- A.5.1.1 Políticas para la Oficial de Seguridad de la Documentación del SGSI 27/02/2015 00:00:00 Seguridad de la Información Información Definición de las Oficial de Seguridad de la Documentación del SGSI 30/01/2015 00:00:00 Políticas de Seguridad de la Información Información Entrenamiento y Gestión de Talento Documentación del SGSI 21/02/2015 00:00:00 capacitación de los usuarios Humano en las Políticas de Seguridad de la Información Firma del documento de Gestión de Talento Documento de aceptación de 31/03/2015 00:00:00 aceptación de las políticas de Humano las políticas de seguridad seguridad de la Información - A.5.1.2 Revisión de las Oficial de Seguridad de la Documentación del SGSI 31/07/2015 00:00:00 Políticas para la seguridad de Información la información Verificación de los Oficial de Seguridad de la Indicadores de Seguridad de 31/07/2015 00:00:00 indicadores de Seguridad de Información la Información la Información Verificar el cumplimiento Director Administrativo Indicadores de Seguridad de 31/07/2015 00:00:00 de las políticas de seguridad la Información de la información Definir e implementar los Oficial de Seguridad de la Documentación del SGSI 28/08/2015 00:00:00 puntos de mejora para las Información Políticas y procedimientos que no cumplan con las expectativas - A.6.1.2 Separación de Gestión de Talento Documentación sobre la 31/03/2015 00:00:00 deberes Humano descripción de los cargos Análisis de la Director de Área Documentación sobre la 30/04/2015 00:00:00 descripción de los cargos descripción de los cargos para identificar actividades que no cuenten con chequeo cruzado, para que se implementen Identificación de Director de Área Documentación sobre la 30/04/2015 00:00:00 actividades de revisión, descripción de los cargos aprobación, ejecución y auditoría en un mismo cargo para definir su separación Formalización de la Gestión de Talento Documentación sobre la 30/04/2015 00:00:00 asignación de nuevas Humano descripción de los cargos actividades a los funcionarios correspondientes - A.7.1.2 Términos y Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00 condiciones del empleo Humano Formalizar con un acto Director General Acto administrativo 27/02/2015 00:00:00 administrativo la implementación del SGSI en CNMH Sensibilización a los Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00 Funcionarios para entender Humano las nuevas responsabilidades que se asume con la implementación del SGSI ratificado con el acto administrativo y la firma del documento de aceptación de las Políticas - A.7.2.1 Responsabilidades Director General Acto Administrativo 27/02/2015 00:00:00 de la Dirección Documentación del SGSI Formalizar con un acto Director General Acto Administrativo 27/02/2015 00:00:00 administrativo la implementación del SGSI en CNMH Gestión para la Director General Tecnológicos - 30/06/2015 00:00:00 asignación de los recursos Entrenamiento - Personal necesarios para la Capacitado implementación del SGSI - A.7.2.2 Toma de conciencia, Gestión de Talento Documentación del SGSI 31/03/2015 00:00:00 educación y formación en la Humano seguridad de la información Jornadas de Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00 sensibilización sobre el SGSI Humano Entrenamiento en los Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00 procedimientos y tecnologías Humano requeridas por el SGSI a los funcionarios que aplique - A.7.2.3 Proceso disciplinario Director Administrativo Documento de Proceso 27/02/2015 00:00:00 Disciplinario Código Disciplinario Implementación del Área de Planeación - Documento de Proceso 27/02/2015 00:00:00 Proceso de registro de Oficial de Seguridad Disciplinario incumplimientos de la Política de Seguridad Seguimiento al registro Director Administrativo - Formatos de Registro de 31/03/2015 00:00:00 de incumplimientos Oficial de Seguridad Incidentes - A.8.1.1 Mantener un Oficial de Seguridad de la Global Suite 27/02/2015 00:00:00 Inventario de activos Información actualizado Formación de Talento Humano Global Suite 27/02/2015 00:00:00 funcionarios de todas las áreas para el manejo de Global Suite Asignación formal de la Oficial de Seguridad - Global Suite 30/03/2015 00:00:00 responsabilidad de la Director de Área actualización del inventario de activos de su alcance - A.8.1.2 Definir propiedad de Director de Área Global Suite 30/03/2015 00:00:00 los activos Asignar formalmente la Director de Área - Oficial de Global Suite 27/02/2015 00:00:00 Propiedad parr los activos de Seguridad Información en cada Área Verificación periódica Propietario del activo Global Suite 30/06/2015 00:00:00 por la vigencia de la descripción y valores asignados en Global Suite para el activo Asignación de Director de Área Global Suite 30/06/2015 00:00:00 Propietario para los nuevos activos de información - A.8.1.3 Definir uso Director de Área Global Suite 31/03/2015 00:00:00 aceptable de los activos Validar periódicamente Propietario del Activo Documentación del SGSI 27/02/2015 00:00:00 que las Políticas y Procedimientos del SGSI son acordes con el manejo que se debe dar al activo de información Implementar los Oficial de Seguridad de la Log de eventos de las 31/03/2015 00:00:00 registros de acceso a la Información aplicaciones información Implementar la Política Oficial de Seguridad de la Política de Gestión de 31/03/2015 00:00:00 de Gestión de Incidentes y Información Incidentes hacer seguimiento a su ejecución - A.8.1.4 Definir el Director Administrativo Proceso Disciplinario Código 31/03/2015 00:00:00 procedimiento para Disciplinario devolución de los activos Incluir dentro del Gestión de Talento Proceso Disciplinario Código 27/02/2015 00:00:00 Procedimiento de Humano Disciplinario desvinculación de un funcionario o cambio de cargo, la entrega formal de los activos que sean de su propiedad Eliminación de la cuenta Oficial de Seguridad de la Política de Control de Acceso 31/12/2015 00:00:00 de usuario perteneciente al Información cargo que se está finalizando - A.8.2.1 Clasificación de la Oficial de Seguridad de la Procedimiento de 27/02/2015 00:00:00 información Información Clasificación de Información Hacer seguimiento Propietario del Activo - Global Suite - Procedimiento 27/02/2015 00:00:00 periódico a la clasificación Oficial de Seguridad de Clasificación de existente del SGSI Información Validar el etiquetado de Propietario del Activo - Procedimiento de