Referencia Anexo A Control

A.5 Políticas de seguridad de la información

A5.1 Dirección de Gestión de Seguridad de la Información

A.5.1.1 Políticas de seguridad de la información

A.5.1.2 Revisión de las políticas de seguridad de la información

A.6 Organización de la seguridad de la información

A.6.1 Organización interna

A.6.1.1 Roles y responsabilidades en seguridad de la información

A.6.1.2 Segregación de funciones

A.6.1.3 Contacto con autoridades

A.6.1.4 Contacto con grupos de interés especial

A.6.1.5 Seguridad de la información en la gestión de proyectos

A.6.2 Dispositivos móviles y teletrabajo

A.6.2.1 Política de dispositivos móviles

A.6.2.2 Teletrabajo

A.7 Seguridad de los recursos humanos

A.7.1 Antes del empleo

A.7.1.1 Verificación de credenciales

A.7.1.2 Términos y condiciones de empleo

A.7.2 Durante el empleo

A.7.2.1 Responsabilidades de la Alta Dirección

A.7.2.2 Concientización, educación y formación en seguridad de la información

A.7.2.3 Proceso disciplinario

A.7.3 Terminación y cambio de empleo

A.7.3.1 Terminación o cambio de responsabilidades laborales

A.8 Gestion de activos

A.8.1 Responsabilidad de activos

A.8.1.1 Inventario de activos

A.8.1.2 Propiedad de activos

A.8.1.3 Uso aceptable de activos

A.8.1.4 Devolución de activos

A.8.2 Clasificación de información

A.8.2.1 Clasificación de información

A.8.2.2 Etiquetado de información

A.8.2.3 Manejo de activos

A.8.3 Manipulación medios

A.8.3.1 Gestión de medios removibles

A.8.3.2 Eliminación de medios

A.8.3.3 Tranferencia de medios físicos

A.9 Control de acceso

A.9.1 Requerimientos de control de acceso del negocio

A.9.1.1 Política de control de acceso

A.9.1.2 Acceso a redes y servicios de red

A.9.2 Administración de acceso de usuarios

A.9.2.1 Registro y cancelación de registro del usuario

A.9.2.2 Aprovisionamiento de acceso del usuario

A.9.2.3 Gestión de derechos de acceso privilegiado

A.9.2.4 Gestión de información secreta de autenticación de usuarios

A.9.2.5 Revisión de los derechos de acceso del usuario

A.9.2.6 Eliminación o ajuste de los derechos de acceso

A.9.3 Responsabilidades del usuario

A.9.3.1 Uso de información secreta de autenticación

A.9.4 Control de Acceso a Sistemas y aplicaciones.

