de los servicios de red

13.1.3

Separacin en las redes

13.2

Transferencia de
informacin

13.2.1

Polticas y procedimientos de
transferencia de informacin

13.2.2

Acuerdos sobre transferencia de


informacin

13.2.3

Mensajera electrnica

13.2.4

Acuerdos de confidencialidad o de no
divulgacin

14
14.1.1

Adquisicin, desarrollo y
mantenimientos de sistemas

Requisitos de seguridad de los sistemas


de informacin

14.1.1

Anlisis y especificacin de requisitos de


seguridad de la informacin

14.1.2

Seguridad de servicios de las


aplicaciones en redes publicas

14.1.3

Proteccin de transacciones de los


servicios de las aplicaciones

14.2

Seguridad en los procesos de desarrollo


y soporte

14.2.1

Poltica de desarrollo seguro

14.2.2

Procedimientos de control de cambios en


sistemas

14.2.3

Revisin tcnica de las


aplicaciones despus de cambios en la
plataforma de operacin

14.2.4

Restricciones en los
cambios a los paquetes de software

14.2.5

Principios de construccin de sistemas


seguros

14.2.6

Ambiente de desarrollo seguro

14.2.7

Desarrollo contratado
externamente

14.2.8

Pruebas de seguridad de sistemas

14.2.9

Prueba de aceptacin de sistemas

14.3

Datos de prueba

14.3.1

Proteccin de datos de prueba

15

Relacin con los proveedores

15.1

Seguridad de la informacin en las


relaciones con los proveedores

15.1.1

Poltica de seguridad de la informacin


para las relaciones con proveedores

15.1.2

Tratamiento de la seguridad dentro de


los acuerdos con proveedores

15.1.3

Cadena de suministro de tecnologa de


informacin y comunicacin

15.2

Gestin de la prestacin de
servicios con los proveedores

15.2.1

Seguimiento y revisin de los servicios


de los proveedores

15.2.2

Gestin de cambios en los servicios de


proveedores

16
16.1

Gestin de incidentes de
seguridad de la informacin
Gestin de incidentes y
mejoras en la seguridad de la
informacin

16.1.1

Responsabilidad y procedimientos

16.1.2

Reporte de eventos de seguridad de la


informacin

16.1.3

Reporte de debilidades de seguridad de


la informacin

16.1.4

Evaluacin de eventos de
seguridad de la informacin y decisiones
sobre ellos

16.1.5

Respuesta a incidentes de
seguridad de la informacin

16.1.6

Aprendizaje obtenido de los incidentes


de seguridad de
la informacin

16.1.7

Recoleccin de evidencia

17

Aspectos de seguridad de la
informacin de la gestin de continuidad de negocio

17.1

17.1.1

Continuidad de seguridad de la
informacin

Planificacin de la continuidad de la
seguridad de la informacin

17.1.2

Implementacin de la continuidad de la
seguridad de la informacin

17.1.3

Verificacin, revisin y
evaluacin de la continuidad de la
seguridad de la informacin

17.2

Redundancias

17.2.1

Disponibilidad de
instalaciones de procesamiento de
informacin.

18

Cumplimiento

18.1

Cumplimiento de requisitos legales y


contractuales

18.1.1

Identificacin de la legislacin aplicable y


de los requisitos contractuales

18.1.2

Derechos de propiedad intelectual

18.1.3

Proteccin de registros

18.1.4

Privacidad y proteccin de datos


personales

18.1.5

Reglamentacin de
controles criptogrficos

18.2

Revisiones de seguridad de la
informacin

18.2.1

Revisin independiente de la seguridad


de la informacin

18.2.2

Cumplimiento con las polticas y normas


de seguridad

18.2.3

Revisin del cumplimiento tcnico

DESCRIPCIN

a informacin
Objetivo: Brindar orientacin y apoyo por parte de la direccin, para la
seguridad de la informacin de acuerdo con los requisitos del negocio y con las
leyes y reglamentos pertinentes.

Control: Se debera definir un conjunto de polticas para la seguridad de la


informacin, aprobada por la direccin, publicada y comunicada a los
empleados y partes externas pertinentes.
Control: Las polticas para seguridad de la informacin se deberan
revisar a intervalos planificados o si ocurren cambios significativos, para
asegurar su conveniencia, adecuacin y eficacia continuas.

