Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 2 - Iso Iec - 27002 2013
4 2 - Iso Iec - 27002 2013
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
PRINCIPIOS
5 Polticas de
Seguridad de la
Informacin.
Recomendaciones
seguridad de
de
licitud,
consentimiento,
informacin,
Art. 6
Art. 9
1. Recomendacin
el
la
informacin
para un ISMS.
Actividades
para
establecimiento de polticas de
para
el
6 Organizacin de
establecimiento de un marco
Seguridad de la
Informacin.
de la informacin a travs de la
organizacin.
General.
Prcticas de seguridad de la
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al
8 Gestin de Activos.
46
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Prcticas para el control de
9 Control de Acceso.
acceso
los
informacin
activos
de
informacin
11 Seguridad Fsica y
Ambiental.
12 Seguridad en las
operaciones.
para
asegurar
el
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
con los Proveedores.
Actividades
mantenimiento
adquisicin de sistemas.
Prcticas para la administracin
de
la
seguridad
de
la
16 Gestin de
Incidentes de
incidentes de seguridad de la
Seguridad de la
informacin.
47
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
establecimiento de un plan de
continuidad del negocio.
Negocios.
Actividades para el monitoreo
18 Cumplimiento.
de
gestin
de
seguridad.
LICITUD Y LEALTAD
Los datos personales debern recabarse y
18.1.1 Identificacin
de legislacin
aplicable y
expectativa
2
razonable
de
privacidad,
sin
Art. 7
Art. 7
Art. 10
Art. 44
requerimientos
Paso 1. Alcance y
Objetivos.
contractuales.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
fraudulentos.
legales
contractuales.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
CONSENTIMIENTO
El tratamiento de datos personales estar
Art. 11
datos
financieros
patrimoniales
Art. 8
Art. 12
Art. 15
18.1.1 Identificacin
Paso 2. Poltica de
de legislacin
Gestin de Datos
aplicable y
Personales.
requerimientos
contractuales.
legales
contractuales.
48
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
tratamiento.
18.1.1 Identificacin
de legislacin
aplicable y
El responsable
4
deber
facilitar al titular
Art. 8
Art. 16
su consentimiento expreso.
Paso 2. Poltica de
requerimientos
Gestin de Datos
contractuales.
Personales.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
18.1.1 Identificacin
deber
obtener
de legislacin
el
aplicable y
para
su
tratamiento.
finalidades
legtimas,
concretas
Paso 2. Poltica de
Art. 9
Art. 56
Gestin de Datos
requerimientos
contractuales.
legales
contractuales.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
Actividades para la proteccin
Personales.
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
49
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
Paso 7.
Implementacin de
las Medidas de
Para efectos de demostrar la obtencin del
6
consentimiento,
recaer,
en
la
carga
todos
los
de
la
casos,
Seguridad
prueba
en
Art. 20
el
responsable.
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Medidas de
Seguridad.
INFORMACIN
A
travs
del
aviso
de
privacidad,
el
la
relacin
jurdica,
as
como
las
fsica,
el
responsable
Art. 14
Art. 15
Art. 23
Art. 112
18.1.1 Identificacin
Paso 2. Poltica de
de legislacin
Gestin de Datos
aplicable y
Personales.
requerimientos
contractuales.
legales
contractuales.
deber
50
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
del
titular,
el
aviso
las Medidas de
de
Seguridad
Art. 3, I
Art. 17
Art. 27
Aplicables a los
Datos Personales.
Cumplimiento
tecnologa.
Cotidiano de
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Medidas de
Seguridad.
Paso 7.
El aviso de privacidad
debe contener un
mecanismo,
el
para
que
titular
Implementacin de
las Medidas de
pueda
datos
personales.
Cuando
los
datos
se
Art. 14
Art. 18
Art. 29
Art. 32
Seguridad
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Medidas de
Seguridad
51
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Paso 7.
Implementacin de
las Medidas de
del
aviso
de
privacidad
Seguridad
en
Art. 31
Aplicables a los
Datos Personales.
Cumplimiento
casos, en el responsable.
Cotidiano de
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Medidas de
Seguridad.