Etiquetado 31/07/2015 00:00:00 información con base en el Oficial de Seguridad de Información Procedimiento definido para este fin en el SGSI - A.8.2.2 Etiquetado de la Oficial de Seguridad de la Procedimiento de Etiquetado 29/05/2015 00:00:00 Información Información de Información Tabla de Retención Documental Validar con Archivo Director Administrativo Procedimiento de Etiquetado 27/02/2015 00:00:00 General de la Nación el de la Información del SGSI Procedimiento propuesto para Etiquetado de Información del SGSI Actualizar la Tabla de Director Administrativo Tabla de Retención 31/03/2015 00:00:00 Retención documental con lo documental - Procedimiento pertinente del Procedimiento de Etiquetado de la de Etiquetado de Información Información del SGSI del SGSI Aplicar el procedimiento Director Administrativo Procedimiento de Etiquetado 29/05/2015 00:00:00 de Etiquetado de Información de Información del SGSI del SGSI - A.9.1.1 Política de control de Oficial de Seguridad de la Documento de Política de 31/03/2015 00:00:00 acceso Información Control de Acceso Definir para cada activo Propietario del Activo - Política de Control de acceso 30/04/2015 00:00:00 los roles y privilegios Oficial de Seguridad correspondientes para cumplir con las funciones establecidas Diligenciar la Matriz de Propietario del Activo - Matriz de acceso a activos 31/03/2015 00:00:00 acceso a activos Oficial de Seguridad Implementar la Matriz de Oficial de Seguridad - Matriz de acceso a activos - 30/03/2015 00:00:00 acceso en las plataformas Administrador de la Política de Control de correspondientes Plataforma Acceso. Plataforma Involucrada Formalización del Director de Sistemas - Política de Control de Acceso 30/04/2015 00:00:00 acceso al usuario Oficial de Seguridad correspondiente - A.9.1.2 Acceso a redes y a Oficial de Seguridad de la Política de Control de Acceso 31/03/2015 00:00:00 servicios en red Información Habilitar los servicios de Oficial de Seguridad de la Mecanismos de control de 27/02/2015 00:00:00 red cumpliendo con la Información acceso Política de Control de Acceso y la Política de Uso Aceptable de los recursos informáticos Habilitar los logs de uso Oficial de Seguridad de la Logs de eventos 27/02/2015 00:00:00 de los servicios de red Información Implementar la Oficial de Seguridad de la Documento de Arquitectura 31/03/2015 00:00:00 arquitectura de seguridad Información de Seguridad de red para cumplir con la Política de Control de Acceso - A.9.2.1 Registro y Oficial de Seguridad de la Procedimiento de Registro y 30/04/2015 00:00:00 cancelación de cuentas de Información Cancelación de cuentas de usuario usuario Entrenamiento en la Gestión de Talento Procedimiento de Registro y 27/02/2015 00:00:00 aplicación del Procedimiento Humano Cancelación de cuentas de de Registro y Cancelación de usuario cuentas de usuario Revisión de las cuentas Administradores de Política de Control de Acceso 27/02/2015 00:00:00 existentes actualmente en los Plataforma . Propietarios - Mecanismos de Control de diferentes sistemas de de Activos - Oficial de Acceso información y Plataformas de Seguridad de la CNMH Información Eliminar las cuentas que Administradores de Procedimiento de Registro y 27/02/2015 00:00:00 no cumplan con la Política de Plataforma . Propietarios Cancelación de cuentas de Control de Acceso de Activos - Oficial de usuario Seguridad de la Información Creación de las cuentas Administradores de Política de Control de Acceso 30/04/2015 00:00:00 requeridas en los diferentes Plataforma . Propietarios - Mecanismos de Control de sistemas de información y de Activos - Oficial de Acceso Plataformas de CNMH Seguridad de la Información - A.9.2.2 Suministro de Gestión de Talento Política de Control de Acceso 13/03/2015 00:00:00 acceso a usuarios Humano Entrenamiento y Gestión de Talento Procedimiento de registro y 27/02/2015 00:00:00 Sensibilización de los Humano - Oficial de cancelación de cuentas de funcionarios en la aplicación Seguridad de la usuario del Procedimiento de registro Información y cancelación de cuentas de usuario Reporte de anomalías Todos los funcionario Procedimiento de Gestión de 13/03/2015 00:00:00 sobre el incumplimiento al Incidentes de Seguridad Procedimiento de registro y cancelación de cuentas de usuario - A.9.2.3 Gestión de derechos Oficial de Seguridad de la Procedimiento de Gestión de 31/03/2015 00:00:00 de acceso privilegiado Información roles y privilegios Entrenar a los Gestión de Talento Procedimiento de Gestión de 27/02/2015 00:00:00 Propietarios de activos y a los Humano - Oficial de roles y Privilegios Administradores de los Seguridad de la Sistemas de Información y Información Plataformas en el Procedimiento de Gestión de Roles y Privilegios Reportar Todos los funcionarios Procedimiento de Gestión de 31/03/2015 00:00:00 incumplimientos sobre la Incidentes de Seguridad de la gestión de acceso privilegiado Información - A.9.2.4 Gestión de Oficial de Seguridad Política de Control de acceso 31/03/2015 00:00:00 autenticación secreta de usuarios Verificar que los Oficial de Seguridad Política de llaves 27/02/2015 00:00:00 Sistemas de Información y criptográficas aplicaciones de CNMH hagan uso de controles criptográficos fuertes para la protección de la información de autenticación Gestión requerida para Oficial de Seguridad Política de llaves 31/03/2015 00:00:00 reemplazar o actualizar el criptográficas software que no cumpla con la condición del punto anterior - A.9.2.5 Revisión de los Oficial de Seguridad de la Matriz de acceso a activos 31/07/2015 00:00:00 derechos de acceso de Información usuarios Ejecutar la revisión de Propietario del Activo - Procedimiento de Gestión de 27/02/2015 00:00:00 los privilegios con base en el Gestión de Talento Roles y privilegios Procedimiento de Gestión de Humano roles y privilegios Reportar las anomalías Propietario del Activo Procedimiento de Gestión de 31/03/2015 00:00:00 en la gestión de roles y incidentes privilegios con base en el procedimiento de Gestión de incidentes - A.9.2.6 Retiro o ajuste de Propietario del activo Mecanismos de control de 31/07/2015 00:00:00 los derechos de acceso acceso del software Con base en las Propietario del Activo - Mecanismos de control de 30/07/2015 00:00:00 anomalías detectadas en la Administrador del Software acceso aplicación del Procedimiento correspondiente de Gestión de Roles y Privilegios, aplicar