A.9.4.1 Restricción de acceso a información

A.9.4.2 Procedimientos de inicio de sesión seguros

A.9.4.3 Sistema de gestión de contraseñas

A.9.4.4 Uso de utilidades privilegiadas

A.9.4.5 Control de acceso al código fuente del programa

A.10 Criptografía

A.10.1 Controles criptográficos

A.10.1.1 Política sobre el uso de controles criptográficos

A.10.1.2 Gestión de claves

A.11 Seguridad física y ambiental

A.11.1 Areas seguras

A.11.1.1 Perímetro de seguridad física

A.11.1.2 Controles de entrada física

A.11.1.3 Protección de oficinas, salas e instalaciones

A.11.1.4 Protección contra amenazas externas y ambientales

A.11.1.5 Trabajo en zonas seguras

A.11.1.6 Áreas de carga y entrega

A.11.2 Equipo

A.11.2.1 Protección y ubicación de equipo

A.11.2.2 Servicios de soporte

A.11.2.3 Seguridad del cableado

A.11.2.4 Mantenimiento del equipo

A.11.2.5 Eliminación de activos

A.11.2.6 Seguridad de los equipos y activos fuera de las instalaciones

A.11.2.7 Eliminación segura o reutilización de los equipos

A.11.2.8 Equipo de usuario desatendido

A.11.2.9 Política de escritorio y pantalla limpia

A.12 Seguridad en las operaciones

A.12.1 Procedimientos y responsabilidades operacionales

A.12.1.1 Procedimientos operacionales documentados

A.12.1.2 Gestión de cambios

A.12.1.3 Gestión de capacidad

A.12.1.4 Separación de entornos de desarrollo, prueba y operación

A.12.2 Protección contra código malicioso

A.12.2.1 Controles contra código malicioso

A.12.3 Respaldo

A.12.3.1 Respaldo de información

A.12.4 Registro y monitoreo

A.12.4.1 Registro de eventos

A.12.4.2 Protección de los registros de información

A.12.4.3 Registros de administrador y operados

A.12.4.4 Sincronización de reloj

A.12.5 Control de software operacional

A.12.5.1 Instalación de software en los sistemas operativos

A.12.6 Administración de vulnerabilidades técnicas

A.12.6.1 Gestión de vulnerabilidades técnicas

A.12.6.2 Restricciones en la instalación de software

A.12.7 Consideraciones sobre auditoría de los sistemas de información

A.12.7.1 Controles de auditoría de sistemas de información

A.13 Seguridad en las comunicaciones

A.13.1 Administración de seguridad de red

A.13.1.1 Controles de red

A.13.1.2 Seguridad de los servicios de red

A.13.1.3 Segregación en las redes

A.13.2 Transferencia de información

A.13.2.1 Políticas y procedimientos de transferencia de información

A.13.2.2 Acuerdos sobre la transferencia de información

A.13.2.3 Mensajería electrónica

A.13.2.4 Acuerdos de confidencialidad o de no divulgación

A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.14.1 Requisitos de seguridad de los sistemas de información

A.14.1.1 Análisis y especificaciones de los requisitos de seguridad de la informació

A.14.1.2 Protección de los servicios de aplicaciones en las redes públicas

A.14.1.3 Protección de transacciones de servicios de aplicación

A.14.2 Seguridad en los procesos de desarrollo y soporte

A.14.2.1 Política de desarrollo seguro

A.14.2.2 Procedimientos de control de cambios del sistema

A.14.2.3 Revisión técnica de las aplicaciones después de implementar cambios de

A.14.2.4 Restricción de cambios en los paquetes de software

A.14.2.5 Principios de ingeniería de sistemas seguros

A.14.2.6 Entorno de desarrollo seguro

A.14.2.7 Desarrollo subcontratado

A.14.2.8 Pruebas de seguridad del sistema

A.14.2.9 Pruebas de aceptación del sistema

A.14.3 Datos de prueba

A.14.3.1 Protección de datos de prueba

A.15 Relaciones con proveedores

A.15.1 Seguridad de la información en las relaciones con proveedores

A.15.1.1 Política de seguridad de información para las relaciones con proveedores

A.15.1.2 Manejo de seguridad dentro de los acuerdos con proveedores

A.15.1.3 Cadena de suministro en tecnología de la información y comunicaciones

A.15.2 Adminstración de entrega de servicios de proveedores

A.15.2.1 Seguimiento y revisión de los servicios de proveedores

A.15.2.2 Gestión de cambios en los servicios de proveedores

A.16 Gestión de incidentes de seguridad de la información

A.16.1 Gestión de incidentes de seguridad de la información y las mejoras

A.16.1.1 Responsabilidades y procedimientos

A.16.1.2 Reporte de eventos de seguridad de la información

A.16.1.3 Reporte de debilidades de seguridad de la información

A.16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información

A.16.1.5 Respuesta a incidentes de seguridad de la información

A.16.1.6 Aprendizaje de los incidentes de seguridad de la información

A.16.1.7 Recolección de evidencia

A.17 Aspectos de seguridad de información de la gestión de la continuidad del negocio

A.17.1 Continuidad de seguridad de información

A.17.1.1 Planeación de la continuidad de seguridad de la información

A.17.1.2 Implementación de la continuidad de seguridad de la información

A.17.1.3 Verifica, revisa y evalúa la continuidad de seguridad de la información

A.17.2 Redundancias

A.17.2.1 Disponibilidad de instalaciones de procesamiento de información

A.18 Cumplimiento

A.18.1 Cumplimiento de los requisitos legales y contractuales

A.18.1.1 Identificación de la legislación y requerimientos contractuales aplicables

A.18.1.2 Derechos de propiedad intelectual

A.18.1.3 Protección de registros

A.18.1.4 Privacidad y protección de datos personales

A.18.1.5 Regulación de controles criptográficos

A.18.2 Revisiones de Seguridad de la información

A.18.2.1 Revisión independiente de la seguridad de la información

A.18.2.2 Cumplimiento con las políticas y estándares de seguridad

A.18.2.3 Revisión de cumplimiento técnico

 Descripción del control

Proporcionar la dirección de gestión y apoyo a la seguridad de la información de acuerdo con los

requerimientos del negocio, leyes y regulaciones pertinentes.

¿Su organización tiene definidas y aprobadas por la Alta Dirección, un conjunto de políticas de seguridad de
la información, son publicadas y comunicadas a los empleados y a las partes externas relevantes?

