Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Código: FOR SI 04
Etiqueta de información: Interno
Controles que aplican: 108
Controles que no aplican : 6
Declaración de aplicabilidad
Objetivo Aplicabilidad
N° N° Estado Descripción del control Justificación de elección Documento soporte
/Control SI/NO
Política de Seguridad de la Información POL-SI-02 y todas las demás políticas de seguridad de
la información que se mencionan en este documento
Políticas para la seguridad de la Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por la dirección, publicado y Necesaria para fijar una directriz para el personal y las partes interesadas en materia de
1 A.5.l.l Implementado SI
información comunicado a los empleados y partes externas relevantes. seguridad de la información.
Revisión de las políticas para la Las políticas de seguridad de la información deben revisarse a intervalos planificados o siempre que se produzcan Indispensable para asegurar que son revisadas y en su caso actualizadas tanto las
2 A.5.1.2 Implementado SI
seguridad de la información cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia. políticas como los demás documentos del SGSI
Es importante tener un directorio así como conexión con las autoridades en materia de
5 A.6.1.3 Contacto con las autoridades Implementado Deben mantenerse los contactos apropiados con las autoridades pertinentes. SI Se indica en el Directorio de Contacto con autoridades FOR-SI-12
protección civil en caso de alguna contingencia.
Contacto con grupos de interés Deben mantenerse los contactos apropiados con grupos de interés especial, u otros foros y asociaciones profesionales Se mantiene contacto con grupos de interés en particular ligados a la seguridad de la
6 A.6.1.4 Implementado SI Se indica en el Directorio de Contacto con grupos de interés especial FOR-SI-17
especial especializados en seguridad información para mantenerse al día en tendencias y actualidad.
Los dispositivos móviles (celulares, laptops, tabletas) son herramientas que dada la
Se debe adoptar una política y unas medidas de seguridad adecuadas para la protección contra los riesgos de la
8 A.6.2.1 Política de dispositivos móviles Implementado SI naturaleza del trabajo, son utilizadas en la organización por lo que los controles para Política de Dispositivos Móviiles POL-SI-20
utilización de dispositivos móviles.
estas herramientas son fundamentales ya que pueden contener información relevante
Cómo parte de sus obligaciones contractuales, los empleados y contratistas deben establecer los términos y Los términos y condiciones de trabajo tanto de empleados como de proveedores deben
Términos y En expediente de personal se cuenta con evidencias del contrato individual del trabajo, convenios
11 A.7.1.2 Implementado condiciones de su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado SI de quedar por escrito a fin garantizar en todo momento que se protege la seguridad de la
condiciones del empleo de confidencialidad
como hacia la organización información.
Cualquier persona (empleado, proveedor o parte interesada) que accede física y/o
La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la información de acuerdo con En expediente de personal se cuenta con evidencias del contrato individual del trabajo, convenios
12 A.7.2.1 Responsabilidades de gestión Implementado SI electrónicamente debe de conocer las políticas, procedimientos, manuales y
las políticas y procedimientos establecidos en la organización de confidencialidad
lineamientos en materia de seguridad de la información.
Concienciación, educación y Todos los empleados de la organización y, cuando corresponda, los contratistas, deben recibir una adecuada La formación y concientización del personal, así como la sensibilización a los
13 A.7.2.2 capacitación en seguridad de la Implementado educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la SI proveedores en materia de seguridad de la información son elementos que permitirán a Evidencias de capacitación y concientización en expedientes y en carpetas
información organización, según corresponda a su puesto de trabajo. la organización acceder a mejores prácticas de trabajo en un marco de seguridad eficaz
Los activos asociados a la información y a los recursos para el tratamiento de la información deben estar claramente La identificación, clasificación, estado, propietario y ubicación de los activos de la
16 A.8.1.1 Inventario de activos Implementado SI Inventario de Activos LIS-SI-22
identificados y debe elaborarse y mantenerse un inventario organización, permitirán administrarlos y controlarlos de manera eficaz
Se deben identificar, documentar e implementar las reglas de uso aceptable de la información y de los activos A efecto de que el personal conozca las reglas para el uso aceptable de los activos
18 A.8.1.3 Uso aceptable de los activos Implementado SI Política de Gestión de Activos POL-SI-21
asociados con los recursos para el tratamiento de la información. asociados a la información, se generan y difunden políticas al respecto.