los ajustes correspondientes Revisión de los logs de Oficial de Seguridad Logs de eventos 30/07/2015 00:00:00 acceso a las aplicaciones para detectar anomalías sobre la Política de Control de acceso - A.9.3.1 Uso de información Oficial de Seguridad de la Proceso disciplinario 30/06/2015 00:00:00 de autenticación secreta Información Sensibilización de los Gestión de Talento Curso de sensibilización 27/02/2015 00:00:00 funcionarios sobre la Humano confidencialidad de los datos de autenticación Reportar el Todos los funcionarios Proceso Disciplinario 30/06/2015 00:00:00 incumplimiento del manejo confidencial de la información de autenticación - A.9.4.1 Restricción de Propietarios de los activos Política de Control de Acceso 30/04/2015 00:00:00 acceso a la información Validar que los Propietario del activo Inventario de Activos - Global 31/07/2015 00:00:00 mecanismos de control de Suite acceso al activo mitigan los riesgos acordes con el NRA Solicitar formalmente los Propietario del activo Documentación del SGSI 31/07/2015 00:00:00 cambios sobre el control de acceso ejercido sobre un activo, esto puede ser fortalecerlos o quitar restricciones - A.9.4.2 Procedimiento de Oficial de Seguridad Política de Control de Acceso 20/03/2015 00:00:00 ingreso seguro Verificar el cumplimiento Propietario del Activo Política de Control de acceso 27/02/2015 00:00:00 de la Política de Control de acceso del SGSI en cada activo Seguimiento a los logs Propietario del Activo Política de Control de acceso 20/03/2015 00:00:00 de eventos para corroborar que todos los ingresos cumplen con las Políticas del SGSI - A.9.4.3 Sistema de gestión Oficial de Seguridad Mecanismos de control de 13/03/2015 00:00:00 de contraseñas acceso del software Validar que todo el Oficial de Seguridad de la Mecanismos de control de 27/02/2015 00:00:00 software en CNMH cumpla Información acceso del software con los requisitos de gestión de contraseñas del SGSI Validar que el software Oficial de Seguridad de la Mecanismos de control de 13/03/2015 00:00:00 proteja las contraseñas con el Información acceso del software uso de algoritmos criptográficos fuertes en almacenamiento, tránsito y procesamiento - A.9.4.4 Política de uso de Oficial de Seguridad Matriz de acceso 31/03/2015 00:00:00 programas utilitarios privilegiados Verificar que los Oficial de Seguridad Matriz de Acceso a activos 31/03/2015 00:00:00 Programas utilitarios privilegiados únicamente puedan ser utilizados por los roles de administrador Verificar que los logs de Oficial de Seguridad Logs de eventos 31/07/2015 00:00:00 eventos del uso de los Programas utilitarios sean revisados por la auditoría - A.9.4.5 Control de acceso a Director de Sistemas Mecanismos de Control de 28/03/2015 00:00:00 códigos fuente de programas acceso Borrar todas las copias Director de Sistemas Utilidades del sistema 27/02/2015 00:00:00 de código fuente que se operativo encuentren por fuera de los medios de almacenamiento permitidos por el SGSI Verificar el cumplimiento Director de Sistemas Política de Control de acceso 27/03/2015 00:00:00 de la Política de Control de acceso para los archivos de código fuente de programas - A.6.1.1 Roles y Director General Documentación del SGSI 27/02/2015 00:00:00 responsabilidades para la seguridad de la información Formalizar con todos los Director General Documentación del SGSI 27/02/2015 00:00:00 funcionarios las nuevas responsabilidades adquiridas una vez se oficialice con el acto administrativo el SGSI de CNMH Definir y asignar el Rol Director General Documentación del SGSI 27/02/2015 00:00:00 de Oficial de Seguridad de la Información quien será el responsable por el SGSI - A.12.3.1 Respaldo de la Oficial de Seguridad Política de Generación y 27/02/2015 00:00:00 información Restauración de Copias de Respaldo Entrenar a los Gestión de Talento Política de Generación y 27/02/2015 00:00:00 Responsables de Activos y Humano Restauración de copias de Administradores de respaldo Plataformas en la Política de Generación y Restauración de Copias de Respaldo Probar las copias de Propietario del Activo - Copias de Respaldo 27/02/2015 00:00:00 respaldo existentes, en caso Administrador de la fallido repetir el proceso de Plataforma copia de respaldo correspondiente - A.12.4.2 Protección de la Oficial de Seguridad de la Mecanismos de Control de 30/04/2015 00:00:00 información de registro Información acceso Establecer un Oficial de Seguridad Software de firma digital 30/04/2015 00:00:00 procedimiento de firma digital para los archivos de logs de eventos de las aplicaciones Restringir el acceso Oficial de Seguridad Funcionalidades de las 30/04/2015 00:00:00 a los logs de eventos para los aplicaciones administradores y habilitar dicho acceso a roles exclusivos de auditoría Procedimiento de Oficial de Seguridad Funcionalidades de las 30/04/2015 00:00:00 revisión de logs periódico aplicaciones - A.18.1.3 Protección de Oficial de Seguridad de la Mecanismos de control de 20/03/2015 00:00:00 registros Información acceso Verificar que los Propietario del Activo Global Suite 27/02/2015 00:00:00 registros se encuentren clasificados dentro del Inventario de Activos de Global Suite Aplicar los mecanismos Propietario del Activo - Mecanismos de control de 20/03/2015 00:00:00 de control de acceso con Administrador del software acceso base en la clasificación definida en Global Suite - A.6.1.3 Contacto con las Director Administrativo Documentación del SGSI 27/02/2015 00:00:00 autoridades Definir la lista de Director Administrativo Documentación del SGSI 27/02/2015 00:00:00 Organismos gubernamentales Oficial de Seguridad a las que se debe acudir para reportar incidentes de seguridad de la información con el fin de aplicar los mecanismos legales que apliquen y el apoyo requerido Definir los protocolos Director Administrativo Documentación del SGSI 27/02/2015 00:00:00 que cada entidad tiene Oficial de Seguridad establecidos para el reporte de los correspondientes incidentes de seguridad de la información Mantener un directorio Director Administrativo Listado de Contactos 27/02/2015 00:00:00 actualizado con los funcionarios responsables de atender los requerimientos de la Entidad en cada uno de los Organismos Gubernamentales - A.12.2.1 Controles contra Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00 códigos maliciosos Información Solo se permite la Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00 conexión de un equipo a la Información red siempre y cuando este protegido con un sistema Antimalware actualizado Habilitar la opción Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00 heurística para detección de Información anomalías en el comportamiento Responsabilizar a cada Director de Área Software Antimalware 27/02/2015 00:00:00 usuario por el uso permanente del software antimalware - A.12.6.1 Gestión de las Oficial de Seguridad de la Herramienta de detección 30/06/2015 00:00:00 vulnerabilidades técnicas Información automatizada Selección de las Oficial de Seguridad Presupuesto para el 27/02/2015 00:00:00 herramientas de detección licenciamiento y soporte automatizada de vulnerabilidades Capacitación de los Talento Humano Manual de la Herramienta . 