Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Se emite la presente declaración de aplicabilidad de controles para el Sistema de Gestión de Seguridad de la Información -
numerales que se relacionan a continuación en el “Detalle de la Declaración de Aplicabilidad”, elaborado con base en las re
La presente declaración de aplicabilidad será revisada conjuntamente con los resultados de cada nuevo proceso de valora
comparación en los procesos de revisión por la dirección del SGSI, en los periodos convenidos para su actualización.
______________________________________________________________________
ANTONIO ARIAS
JEFE DE INFRAESTRUCTURA INTERNA / OFICIAL DE SEGURIDAD DE LA INFORMACIÓN
A continuación, se presenta el detalle de la Declaración de Aplicabilidad de los controles necesarios para gestionar los riesg
Control
Dominio Subdominio
Actual
A.5. POLITICAS DE LA
SEGURIDAD DE LA
INFORMACION
A.5.1.1
A.6.1.2
A.6.1. ORGANIZACIÓN INTERNA
A.6.1.3
A.6. ORGANIZACIÓN
DE LA SEGURIDAD DE
LA INFORMACIÓN
A.6.1.4
A.6.1.5
A.6.2.1
A.6.2.2
A.7.1.1
A.7.1.2
A.7.2.1
A.7. SEGURIDAD DE
LOS RECURSOS
HUMANOS A.7.2. DURANTE LA EJECUCION DEL EMPLEO
A.7.2.2
A.7.2.3
A.8.1.1
A.8.1.2
A.8.1.3
A.8.1.4
A.8.2.1
A.8. GESTION DE
ACTIVOS
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.3
A.9.1.1
A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9. CONTROL DE
ACCESO
A.9.2.6
A.9.4.1
A.9.4.2
A.9.4.3
A.9.4.5
A.10.1.1
A.10.1.2
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
A.11.2.2
A.11. SEGURIDAD
FÍSICA Y DEL
ENTORNO
A.11.2.3
A.11.2.4
A.11.2. EQUIPOS.
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12.1.1
A.12.1.2
A.12.1.4
A.12.4.2
A.12. SEGURIDAD DE
LAS OPERACIONES
A.12.4.3
A.12.4. REGISTRO Y SEGUIMIENTO
A.12.4.4
A.12.6.1
A.12.6. GESTION DE LA VULNERABILIDAD
TECNICA
A.12.6. GESTION DE LA VULNERABILIDAD
TECNICA
A.12.6.2
A.13.1.1
A.13.1.3
A.13.2.1
A.13. SEGURIDAD DE
LAS
COMUNICACIONES
LAS
COMUNICACIONES
A.13.2.2
A.13.2.3
A.13.2.4
A.14.1.1
A.14.1.2
A.14.1.3
A.14.2.1
A.14.2.2
A.14.2.3
A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
A.14.2.4
A.14.2.5
A.14.2. SEGURIDAD EN LOS PROCESOS DE
DESARROLLO Y DE SOPORTE.
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.15.1.1
A.15. RELACIONES
A.15.1.3
CON LOS
PROVEEDORES
A.15.2.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16. GESTIÓN DE
INCIDENTES DE A.16.1. GESTIÓN DE INCIDENTES Y MEJORAS EN
SEGURIDAD DE LA LA SEGURIDAD DE LA INFORMACIÓN
INFORMACIÓN
A.16.1.5
A.16.1.6
A.16.1.7
A.17,1,1
A.18.1.1
A.18.1.2
A.18.1.5
A.18.2.1
A.18.2.3
Total control
Total contro
n de Seguridad de la Información - SGSI, de componente Serviex. Los controles aplicables para la operación del Sistema de G
dad”, elaborado con base en las recomendaciones de la norma NTC/ISO 27001:2013.
de cada nuevo proceso de valoración de riesgos y/o ante cambios significativos de los elementos de la plataforma tecnológica
enidos para su actualización.
__________ ___________________________________________________
HECTOR OPAZO
INFORMACIÓN CEO
necesarios para gestionar los riesgos que afectan a la Seguridad de la Información, que fueron identificados y valorados en el m
Control: Se debería dar respuesta a los incidentes Se adopta este control, puesto que
Respuesta a incidentes
de seguridad de la respuesta a los incidentes de segu
de seguridad de la SI 100 información de acuerdo con los pr
información de acuerdo con procedimientos
información documentados.
documentados.
Control: El conocimiento adquirido al analizar y Se adopta este control, puesto que
Aprendizaje obtenido de
resolver incidentes de conocimiento adquirido al analizar
los incidentes de incidentes de seguridad de la infor
SI 101 seguridad de la información se debería usar para
seguridad de la usar para reducir la posibilidad o e
reducir la posibilidad o el impacto de incidentes
información incidentes futuros.
futuros.
Control: La organización debería definir y aplicar Se adopta este control, puesto que
debe definir y aplicar procedimien
Recolección de procedimientos para la identificación, recolección, identificación, recolección, adquis
SI 102
Evidencia adquisición y preservación de preservación de información que p
información que pueda servir como evidencia. como evidencia.