CALIDAD
Actividades para la proteccin
11
18.1.3 Proteccin de
registros.
sean
exactos,
completos,
pertinentes,
Paso 2. Poltica de
Art. 11
Art. 36
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
18.1.1 Identificacin
de
ser
necesarios
para
de legislacin
el
Art. 3 III
Art. 11
Paso 2. Poltica de
Art. 37
Gestin de Datos
Personales.
regulaciones,
legislaciones,
contratos y requerimientos de
negocio vigentes.
Gestin de Datos
Personales.
aplicable y
requerimientos
contractuales.
8.3.2 Eliminacin de
medios.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
para
la
contractuales.
Requerimientos
52
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
de
Descripcin
cumplimiento
utilizados.
obligaciones
11.2.7 Eliminacin
para
la
8.3.2 Eliminacin de
medios.
11.2.7 Eliminacin
segura o re-uso del
equipo.
Paso 2. Poltica de
Art. 38
Gestin de Datos
Personales.
12.1.1 Documentacin
de procedimientos
operacionales.
Requerimientos
documentacin
comunicacin
al
para
la
formal
personal
relevante.
Actividades para la ejecucin de
12.3.1 Respaldo de
informacin.
la
prdida
de
informacin.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
53
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para la proteccin
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
Paso 7.
Implementacin de
las Medidas de
Seguridad
Art. 39
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Medidas de
Seguridad.
FINALIDAD
El tratamiento de datos personales deber
18.1.1 Identificacin
Art. 12
Art. 40
Paso 2. Poltica de
de legislacin
Art. 42
Gestin de Datos
aplicable y
Art. 43
Personales.
requerimientos
contractuales.
legales
contractuales.
54
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
aplicable y
requerimientos
Art. 13
Art. 45
Art. 46
Paso 2. Poltica de
contractuales.
legales
contractuales.
Gestin de Datos
Personales.
18.1.4 Privacidad y
proteccin de
indispensable.
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal.
CONFIDENCIALIDAD
El responsable o terceros que intervengan en
Art. 21
Art. 9
Paso 2. Poltica de
13.2.4 Acuerdos de
Gestin de Datos
confidencialidad o de
Personales.
no divulgacin.
e implementacin de acuerdos
de confidencialidad y de no
divulgacin
que
reflejen
las
necesidades de la organizacin
en
cuento
proteccin
de
55
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
informacin.
RESPONSABILIDAD
5 Polticas de
Seguridad de la
Informacin.
Recomendaciones
seguridad de
la
Seguridad de la
Informacin.
de la informacin a travs de la
7 Seguridad de
Paso 2. Poltica de
Art. 14
Art. 47
Recursos Humanos.
Personales.
informacin
relacionadas
al
Gestin de Datos
el
Prcticas de seguridad de la
para
establecimiento de un marco
organizacin.
informacin
para un ISMS.
6 Organizacin de
18
el
establecimiento de polticas de
Actividades
para
9 Control de Acceso.
acceso
informacin
los
o
activos
de
informacin
11 Seguridad Fsica y
Ambiental.
56
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
los activos de informacin.
Prcticas
12 Seguridad en las
operaciones
para
asegurar
el
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
con los Proveedores.
16 Gestin de
Incidentes de
Seguridad de la
Informacin.
Actividades
mantenimiento
adquisicin de sistemas.
Prcticas para la administracin
de
la
seguridad
de
la
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
establecimiento de un plan de
continuidad del negocio.
Negocios.
57
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para el monitoreo
18 Cumplimiento.
de
gestin
de
seguridad.
6.1.5 Seguridad de la
Informacin en la
Gestin de Proyectos.
8.2.1 Clasificacin de
Informacin.
19
para
garantizar
el
debido
tratamiento,
Art. 14
Art. 48
para
la
administracin de la seguridad
en proyectos.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
14.1.1 Anlisis y
especificacin de
de requerimientos de seguridad
requerimientos de
Seguridad de la
Los responsables debern adoptar medidas
Actividades
Paso 5. Realizar el
Informacin.
Anlisis de Riesgo
18.1.1 Identificacin
de los Datos
de legislacin
Personales.
aplicable y
requerimientos
contractuales.
mejoras
en
los
sistemas
existentes.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
Actividades para la proteccin
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
58
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Identificable.
5.1.1 Polticas de
Seguridad de la
Informacin.
Actividades
requerimientos
para
la
6.2.1 Poltica de
Dispositivos Mviles.