Todos los empleados y terceras partes deben devolver todos activos de la organización que estén en su poder al Es necesario que los empleados o terceras personas que han estado a cargo de un activo
19 A.8.1.4 Devolución de activos Implementado SI Política de Gestión de Activos POL-SI-21
finalizar su empleo, contrato o acuerdo. relevante para el SGSI, lo devuelvan para mantener la seguridad de la información
La información debe ser clasificada en términos de la importancia de su revelación frente a requisitos legales, valor, Se debe de contar con una metodología que determine la clasificación y criticidad de la Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
20 A.8.2.l Clasificación de la información Implementado SI
sensibilidad y criticidad ante revelación o modificación no autorizadas. información y enfocar los esfuerzos para mantener su seguridad. información POL-SI-05
Debe desarrollarse e implantarse un conjunto adecuado de procedimientos para etiquetar la información, de acuerdo Se debe de contar con una metodología que determine la clasificación y criticidad de la Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
21 A.8.2.2 Etiquetado de la información Implementado SI
con el esquema de clasificación adoptado por la organización. información y enfocar los esfuerzos para mantener su seguridad. información POL-SI-05
Debe desarrollarse e implantarse un conjunto adecuado de procedimientos para la manipulación de la información, de La información de la organización debe de gestionarse adecuadamente y estar definida Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
22 A.8.2.3 Manipulado de la información Implementado SI
acuerdo con el esquema de clasificación adoptado por la organización la forma de administrarla (esta se gestiona a través de los procedimientos de operación) información POL-SI-05
Se deben implementar procedimientos para la gestión de los soportes extraíbles, de acuerdo con el esquema de La información crítica que se maneja en soporte extraíble en la organización debe ser Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
23 A8.3.1 Gestión de soportes extraíbles Implementado SI
clasificación adoptado por la organización correctamente eliminada, o garantizar una adecuada gestión operaciones POL-SI-47
Los soportes deben eliminarse de forma segura cuando ya no vayan a ser necesarios, mediante procedimientos La información crítica que se maneja en soporte extraíble en la organización debe ser Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
24 A.8.3.2 Eliminación de soportes Implementado SI
formales. correctamente eliminada, o garantizar una adecuada gestión operaciones POL-SI-47
Durante el transporte fuera de los límites físicos de la organización, los soportes que contengan información deben Los dispositivos que contienen información crítica deben de ser debidamente Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
25 A.8.3.3 Soportes físicos en tránsito Implementado SI
estar protegidos contra accesos no autorizados controlados a fin de evitar brechas en la seguridad de la información operaciones POL-SI-47
El acceso a las instalaciones físicas se somete a control ya que por el tipo de procesos se
Se debe establecer, documentar y revisar una política de control de acceso basada en los requisitos de negocio y de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
26 A.9.1.1 Política de control de acceso Implementado SI tienen visitas en forma continua de candidatos, clientes, terceros, proveedores, entre
seguridad de la información. de usuarios y equipos FOR-SI-29
otros, los cuales pueden ser un factor de riesgo.
Acceso a las redes y a los Únicamente se debe proporcionar a los usuarios el acceso a las redes y a los servicios en red para cuyo uso hayan sido Los privilegios y niveles de usuarios dependen de las facultades dadas a los puestos de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
27 A.9.1.2 Implementado SI
servicios de red específicamente autorizados. acuerdo a las funciones y responsabilidades asignadas. de usuarios y equipos FOR-SI-29
Los diferentes softwares utilizados y que contienen las bases de datos sujetos del
Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
30 A.9.2.3 Gestión de privilegios de acceso Implementado La asignación y el uso de privilegios de acceso debe estar restringida y controlada. SI alcance del SGSI, requieren ser administradas a diferentes niveles de privilegios para
de usuarios y equipos FOR-SI-29
los usuarios a fin de mitigar riesgos
Gestión de la información Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
La asignación de la información secreta de autenticación debe ser controlada a través de un proceso formal de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
31 A.9.2.4 secreta de autenticación de los Implementado SI para su procesamiento y operación, los diferentes usuarios que acceden a través de la
gestión. de usuarios y equipos FOR-SI-29
usuarios red, deben de autenticarse de forma segura.
