Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivos de
Dominios
Control Orientación Descripción Propuesta de mejora
1 Política de Seguridad
Política de Seguridad de la Información
5
1 Debe Documento de la política de seguridad de la información
Debe Revisión de la política de seguridad de la información Realizar comité de supervisión mensual
2 Estructura organizativa para la seguridad
Organización Interna
Debe Comité de la dirección sobre seguridad de la información
Debe Coordinación de la seguridad de la información
Debe Asignación de responsabilidades para la de seguridad de la información
1 Debe Proceso de autorización para instalaciones de procesamiento de información
Debe Acuerdos de confidencialidad
6
Puede Contacto con autoridades Dependiendo del cliente, solicitar contacto adicional.
Puede Contacto con grupos de interés Presencia en el mercado competitivo.
Puede Revisión independiente de la seguridad de la información
Terceras partes
Debe Identificación de riesgos por el acceso de terceras partes Control y evaluación en matrices de riesgos.
2
Debe Temas de seguridad a tratar con clientes Fortalecer políticas de seguridad.
Debe Temas de seguridad en acuerdos con terceras partes
Objetivos de
Dominios Orientación Descripción
Control
2 Clasificación y control de activos
Responsabilidad sobre los activos
Debe Inventario de activos Inventario mensual.
1
Debe Propietario de activos
7
Debe Uso aceptable de los activos
Clasificación de la información
2 Debe Guías de clasificación
Debe Etiquetado y manejo de la información Seguir políticas definidas de operación.
3 Seguridad en el personal
Antes del empleo
Debe Roles y responsabilidades Definir alcance.
1
Debe Verificación
Debe Términos y condiciones de empleo
Durante el empleo
8 Debe Responsabilidades de la gerencia
2
Debe Educación y formación en seguridad de la información Curva de aprendizaje y certicación.
Debe Procesos disciplinarios Todo empleado se rige a las políticas disciplinarias de la empresa.
Terminación o cambio del empleo
Debe Responsabilidades en la terminación
3
Debe Devolución de activos
Debe Eliminación de privilegios de acceso Actualización de roles de operación.
Objetivos de
Dominios Orientación Descripción
Control
2 Seguridad fisica y del entorno
Áreas Seguras
Debe Perímetro de seguridad física Apoyarse en recursos tecnolígicos como cámaras
Debe Controles de acceso físico
1 Debe Seguridad de oficinas, recintos e instalaciones
Debe Protección contra amenazas externas y ambientales Construir plan de emergencia.
Debe Trabajo de áreas seguras Asegurar un ópyimo ambiente laboral.
Puede Áreas de carga, entrega y áreas públicas
9
Seguridad de los Equipos
Debe Ubicación y protección del equipo
Debe Herramientas de soporte
Debe Seguridad del cableado
2
Debe Mantenimiento de equipos Solicitar respaldo certificado de terceros.
Debe Seguridad del equipamiento fuera de las instalaciones
Debe Seguridad en la reutilización o eliminación de equipos Realizar actas de activos.
Debe Movimientos de equipos Validar con el área encargada el movimiento de activos.
Objetivos de
Dominios Orientación Descripción
Control
10 Gestión de comunicaciones y operaciones
Procedimientos operacionales y responsabilidades
Debe Procedimientos de operación documentados Documentar completamente para auditorías
1 Debe Control de cambios
Debe Separación de funciones
Debe Separación de las instalaciones de desarrollo y producción
Administración de servicios de terceras partes
Puede Entrega de servicios
2
Puede Monitoreo y revisión de servicios de terceros
Puede Manejo de cambios a servicios de terceros
Planificación y aceptación del sistema
3 Debe Planificación de la capacidad
Debe Aceptación del sistema
Protección contra software malicioso y móvil
4 Debe Controles contra software malicioso Supervisar y evaluar riesgos de seguridad.
Debe Controles contra código móvil
Copias de seguridad Es necesario contar con dichas copias, por lo tanto se contratará servicio de un
5
Debe Información de copias de seguridad tercero.
10
Administración de la seguridad en redes
6 Debe Controles de redes
Debe Seguridad de los servicios de red
10 Manejo de medios de soporte
Debe Administración de los medios de computación removibles
7 Debe Eliminación de medios
Debe Procedimientos para el manejo de la información
Debe Seguridad de la documentación del sistema
Intercambio de información
Debe Políticas y procedimientos para el intercambio de información
Puede Acuerdos de intercambio
8
Puede Medios físicos en transito
Puede Mensajes electrónicos
Puede Sistemas de información del negocio
Servicios de comercio electronico
Puede Comercio electronico na
9
Puede Transacciones en línea na
Puede Información públicamente disponible
Monitoreo y supervisión
Debe Logs de auditoria
Debe Monitoreo de uso de sistema Solicitar asistencia de proveedor para realizar supervisión.
10 Debe Protección de los logs
Debe Registro de actividades de administrador y operador del sistema
Debe Fallas de login
Puede Sincronización del reloj
Objetivos de
Dominios Orientación Descripción
Control
7 Control de accesos
Requisitos de negocio para el control de acceso
1
Debe Política de control de accesos
Administración de acceso de usuarios
Debe Registro de usuarios
2 Debe Administración de privilegios Como partner gold de Oracle, se manejan administradores como OIM(oracle
Debe Administración de contraseñas identity management) y OAM (Oracle Access Management)