Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controles DEISO27002-2013 PDF
Controles DEISO27002-2013 PDF
Privacidad de la Informacin
Gua Tcnica
HISTORIA
VERSIN
FECHA
CAMBIOS INTRODUCIDOS
1.0.0
15/12/2010
2.0.0
30/09/2011
Restructuracin de forma
2.0.1
30/11/2011
3.0.0
08/01/2015
TABLA DE CONTENIDO
PG.
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de
TI, con derechos reservados por parte del Ministerio de Tecnologas de la
Informacin y las Comunicaciones, a travs de la estrategia de Gobierno en Lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,
publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como a
los anexos con derechos reservados por parte de ISO/ICONTEC.
AUDIENCIA
GENERALIDADES
La informacin es un recurso que, como el resto de los activos, tiene valor para el
organismo y por consiguiente debe ser debidamente protegida. Las polticas de
seguridad y privacidad de la informacin protegen a la misma de una amplia gama
de amenazas, a fin de garantizar la continuidad de los sistemas de informacin,
minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos
de las entidades del Estado.
Es importante que los principios de la poltica de seguridad y privacidad descritos
en el presente documento se entiendan y se asimilen al interior de las entidades
como una directriz de Gobierno que ser exitosa en la medida que se cuente con
un compromiso manifiesto de la mxima autoridad en cada entidad.
OBJETIVO
Proteger la informacin de las entidades del Estado, los mecanismos utilizados para
el procesamiento de la informacin, frente a amenazas internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de la
confidencialidad, integridad, disponibilidad y confiabilidad de la informacin.
ALCANCE
Este documento de polticas aplica a todas las entidades del Estado que estn
vinculadas de alguna manera, como usuarios o prestadores de servicios de la
estrategia de Gobierno en lnea, a sus recursos, a sus procesos y al personal interno
o externo vinculado a la entidad a travs de contratos o acuerdos.
Terceros
Las entidades pueden requerir que terceros accedan a informacin interna, la
copien, la modifiquen, o bien puede ser necesaria la tercerizacin de ciertas
funciones relacionadas con el procesamiento de la informacin. En estos casos, los
terceros deben tener y las entidades les deben exigir, que se establezcan las
medidas adecuadas para la proteccin de la informacin de acuerdo a su
clasificacin y anlisis de riesgo.
TABLA DE CONTROLES
La siguiente tabla, muestra la organizacin de los controles detallando los dominios
definidos en el componente de Planificacin. SIEMPRE se deben mencionar los
controles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual trata
de los objetivos de control, y se estructurarn tal como lo muestra la Tabla 1:
Tabla 1 Estructura de controles
Poltica general
Seleccionado
Nm.
Nombre
Descripcin / Justificacin
/ Excepcin
Nombre
Control
Nm.
Nombre
Objeto y campo de
aplicacin
Referencias normativas
Trminos y definiciones
Estructura de la norma
5
5.1
5.1.1
5.1.2
6
Polticas de seguridad de la
informacin
Directrices establecidas por
la direccin para la
seguridad de la informacin
Polticas para la seguridad
de la informacin
Revisin de las polticas
para seguridad de la
informacin
Organizacin de la
seguridad de la informacin
Seleccin /
Excepcin
Tabla 2 Controles del Anexo A del estndar ISO/IEC 27001:2013 y dominios a los que pertenece
Descripcin / Justificacin
Organizacin interna
6.1.1
Roles y responsabilidades
para la seguridad de
informacin
6.1.2
Separacin de deberes
6.1.3
6.1.4
6.1
6.1.5
6.2
Seguridad de la informacin
en la gestin de proyectos
Dispositivos mviles y
teletrabajo
6.2.1
6.2.2
Teletrabajo
7.1
7.1.1
Seleccin
7.1.2
7.2
7.2.1
Responsabilidades de la
direccin
7.2.2
Toma de conciencia,
educacin y formacin en la
seguridad de la informacin
7.2.3
Proceso disciplinario
7.3
Terminacin o cambio de
empleo
7.3.1
Terminacin o cambio de
responsabilidades de
empleo
8
8.1
Gestin de activos
Responsabilidad por los
activos
8.1.1
Inventario de activos
8.1.2
8.1.3
8.1.4
Devolucin de activos
8.2
Clasificacin de la
informacin
8.2.1
Clasificacin de la
informacin
8.2.2
Etiquetado de la informacin
8.2.3
Manejo de activos
8.3.1
Gestin de medios
removibles
8.3.2
8.3.3
Transferencia de medios
fsicos
Control de acceso
9.1
9.1.1
9.1.2
9.2
Gestin de acceso de
usuarios
9.2.1
9.2.2
Suministro de acceso de
usuarios
9.2.3
9.2.4
9.2.5
9.2.6
9.3
9.3.1
9.4
Gestin de derechos de
acceso privilegiado
Gestin de informacin de
autenticacin secreta de
usuarios
Revisin de los derechos de
acceso de usuarios
Retiro o ajuste de los