Control: La organización debería determinar sus Se adopta este control, puesto que
Planificación de la requisitos para la debe determinar sus requisitos pa
continuidad de la seguridad de la información y la continuidad de la de la información y la continuidad
Seguridad de la SI 103 la seguridad de la información en
gestión de la seguridad de la información en
Información situaciones adversas, por ejemplo, durante una adversas, por ejemplo, durante un
crisis o desastre. desastre.
_________________________________________
TOR OPAZO
CEO
s de la organización, y en donde
ente, los contratistas, deben Bienvenidas, Inducciones, reinducciones,
educación y formación en toma de Campañas con OAC, Tertulias.
a apropiada, y actualizaciones
sobre las políticas y procedimientos
nización pertinentes para su cargo.
os en la organización, en los
de negocio, en las instalaciones y Procedimiento Gestión de cambios (PR-TI-08)
emas de procesamientos de
ón que afectan la seguridad de la
ón.
a este control, puesto que se
er
to al uso de los recursos, hacer los Procedimiento Gestión de capacidad y
hacer proyecciones de los requisitos disponibilidad (PR-TI-16)
dad futura, para asegurar el
ño requerido del Instructivo de definición y uso de los
este control, puesto que se deben ambientes
de trabajo para desarrollo de software (En
ntes de desarrollo, pruebas y construcción). Este documento pretende
formalizar las condiciones de trabajo y
ón), para reducir los riesgos de responsabilidades de uso de los diferentes
ambientes de trabajo para la construcción de
software.
a este control, puesto que Se
Software de Antivirus Corporativo.
tar controles de detección, de
Instructivo de uso del antivirus (En
n y de recuperación, combinados
construcción). Con este control se debe
ma de conciencia apropiada de los
enseñar a los usuarios a usar la aplicación del
para proteger contra códigos
antivirus.
s.
Procedimiento Generación de copias de
seguridad (PR-TI-11)
Procedimiento de Gestión de
telecomunicaciones (PR-TI-23)
este control, puesto que las redes
Documento de gestión de las
y controlar para proteger la telecomunicaciones del instituto (en
ón en sistemas y aplicaciones. construcción). Este documento centraliza las
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
Procedimiento de Gestión de
telecomunicaciones (PR-TI-23)
a este control, puesto que los
e
Documento de gestión de las
de información, usuarios y
telecomunicaciones del instituto (en
de información se deben separar
construcción). Este documento centraliza las
es.
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
Procedimiento de Gestión de
telecomunicaciones (PR-TI-23)
este control, puesto que se debe
Instructivo de Uso adecuado de los
dispositivos de almacenamiento de
as, procedimientos y controles de
información (IN-TI-05)
cia formales para proteger la
cia de información mediante el uso
Documento de gestión de las
po de instalaciones de
telecomunicaciones del instituto (en
ciones.
construcción). Este documento centraliza las
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
Procedimiento de Gestión de
telecomunicaciones (PR-TI-23)
a este control, puesto que los
Documento de gestión de las
ar la transferencia segura de
telecomunicaciones del instituto (en
ón del negocio entre la
construcción). Este documento centraliza las
ón y las partes externas.
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
estatutarios, reglamentarios y
Formato Actualización y evaluación del
ales pertinentes y el enfoque de la
normograma institucional (FO-GL-02),
ón para cumplirlos se deben
diligenciado
y documentar explícitamente y
os actualizados para cada sistema
ación de la
a este control, puesto que se Procedimiento Gestión de licenciamiento de
SW (PR-TI-14)
tar procedimientos apropiados
urar el cumplimiento de los Formato Cesión derechos patrimoniales (FO-
legislativos, de reglamentación y TI-
ales relacionados con los 02)
de propiedad intelectual y el
productos de software Formato Inventario aplicaciones (FO-TI-25)
este control, puesto que los
Instructivo de revisión de registros automáticos
se
de la plataforma de TI (En construcción). Este
teger contra pérdida, destrucción,
documento permite que se definan aspectos
ón, acceso no autorizado y
básicos para tener en cuenta en la tarea de
no autorizada, de acuerdo con los
revisar los archivos de registro de eventos, de
legislativos, de reglamentación
los elementos de tecnología.
ales y de negocio.
Política de tratamiento de protección de datos
este control, puesto que Se deben
personales de los titulares IDU - Circular 19 del
26-12-2013
dad y la protección de la
ón de datos personales, como se
Documento Condiciones de uso y políticas de
a legislación y en la reglamentación
privacidad de la pagina web del IDU (DU-TI-
s, cuando sea aplicable.
03)
a este control, puesto que se
ar
Instructivo protección de la información digital
criptográficos, en cumplimiento
(en revisión)
los acuerdos, legislación y
este control, puesto que El
entación
e la
ón para la gestión de la seguridad
Procedimiento Revisión a la plataforma de
mación y su implementación (es
tecnología de información (PR-TI-18)
objetivos de control, los controles,
as, los procesos y los
Procedimiento Evaluación independiente y
entos para la seguridad de la
auditorías internas (PR-EC-01)
ón) se deben revisar
entemente a intervalos planificados
oa ocurran
este control, puesto que los
cambios