31/03/2015 00:00:00 funcionarios del área de Experto en la Herramienta sistemas en el uso de las herramientas Ejecución del proceso de Oficial de Seguridad Topología de la Red 30/04/2015 00:00:00 detección Análisis de los Oficial de Seguridad Herramienta de detección 30/05/2015 00:00:00 resultados y definición del automatizada proceso de Remediación Aplicación de la Oficial de Seguridad Herramienta de detección 30/06/2015 00:00:00 Remediación con base en el automatizada nivel de Prioridad - A.16.1.1 Responsabilidades Oficial de Seguridad de la Procedimiento de Gestión de 31/03/2015 00:00:00 y procedimientos en la Información Incidentes respuesta a incidentes Definir para cada Responsable del Software Especialista en el software 27/02/2015 00:00:00 software el soporte requerido (Propietario del Activo) en caso de un incidente de seguridad de la información Verificar el cumplimiento Oficial de Seguridad de la Procedimiento de Gestión de 27/02/2015 00:00:00 del Procedimiento de Gestión Información incidentes de incidentes para todo el software en CNMH Verificar los contratos de Director de Sistemas - Documentación del software 31/03/2015 00:00:00 soporte para los especialistas Oficial de Seguridad requeridos por fuera de la Entidad - A.16.1.2 Reporte de eventos Oficial de Seguridad de la Procedimiento de Gestión de 27/02/2015 00:00:00 de seguridad de la Información Incidentes información Responsabilizar a los Director General Acto administrativo 27/02/2015 00:00:00 usuarios en el reporte de eventos de seguridad de la información Configurar la Oficial de Seguridad de la Software Heat 31/03/2015 00:00:00 herramienta de mesa de Información ayuda para dar el tratamiento acorde con el SGSI a los eventos de Seguridad de la Información Entrenamiento y Talento Humano Documentación del SGSI 31/03/2015 00:00:00 Sensibilización a los funcionarios en el reporte de eventos de seguridad Catalogar como Director Administrativo Proceso Disciplinario 27/02/2015 00:00:00 incidente de seguridad la omisión en el reporte de Eventos de Seguridad - A.16.1.3 Reporte de Oficial de Seguridad de la Documentación del SGSI 27/02/2015 00:00:00 debilidades de seguridad de Información la información Responsabilizar a todos Director de Área - Oficial de Procedimiento de Gestión de 27/02/2015 00:00:00 los contratistas y empleados Seguridad de la Incidentes en el reporte de debilidades Información de seguridad de la información observadas o sospechadas en el desarrollo de sus actividades Cursos de renovación en Gestión de Talento Cursos provistos por el 27/02/2015 00:00:00 los aspectos técnicos del Humano Fabricante software manejado Cursos de Oficial de Seguridad de la Información de nuevas 27/02/2015 00:00:00 entrenamiento periódicos Información amenazas y vulnerabilidades sobre temas de seguridad de la Información - A.16.1.4 Evaluación de Oficial de Seguridad de la Documentación de cada 31/03/2015 00:00:00 eventos de seguridad de la Información software de CNMH información y decisiones sobre estos Creación de la base de Oficial de Seguridad Base de Conocimiento 30/05/2015 00:00:00 conocimiento con los incidentes identificados Cada incidente resuelto Oficial de Seguridad Base de conocimiento 30/04/2015 00:00:00 debe definir en la base de conocimiento el tratamiento con el que fue solucionado Solicitar información a Oficial de Seguridad Base de conocimiento 29/05/2015 00:00:00 cada fabricante sobre incidentes de seguridad ocurridos con el software para establecer el mecanismo de tratamiento en la Entidad - A.16.1.5 Respuesta a Oficial de Seguridad de la 30/04/2015 00:00:00 incidentes de seguridad de la Información información Definir los posibles Oficial de Seguridad de la Documentación del 27/02/2015 00:00:00 incidentes de seguridad de la Información - Administrador Fabricante información que se pueden del software detectar con cada uno de los sistemas de seguridad perimetral y equipos activos Definir para cada Oficial de Seguridad de la Documentación del 31/03/2015 00:00:00 incidente la forma en que Información - Administrador Fabricante debe ser detectado y el del software procedimiento de reporte correspondiente Definir para cada tipo de Oficial de Seguridad de la Documentación del 30/04/2015 00:00:00 incidente el proceso de Información - Administrador Fabricante tratamiento y documentación del software que debe seguir - A.16.1.6 Aprendizaje Oficial de Seguridad de la Base de Conocimiento 31/03/2015 00:00:00 obtenido de los incidentes de Información seguridad de la información Establecer los Oficial de Seguridad - Log de eventos - Testimonio 31/03/2015 00:00:00 mecanismos para recopilar Director de Sistemas de los involucrados - toda la información sobre la detección y tratamiento de un incidente Tomar como insumo la Oficial de Seguridad - Base de Conocimiento 29/05/2015 00:00:00 información del punto anterior Director de Sistemas para la Base de conocimiento Solicitar información de Director de Sistemas Documentación del software 29/05/2015 00:00:00 soporte o adicional al Fabricante del software involucrado - A.16.1.7 Recolección de Oficial de Seguridad de la Medios de almacenamiento 29/05/2015 00:00:00 evidencia Información Documentos Establecer la cadena de Oficial de Seguridad Medios de almacenamiento - 30/06/2015 00:00:00 custodia para los incidentes Documentos - Computadores de seguridad catalogados de alto impacto Definir un grupo de Gestión de Talento Procesos de selección 31/03/2015 00:00:00 funcionarios para el manejo Humano de evidencias para análisis forense Entrenar al grupo de Gestión de Talento Metodologías de análisis 