¿En su organización se revisan las políticas de seguridad de la información a intervalos planeados o bien si se
producen cambios significativos, a fin de asegurar su continua conveniencia, adecuación y eficacia?

Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de la

información dentro de la organización.
¿En su organización se tienen definidos y asignados todos los roles y responsabilidades de seguridad de la
información?

¿En su organización están separadas las funciones críticas y las areas de responsabilidad, para reducir la
posibilidad de modificación no autorizada o accidental o uso indebido de los bienes de la organización?

¿En su organización mantienen los contactos apropiados ante las autoridades competentes?
¿En su organización mantienen los contactos apropiados con grupos de interés especial o foros especialistas
en seguridad y asociaciones profesionales?
¿En la gestión de proyectos de su organización se toma en cuenta la seguridad de la información,
independientemente del tipo de proyecto?
Para garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
¿En su organización tienen una politica y medidas de seguridad para controlar los riesgos introducidos por el
uso de dispositivos móviles?
¿En su organización tienen implementada una política y medidas de seguridad para proteger la información
accedida, procesada o almacenada en los sitios de trabajo a distancia?

Para asegurarse de que los empleados y contratista entiendan sus responsabilidades y sean adecuadas
para sus funciones.

¿En su organización, se realizan controles de verificación de credenciales de todos los candidatos a un

empleo en conformidad con las leyes, reglamentos y ética y lo hacen proporcional a los requerimientos del
negocio, la clasificación de la información a la tendrán acceso y los riesgos percibidos?

¿En su organización los acuerdos contractuales con los empleados y contratistas indican las
responsabilidades para con la organización en seguridad de la información?
Para asegurarse de que los empleados y contratistas conozcan y cumplan con sus responsabilidades de
seguridad de la información.

¿En su organización la Alta Dirección insta a todos los empleados y contratistas a aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos por la organización?

¿En su organización todos los empleados y en su caso, contratistas pertinentes reciben educación,
concientización y formación adecuadas, asi como actualizaciones periódicas en las políticas y procedimientos
de la organización, que sean relevantes para su función de trabajo?
¿En su organización existe un proceso disciplinario formal y comunicado para tomar medidas contra los
empleados que cometan una violación de la seguridad de información?

Para proteger los intereses de la organización como parte del proceso de camio o terminación del empleo.

¿En su organización se encuentran definidos los deberes y responsabilidades de seguridad de la información

que siguen vigentes para después de la rescisión o cambio de empleo, son comunicadas al empleado o
contratista y se hacen cumplir?

Para identificar activos de la organización y definir las responsabilidades de protección adecuadas.

¿En su organización se tiene elaborado y se mantiene un inventario de activos asociados con información e
instalaciones de procesamiento de información?
¿En su organización todos los activos ubicados en el inventario tienen un propietario?
¿En su organización se tienen normas para el uso aceptable de información, de los activos asociados a la
infraestructura de procesamiento de información?
¿En su organización los empleados y usuarios externos devuelven todos los activos de la organización en su
posesión a la terminación de su empleo, contrato o acuerdo?
Para asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia
para la organización.
¿En su organización se tiene clasificada la información acorde a: requisitos legales, valor, criticidad y
sensibilidad a la divulgación no autorizada o modificación?

¿En su organización tienen desarrollado e implementado procedimientos para el etiquetado de información

conforme al esquema de clasificación de la información adoptado por la organización?

¿En su organización tienen desarrollado e implementado procedimientos para el manejo de activos

conforme al esquema de clasificación de la información adoptado por la organización?
Para evitar la divulgación, modificación, eliminación o destrucción no autorizada de información almacenada
en medios.
¿En su organización se aplican procedimientos para el manejo de los medios extraíbles de acuerdo al
esquema de clasificación adoptado por la organización?
¿En su organización se eliminan los medios cuando ya no son necesarios, de forma segura, utilizando
procedimientos formales?
¿En su organización están protegidos los medios, que contienen información, contra el acceso no autorizado,
mal uso o corrupción y durante su transportación?

Para limitar el acceso a la información y las instalaciones de procesamiento de la información.

¿En su organización tienen establecida una política de control de acceso, documentanda y revisada, basada
en los requisitos de seguridad de información y del negocio?
¿En su organización los usuarios sólo disponen de acceso a la red y los servicios para los que han sido
específicamente autorizados para usar?

Para garantizar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas y servicios.