7.2.3 Proceso
Elaborar polticas y programas de privacidad
20
Paso 2. Poltica de
Art. 48 - I
disciplinario.
el
disciplinario
en
caso
de
violaciones a la seguridad de la
informacin.
Gestin de Datos
Personales.
para
establecimiento de un proceso
Establecimiento
formal
de
9.1.1 Poltica de
Control de Acceso.
para
el
control de acceso a
la
informacin.
Aspectos
relevantes
para
el
el uso de controles
el
criptogrficos.
uso
de
controles
59
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
11.2.9 Poltica de
informacin.
14.2.1 Poltica de
desarrollo seguro.
15.1.1 Poltica de
Seguridad de la
Informacin para el
relacionamiento con
terceros.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
21
prctica
un
programa
de
del
personal
sobre
las
obligaciones
en
Art. 48 - II
la
limpios.
transferencia de
en
para
procedimientos de
Lineamientos
escritorio y pantalla
13.2.1 Polticas y
Poner
Descripcin
cumplimiento
formal
de
legales
contractuales.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
Paso 9. Mejora
7.2.2 Concienciacin,
Continua y
Educacin, y
implementar un programa de
Capacitacin.
Entrenamiento de
Capacitacin.
Seguridad de la
entrenamiento
y capacitacin
60
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Informacin.
seguridad de la informacin.
Las polticas de seguridad de la
informacin
debern
ser
polticas de Seguridad
de la Informacin.
18.2.1 Revisin
independiente de
Establecer
22
un
sistema
de
supervisin
Seguridad de la
Art. 48 - III
Paso 8. Revisiones y
Informacin.
Auditora.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
polticas y procedimientos de
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
5.1. Direccin de la
23
Art. 48 - IV
Paso 3. Establecer
Gerencia para
Funciones y
Seguridad de la
Obligaciones de
Informacin.
Quienes Traten
Datos Personales.
6.1 Organizacin
interna.
para
el
establecimiento de un marco
para
iniciar
controlar
la
61
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
operacin de la seguridad de la
informacin.
18.1 Cumplimiento
Actividades
con requerimientos
brechas
legales y
contractuales.
6.1.5 Seguridad de la
Informacin en la
Gestin de Proyectos.
8.2.1 Clasificacin de
Instrumentar un procedimiento para que se
Paso 5. Realizar el
Art. 48 - V
Anlisis de Riesgo
de los Datos
Personales.
Informacin.
para
en
regulaciones,
prevenir
cuanto
requerimientos
legales, y contractuales.
Actividades
para
la
administracin de la seguridad
en proyectos.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
14.1.1 Anlisis y
especificacin de
de requerimientos de seguridad
requerimientos de
Seguridad de la
Informacin.
18.2.1 Revisin
independiente de
Seguridad de la
Informacin.
mejoras
en
los
sistemas
existentes.
La organizacin debe someterse
a revisiones independientes de
seguridad de la informacin en
intervalos planeados o cuando
ocurran cambios significativos.
62
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
polticas y procedimientos de
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
Las polticas de seguridad de la
informacin
debern
ser
polticas de Seguridad
de la Informacin.
18.2.1 Revisin
independiente de
Revisar
25
peridicamente
las
polticas
Seguridad de la
y
Art. 48 - VI
Paso 8. Revisiones y
Informacin.
Auditora.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
polticas y procedimientos de
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
63
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Paso 7.
Establecer
26
procedimientos
para
recibir
Art. 48 - VII
Implementacin de
12.1.1 Documentacin
las Medidas de
de procedimientos
Seguridad
operacionales.
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
Medidas de
Seguridad.
Disponer
27
de
mecanismos
para
el
16.1 Gestin de
incidentes y mejoras
de Seguridad de la
Informacin.
Obligaciones de
7.2.3 Proceso
Quienes Traten
disciplinario.
Seguridad de la
Informacin.
28
Paso 6.
Art. 48 - IX
de
procedimientos operacionales y
su
difusin
las
partes
Actividades
para
la
administracin de incidentes de
seguridad.
para
el
establecimiento de un proceso
disciplinario
en
caso
de
violaciones a la seguridad de la
informacin.
5 Polticas de
de
documentacin
Actividades
Datos Personales.
Lineamientos
relevantes.
Paso 3. Funciones y
Art. 48 - VIII
Descripcin
cumplimiento
Recomendaciones
para
el
establecimiento de polticas de
seguridad de
la
informacin
para un ISMS.