29/05/2015 00:00:00 funcionarios para el manejo Humano forense de evidencias para análisis forense - A.6.1.4 Contacto con grupos Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00 de interés especial Información de comunicación, Servidor de Mail Suscripción a Grupos de Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00 Interes Información de comunicación, Servidor de Mail Socializar el Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00 Conocimiento Información de comunicación, Servidor de Mail - A.6.2.1 Política para Oficial de Seguridad de la Política de Dispositivos 27/02/2015 00:00:00 dispositivos móviles Información Móviles Entrenar a los Gestión de Talento Política de dispositivos 27/02/2015 00:00:00 funcionarios en el manejo y Humano Móviles aplicación de la Política de Dispositivos Móviles Reportar incumplimiento Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00 a la Política de dispositivos incidentes Móviles - A.6.2.2 Política de Oficial de Seguridad de la Política de Teletrabajo 27/02/2015 00:00:00 Teletrabajo Información Capacitar a los Gestión de Talento Política de Teletrabajo 27/02/2015 00:00:00 funcionarios en la Política de Humano Teletrabajo Reporte de Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00 incumplimientos a la Política incidentes de Teletrabajo - A.7.1.1 Política de Selección Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00 de personal Humano Establecer como Gestión de Talento Documentos del SGSI 27/02/2015 00:00:00 requisito para el ingreso a la Humano Entidad un conocimiento en el manejo de los Sistemas Operativos y aplicaciones requeridas para el cargo Verificar antecedentes Gestión de Talento Información del Candidato 27/02/2015 00:00:00 que validen la condición Humano idónea del Candidato Establecer como Gestión de Talento Documentos del SGSI 27/02/2015 00:00:00 requisito para el ingreso a la Humano Entidad el conocimiento en el manejo de los conceptos de seguridad de la información requeridos por el SGSI - A.10.1.2 Gestión de llaves Oficial de Seguridad de la Política de llaves 27/02/2015 00:00:00 Información Criptográficas Capacitar a los Gestión de Talento Política de llaves 27/02/2015 00:00:00 funcionarios designados en la Humano Criptográficas Política de llaves Criptográficas del SGSI Aplicar la Política de Oficial de Seguridad Política de llaves 27/02/2015 00:00:00 llaves criptográficas en las Criptográficas aplicaciones de Cifrado y Verificación de Integridad - A.10.1.1 Política sobre el Oficial de Seguridad Procedimiento de Cifrado 27/02/2015 00:00:00 uso de controles Procedimiento de Verificación criptográficos de Integridad Selección del software Oficial de Seguridad Presupuesto para el 27/02/2015 00:00:00 de Cifrado y Verificación de licenciamiento - Integridad implementación - soporte . Entrenamiento Implementación del Oficial de Seguridad Software de Cifrado y 31/03/2015 00:00:00 software de Cifrado y Verificación de Integridad Verificación de Integridad Capacitación a los Oficial de Seguridad Procedimientos de Cifrado y 30/04/2015 00:00:00 funcionarios involucrados en Verificación de Integridad el uso del software seleccionado y los Procedimientos de Cifrado y Verificación de Integridad - A.6.1.5 Seguridad de la Director de cada Área Documentación del SGSI 27/02/2015 00:00:00 Información en Gestión de Proyectos Involucrar al Oficial de Director del Área Documentación del SGSI 27/02/2015 00:00:00 Seguridad de la Información o responsable del Proyecto un funcionario que haga su tarea en cada proyecto desarrollado por la Entidad Cumplir con el Proceso Oficial de Seguridad de la Metodología de Gestión de 27/02/2015 00:00:00 de Gestión de Riesgos de Información Riesgos Seguridad de la Información acorde con la metodología del SGSI Registrar los resultados Oficial de Seguridad de la Global Suite 27/02/2015 00:00:00 de la gestión de riesgos en Información Global Suite Aplicar las políticas del Oficial de Seguridad de la Resultados análisis de 27/02/2015 00:00:00 SGSI con base en el Información riesgos resultado del análisis de riesgos - A.8.2.3 Manejo de activos Propietario del Activo Clasificación del activo de 27/02/2015 00:00:00 información Implementar los Propietario del activo - Documentación del SGSI 31/03/2015 00:00:00 mecanismos de protección Oficial de Seguridad de la acorde con la clasificación del Información activo de información y el resultado del análisis de riesgos Entrenar a los Propietario del activo - Documentación del SGSI 31/03/2015 00:00:00 funcionarios con privilegios de Oficial de Seguridad de la acceso al activo de Información información en las tecnologías, políticas y procedimientos que el SGSI establezca - A.12.1.1 Procedimientos de Área de Planeación Documentación del Sistema 27/02/2015 00:00:00 operación documentados de Gestión de Calidad Mantener la política de Área de Planeación Documentación del Sistema 27/02/2015 00:00:00 documentación basada en el de Gestión de Calidad sistema de Gestión de Calidad para toda la Entidad - A.12.1.2 Gestión de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00 cambios Cambios Capacitar a los Gestión de Talento Política de Gestión de 27/02/2015 00:00:00 funcionarios en la Política de Humano Cambios Gestión de Cambios Verificar el cumplimiento Director de Sistemas Política de Gestión de 27/02/2015 00:00:00 de la Política de Gestión de Cambios Cambios - A.8.3..2 Disposición de los Oficial de Seguridad de la Software de borrado seguro 01/04/2015 00:00:00 medios Información Establecer que todos lo Oficial de Seguridad de la Software de borrado seguro 31/03/2015 00:00:00 medios que en algún Información momento dejen de usarse en un área, proyecto, proceso o por un funcionario y vaya a cambiar su destino sin importar el que este fuese, dicho medio debe pasar por un proceso de borrado seguro con un Software que tenga esta funcionalidad Reportar situaciones en Todos los funcionarios Procedimiento de Gestión de 31/03/2015 00:00:00 las cuales se disponga de Incidentes medios sin que cumplan previamente el proceso de borrado seguro - A.8.3.1 Gestión de medios Oficial de Seguridad de la Procedimiento de Gestión de 22/02/2015 00:00:00 removibles Información medios removibles Capacitar a los Gestión de Talento Procedimiento de Gestión de 27/02/2015 00:00:00 funcionarios y proveedores en Humano medios removibles el Procedimiento de Gestión de medios