¿En su organización se tiene implementado un proceso formal de registro de entrada y salida para permitir la
asignación de derechos de acceso?
¿En su organización cuentan con un proceso formal para proporcionar acceso a usuarios que asigne o
revoque derechos de acceso para todos los tipos de usuarios a los sistemas y servicios?
¿En su organización la asignación y utilización de la administración de los derechos de acceso privilegiados se
restringe y controla?
¿En su organización la asignación de información sobre autenticación secreta, se controla a través de un
proceso formal de gestión?
¿En su organización los propietarios de activos revisan los derechos de acceso de los usuarios a intervalos
regulares?
¿En su organización se eliminan los derechos de acceso a la información y activos de procesamiento de los
empleados y entidades externas en caso de terminación de su empleo, contrato o acuerdo, o se ajustan de
acuerdo a cambios?
Para responsabilizar a los usuarios de salvaguardar su información de autenticación.
¿En su organización los usuarios siguen las prácticas de la organización en el uso de información secreta
sobre autenticación?
Para prevenir el acceso no autorizado a los sistemas y aplicaciones.
¿En su organización el acceso a la información y las funciones de los sistema de las aplicaciones se limita
conforme a la política de control de acceso?
¿En su organización es controlado por un procedimiento de inicio de sesión seguro, el acceso a los sistemas y
las aplicaciones, donde sea requerido por la política de control de acceso?
¿En su organización el sistema de administración de contraseñas es interactivo y se asegura la calidad de las
contraseñas?
¿En su organización están limitados y controlados el uso de programas y utilerías que podrían ser capaces
sobrecargar el control de sistemas y aplicaciones primordiales?

¿En su organización se encuentra restringido el acceso al código fuente de los programas de cómputo?

Para asegurar el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.
¿En su organización tienen desarrollada e implementada una política sobre el uso de controles criptográficos
para protección de la información?
¿En su organización tienen desarrollada e implementada una política sobre el uso, la protección y la duración
de los certificados criptográficos a través de todo su ciclo de vida?

Para prevenir el acceso físico no autorizado, daño e interferencia a la información de la organización así
como las instalaciones de procesamiento de información.

¿En su organización se tienen definidos los perímetros de seguridad y son utilizados para proteger áreas que
contienen información confidencial o crítica e infraestructura de procesamiento de información?

¿En su organización están protegidas las areas definidas como seguras con los controles de acceso
apropiados para garantizar que únicamente al personal autorizado se le permita el acceso?

¿En su organización se encuentra diseñada y aplicada la seguridad física para oficinas, salas e instalaciones?

¿En su organización se encuentra diseñada y aplicada la protección física, frente a los desastres naturales,
accidentes o ataques mal intencionados?
¿En su organización se encuentran diseñados y aplicados procedimientos para trabajar en áreas seguras?

¿En su organización tienen controlados los permisos a los puntos de acceso inalámbricos, en tales lugares
como las zonas de entrega y carga así como otros zonas en los que personas ajenas puedan tener acceso o
bien lo tiene, aisladas de las instalaciones de procesamiento de información para evitar el acceso no
autorizado?

Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la
organización.
¿En su organización tienen el equipo situado y protegido para reducir los riesgos de las amenazas y peligros
ambientales, y las oportunidades para el acceso no autorizado?
¿En su organización los equipos se encuentran protegidos contra fallas de energía y otras interrupciones
causadas por fallas en servicios públicos?

¿En su organización el cableado de la energia y de las telecomunicaciones en las que transportan datos o
soportan servicios de información se encuentran protegidos contra interceptación, interferencia o daño?

¿En su organización el equipo se encuentra bajo el mantenimiento adecuado para garantizar la continua
disponibilidad, e integridad?
¿En su organización es indispensable autorización previa para que salga de las instalaciones equipo,
información o software?

¿En su organización se aplican medidas de seguridad a los activos que salen de las instalaciones teniendo en
cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización?

¿En su organización se verifican todos los elementos del equipo que contienen medios de almacenamiento
para asegurar que cualquier información confidencial y software con licencia ha sido retirado de forma
segura o sobrescritos antes de su eliminación o reutilización?

¿En su organización los usuarios se aseguran de que el equipo desatendido tiene una protección adecuada?

¿En su organización existe una política de escritorio limpio de papeles y soportes de almacenamiento
extraíbles y una política de pantalla limpia para activos de procesamiento de datos?

Para asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información.