derechos de acceso
Responsabilidades de los
usuarios
Uso de la informacin de
autenticacin secreta
Control de acceso a
sistemas y aplicaciones
9.4.1
Restriccin de acceso
Informacin
9.4.2
Procedimiento de ingreso
seguro
9.4.3
Sistema de gestin de
contraseas
9.4.4
9.4.5
10
Criptografa
10.1
Controles criptogrficos
10.1.1
10.1.2
11
11.1
Gestin de llaves
Seguridad fsica y del
entorno
reas seguras
11.1.1
Permetro de seguridad
fsica
11.1.2
11.1.3
11.1.4
Seguridad de oficinas,
recintos e instalaciones
Proteccin contra amenazas
externas y ambientales
11.1.5
11.1.6
11.2
Equipos
11.2.1
Ubicacin y proteccin de
los equipos
11.2.2
Servicios de suministro
11.2.3
11.2.4
Mantenimiento de equipos
11.2.5
Retiro de activos
11.2.6
Seguridad de equipos y
activos fuera de las
instalaciones
11.2.7
Disposicin segura o
reutilizacin de equipos
11.2.8
Equipos de usuario
desatendidos
11.2.9
12
12.1
12.1.1
12.1.2
Seguridad de las
operaciones
Procedimientos
operacionales y
responsabilidades
Procedimientos de
operacin documentados
Gestin de cambios
12.1.3
Gestin de capacidad
12.1.4
Separacin de los
ambientes de desarrollo,
pruebas y operacin
12.2
12.2.1
Copias de respaldo
12.3
12.3.1
12.4
Respaldo de informacin
Registro y seguimiento
12.4.1
Registro de eventos
12.4.2
Proteccin de la informacin
de registro
12.4.3
12.4.4
sincronizacin de relojes
12.5
12.5.1
12.6
12.6.1
12.6.2
12.7
12.7.1
13
13.1
Control de software
operacional
Instalacin de software en
sistemas operativos
Gestin de la vulnerabilidad
tcnica
Gestin de las
vulnerabilidades tcnicas
Restricciones sobre la
instalacin de software
Consideraciones sobre
auditorias de sistemas de
informacin
Informacin controles de
auditora de sistemas
Seguridad de las
comunicaciones
Gestin de la seguridad de
las redes
13.1.1
Controles de redes
13.1.2
13.1.3
13.2
Transferencia de
informacin
13.2.1
Polticas y procedimientos
de transferencia de
informacin
13.2.2
Acuerdos sobre
transferencia de informacin
13.2.3
Mensajera electrnica
13.2.4
Acuerdos de
confidencialidad o de no
divulgacin
14
Adquisicin, desarrollo y
mantenimientos de sistemas
14.1.1
Requisitos de seguridad de
los sistemas de informacin
14.1.1
Anlisis y especificacin de
requisitos de seguridad de la
informacin
14.1.2
Seguridad de servicios de
las aplicaciones en redes
publicas
14.1.3
Proteccin de transacciones
de los servicios de las
aplicaciones
14.2
14.2.1
14.2.2
Procedimientos de control
de cambios en sistemas
14.2.3
14.2.4
14.2.5
Principios de construccin
de sistemas seguros
14.2.6
Ambiente de desarrollo
seguro
14.2.7
14.2.8
14.2.9
14.3
Desarrollo contratado
externamente
Pruebas de seguridad de
sistemas
Prueba de aceptacin de
sistemas
Datos de prueba
14.3.1
15
Proteccin de datos de
prueba
Relacin con los
proveedores
15.1
Seguridad de la informacin
en las relaciones con los
proveedores
15.1.1
Poltica de seguridad de la
informacin para las
relaciones con proveedores
15.1.2
Tratamiento de la seguridad
dentro de los acuerdos con
proveedores
15.1.3
Cadena de suministro de
tecnologa de informacin y
comunicacin
15.2
15.2.1
15.2.2
16
16.1
Gestin de la prestacin de
servicios con los
proveedores
Seguimiento y revisin de
los servicios de los
proveedores
Gestin de incidentes de
seguridad de la informacin
Gestin de incidentes y
mejoras en la seguridad de
la informacin
16.1.1
Responsabilidad y
procedimientos
16.1.2
Reporte de eventos de
seguridad de la informacin
16.1.3
Reporte de debilidades de
seguridad de la informacin
16.1.4
16.1.5
16.1.6
16.1.7
17
Evaluacin de eventos de
seguridad de la informacin
y decisiones sobre ellos
Respuesta a incidentes de
seguridad de la informacin
Aprendizaje obtenido de los
incidentes de seguridad de
la informacin
Recoleccin de evidencia
Aspectos de seguridad de la
informacin de la gestin de
continuidad de negocio
17.1
Continuidad de seguridad de
la informacin
17.1.1
Planificacin de la
continuidad de la seguridad
de la informacin
17.1.2
Implementacin de la
continuidad de la seguridad
de la informacin
17.1.3
Verificacin, revisin y
evaluacin de la continuidad
de la seguridad de la
informacin
17.2
17.2.1
18
Redundancias
Disponibilidad de
instalaciones de
procesamiento de
informacin.
Cumplimiento
18.1
Cumplimiento de requisitos
legales y contractuales
18.1.1
Identificacin de la
legislacin aplicable y de los
requisitos contractuales
18.1.2
Derechos de propiedad
intelectual
18.1.3
Proteccin de registros
18.1.4
Privacidad y proteccin de
datos personales
18.1.5
Reglamentacin de
controles criptogrficos
18.2
Revisiones de seguridad de
la informacin
18.2.1
Revisin independiente de la
seguridad de la informacin
18.2.2
18.2.3