La organización requiere que de forma continua los privilegios de los usuarios para
Revisión de los derechos de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
32 A.9.2.5 Implementado Los propietarios de los activos deben revisar los derechos de acceso de usuario a intervalos regulares SI acceder a los softwares y bases de datos sean los que de acuerdo a las facultades de su
acceso de usuario de usuarios y equipos FOR-SI-29
puesto, sean los correctos.
Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
Uso de la información secreta de Se debe requerir a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de para su procesamiento y operación, los diferentes usuarios que acceden a través de la Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
34 A.9.3.1 Implementado SI
autenticación autenticación. red, deben de autenticarse de forma segura. de usuarios y equipos FOR-SI-29
Además deben de respetar los lineamientos establecidos.
Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
Restricción del acceso a la Se debe restringir el acceso a la información y a las funciones de las aplicaciones, de acuerdo con la política de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
35 A.9.4.1 Implementado SI para su procesamiento y operación, los diferentes usuarios que acceden a través de la
información control de acceso definida de usuarios y equipos FOR-SI-29
red, tienen privilegios segmentados.
Procedimientos seguros de Cuando así se requiera en la política de control de acceso, el acceso a los sistemas y a las aplicaciones se debe Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
36 A.9.4.2 Implementado SI Necesario para evitar la infiltración de virus o accesos distorsionados.
inicio de sesión controlar por medio de un procedimiento seguro de inicio de sesión. de usuarios y equipos FOR-SI-29
Sistema de gestión de Dada la cantidad de usuarios y el dinamismo, es importante que los responsables de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
37 A.9.4.3 Implementado Los sistemas para la gestión de contraseñas deben ser interactivos y establecer contraseñas seguras y robustas. SI
contraseñas sistemas administren adecuadamente las contraseñas y que eviten riesgos. de usuarios y equipos FOR-SI-29
El uso de equipos terminales PC por los usuarios a través de la red a las fuentes de
Uso de utilidades con privilegios Se debe restringir y controlar rigurosamente el uso de utilidades que puedan ser capaces de invalidar los controles del Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
38 A.9.4.4 Implementado SI información pueden provocar riesgos sino se controlan las aplicaciones y utilidades que
del sistema sistema y de la aplicación. de usuarios y equipos FOR-SI-29
pueden descargar los usuarios
Se deben utilizar perímetros de seguridad para proteger las áreas que contienen información sensible así como los El site de la organización es un área crítica ya que contiene tanto la información como
42 A.11.1.1 Perímetro de seguridad física Implementado SI Política de seguridad física y del entorno POL-SI-31
recursos de tratamiento de la información. los medios de soporte y que debe ser protegida en su acceso de manera física
El site de la organización es un área crítica ya que contiene tanto la información como
los medios de soporte y que debe ser protegida en su acceso de manera física.
Las áreas seguras deben estar protegidas mediante controles de entrada adecuados, para asegurar que únicamente se
43 A.11.1.2 Controles físicos de entrada Implementado SI Adicionalmente, el perímetro de acceso a las oficinas se encuentra resguardado y Política de seguridad física y del entorno POL-SI-31
permite el acceso al personal autorizado.
restringido por diversos mecanismos (recepción, seguridad policiaca, cámaras de video
vigilancia).