¿En su organización se encuentran documentados y puestos a disposición de todos los usuarios que lo
necesiten los procedimientos de operación?
¿En su organización son controlados los cambios como son los procesos de negocio, instalaciones de
procesamiento de información y sistemas que afectan a la seguridad de información?
¿En su organización el uso de los recursos es monitoreado, afinado y se toman en cuenta las proyecciones de
los requerimientos de capacidad futura para asegurar los requerimientos para el funcionamiento del
sistema?
¿En su organización se encuentran separados los entornos de desarrollo, pruebas y operacion para reducir
los riesgos de acceso no autorizado o cambios en el entorno operativo?
Para asegurar que las instalaciones de procesamiento de información y la información estén protegidos
contra el código malicioso.
¿En su organización se encuentran implementados controles de detección, prevención y recuperación, para
protección contra malware, en combinación con la correspondiente capacitación para usuarios?

Para evitar la pérdida de datos.

¿En su organización existe una política acordada de respaldos de información, software e imágenes de
sistemas y particiones, y estos son creados y probados regularmente?
Para registrar eventos y generar evidencia.

¿En su organización son producidos, mantenidos y revisados regularmente los registros de eventos como son
grabación de las actividades de usuario, excepciones, fallas y eventos de seguridad de la información?

¿En su organización la información sobre el registro de acceso y de bitácoras es protegido contra la

manipulación y acceso no autorizado?
¿En su organización las actividades del administrador del sistema y del usuario operador, son registrados y
sus registros son protegidos y revisados regularmente?
¿En su organización los relojes de todos los sistemas de procesamiento de información relevantes dentro de
la organización o dominio de seguridad se encuentran sincronizados con una sola fuente de referencia de
horario?
Para asegurar la integridad de los sistemas operacionales.
¿En su organización existen procedimientos implementados para controlar la instalación de software en los
sistemas operacionales?
Para prevenir la explotación de las vulnerabilidades técnicas.

¿En su organización se obtiene oportunamente información sobre de vulnerabilidades técnicas de sistemas

de información que utilizan. La exposición a estas vulnerabilidades en la organización es evaluada y se
adoptan medidas apropiadas para hacer frente a los riesgos conexos?

¿En su organización existen y se aplican normas que rijan la instalación de software por parte de los
usuarios?
Para minimizar el impacto de las actividades de auditoría en los sistemas operacionales.

¿En su organización son cuidadosamente planeadas y acordadas los requisitos y actividades de auditoría que
implican verificación de sistemas operacionales para minimizar las interrupciones a los procesos del negocio?

Para asegurar la protección de la información en las redes y sus instalaciones de soporte de procesamiento
de información.
¿En su organización las redes son administradas y controladas para proteger la información en sistemas y
aplicaciones?
¿En su organización son identificados e incluidos los acuerdos de servicios de red como los mecanismos de
seguridad, niveles de servicio y requerimientos de gestión de los servicios de red, sea que se presten de
forma interna o externa?
¿En su organización mantienen segregados de las redes a grupos de servicios de información, usuarios y
sistemas de información?
Para mantener la seguridad de la información que se transfiere dentro de una organización con cualquier
entidad externa.
¿En su organización siguen políticas, procedimientos y controles formales de transferencia, para proteger la
transferencia de información a través del uso de todo tipo de medio de comunicación?

¿En su organización la transferencia segura de información empresarial entre ésta y las partes externas se
resuelve mediante acuerdos?

¿En su organización la información contenida en la mensajería electrónica esta protegida adecuadamente?

¿En su organización se identifican, revisan regularmente y documentan los requisitos para los acuerdos de
confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la
información?

Para garantizar que la seguridad de la información es una parte integral de los sistemas de información a
través de todo el ciclo de vida. Esto también incluye los requerimientos para los sistemas de información
que proporcionan servicios a través de redes públicas.

¿En su organización incluyen los requerimientos relacionados con la seguridad de la información en los
requisitos para los nuevos sistemas de información o mejoras a los sistemas de información existentes?

¿En su organización la información contenida en servicios y aplicaciones que se transmitan sobre redes
públicas se protegen de actividad fraudulenta, disputa contractual, divulgación no autorizada y
modificación?

¿En su organización se protege la Información involucrada en las transacciones de servicios y aplicaciones

que se transmiten por redes públicas, para evitar la transmisión incompleta, mal enrutamiento, alteración no
autorizada de mensajes, divulgación no autorizada, duplicación o repetición no autorizada del mensaje?

Para garantizar que la seguridad de la información se ha diseñado e implementado en el ciclo de vida del
desarrollo de sistemas de información.
¿En su organización existe y aplica una política de desarrollo seguro que involucre reglas para el desarrollo de
software y sistemas dentro de la organización?
¿En su organización son controlados mediante el uso de procedimientos formales de control de cambios las
modificaciones en los sistemas dentro del ciclo de vida de desarrollo?
¿En su organización cuando se cambian plataformas operativas, se examinan y prueban las aplicaciones
comerciales críticas para asegurar que no hay ningún impacto adverso en las operaciones de la organización
o la seguridad?
¿En su organización las modificaciones a paquetes de software son desaprobadas, limitándose a cambios
necesarios y todos los cambios son estrictamente controlados?