Actividades
para
el
Identificacin de las
6 Organizacin de
establecimiento de un marco
medidas de
Seguridad de la
seguridad y Anlisis
Informacin.
de la informacin a travs de la
de Brecha.
organizacin.
Prcticas de seguridad de la
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al
64
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para el control de
8 Gestin de Activos.
9 Control de Acceso.
acceso
los
informacin
activos
de
informacin
11 Seguridad Fsica y
Ambiental.
12 Seguridad en las
Operaciones.
para
asegurar
el
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
con los Proveedores.
Actividades
mantenimiento
adquisicin de sistemas.
Prcticas para la administracin
de
la
seguridad
de
la
65
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
16 Gestin de
Incidentes de
Seguridad de la
Informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
establecimiento de un plan de
continuidad del negocio.
Negocios.
Actividades para el monitoreo
18 Cumplimiento.
de
gestin
de
seguridad.
Lineamientos
8.3.1 Gestin de
medios removibles.
para
implementacin
la
de
29
Paso 6.
Identificacin de las
permiten
Art. 48 - X
medidas de
seguridad y Anlisis
Requerimientos
8.3.2 Eliminacin de
medios.
para
la
de Brecha.
12.7.1 Controles de
auditora sistemas de
informacin.
66
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
13.2.2 Acuerdos sobre
transferencia de
informacin.
Lineamientos
para
establecer
organizacin
entidades
externas.
14.1.1 Anlisis y
especificacin de
de requerimientos de seguridad
requerimientos de
Seguridad de la
Informacin.
mejoras
en
los
sistemas
existentes.
Actividades para la proteccin
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
departamento
quien
dar
de
datos
trmite
las
Paso 7.
6.1.1 Roles y
Implementacin de
responsabilidades de
las Medidas de
Seguridad de la
Seguridad
Informacin.
Aplicables a los
Art. 30
Datos Personales.
Cumplimiento
Cotidiano de
Medidas de
Seguridad.
Todas
los
roles
responsabilidades
deben
y
ser
definidos y asignados.
7.2.2 Concienciacin,
Educacin, y
implementar un programa de
Entrenamiento de
Seguridad de la
entrenamiento
y capacitacin
Informacin.
seguridad de la informacin.
Recomendaciones
SEGURIDAD
Todo
31
responsable
tratamiento
de
que
datos
lleve
personales
cabo
deber
Art. 19
Art. 4
Paso 6.
5 Polticas de
Art. 9
Identificacin de las
Seguridad de la
Art. 57
medidas de
Informacin.
para
el
establecimiento de polticas de
seguridad de
la
informacin
67
Requerimiento normativo
administrativas,
permitan
tcnicas
proteger
los
fsicas
datos
que
personales
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
seguridad y Anlisis
para un ISMS.
de Brecha.
adoptarn
medidas
de
seguridad
Actividades
Reglamento.
el
establecimiento de un marco
Seguridad de la
Informacin.
de la informacin a travs de la
organizacin.
Prcticas de seguridad de la
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al
para
6 Organizacin de
manejo de su informacin.
Cuando el encargado se encuentre ubicado
Descripcin
cumplimiento
9 Control de Acceso.
acceso
los
informacin
activos
de
informacin
11 Seguridad Fsica y
Ambiental.
12 Seguridad en las
operaciones.
para
asegurar
el
los
activos
de
procesamiento.
68
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
con los Proveedores.
16 Gestin de
Incidentes de
Seguridad de la
Informacin.
Actividades
mantenimiento
adquisicin de sistemas.
Prcticas para la administracin
de
la
seguridad
de
la
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
establecimiento de un plan de
continuidad del negocio.
Negocios.
Actividades para el monitoreo
18 Cumplimiento.
de
gestin
de
seguridad.
69
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
6.1.5 Seguridad de la
Informacin en la
Gestin de Proyectos.
El responsable determinar las medidas de
seguridad aplicables a los datos personales
8.2.1 Clasificacin de
Informacin.
Actividades
para
la
administracin de la seguridad
en proyectos.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
14.1.1 Anlisis y
tecnolgico.
especificacin de
de requerimientos de seguridad
requerimientos de
De
manera
adicional,
el
Seguridad de la
responsable
Paso 5. Realizar el
elementos:
32
Descripcin
cumplimiento
I. El nmero de titulares;
Art. 19
El
riesgo
por
el
valor
potencial
Art. 60
Anlisis de Riesgo
de los Datos
Personales.