Objetivo: Establecer un marco de referencia de gestin para iniciar y


controlar la implementacin y la operacin de la seguridad de la informacin
dentro de la organizacin.
Control: Se deberan definir y asignar todas las responsabilidades de la
seguridad de la informacin.

Control: Los deberes y reas de responsabilidad en conflicto se


deberan separar para reducir las posibilidades de modificacin no autorizada o
no intencional, o el uso indebido de los activos de la organizacin.

Control: Se deberan mantener los contactos apropiados con las


autoridades pertinentes.
Control: Es conveniente mantener contactos apropiados con grupos de inters
especial u otros foros y asociaciones profesionales
especializadas en seguridad.
Control: La seguridad de la informacin se debera tratar en la gestin
de proyectos, independientemente del tipo de proyecto.

Objetivo: Garantizar la seguridad del teletrabajo y el uso de


dispositivos mviles.

SI APLICA

Control: Se deberan adoptar una poltica y unas medidas de seguridad de


soporte, para gestionar los riesgos introducidos por el uso de dispositivos
mviles.
Control: Se deberan implementar una poltica y unas medidas de
seguridad de soporte, para proteger la informacin a la que se tiene acceso,
que es procesada o almacenada en los lugares en los que se realiza
teletrabajo.

Objetivo: Asegurar que los empleados y contratistas comprenden sus


responsabilidades y son idneos en los roles para los que se consideran.

Control: Las verificaciones de los antecedentes de todos los candidatos a un


empleo se deberan llevar a cabo de acuerdo con las leyes, reglamentos y tica
pertinentes, y deberan ser proporcionales a los requisitos de negocio, a la
clasificacin de la informacin a que se va a tener acceso, y a los riesgos
percibidos.

Control: Los acuerdos contractuales con empleados y contratistas,


deberan establecer sus responsabilidades y las de la organizacin en cuanto a
la seguridad de la informacin.

Objetivo: Asegurarse de que los empleados y contratistas tomen


conciencia de sus responsabilidades de seguridad de la informacin y las
cumplan.
Control: La direccin debera exigir a todos los empleados y contratistas la
aplicacin de la seguridad de la informacin de acuerdo con las polticas y
procedimientos establecidos por la organizacin.

Control: Todos los empleados de la organizacin, y en donde sea


pertinente, los contratistas, deberan recibir la educacin y la formacin en toma
de conciencia apropiada, y actualizaciones regulares sobre las polticas y
procedimientos pertinentes para su
cargo.

Control: Se debera contar con un proceso disciplinario formal el cual


debera ser comunicado, para emprender acciones contra empleados que
hayan cometido una violacin a la seguridad de la informacin.

Objetivo: Proteger los intereses de la organizacin como parte del


proceso de cambio o terminacin del contrato.
Control: Las responsabilidades y los deberes de seguridad de la informacin
que permanecen validos despus de la terminacin o cambio de contrato se
deberan definir, comunicar al empleado o contratista y se deberan hacer
cumplir.

Objetivo: Identificar los activos organizacionales y definir las responsabilidades


de proteccin apropiadas.
Control: Se deberan identificar los activos asociados con la informacin y las
instalaciones de procesamiento de informacin, y se debera elaborar y
mantener un inventario de estos activos.
Control: Los activos mantenidos en el inventario deberan tener un
propietario.
Control: Se deberan identificar, documentar e implementar reglas
para el uso aceptable de informacin y de activos asociados con informacin e
instalaciones de procesamiento de informacin.

Control: Todos los empleados y usuarios de partes externas deberan


devolver todos los activos de la organizacin que se encuentren a su cargo, al
terminar su empleo, contrato o acuerdo.

Objetivo: Asegurar que la informacin recibe un nivel apropiado de


proteccin, de acuerdo con su importancia para la organizacin.

Control: La informacin se debera clasificar en funcin de los


requisitos legales, valor, criticidad y susceptibilidad a divulgacin o a
modificacin no autorizada.
Control: Se debera desarrollar e implementar un conjunto adecuado
de procedimientos para el etiquetado de la informacin, de acuerdo con el
esquema de clasificacin de informacin adoptado por la organizacin.

Control: Se deberan desarrollar e implementar procedimientos para el


manejo de activos, de acuerdo con el esquema de clasificacin de informacin
adoptado por la organizacin.