¿En su organización los principios de ingeniería de sistemas seguros son establecidos, documentados,
mantenidos y aplicados a cualquier esfuerzo de implantación de sistema de información?

¿En su organización se establece y asegura la protección adecuada de entornos de desarrollo de sistemas y

esfuerzos de integración que cubren todo el ciclo de desarrollo de sistemas?

¿Su organización supervisa y monitorea la actividad de desarrollo de sistemas realizados por proveedores?

¿Su organización realiza pruebas de funcionalidad de seguridad durante el desarrollo?

¿En su organización se establecen programas de pruebas de aceptación y criterios relacionados para nuevos
sistemas de información, actualizaciones y nuevas versiones?
 Para asegurar la protección de los datos utilizados para pruebas.

¿En su organización los datos de prueba; se seleccionan cuidadosamente, se protegen y se controlan?

Para garantizar la proteción de los activos de la organización que sea accesible por los proveedores.

¿En su organización existe una politica de seguridad de la información para la relación con los proveedores
que involucre acuerdos documentados con el proveedor respecto de los requisitos de seguridad de la
información para mitigar los riesgos asociados con el acceso de proveedores a los activos de la organización?

¿En su organización existen acuerdos documentados en los que se contemplen todos los requisitos de
seguridad de la información pertinentes, con cada proveedor que pueda tener acceso, procesar, almacenar,
comunicar o proveer componentes de la infraestructura de información de la organización?

¿En su organización los acuerdos con los proveedores incluyen requisitos para abordar los riesgos de
seguridad de la información asociados con información y cadena de suministro de productos y servicios de
tecnología de comunicaciones?
Para mantener un nivel acordado de seguridad de la información y la entrega de servicios conforme a los
acuerdos con los proveedores.
¿En su organización se supervisa regularmente, revisando y auditando la prestación de servicios de
proveedores?

¿La organización gestiona cambios en la prestación de servicios por parte de proveedores, que incluyan el
mantener y mejorar las políticas procedimientos y controles existentes de seguridad de la información,
teniendo en cuenta la importancia de la información del negocio, sistemas y procesos invcolucrados y
reevaluación del riesgo?

Para garantizar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información,
incluidos la comunicación de los eventos de seguridad y debilidades.

¿En su organización existe y se ejecutan procedimientos y administración de responsabilidades para asegurar

una respuesta rápida, eficaz y ordenada ante incidentes de seguridad de la información?

¿En su organización se reportan los eventos de seguridad de la información a través de canales de

administración adecuados tan pronto como sea posible?
¿En su organización los empleados y contratistas que utilizan sistemas de información y servicios de la
organización están obligados a indicar y reportar cualquier sospecha u observación de debilidad de
seguridad de información en los sistemas o servicios?
¿En su organización los eventos de seguridad de la información se evalúan y producto de ello se decide, si
son clasificados como incidentes de seguridad de la información?
¿En su organización los incidentes de seguridad de la información son respondidos de acuerdo con
procedimientos documentados?
¿En su organización el conocimiento obtenido de analizar y resolver incidentes de seguridad de la
información se utilizá para reducir la probabilidad o el impacto de futuros incidentes?
¿Su organización ha definido y aplica procedimientos para la identificación, recolección, adquisición y
conservación de la información, que puede servir como evidencia?
ntinuidad del negocio
La continuidad de seguridad de la información debe ser incorporado a los disistema de gestión de
continuidad de negocio de la organización.

¿Su organización determina los requisitos de seguridad de la información y la administración de continuidad

de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o un desastre?

¿Su organización establece, documenta, implementa y mantiene los procesos, procedimientos y controles
para garantizar el nivel necesario de continuidad para la seguridad de la información durante una situación
adversa?

¿En su organización se realiza verificación en la implementación de controles de continuidad de seguridad de

la información a intervalos regulares con el fin de asegurarse de que son válidos y eficaces en situaciones
adversas?
Para asegurar la disponibilidad de las instalaciones de procesamiento de información.
¿En su organización los activos de procesamiento de información se implementan con redundancia
suficiente para satisfacer los requerimientos de disponibilidad?

Para evitar incumplimientos de las obligaciones legales, estatutarias, regularorias o contractuales en

materia de seguridad de la información y de cualquier requisito de seguridad.
¿En su organización los requisitos legislativos, legales, regulatorios, contractuales y enfoque de la
organización para cumplir estos requisitos se encuentran explícitamente identificados, documentados y se
mantienen actualizados para cada sistema de información y la organización?