Informacin.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
no
autorizada
para
su
posesin, y
18.1.3 Proteccin de
registros.
los
sistemas
existentes.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
legislaciones,
contratos y requerimientos de
negocio vigentes.
en
mejoras
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
70
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Todos los activos asociados con
8.1.1 Inventario de
activos.
informacin e infraestructura de
procesamiento
estar
debern
identificados
en
de
un
inventario.
Todos
33
Paso 4. Elaborar un
Art. 61 - I
Inventario de Datos
8.1.2 Propiedad de
activos.
los
activos
de
responsable
de
los
mismos.
Personales.
8.2.1 Clasificacin de
Informacin.
Lineamientos
informacin.
la
la organizacin.
Establece
8.2.2 Etiquetado de
para
clasificacin de informacin de
para
los
el
requerimientos
etiquetado
de
informacin de acuerdo a su
clasificacin.
5.1.1 Polticas de
Seguridad de la
Paso 3. Establecer
34
Art. 61 - II
Informacin.
Funciones y
6.1.1 Roles y
Obligaciones de
responsabilidades de
Quienes Traten
Seguridad de la
Datos Personales.
Informacin.
Actividades
requerimientos
los
responsabilidades
roles
deben
y
ser
definidos y asignados.
18.1.1 Identificacin
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios,
legales
71
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
requerimientos
contractuales.
contractuales.
6.1.5 Seguridad de la
Informacin en la
Gestin de Proyectos.
8.2.1 Clasificacin de
Informacin.
35
personales
que
consiste
en
identificar
Paso 5. Realizar el
Art. 61 - III
Anlisis de Riesgo
de los Datos
Personales.
para
la
administracin de la seguridad
en proyectos.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
14.1.1 Anlisis y
especificacin de
de requerimientos de seguridad
requerimientos de
Seguridad de la
Contar con un anlisis de riesgos de datos
Actividades
Informacin.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
mejoras
en
los
sistemas
existentes.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
Actividades para la proteccin
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal.
Identificable.
72
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Actividades para la proteccin
18.1.3 Proteccin de
registros.
Establecer
las
medidas
de
seguridad
Art. 61 - IV
regulaciones,
legislaciones,
contratos y requerimientos de
negocio vigentes.
Paso 6.
36
Identificacin de las
18.1.4 Privacidad y
medidas de
proteccin de
seguridad y Anlisis
Informacin Personal
de Brecha.
Identificable.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal.
La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
polticas y procedimientos de
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
37
Paso 6.
14.2.3 Revisin
Identificacin de las
tcnica de
Art. 61 - V
medidas de
aplicaciones despus
seguridad y Anlisis
de cambios en la
de Brecha.
plataforma operativa.
hay
efectos
negativos
en
las
plataformas
operativas.
73
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para asegurar que
18.2 Revisiones de
Seguridad de la
Informacin.
la seguridad de la informacin
se encuentra implementada y
operando de acuerdo a las
polticas
procedimientos
establecidos.
Paso 7.
Implementacin de
las Medidas de
Seguridad
Elaborar
38
un
plan
de
trabajo
para
la
Art. 61 - VI
Aplicables a los
12.6.1 Gestin de
prevenir
Datos Personales.
vulnerabilidades
Plan de Trabajo
tcnicas.
para la
activos
que
de
las
informacin
sean
explotadas.
Implementacin de
las Medidas de
Seguridad Faltantes.
Las polticas de seguridad de la
5.1.2 Revisin de las
39
Art. 61 - VII
debern
ser
polticas de Seguridad
de la Informacin.
Paso 8. Revisiones y
Auditora.
informacin
18.2.1 Revisin
independiente de
Seguridad de la
Informacin.
18.2.2 Cumplimiento
direccin
debe
evaluar
74
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
con polticas y
peridicamente
el
nivel
de
estndares de
cumplimiento
respecto
Seguridad.
polticas y procedimientos de
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
Paso 9. Mejora
40
Capacitar
al
personal
que
efecte
el
Art. 61 - VIII
Continua y
Capacitacin.
Capacitacin.