Seguridad de oficinas, El resto de las áreas de la organización también deben de estar protegidas en su
44 A.11.1.3 Implementado Para las oficinas, despachos y recursos, se debe diseñar y aplicar la seguridad física. SI Política de seguridad física y del entorno POL-SI-19
despachos y recursos perímetro a efecto de garantizar la seguridad de la información
La organización debe de buscar asegurar la protección física de diversos activos que son
Protección contra las amenazas Se debe diseñar y aplicar una protección física contra desastres naturales, ataques provocados por el hombre o
45 A.11.1.4 Implementado SI críticos para operar y mantener la seguridad de la información (corriente eléctrica, Política de seguridad física y del entorno POL-SI-19
externas y ambientales accidentes
switch, entre otros)
Debido a la criticidad de las áreas declaradas seguras, se debe de tener especial cuidado
46 A.11.1.5 El trabajo en áreas seguras Implementado Se deben diseñar e implementar procedimientos para trabajar en las áreas seguras. SI Política de seguridad física y del entorno POL-SI-19
en las actividades
Deben controlarse los puntos de acceso tales como las áreas de carga y descarga y otros puntos, donde pueda acceder A la organización accede personal y terceros que son necesarios para llevar a cabo la
47 A.11.1.6 Áreas de carga y descarga Implementado personal no autorizado a las instalaciones, y si es posible, aislar dichos puntos de los recursos de tratamiento de la SI operación de la empresa, por lo que es necesario mantener un control que evite la Política de seguridad física y del entorno POL-SI-19
información para evitar accesos no autorizados. vulneración de la información
Emplazamiento y protección de Los equipos deben situarse o protegerse de forma que se reduzcan los riesgos de las amenazas y los riesgos La información crítica se accede a través de equipos terminales PC que deben de Se cuenta con medidas de seguridad física y lógica descritos la Política de seguridad fisica POL-
48 A.11.2.1 Implementado SI
equipos ambientales así como las oportunidades de que se produzcan accesos no autorizados. protegerse y controlar sus accesos tanto lógicos como físicos SI-19 y en la Política de Control de Acceso POL-SI-24
El cableado eléctrico y de telecomunicaciones que transmite datos o que sirve de soporte a los servicios de La información se transmite a través de redes físicas y se requiere garantizar la El cableado de la red y eléctrico esta protegido frente a posibles daños, interferecnias o la
50 A.11.2.3 Seguridad del cableado Implementado SI
información debe estar protegido frente a interceptaciones, interferencias o daños protección que asegure su integridad intercepción de la infromación que transmite.
La organización requiere que los equipos y sus periféricos sean funcionales a efecto de Se cuenta con programa de mantenimientos preventivos a los equipos y evidencias de su
51 A.11.2.4 Mantenimiento de los equipos Implementado Los equipos deben recibir un mantenimiento correcto que asegure su disponibilidad y su integridad continuas. SI
garantizar la disponibilidad e integridad de la información a los diferentes usuarios realización, así como de los correctivos
Retirada de materiales propiedad Deben de existir mecanismos de control que identifiquen, controlen y autoricen la salida
52 A.11.2.5 Implementado Sin autorización previa, los equipos, la información o el software no deben sacarse de las instalaciones. SI Política de Dispositivos Móviiles POL-SI-20, Política de respaldo de la información POL-SI-33
de la empresa de información y/o equipos fuera de la organización
Seguridad de los equipos fuera Deben aplicarse medidas de seguridad a los equipos situados fuera las instalaciones de la organización, teniendo en Por disposición de la organización, los diferentes equipos tienen restringida la salida y Política de Dispositivos Móviiles POL-SI-20, Formato de gestión de usuarios y equipos FOR-SI-
53 A.11.2.6 Implementado SI
de las instalaciones cuenta los diferentes riesgos que conlleva trabajar fuera de dichas instalaciones. solo bajo circunstancias previamente acordadas pueden salir 29
Reutilización o eliminación Todos los soportes de almacenamiento deben ser comprobados para confirmar que todo dato sensible y software bajo Información crítica podría quedar en algún soporte y comprometer la seguridad de la Política de Dispositivos Móviiles POL-SI-20, Formato de gestión de usuarios y equipos FOR-SI-
54 A.11.2.7 Implementado SI
segura de equipos licencia se ha eliminado de manera segura, antes de deshacerse de ellos. información sino se cuentan con herramientas o mecanismo de control 29
Ante la presencia de nuevos proyectos, planes, nuevas tecnologías, migración, nuevos Se inidca en el Manual Normativo de Gestión de Seguridad de la Información apartado 6.2 la
Los cambios en la organización, los procesos de negocio, instalaciones de tratamiento de la información y los sistemas
58 A.12.1.2 Gestión de cambios Implementado SI procesos, entre otros, es importante que se valoren los impactos que pueden tener sobre metodología a emprender ante cambios e impactos en materia de seguridad de la información y
que afectan a la seguridad de información deben ser controlados.