¿En su organización se aplican los procedimientos adecuados para garantizar el cumplimiento con los
requisitos legales, regulatorios y contractuales relacionados con derechos de propiedad intelectual y el uso
de productos de software propietario?

¿En su organización los registros están protegidos contra pérdida, destrucción, alteración, acceso no
autorizado y divulgación no autorizada, de conformidad con los requisitos reglamentarios, legislados,
contractuales y comerciales?
¿En su organización la privacidad y protección de información personal identificable se efectúa según lo
dispuesto en la legislación vigente y en el reglamento aplicable?
¿En su organización los controles criptográficos son utilizados en cumplimiento de todos los acuerdos
pertinentes, la legislación y los reglamentos?
Para garantizar que la seguridad de la información sea implementada y operada de acuerdo con las
políticas y procedimientos de la organización.

¿En su organización el enfoque de la organización para la gestión de la seguridad de la información y su

aplicación (es decir, el objetivo de control, controles, políticas, procesos y procedimientos de seguridad de la
información) se revisan de forma independiente a intervalos planificados o cuando se produzcan cambios
significativos?

¿En su organización los gerentes revisan periódicamente el cumplimiento del tratamiento de la información y
los procedimientos dentro de su área de responsabilidad con las políticas de seguridad adecuadas, las
normas y los demás requisitos de seguridad?
¿En su organización los sistemas de información son revisados regularmente para el cumplimiento de las
políticas de seguridad de la información y las normas de la organización?
ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES
5. POLÍTICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Políticas para la seguridad de la información.
5.1.2 Revisión de las políticas para la seguridad de la información.
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización interna.
6.1.1 Roles y responsabilidades para la seguridad de la información.
6.1.2 Separación de deberes.
6.1.3 Contacto con las autoridades.
6.1.4 Contacto con grupos de interés especial.
6.1.5 Seguridad de la información en la gestión de proyectos.
6.2 Dispositivos móviles y teletrabajo.
6.2.1 Política para dispositivos móviles.
6.2.2 Teletrabajo.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
7.1 Antes de asumir el empleo.
7.1.1 Selección.
7.1.2 Términos y condiciones del empleo.
7.2 Durante la ejecución del empleo.
7.2.1 Responsabilidades de la dirección.
7.2.2 Toma de conciencia, educación y formación en la seguridad de la información.
7.2.3 Proceso disciplinario.
7.3 Terminación y cambio de empleo.
7.3.1 Terminación o cambio de responsabilidades de empleo.
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad por los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificación de la información.
8.2.1 Clasificación de la información.
8.2.2 Etiquetado de la información.
8.2.3 Manejo de activos.
8.3 Manejo de medios.
8.3.1 Gestión de medios removibles.
8.3.2 Disposición de medios.
8.3.3 Transferencia de medios físicos.
9. CONTROL DE ACCESO.
9.1 Requisitos de negocio para control de acceso.
9.1.1 Política de control de acceso.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuarios.
9.2.1 Registro y cancelación del registro de usuarios.
9.2.2 Suministro de acceso de usuarios.
9.2.3 Gestión de derechos de acceso privilegiado.
9.2.4 Gestión de información de autenticación secreta de usuarios.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retiro o ajuste de los derechos de acceso.
9.3 Responsabilidades de los usuarios.
9.3.1 Uso de información de autenticación secreta.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción de acceso a la información.
9.4.2 Procedimiento de ingreso seguro.
9.4.3 Sistema de gestión de contraseñas.
9.4.4 Uso de programas utilitarios privilegiados.
9.4.5 Control de acceso a códigos fuente de programas.
10. CRIPTOGRAFÍA.
10.1 Controles criptográficos.
10.1.1 Política sobre el uso de controles criptográficos.
10.1.2 Gestión de claves.
11. SEGURIDAD FÍSICA Y DEL ENTORNO.
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles de acceso físicos.
11.1.3 Seguridad de oficinas, recintos e instalaciones.
11.1.4 Protección contra amenazas externas y ambientales.
11.1.5 Trabajo en áreas seguras.
11.1.6 Áreas de despacho y carga.
11.2 Equipos.
11.2.1 Ubicación y protección de los equipos.
11.2.2 Servicios de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de equipos.
11.2.5 Retiro de equipos.
11.2.6 Seguridad de equipos y activos fuera de las instalaciones.
11.2.7 Disposición segura o reutilización de equipos.
11.2.8 Equipos de usuario desatendido.
11.2.9 Política de escritorio limpio y pantalla limpia.
12. SEGURIDAD EN LA OPERATIVA.
12.1 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación.
12.1.2 Gestión de cambios.
12.1.3 Gestión de capacidades.
12.1.4 Separación de entornos de desarrollo, prueba y producción.
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la información.
12.4 Registro de actividad y supervisión.
12.4.1 Registro y gestión de eventos de actividad.
12.4.2 Protección de los registros de información.
12.4.3 Registros de actividad del administrador y operador del sistema.
12.4.4 Sincronización de relojes.
12.5 Control de software operacional.
12.5.1 Instalación del software en sistemas operativos.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software.
12.7 Consideraciones sobre auditorías de sistemas de información.
12.7.1 Controles de auditoría de los sistemas de información.
13. SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Seguridad de los servicios de red.
13.1.3 Segregación de redes.
13.2 Transferencia de información.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN.
14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de los requisitos de seguridad.
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas.
14.1.3 Protección de las transacciones por redes telemáticas.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniería en protección de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalización del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación.
14.3 Datos de prueba.
14.3.1 Protección de los datos utilizados en pruebas.
15. RELACIONES CON SUMINISTRADORES.
15.1 Seguridad de la información en las relaciones con los proveedores.
15.1.1 Política de seguridad de la información para las relaciones con proveedores.
15.1.2 Tratamiento de la seguridad dentro de acuerdos con proveedores.
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones.
15.2 Gestión de la prestación del servicio de proveedores.
15.2.1 Seguimiento y revisión de los servicios de los proveedores.
15.2.2 Gestión de cambios en los servicios de los proveedores.
16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Reporte de eventos de seguridad de la información.
16.1.3 Reporte de debilidades de seguridad de la información.
16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos.
16.1.5 Respuesta a incidentes de seguridad de la información.
16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información.
16.1.7 Recolección de evidencias.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de la seguridad de la información.
17.1.1 Planificación de la continuidad de la seguridad de la información.
17.1.2 Implantación de la continuidad de la seguridad de la información.
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información.
17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información.
18. CUMPLIMIENTO.
18.1 Cumplimiento de requisitos legales y contractuales.
18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales.
18.1.2 Derechos de propiedad intelectual.
18.1.3 Protección de los registros de la organización.
18.1.4 Protección de datos y privacidad de la información personal.
18.1.5 Reglamentación de controles criptográficos.
18.2 Revisiones de seguridad de la información.
18.2.1 Revisión independiente de la seguridad de la información.
18.2.2 Cumplimiento con las políticas y normas de seguridad.
18.2.3 Revisión del cumplimiento técnico.
 Seguridad
Dirección Adm
Dirección General Delivery