7.2.2 Concienciacin,
Educacin, y
implementar un programa de
Entrenamiento de
Seguridad de la
Informacin.
entrenamiento
y capacitacin
41
Realizar un registro de
los medios de
Art. 61 - IX
informacin e infraestructura de
procesamiento
estar
Paso 5. Realizar el
inventario.
Anlisis de Riesgo
Todos
de los Datos
Personales.
8.1.2 Propiedad de
activos.
debern
identificados
los
en
activos
de
un
de
responsable
de
los
mismos.
8.2.1 Clasificacin de
Informacin.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
75
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Establece
8.2.2 Etiquetado de
informacin.
para
los
el
requerimientos
etiquetado
de
informacin de acuerdo a su
clasificacin.
Todos los activos asociados con
8.1.1 Inventario de
3. Acciones a
42
activos.
implementar para la
Art. 61
procesamiento
estar
debern
identificados
en
de
un
inventario.
seguridad de los
Todos
datos personales
documentadas.
informacin e infraestructura de
8.1.2 Propiedad de
activos.
los
activos
de
responsable
de
los
mismos.
Actualizar las medidas de seguridad cuando:
43
Paso 8. Revisiones y
Auditora.
informacin
debern
ser
polticas de Seguridad
de la Informacin.
76
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
del responsable.
II. Se produzcan modificaciones sustanciales
en el tratamiento que deriven en un cambio
del nivel de riesgo.
III. Se vulneren los sistemas de tratamiento,
18.1.1 Identificacin
de legislacin
aplicable y
IV.
Exista
una
afectacin
los
datos
requerimientos
contractuales.
legales
para
la
contractuales.
Paso 8. Revisiones y
Art. 20
Art. 63
Art. 64
Auditora.
de Seguridad de la
Informacin.
Actividades
administracin de incidentes de
seguridad.
Vulneraciones a la
Seguridad de la
18.1.1 Identificacin
Informacin.
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
77
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
de
los
datos
personales,
el
Auditora.
Art. 65
Vulneraciones a la
Seguridad de la
Informacin.
16.1.5 Respuesta a
incidentes de
Seguridad de la
Informacin.
Procedimientos
respuesta
para
incidentes
la
de
seguridad.
personales,
el responsable
deber
Paso 8. Revisiones y
16.1.6 Lecciones
Auditora.
aprendidas de los
Vulneraciones a la
incidentes de
Seguridad de la
Seguridad de la
Informacin.
Informacin.
implementar
las
acciones
correctivas,
Art. 66
78
Requerimiento normativo
El
encargado
tendr
las
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
siguientes
13.2 Transferencia de
informacin.
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
15.1 Seguridad de la
Informacin para el
relacionamiento con
el responsable.
proveedores.
15.2 Gestin de la
entrega de servicios
Descripcin
cumplimiento
Art. 50
1. Recomendacin
de proveedores.
para terceros.
Actividades
para
el
mantenimiento de niveles de
servicio y seguridad apropiados
con terceras partes.
General.
con
el
responsable
por
18.1 Cumplimiento
con requerimientos
Abstenerse
de
transferir
los
legales y
datos
contractuales.
as
lo
determine,
Lineamientos
para
relacionadas
regulaciones
prevenir
layes
contratos
relacionados a seguridad de la
informacin
la
cuando
as
lo
requiera
la
autoridad
competente.
SUBCONTRATACIONES
79
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
13.2.2 Acuerdos sobre
transferencia de
informacin.
Lineamientos
para
establecer
organizacin
entidades
externas.
Requerimientos para el diseo
e implementacin de acuerdos
13.2.4 Acuerdos de
confidencialidad o de
Paso 7.
no divulgacin.
48
relacin
entre
el
responsable
el
Seguridad
Aplicables a los
Art. 51
Datos Personales.
Cumplimiento
contenido.
Cotidiano de
Medidas de
que
reflejen
las
necesidades de la organizacin
cuento
proteccin
de
informacin.
las Medidas de
divulgacin
en
Implementacin de
La
de confidencialidad y de no
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
Actividades para la proteccin
Seguridad.
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
80
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
que contribuye al
Descripcin
cumplimiento
15.1 Seguridad de la
Informacin para el
relacionamiento con
proveedores.
vez
obtenida
la
autorizacin,
el
subcontratado
travs
de
Implementacin de
las Medidas de
clusulas
Seguridad
Art. 54
Aplicables a los
Art. 55
Datos Personales.