la seguridad de la información en la Política de seguridad de las operaciones POL-SI-47
Se debe supervisar y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de Es necesario planificar y prever las demandas sobre los servicios y aplicaciones con que
59 A.12.1.3 Gestión de capacidades Implementado SI Se indica en Tabla de capacidades FOR-SI-32
capacidad, para garantizar el rendimiento requerido del sistema. cuenta la organización a efecto de mantener la disponibilidad de la información
Los relojes de todos los sistemas de tratamiento de información dentro de una organización o de un dominio de Para que los sistemas y aplicaciones puedan trabajar acordes y el registro de la
66 A.12.4.4 Sincronización del reloj Implementado SI Política de Seguridad de las operaciones POL-SI-47
seguridad, deben estar sincronizados con una única fuente precisa y acordada de tiempo. operación se pueda hacer en tiempo real y sin distorsiones
Debido a que los softwares y aplicaciones son un insumo básico para la operación y el
Instalación de Software en servicio que se proporciona y que sin un adecuado control sobre su instalación y uso se
67 A.12.5.1 Implementado Se deben implementar procedimientos para controlar la instalación del software en explotación. SI Política de Seguridad de las operaciones POL-SI-47
explotación ponen en riesgo la propia información así como la continuidad de la operación, es
necesario tener controles robustos sobre el particular.
Ante la posibilidad de que los usuarios en los equipos terminales (PC), puedan
Restricción en la instalación de
69 A.12.6.2 Implementado Se deben establecer y aplicar reglas que rijan la instalación de software por parte de los usuarios SI descargar software no autorizado y que ponga en riesgo la seguridad de la información, Política de Seguridad de las operaciones POL-SI-47
software
es relevante que se cuenten con controles y políticas restrictivas que inhiban tal acción
La separación de las redes para los diferentes servicios, (producción, pruebas y usuarios
Los grupos de servicios de información, los usuarios y los sistemas de información deben estar segregados en redes Política de seguridad de las operaciones POL-SI-47, Política de Control de Acceso POL-SI-24,
73 A.13.1.3 Segregación en redes Implementado SI tienen que estar separadas para garantizar la seguridad de la información y reducir
distintas. Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29
riesgos asociados.
Uno de los mecanismos establecidos por los propios clientes para el intercambio de
Política de Intercambio de información POL-SI-36, convenios de confidecialidad, contratos de
76 A.13.2.3 Mensajería electrónica Implementado La información que sea objeto de mensajería electrónica debe estar adecuadamente protegida SI información, es precisamente el correo electrónico. Por lo que es necesario que se tenga
prestación de servicios, contrato individual de trabajo
un adecuado mecanismo de control
Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Acuerdos de confidencialidad o Deben identificarse, documentarse y revisarse regularmente los requisitos de los acuerdos de confidencialidad o no Convenios de confidencialidad en expedientes del personal, o en contratos de prestación de
77 A.13.2.4 Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
no revelación revelación servicios con los proveedores y clientes, Política de seguridad de las operaciones POL-SI-47
establezca un esquema de sanciones en caso de alguna situación anómala
El intercambio de información con diversas partes interesadas, hace necesario el uso de Política de seguridad de las operaciones POL-Si-47, Política de Control de Acceso POL-SI-24,
Asegurar los servicios de La información involucrada en aplicaciones que pasan a través de redes públicas debe ser protegida de cualquier
79 A.14.1.2 Implementado SI redes públicas para la organización. Esta situación supone una serie de riesgos que se Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29,
aplicaciones en redes públicas actividad fraudulenta, disputa de contrato, revelación y modificación no autorizados.
pueden minimizar y/o controlar convenios de confidencialidad de empleados, contratos con proveedores.
La información involucrada en las transacciones de servicios de aplicaciones debe ser protegida para prevenir la El intercambio de información con diversas partes interesadas, hace necesario el uso de Política de seguridad de las operaciones POL-Si-47, Política de Control de Acceso POL-SI-24,
Protección de las transacciones
80 A.14.1.3 Implementado transmisión incompleta, errores de enrutamiento, alteración no autorizada del mensaje, revelación, duplicación, o SI redes públicas para la organización. Esta situación supone una serie de riesgos que se Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29,
de servicios de aplicaciones
reproducción de mensaje no autorizadas pueden minimizar y/o controlar convenios de confidencialidad de empleados,
81 A.14.2.1 Política de desarrollo seguro N/A Se deben establecer y aplicar reglas dentro de la organización para el desarrollo de aplicaciones y sistemas. NO No se lleva a cabo desarrollo de software en la organización N/A
Procedimiento de control de La implantación de cambios a lo largo del ciclo de vida del desarrollo debe controlarse mediante el uso de
82 A.14.2.2 N/A NO No se lleva a cabo desarrollo de software en la organización N/A
cambios en sistemas procedimientos formales de control de cambios.