Control: Se deberan implementar procedimientos para la gestin de


medios removibles, de acuerdo con el esquema de clasificacin adoptado por la
organizacin.
Control: Se debera disponer en forma segura de los medios cuando
ya no se requieran, utilizando procedimientos formales.

Control: Los medios que contienen informacin se deberan proteger


contra acceso no autorizado, uso indebido o corrupcin durante el transporte.

Objetivo: Limitar el acceso a informacin y a instalaciones de


procesamiento de informacin.
Control: Se debera establecer, documentar y revisar una poltica de control de
acceso con base en los requisitos del negocio y de seguridad de la informacin.

Control: Solo se debera permitir acceso de los usuarios a la red y a


los servicios de red para los que hayan sido autorizados especficamente.

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el


acceso no autorizado a sistemas y servicios.
Control: Se debera implementar un proceso formal de registro y de cancelacin
de registro de usuarios, para posibilitar la asignacin de los derechos de
acceso.
Control: Se debera implementar un proceso de suministro de acceso
formal de usuarios para asignar o revocar los derechos de acceso a todo tipo
de usuarios para todos los sistemas y servicios.

Control: Se debera restringir y controlar la asignacin y uso de


derechos de acceso privilegiado.

Control: La asignacin de la informacin secreta se debera controlar por medio


de un proceso de gestin formal.

Control: Los propietarios de los activos deberan revisar los derechos de acceso
de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de
usuarios externos a la informacin y a las instalaciones de procesamiento de
informacin se deberan retirar al terminar su empleo, contrato o acuerdo, o se
deberan ajustar cuando se hagan cambios.

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de


su informacin de autenticacin.
Control: Se debera exigir a los usuarios que cumplan las prcticas de la
organizacin para el uso de informacin de autenticacin secreta.
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

Control: El acceso a la informacin y a las funciones de los sistemas


de las aplicaciones se debera restringir de acuerdo con la poltica de control de
acceso.
Control: Cuando lo requiere la poltica de control de acceso, el acceso
a sistemas y aplicaciones se debera controlar mediante un proceso de ingreso
seguro.
Control: Los sistemas de gestin de contraseas deberan ser
interactivos y deberan asegurar la calidad de las contraseas.

Control: Se debera restringir y controlar estrictamente el uso de programas


utilitarios que pudieran tener capacidad de anular el sistema y los controles de
las aplicaciones.
Control: Se debera restringir el acceso a los cdigos fuente de los
programas.

Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para


proteger la confidencialidad, la autenticidad y/o la integridad de la informacin.

Control: Se debera desarrollar e implementar una poltica sobre el uso de


controles criptogrficos para la proteccin de la informacin.
Control: Se debera desarrollar e implementar una poltica sobre el
uso, proteccin y tiempo de vida de las llaves criptogrficas durante todo su
ciclo de vida.

Objetivo: Prevenir el acceso fsico no autorizado, el dao y la


interferencia a la informacin y a las instalaciones de procesamiento de
informacin de la organizacin.
Control: Se deberan definir y usar permetros de seguridad, y usarlos para
proteger reas que contengan informacin sensible o critica, e instalaciones de
manejo de informacin.
Control: Las reas seguras se deberan proteger mediante controles
de entrada apropiados para asegurar que solamente se permite el acceso a
personal autorizado.
Control: Se debera disear y aplicar seguridad fsica a oficinas,
recintos e instalaciones.
Control: Se debera disear y aplicar proteccin fsica contra desastres
naturales, ataques maliciosos o accidentes.
Control: Se deberan disear y aplicar procedimientos para trabajo en
reas seguras.
Control: Se deberan controlar los puntos de acceso tales como reas
de despacho y de carga, y otros puntos en donde pueden entrar personas no
autorizadas, y si es posible, aislarlos de las instalaciones de procesamiento de
informacin para evitar el acceso no autorizado.

Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y la


interrupcin de las operaciones de la organizacin.

Control: Los equipos deberan estar ubicados y protegidos para


reducir los riesgos de amenazas y peligros del entorno, y las oportunidades
para acceso no autorizado.

Control: Los equipos se deberan proteger contra fallas de energa y


otras interrupciones causadas por fallas en los servicios de suministro.

Control: El cableado de potencia y de telecomunicaciones que porta


datos o soporta servicios de informacin debera estar protegido contra
interceptacin, interferencia o dao.