removibles del SGSI Reportar las anomalías o Todos los Funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00 incumplimientos en el Incidentes Procedimiento de Gestión de medios removibles - A.8.3.3 Transferencia de Director Administrativo Política de Transferencia de 27/02/2015 00:00:00 medios físicos Información Previo a la transferencia Oficial de Seguridad Documentación del SGSI 27/02/2015 00:00:00 de un medio, exigir la protección acorde con la clasificación de la información que se va a enviar Reportar anomalías en Todos los funcionario Procedimiento de Gestión de 27/02/2015 00:00:00 la transferencia de Incidentes información sin la protección definida en el SGSI - A.11.1.1 Perímetro de Director Administrativo Instalaciones 31/03/2015 00:00:00 Seguridad Física Establecer un único Director Administrativo Control de Acceso 31/03/2015 00:00:00 punto de acceso controlado para las sedes. Definir los perímetros Director Administrativo Descripción del Cargo 27/02/2015 00:00:00 físicos en los cuales cada funcionario con base en su rol esta autorizado a permanecer - A.11.1.2 Controles de Director Administrativo Control de acceso Físico 31/03/2015 00:00:00 acceso Físico Establecer el mecanismo Director Administrativo Tarjeta de Identificación 30/04/2015 00:00:00 de acceso a las oficinas de la Entidad únicamente con una tarjeta de identificación Cambiar el control de Director Administrativo Control de acceso biométrico 30/04/2015 00:00:00 acceso biométrico para que cubra también la entrada auxiliar - A.11.1.5 Trabajo en áreas Director Administrativo Procedimiento para trabajo 30/04/2015 00:00:00 seguras en Áreas Seguras Implementar el sistema Director Administrativo Tarjetas de identificación 30/04/2015 00:00:00 de identificación por tarjetas que se establece en el procedimiento de trabajo en Áreas Seguras Capacitar a los Gestión de Talento Procedimiento para trabajo 30/04/2015 00:00:00 funcionarios en el Humano en Áreas Seguras Procedimiento para trabajo en Áreas seguras Responsabilizar a todos Director General Procedimiento para trabajo 30/04/2015 00:00:00 los funcionarios para la en Áreas Seguras aplicación del Procedimiento para trabajo en Áreas Seguras - A.11.2.1 Ubicación y Director Administrativo Instalaciones 30/04/2015 00:00:00 protección de los equipos Responsabilizar a cada Propietario del Activo - Mecanismos de Control de 30/04/2015 00:00:00 Propietario del activo de Dirección Administrativa acceso - Espacios cerrados - hardware o equipo sobre las Aire acondicionado condiciones de protección y ubicación de dicho activo Proveer los mecanismos Dirección Administrativa Mecanismos de Control de 30/04/2015 00:00:00 requeridos para proveer las acceso - Espacios cerrados - condiciones de temperatura, Aire acondicionado humedad relativa, aislamiento, suministro de energía y control de acceso Cumplir con las Propietario del Activo - Documentación del Equipo 31/03/2015 00:00:00 recomendaciones del Dirección Administrativa Fabricante correspondiente en cuanto a la ubicación y protección del hardware o equipo correspondiente - A.11.2.2 Servicios de Director Administrativo UPS 31/03/2015 00:00:00 suministro Establecer un proceso Director Administrativo - UPS - Procedimientos de la 27/02/2015 00:00:00 de medición cada vez que se Director de Sistemas UPS - Procedimientos de conecten nuevos equipos a la apagado seguro UPS para garantizar que el tiempo de suministro entregado, sea el suficiente para cumplir con los procedimientos de apagado controlado. Asignar un responsable Director Administrativo UPS - Procedimientos de la 31/03/2015 00:00:00 para el reporte de cortes de UPS - Procedimientos de nergia y ejecución del apagado seguro apagado seguro en horario no laboral - A.11.2.3 Seguridad del Director Administrativo Cableado 27/02/2015 00:00:00 cableado Recomendaciones del Fabricante Exigir que todo el Director de Sistemas Estándares de cableado 30/05/2015 00:00:00 cableado utilizado en la Entidad, este certificado por una Empresa especializada. Establecer el Director Administrativo Procedimiento de Obra en el 27/02/2015 00:00:00 Procedimiento para que cada edificio vez que se realice cualquier tipo de intervención sobre el edificio, se tomen las medidas para proteger el cableado de voz y datos instalado. Cuando se den cambios Director de Sistemas Estándares de cableado 27/02/2015 00:00:00 en el cableado, se debe exigir nuevamente su certificación - A.11.2.4 Mantenimiento de Director Administrativo Especificaciones del equipos Fabricante Verificar que todos los Director de Sistemas - Especificaciones del 27/02/2015 00:00:00 equipos de la Entidad Director Administrativo Fabricante cuenten con un programa de Mantenimiento acorde con las Especificaciones del Fabricante Verificar que los Director de Sistemas - Especificaciones del 27/02/2015 00:00:00 programas de Mantenimiento Director Administrativo Fabricante estén respaldados por los contratos con las Empresas idoneas. - A.11.2.5 Retiro de activos Director Administrativo Procedimiento de Retiro de 27/02/2015 00:00:00 Activos El propietario del activo Propietario del Activo Formato de retiro de activos 27/02/2015 00:00:00 debe enviar la información al área administrativa previo al retiro de un activo de las instalaciones de la Entidad Implementar la Director Administrativo Formato de retiro de activos 22/01/2015 00:00:00 restricción para que el retiro de equipos, documentos y medios en general solo pueda hacerse con la autorización del propietario del activo - A.11.2.6 Seguridad de Director Administrativo Documentación del SGSI 20/03/2015 00:00:00 equipos y activos fuera de las Especificaciones del instalaciones Fabricante El retiro de un activo de Director Administrativo Documentación del SGSI 27/02/2015 00:00:00 las oficinas de la Entidad solo puede permitirse con la firma de un documento donde se asigne un responsable de la aplicación de los controles especificados en el SGSI para ese activo. - A.11.2.7 Disposición segura Oficial de Seguridad de la Clasificación de la 27/02/2015 00:00:00 o reutilización de equipos Información información contenida en el equipo Los equipos para los que Oficial de Seguridad Clasificación de la 27/02/2015 00:00:00 se defina un cambio de información contenida en el funcionalidad, deben ser equipo evaluados por el Oficial de Seguridad de la Información para determinar si el Disco duro debe ser reemplazado . - A.11.2.8 Equipos de usuario Oficial de Seguridad de la Política de Escritorio limpio y 27/02/2015 00:00:00 desatendido Información pantalla limpia Capacitar a todos los Gestión de Talento Política de Escritorio Limpio y 27/02/2015 00:00:00 funcionarios y proveedores en Humano Pantalla Limpia la Política de Escritorio Limpio y Pantalla Limpia Reportar anomalías al Funcionarios y Política de Escritorio limpio y 27/02/2015 00:00:00 cumplimiento de la Política de Proveedores pantalla limpia Escritorio limpio y pantalla limpia - A.11.2.9 Política de Oficial de Seguridad de la Política de Escritorio Limpio y 27/02/2015 00:00:00 escritorio limpio y pantalla Información Pantalla limpia limpia Capacitar a todos los Gestión de Talento Política de Escritorio limpio y 27/02/2015 00:00:00 funcionarios y proveedores en Humano pantalla limpia la Política de Escritorio limpio y pantalla limpia Reportar cualquier Funcionarios y proveedores Procedimiento de Gestión de 27/02/2015 00:00:00 incumplimiento a la Política Incidentes de Escritorio limpio y pantalla limpia - A.13.1.1 Controles de redes Oficial de Seguridad de la FireWall - IDS - IPS - NAC- 27/02/2015 00:00:00 Información Correlación de eventos Definición de las Oficial de Seguridad de la Firewall 27/02/2015 00:00:00 direcciones IP origen y Información destino, puertos para el trafico autorizado Incluir todas las Oficial de Seguridad de la UTM 27/02/2015 00:00:00 aplicaciones y servicios de Información red en el UTM instalado Establecer la Oficial de Seguridad de la Switches 27/02/2015 00:00:00 segmentación con base en el Información nivel de criticidad de los activos Establecer control de Oficial de Seguridad de la Switches 27/02/2015 00:00:00 acceso por puerto en los Información switches Implementar un sistema Oficial de Seguridad de la NAC 27/02/2015 00:00:00 de Network Access control Información para establecer una postura de seguridad para los equipos que se conecten a la red - A.13.1.2 Seguridad de los Oficial de Seguridad de la FireWall - IDS - IPS - NAC - 29/05/2015 00:00:00 servicios de red Información Analizadores de Protocolos - Módulo de Correlación Implementar un sistema Oficial de Seguridad de la Módulo de Correlación 28/05/2015 00:00:00 de correlación de eventos de Información los sistemas de seguridad perimetral Implementar el uso de Oficial de Seguridad de la Analizador de Protocolos 28/05/2014 00:00:00 analizadores de protocolos Información para seguimiento a reportes de anomalías en la red Establecer patrones de Oficial de Seguridad de la Módulo de Correlación 28/05/2015 00:00:00 comportamiento normal de Información las aplicaciones en la red - A.13.1.3 Separación en las Oficial de Seguridad de la Switches de nivel 3 13/03/2015 00:00:00 redes Información Configurar VLANs para Oficial de Seguridad de la Switches de nivel 3 13/03/2015 00:00:00 crear segmentos de equipos Información con el mismo nivel de criticidad - A.13.2.1 Políticas y Oficial de Seguridad de la Política de Transferencia de 18/04/2015 00:00:00 procedimientos de Información Información transferencia de información Aplicar la Política de Oficial de Seguridad de la Política de Transferencia de 18/04/2015 00:00:00 Transferencia de Información Información Información en los equipos de seguridad perimetral - A.13.2.2 Acuerdos sobre Oficial de Seguridad de la Clasificación de la transferencia de información Información Información Redactar acuerdos para Oficial de Seguridad de la Acuerdo de Transferencia 27/02/2015 00:00:00 exigir los mecanismos de Información protección establecidos en el SGSI para la transferencia de información - A.13.2.3 Mensajería Oficial de Seguridad de la Documentación del SGSI 29/05/2015 00:00:00 electrónica Información Exigir la protección Oficial de Seguridad Clasificación de la 27/03/2015 00:00:00 establecida en el SGSI para Información los datos utilizados en la mensajería electrónica con base en el nivel de su clasificación Implementar los Oficial de Seguridad Algoritmos criptográficos 29/05/2015 00:00:00 algoritmos criptográficos para la protección de los datos utilizados en la mensajería electrónica cuando así lo establezcan las políticas del SGSI. - A.12.4.3 Registros del Oficial de Seguridad de la Logs de eventos 22/01/2015 00:00:00 administrador y del operador Información Habilitar en todas las Oficial de Seguridad de la Logs de eventos 30/01/2015 00:00:00 aplicaciones el registro de Información eventos para todos los usuarios, incluido el administrador Establecer que solo los Oficial de Seguridad de la Logs de eventos 29/05/2015 00:00:00 roles con función de auditoría Información tienen acceso a los logs de eventos - A.12.4.1 Registro de Director de Sistemas Logs de eventos 30/06/2015 00:00:00 eventos Definir dentro de los Oficial de Seguridad Política de Desarrollo Seguro 30/06/2015 00:00:00 requerimientos de seguridad los campos que se requieren para el registro de eventos de acuerdo con la Política de Desarrollo Seguro - A.12.4.2 Protección de la Director de Sistemas Algoritmos criptográficos 30/05/2015 00:00:00 información de registro Implementar un Oficial de Seguridad de la Algoritmos criptográficos 28/05/2015 00:00:00 procedimiento de firma digital Información para validar la integridad de losarchivos de registros de eventos Restringir el acceso de Oficial de Seguridad de la Mecanismos de control de 28/05/2015 00:00:00 los logs de eventos a roles Información acceso con función de auditoría y/o Gestión de incidentes - A.12.4.4 Sincronización de Director de Sistemas Servidor NTP 27/02/2015 00:00:00 relojes No permitir la conexión a Director de Sistemas Servidor NTP 27/02/2015 00:00:00 la red de CNMH ningún equipo que no este sincronizado con el NTP Reportar los equipos que Todos los usuarios Procedimiento de Gestión de 27/02/2015 00:00:00 no estén sincronizados con el Incidentes NTP de CNMH - A.12.5.1 Instalación de Director de Sistemas Procedimiento para 27/02/2015 00:00:00 software en sistemas autorización de instalación de operativos Software Capacitar a los Gestión de Talento Procedimiento para 27/02/2015 00:00:00 funcionarios y proveedores en Humano autorización de instalación de el Procedimiento para Software autorización de instalación de Software Reportar el software que Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00 no cumpla con las Políticas Incidentes del SGSI - A.12.6.2 Restricciones sobre Director