Revisión técnica de las Debido a que la disponibilidad del servicio es altamente relevante para el cliente, los
Cuando se modifiquen los sistemas operativos, las aplicaciones de negocio críticas deben ser revisadas y probadas
83 A.14.2.3 aplicaciones tras efectuar Implementado SI sistemas operativos deben garantizar su operatividad y funcionalidad, de ahí que se debe Hoja de vida del software FOR-SI-16
para garantizar que no existen efectos adversos en las operaciones o la seguridad de la organización
cambios en el sistema operativo de probar su funcionalidad para evitar contratiempos y falta de funcionalidad
Las modificaciones o alteraciones del software y aplicaciones de negocios no están
Restricciones a los cambios en Se deben desaconsejar las modificaciones· en los paquetes de software, limitándose a los cambios necesarios, y todos permitidas al personal. Sólo la gerencia de sistemas y de soporte están facultadas para
84 A.14.2.4 Implementado SI Política de seguridad de las operaciones POL-SI-47
los paquetes de software los cambios deben ser objeto de un control riguroso hacer adecuaciones de acuerdo a los requerimientos del cliente externos o de la
dirección
Principios de ingeniería de Principios de ingeniería de sistemas seguros se deben establecer, documentar, mantener y aplicarse a todos los Los Principios de ingeniería de sistemas seguros se aplican para los sistemas y
85 A.14.2.5 Implementado SI Política de seguridad de las operaciones POL-SI-47
sistemas seguros esfuerzos de implementación de sistemas de información. aplicaciones en su actualización o cambios
Las organizaciones deben establecer y proteger adecuadamente los entornos de desarrollo seguro para el desarrollo del
86 A.14.2.6 Entorno de desarrollo seguro N/A NO No se lleva a cabo desarrollo de software en la organización N/A
sistema y los esfuerzos de integración que cubren todo el ciclo de vida de desarrollo del sistema.
Pruebas funcionales de
88 A.14.2.8 N/A Se deben llevar a cabo pruebas de la seguridad funcional durante el desarrollo. NO No se lleva a cabo desarrollo de software en la organización N/A
seguridad de sistemas
Pruebas de aceptación de Se deben establecer programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información, Las actualizaciones de los softwares o los cambios son probados para asegurar su
89 A.14.2.9 Implementado SI Hoja de vida del software FOR-SI-16
sistemas actualizaciones y nuevas versiones. operatividad
Protección de los datos de Para las pruebas a los sistemas se utilizan datos ficticios. Pero en caso de tener que Se utilizan datos ficticios para las pruebas y en caso de utilizarse datos reales se indicara en la
90 A.14.3.1 Implementado Los datos de prueba se deben seleccionar con cuidado y deben ser protegidos y controlados. SI
prueba utilizarse se protegeran hoja de vida del software FOR-SI-16
Política de seguridad de la Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Los requisitos de seguridad de la información para la mitigación de los riesgos asociados con el acceso del proveedor Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
91 A.15.1.1 información en las relaciones Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
a los activos de la organización deben acordarse con el proveedor y quedar documentados. triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
con los proveedores establezca un esquema de regulaciones y sanciones en caso de alguna situación anómala
Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Requisitos de seguridad en Todos los requisitos relacionados con la seguridad de la información deben establecerse y acordarse con cada Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
92 A.15.1.2 Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
contratos con terceros proveedor que puede acceder, tratar, almacenar, comunicar, o proporcionar componentes de la infraestructura IT. triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
establezca un esquema de regulaciones sanciones en caso de alguna situación anómala
Cadena de suministro de Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Los acuerdos con proveedores deben incluir requisitos para hacer frente a los riesgos de seguridad de la información Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
93 A.15.1.3 tecnología de la información y Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
relacionados con las tecnologías de la información y las comunicaciones y con la cadena de suministro de productos. triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
de las comunicaciones establezca un esquema de regulaciones sanciones en caso de alguna situación anómala
Control y revisión de la Aparte de las regulaciones que se establecen con los proveedores a través de contratos
Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
94 A.15.2.1 provisión de servicios del Implementado Las organizaciones deben controlar, revisar y auditar regularmente la provisión de servicios del proveedor SI de servicios y convenios de confidencialidad, es importa asegurarse que los servicios
triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
proveedor proporcionados se cumplen de acuerdo a dichos requisitos.