Cumplimiento
Cotidiano de
Medidas de
del
para terceros.
Paso 7.
el
49
Objetivo de Control
Seguridad.
responsable
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
legales
contractuales.
previamente.
La
obligacin
de
acreditar
que
la
50
Paso 7.
Implementacin de
Art. 52 - I
las Medidas de
Seguridad
Aplicables a los
13.2.1 Polticas y
procedimientos de
transferencia de
informacin.
81
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Datos Personales.
Cumplimiento
Cotidiano de
transferencia de
Medidas de
informacin.
Seguridad.
Reglamento;
b) Transparentar las subcontrataciones que
para
establecer
organizacin
entidades
externas.
e implementacin de acuerdos
13.2.4 Acuerdos de
confidencialidad o de
no divulgacin.
de confidencialidad y de no
divulgacin
que
reflejen
las
necesidades de la organizacin
en
Lineamientos
Descripcin
cumplimiento
cuento
proteccin
de
informacin.
15.1 Seguridad de la
Informacin para el
relacionamiento con
proveedores.
15.2 Gestin de la
entrega de servicios
de proveedores.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
contractuales.
para terceros.
Actividades
para
el
mantenimiento de niveles de
servicio y seguridad apropiados
con terceras partes.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
82
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para la proteccin
18.1.3 Proteccin de
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
prevenir
brechas
relacionadas a la seguridad de
informacin personal.
Actividades para mantener la
13.2 Transferencia de
informacin.
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
Paso 7.
15.1 Seguridad de la
Implementacin de
las Medidas de
Informacin para el
Seguridad
relacionamiento con
Aplicables a los
proveedores.
Actividades
Art. 52 - II
Datos Personales.
Cumplimiento
presta;
Cotidiano de
Medidas de
Seguridad.
15.2 Gestin de la
entrega de servicios
de proveedores.
18.1.1 Identificacin
de legislacin
aplicable y
requerimientos
c)
Establecer
mantener
medidas
de
contractuales.
para terceros.
Actividades
para
el
mantenimiento de niveles de
servicio y seguridad apropiados
con terceras partes.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
83
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.3 Proteccin de
el servicio;
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
proteccin de
Informacin Personal
Identificable.
fundada
competente,
motivada
informar
de
de
autoridad
ese
hecho
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
al
responsable.
TRANSFERENCIAS
52
Paso 7.
Implementacin de
las Medidas de
Art. 68
Seguridad
Art. 71
Aplicables a los
Art. 72
Datos Personales.
18.1.1 Identificacin
Art. 74
Cumplimiento
de legislacin
Cotidiano de
aplicable y
Medidas de
requerimientos
indique
Seguridad.
contractuales.
tratamiento.
El tratamiento de los datos se har conforme
si
el
titular
acepta
no
la
Art. 36
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
Proceso para la identificacin y
formalizacin de requerimientos
regulatorios,
legales
contractuales.
84
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
que
correspondan
Descripcin
cumplimiento
18.1.3 Proteccin de
al
registros.
legislaciones,
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Para
efectos
transferencia,
de
demostrar
sea
sta
que
la
nacional
Art. 69
Paso 7.
13.2.1 Polticas y
Implementacin de
procedimientos de
las Medidas de
transferencia de
Seguridad
informacin.
Medidas de
Seguridad.
En
54
el
caso
de
transferencias
de
datos
13.2.1 Polticas y
Art. 70
brechas
relacionadas a la seguridad de
informacin personal
Datos Personales.
Cotidiano de
prevenir
Aplicables a los
Cumplimiento
Actividades
1. Recomendacin
procedimientos de
General
transferencia de
informacin.
Lineamientos
para
establecer
organizacin
entidades
externas.
85
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
transferencia de
informacin.
Lineamientos
para
establecer
organizacin
entidades
externas.
Reglamento y
transferencia
deber
formalizarse
las Medidas de
Seguridad
Art. 73
Aplicables a los
comunic
Art. 75
Datos Personales.
al
responsable
receptor
las
13.2.1 Polticas y
procedimientos de
transferencia de
informacin.
Cumplimiento
Cotidiano de
transferencia de
Medidas de
informacin.
Seguridad.
Lineamientos
para
establecer
organizacin
entidades
externas.
86