Control: Los equipos se deberan mantener correctamente para asegurar su


disponibilidad e integridad continuas.
Control: Los equipos, informacin o software no se deberan retirar de
su sitio sin autorizacin previa.
Control: Se deberan aplicar medidas de seguridad a los activos que
se encuentran fuera de las instalaciones de la organizacin, teniendo en cuenta
los diferentes riesgos de trabajar fuera de dichas instalaciones.

Control: Se deberan verificar todos los elementos de equipos que


contengan medios de almacenamiento, para asegurar que cualquier dato
sensible o software con licencia haya sido retirado o sobrescrito en forma
segura antes de su disposicin o reutilizacin.

Control: Los usuarios deberan asegurarse de que a los equipos


desatendidos se les d proteccin apropiada.
Control: Se debera adoptar una poltica de escritorio limpio para los papeles y
medios de almacenamiento removibles, y una poltica de
pantalla limpia en las instalaciones de procesamiento de informacin.

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de


procesamiento de informacin.
Control: Los procedimientos de operacin se deberan documentar y poner a
disposicin de todos los usuarios que los necesiten.

Control: Se deberan controlar los cambios en la organizacin, en los


procesos de negocio, en las instalaciones y en los sistemas de procesamiento
de informacin que afectan la seguridad de la informacin.

Control: Para asegurar el desempeo requerido del sistema se


debera hacer seguimiento al uso de los recursos, hacer los ajustes, y hacer
proyecciones de los requisitos sobre la capacidad futura.

Control: Se deberan separar los ambientes de desarrollo, prueba y


operacin, para reducir los riesgos de acceso o cambios no autorizados al
ambiente de operacin.
Objetivo: Asegurarse de que la informacin y las instalaciones de
procesamiento de informacin estn protegidas contra cdigos
maliciosos.
Control: Se deberan implementar controles de deteccin, de prevencin y de
recuperacin, combinados con la toma de conciencia apropiada de los usuarios,
para proteger contra cdigos maliciosos.

Objetivo: Proteger contra la perdida de datos.


Control: Se deberan hacer copias de respaldo de la informacin, del software e
imgenes de los sistemas, y ponerlas a prueba
regularmente de acuerdo con una poltica de copias de respaldo
aceptada.

Objetivo: Registrar eventos y generar evidencia.


Control: Se deberan elaborar, conservar y revisar regularmente los registros
acerca de actividades del usuario, excepciones, fallas y eventos de seguridad
de la informacin.
Control: Las instalaciones y la informacin de registro se deberan
proteger contra alteracin y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema
se deberan registrar, y los registros se deberan proteger y revisar con
regularidad.
Control: Los relojes de todos los sistemas de procesamiento de
informacin pertinentes dentro de una organizacin o mbito de seguridad se
deberan sincronizar con una nica fuente de referencia de tiempo.

Objetivo: Asegurar la integridad de los sistemas operacionales.


Control: Se deberan implementar procedimientos para controlar la instalacin
de software en sistemas operativos.
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades
tcnicas.
Control: Se debera obtener oportunamente informacin acerca de las
vulnerabilidades tcnicas de los sistemas de informacin que se usen; evaluar
la exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas
apropiadas para tratar el riesgo asociado.

Control: Se deberan establecer e implementar las reglas para la instalacin de


software por parte de los usuarios.
Objetivo: Minimizar el impacto de las actividades de auditora sobre los
sistemas operacionales.

Control: Los requisitos y actividades de auditora que involucran la verificacin


de los sistemas operativos se deberan planificar y acordar cuidadosamente
para minimizar las interrupciones en los procesos del negocio.

Objetivo: Asegurar la proteccin de la informacin en las redes, y sus


instalaciones de procesamiento de informacin de soporte.

Control: Las redes se deberan gestionar y controlar para proteger la


informacin en sistemas y aplicaciones.
Control: Se deberan identificar los mecanismos de seguridad, los
niveles de servicio y los requisitos de gestin de todos los servicios de red, e
incluirlos en los acuerdos de servicios de red, ya sea que los servicios se
presten internamente o se contraten externamente.

Control: Los grupos de servicios de informacin, usuarios y sistemas


de informacin se deberan separar en las redes.

as

Objetivo: Mantener la seguridad de la informacin transferida dentro


de una organizacin y con cualquier entidad externa.
Control: Se debera contar con polticas, procedimientos y controles
de transferencia formales para proteger la transferencia de informacin
mediante el uso de todo tipo de instalaciones de comunicacin.