Dirección General
Seguridad
Dirección Administrativa TI Seguridad
Seguridad
Seguridad

Dirección Adm
Dirección GenTI Seguridad

Dirección Administrativa
Dirección Administrativa
Dirección Administrativa

Dirección General Seguridad

Dirección Administrativa

Dirección Adm
Dirección General Seguridad

TI
TI
Dirección GenTI Seguridad
Dirección Administrativa TI Seguridad

Seguridad
TI Seguridad
TI Seguridad

TI Seguridad
TI
TI

Seguridad
TI
 TI
TI
TI
TI
TI
TI

Dirección Administrativa TI Seguridad

Seguridad
Seguridad

Dirección Administrativa TI Seguridad

Dirección Administrativa TI
Dirección Administrativa
Dirección Administrativa
Seguridad

TI
TI
TI
TI
TI
TI
TI
Seguridad
Seguridad

Seguridad
TI Seguridad
TI
Seguridad

TI
 TI

TI Seguridad
TI Seguridad
TI Seguridad
TI Seguridad

TI

Seguridad
TI Seguridad

TI Seguridad

TI Seguridad
TI Seguridad
TI Seguridad

Seguridad
Seguridad
TI Seguridad
Dirección Administrativa

TI
TI Seguridad
TI Seguridad

TI Seguridad

Seguridad

Seguridad
Seguridad
Seguridad
 Seguridad
Seguridad

Seguridad
Seguridad
Seguridad
Seguridad
Seguridad
Seguridad
Seguridad

Seguridad
Seguridad
Seguridad

TI

Dirección Administrativa Seguridad

Dirección Administrativa TI Seguridad
Dirección Administrativa TI Seguridad
Dirección Administrativa TI Seguridad
Dirección Administrativa TI Seguridad
Seguridad
Seguridad
Dirección Adm
Dirección General Seguridad
TI Seguridad