Se deben gestionar los cambios en la provisión del servicio, incluyendo el mantenimiento y la mejora de las políticas, Aparte de las regulaciones que se establecen con los proveedores a través de contratos
Gestión de cambios en la
los procedimientos y controles de seguridad de la información existentes, teniendo en cuenta la criticidad de los de servicios y convenios de confidencialidad, es importa asegurarse que los servicios Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
95 A.15.2.2 provisión del servicio del Implementado SI
procesos y sistemas de negocio afectados así como la reapreciación de proporcionados se cumplen de acuerdo a dichos requisitos o que ante algún cambio, se triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
proveedor
los riesgos adecuan los contratos que regulan el servicio
La relación con diferentes partes interesadas, trae consigo una serie de regulaciones
Identificación de la legislación Todos los requisitos pertinentes, tanto legales como regulatorios, estatutarios o contractuales, y el enfoque de la
tanto de carácter legal, normativo, contractual, entre otros. Estas regulaciones, deben de
107 A.18.1.1 aplicable y de. los requisitos Implementado organización para cumplirlos, deben definirse de forma explícita, documentarse y mantenerse actualizados para cada SI Política de cumplimiento legal POL-SI-52
estar debidamente identificadas y ser cumplidas por la organización. Por ello, un control
contractuales sistema de información de la organización.
o procedimiento permitirán que se puedan cumplir adecuadamente
La relación con diferentes partes interesadas, trae consigo una serie de regulaciones
Deben implementarse procedimientos adecuados para garantizar el cumplimiento de los requisitos legales,
Derechos de propiedad tanto de carácter legal, normativo, contractual, entre otros. Estas regulaciones, deben de
108 A.18.1.2 Implementado regulatorios y contractuales sobre el uso de materiales, con respecto a los cuales puedan existir derechos de propiedad SI Política de cumplimiento legal POL-SI-52
intelectual (DPJ) estar debidamente identificadas y ser cumplidas por la organización. Por ello, un control
intelectual y sobre el uso de productos de software patentados.
o procedimiento permitirán que se puedan cumplir adecuadamente
Regulación de los controles Se cuenta con la exigencia por parte de los clientes de cifrar la información y por lo
111 A.18.1.5 Implementado Los controles criptográficos se deben utilizar de acuerdo con todos los contratos, leyes y regulaciones pertinentes. SI Política de cumplimiento legal POL-SI-52
criptográficos tanto de regular los controles criptográficos (aunque no para todos los clientes)
Los directivos deben asegurarse de que todos los procedimientos de seguridad dentro de su área de responsabilidad se La alta dirección debe ser la primera en estar convencida de las bondades de la
Cumplimiento de las políticas y
113 A.18.2.2 Implementado realizan correctamente con el fin de cumplir las políticas y normas de seguridad y cualquier otro requisito de SI implantación de un SGSI, así como de cumplir con los lineamientos establecidos y de Política de cumplimiento legal POL-SI-52
normas de seguridad
seguridad aplicable garantizar que hará cumplir al personal con los estándares establecidos
Otro mecanismo importante de mejora para el SGSI será la evaluación que de forma
Comprobación del Debe comprobarse periódicamente que los sistemas de información cumplen las políticas y normas de seguridad de la
114 A.18.2.3 Implementado SI interna se le haga de forma periódica. Esto permitirá enriquecer y mejorar los controles, Política de cumplimiento legal POL-SI-52
cumplimiento técnico información de la organización:
evidencias, procedimientos, políticas, a las personas, entre otros, del propio SGSI