Control: Los acuerdos deberan tener en cuenta la transferencia segura de


informacin del negocio entre la organizacin y las partes
externas.
Control: Se debera proteger adecuadamente la informacin incluida
en la mensajera electrnica.
Control: Se deberan identificar, revisar regularmente y documentar
los requisitos para los acuerdos de confidencialidad o no divulgacin que
reflejen las necesidades de la organizacin para la proteccin de la informacin.

Objetivo: Asegurar que la seguridad de la informacin sea una parte


integral de los sistemas de informacin durante todo el ciclo de vida. Esto
incluye tambin los requisitos para sistemas de informacin que prestan
servicios en redes pblicas.

Control: Los requisitos relacionados con seguridad de la informacin se


deberan incluir en los requisitos para nuevos sistemas de informacin o para
mejoras a los sistemas de informacin existentes.

Control: La informacin involucrada en los servicios de aplicaciones


que pasan sobre redes pblicas se debera proteger de actividades
fraudulentas, disputas contractuales y divulgacin y modificacin no
autorizadas.
Control: La informacin involucrada en las transacciones de los
servicios de las aplicaciones se debera proteger para evitar la transmisin
incompleta, el enrutamiento errado, la alteracin no autorizada de mensajes, la
divulgacin no autorizada, y la duplicacin o reproduccin de mensajes no
autorizada.

Objetivo: Asegurar de que la seguridad de la informacin est


diseada e implementada dentro del ciclo de vida de desarrollo de los sistemas
de informacin.
Control: Se deberan establecer y aplicar reglas para el desarrollo de software y
de sistemas, a los desarrollos que se dan dentro de la organizacin.
Control: Los cambios a los sistemas dentro del ciclo de vida de
desarrollo se deberan controlar mediante el uso de procedimientos formales de
control de cambios.
Control: Cuando se cambian las plataformas de operacin, se
deberan revisar las aplicaciones crticas del negocio, y ponerlas a prueba para
asegurar que no haya impacto adverso en las operaciones o seguridad de la
organizacin.

Control: Se deberan desalentar las modificaciones a los paquetes de


software, que se deben limitar a los cambios necesarios, y todos los cambios se
deberan controlar estrictamente.

Control: Se deberan establecer, documentar y mantener principios


para la construccin de sistemas seguros, y aplicarlos a cualquier actividad de
implementacin de sistemas de informacin.

Control: Las organizaciones deberan establecer y proteger


adecuadamente los ambientes de desarrollo seguros para las tareas de
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de
desarrollo de sistemas.

Control: La organizacin debera supervisar y hacer seguimiento de la


actividad de desarrollo de sistemas contratados externamente.

Control: Durante el desarrollo se deberan llevar a cabo pruebas de


funcionalidad de la seguridad.
Control: Para los sistemas de informacin nuevos, actualizaciones y
nuevas versiones, se deberan establecer programas de prueba para
aceptacin y criterios de aceptacin relacionados.

Objetivo: Asegurar la proteccin de los datos usados para pruebas.


Control:Los datos de ensayo se deberan seleccionar, proteger y controlar
cuidadosamente.

res

Objetivo: Asegurar la proteccin de los activos de la organizacin que sean


accesibles a los proveedores.

Control: Los requisitos de seguridad de la informacin para mitigar los


riesgos asociados con el acceso de proveedores a los activos de la
organizacin se deberan acordar con estos y se deberan documentar.

Control: Se deberan establecer y acordar todos los requisitos de seguridad de


la informacin pertinentes con cada proveedor que
pueda tener acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la informacin de la
organizacin.

Control: Los acuerdos con proveedores deberan incluir requisitos


para tratar los riesgos de seguridad de la informacin asociados con la cadena
de suministro de productos y servicios de tecnologa de informacin y
comunicacin.

Objetivo: Mantener el nivel acordado de seguridad de la informacin y


de prestacin del servicio en lnea con los acuerdos con los proveedores.

Las organizaciones deberan hacer seguimiento, revisar y auditar con


regularidad la prestacin de servicios de los proveedores.

Control: Se deberan gestionar los cambios en el suministro de


servicios por parte de los proveedores, incluido el mantenimiento y la mejora de
las polticas, procedimientos y controles de seguridad de la informacin
existentes , teniendo en cuenta la criticidad de la informacin, sistemas y
procesos del negocio involucrados, y la revaloracin de los riesgos.

Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de


incidentes de seguridad de la informacin, incluida la comunicacin sobre
eventos de seguridad y debilidades.

Control: Se deberan establecer las responsabilidades y


procedimientos de gestin para asegurar una respuesta rpida, eficaz y
ordenada a los incidentes de seguridad de la informacin.

Control: Los eventos de seguridad de la informacin se deberan


informar a travs de los canales de gestin apropiados, tan pronto como sea
posible.
Control: Se debera exigir a todos los empleados y contratistas que
usan los servicios y sistemas de informacin de la organizacin, que observen e
informen cualquier debilidad de seguridad de la informacin observada o
sospechada en los sistemas o servicios.

Control: Los eventos de seguridad de la informacin se deberan


evaluar y se debera decidir si se van a clasificar como incidentes de seguridad
de la informacin.

Control: Se debera dar respuesta a los incidentes de seguridad de la


informacin de acuerdo con procedimientos documentados.

Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad


de la informacin se debera usar para reducir la posibilidad
o el impacto de incidentes futuros.
Control: La organizacin debera definir y aplicar procedimientos para
la identificacin, recoleccin, adquisicin y preservacin de informacin que
pueda servir como evidencia.

la
de continuidad de negocio

Objetivo: La continuidad de seguridad de la informacin se debera


incluir en los sistemas de gestin de la continuidad de negocio de la
organizacin.
Control: La organizacin debera determinar sus requisitos para la seguridad de
la informacin y la continuidad de la gestin de la seguridad de la informacin
en situaciones adversas, por ejemplo, durante una crisis o desastre.

Control: La organizacin debera establecer, documentar,


implementar y mantener procesos, procedimientos y controles para asegurar el
nivel de continuidad requerido para la seguridad de la informacin durante una
situacin adversa.

Control: La organizacin debera verificar a intervalos regulares los


controles de continuidad de la seguridad de la informacin establecidos e
implementados, con el fin de asegurar que son validos y eficaces durante
situaciones adversas.

Objetivo: Asegurar la disponibilidad de instalaciones de


procesamiento de informacin.
Control: Las instalaciones de procesamiento de informacin se deberan
implementar con redundancia suficiente para cumplir los requisitos de
disponibilidad.

Objetivo: Evitar el incumplimiento de las obligaciones legales,


estatutarias, de reglamentacin o contractuales relacionadas con seguridad de
la informacin, y de cualquier requisito de seguridad.

Control: Todos los requisitos estatutarios, reglamentarios y


contractuales pertinentes, y el enfoque de la organizacin para cumplirlos, se
deberan identificar y documentar explcitamente y mantenerlos actualizados
para cada sistema de informacin y para la organizacin.

Control: Se deberan implementar procedimientos apropiados para asegurar el


cumplimiento de los requisitos legislativos, de
reglamentacin y contractuales relacionados con los derechos de propiedad
intelectual y el uso de productos de software patentados.

Control: Los registros se deberan proteger contra perdida,


destruccin, falsificacin, acceso no autorizado y liberacin no autorizada, de
acuerdo con los requisitos legislativos, de reglamentacin, contractuales y de
negocio.

Control: Cuando sea aplicable, se deberan asegurar la privacidad y la


proteccin de la informacin de datos personales, como se exige en la
legislacin y la reglamentacin pertinentes.

Control: Se deberan usar controles criptogrficos, en cumplimiento de


todos los acuerdos, legislacin y reglamentacin pertinentes.

Objetivo: Asegurar que la seguridad de la informacin se implemente


y opere de acuerdo con las polticas y procedimientos organizacionales.

Control: El enfoque de la organizacin para la gestin de la seguridad


de la informacin y su implementacin (es decir, los objetivos de control, los
controles, las polticas, los procesos y los procedimientos para seguridad de la
informacin) se deberan revisar independientemente a intervalos planificados o
cuando ocurran cambios significativos.

Control: Los directores deberan revisar con regularidad el


cumplimiento del procesamiento y procedimientos de informacin dentro de su
rea de responsabilidad, con las polticas y normas de seguridad apropiadas, y
cualquier otro requisito de seguridad.

Control: Los sistemas de informacin se deberan revisar


peridicamente para determinar el cumplimiento con las polticas y normas de
seguridad de la informacin.

NO APLICA

JUSTIFICACION DE APLICACIN O EXCLUSIN