de Sistemas Procedimiento para 27/02/2015 00:00:00 la instalación de software autorización de instalación de Software Capacitar a todos los Gestión de Talento Procedimiento para 27/02/2015 00:00:00 funcionarios y proveedores en Humano autorización de instalación de el Procedimiento para Software autorización de instalación de Software Reportar el software que Funcionarios y Procedimiento para 27/02/2015 00:00:00 no cumpla con las políticas Proveedores autorización de instalación de del SGSI Software - A.12.7.1 Controles de Director de Sistemas Planeación de audirorías auditorías de sistemas de información Planear y ejecutar las Director de Sistemas Planeación de auditorias 27/02/2015 00:00:00 labores de auditoría en consenso con los responsables de las operaciones para evitar afectar actividades misionales - A.14.1.1 Análisis y Oficial de Seguridad de la Política de Desarrollo Seguro 13/03/2015 00:00:00 especificación de requisitos Información de software de seguridad de la información Capacitar a los Gestión de Talento Política de Desarrollo Seguro 13/03/2015 00:00:00 funcionarios de Sistemas en Humano de software la Política de Desarrollo de Software Seguro Desarrollar un plan para Director de Sistemas - Política de Desarrollo Seguro 28/08/2015 00:00:00 definir los requisitos de Oficial de Seguridad de la de software seguridad de la información Información del software existente - A.14.1.2 Seguridad de Oficial de Seguridad de la Documentación del SGSI 29/04/2015 00:00:00 servicios de las aplicaciones Información en redes públicas Implementar los Oficial de Seguridad de la Documentación del SGSI 30/04/2015 00:00:00 controles de acceso y Información protección de los datos expuestos en los servicios de red con base en las políticas del SGSI - A.14.2.1 Poítica de Oficial de Seguridad de la Política de Desarrollo Seguro 17/04/2015 00:00:00 desarrollo seguro Información de software Exigir el cumplimiento de Oficial de Seguridad de la Política de Desarrollo Seguro 17/04/2015 00:00:00 la Política de Desarrollo Información de software Seguro de software para todos los sistemas y aplicaciones autorizados en la Entidad - A.14.2.2 Procedimientos de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00 control de cambios en Cambios sistemas Aplicar la Política de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00 Gestión de Cambios en los Cambios sistemas de información y aplicaciones de la Entidad - A.14.2.3 Revisión técnica de Oficial de Seguridad de la Clasificación de la 13/03/2015 00:00:00 las aplicaciones después de Información Información cambios en la plataforma de operación Después de cambios en Oficial de Seguridad de la Clasificación de la 13/03/2015 00:00:00 la plataforma, el Oficial de Información Información Seguridad debe conducir las pruebas para validar que los datos mantengan la protección de la confidencialidad, integridad y disponibilidad con base en el SGSI - A.14.2.7 Desarrollo Oficial de Seguridad Director de Sistemas - Oficial 27/02/2015 00:00:00 contratado externamente de Seguridad de la Información Incluir como requisito en Director de Sistemas - Política de desarrollo seguro 27/02/2015 00:00:00 el desarrollo de software Oficial de Seguridad de la de software contratado externamente el Información cumplimiento de la Política de desarrollo seguro de software - A.14.2.8 Pruebas de Oficial de Seguridad de la Metodología de Ethical 27/02/2015 00:00:00 seguridad de sistemas Información Haking Coordinar la ejecución Oficial de Seguridad de la Metodología de Ethical 27/02/2015 00:00:00 de pruebas de vulnerabilidad Información HAcking y ethical hacking para el software previo a su paso a producción - A.14.2.9 Prueba de Director de Sistemas Protocolos de Pruebas 27/03/2015 00:00:00 aceptación de sistemas Definir con cada Director de Sistemas Protocolo de Pruebas 27/03/2015 00:00:00 fabricante del software existente en la Entidad, los protocolos de pruebas para la aceptación correspondiente previo paso a producción - A.15.1.1 Política de Director Administrativo - Política de seguridad de la 10/04/2015 00:00:00 seguridad de la información Oficial de Seguridad información para relaciones para las relaciones con los con proveedores proveedores Revisar los contratos Director Administrativo Política de seguridad de la 27/02/2015 00:00:00 con los proveedores para información para relaciones verificar el cumplimiento de la con proveedores - Contratos Política de seguridad de la con proveedores información para relaciones con proveedores Verificar con el área Director Administrativo - Nuevos contratos 07/03/2015 00:00:00 legal las modificaciones Experto Jurídico - Oficial de requeridas para las firmas de Seguridad de la las renovaciones y los nuevos Información contratos Definir controles Oficial de Seguridad de la Controles temporales 10/04/2015 00:00:00 temporales para mitigar los Información riesgos asociados con las carencias identificadas en los Contratos con los proveedores - A.15.1.2 Tratamiento de la Oficial de Seguridad de la Política de seguridad de la 13/03/2015 00:00:00 seguridad dentro de los Información información para relaciones acuerdos con proveedores con proveedores Especificar en los Director Administrativo Documentación del SGSI 27/03/2015 00:00:00 acuerdos con los proveedores lo correspondiente a la protección de los activos de información involucrado con base en las Políticas del SGSI Incluir un acuerdo de Director Administrativo Acuerdo de confidencialidad 20/02/2015 00:00:00 confidencialidad Incluir la Política de Director Administrativo Política de Protección de 27/02/2015 00:00:00 Protección de Datos Datos Personales Personales del SGSI - A.15.1.3 Cadena de Director de Sistemas Especificaciones 06/03/2015 00:00:00 suministro de tecnología de deTecnología de Información información y comunicaciones y Comunicaciones de los contratos con los proveedores Verificar que los activos Oficial de Seguridad de la Especificaciones 20/02/2015 00:00:00 de información involucrados Información deTecnología de Información en el servicio de TIC del y Comunicaciones de los proveedor cumplan con los contratos con los controles establecidos en el proveedores Documentación SGSI del SGSI Solicitar los ajustes con Director Administrativo Documentación del SGSI 06/03/2015 00:00:00 base en las carencias identificadas La firma de nuevos Oficial de Seguridad de la Documentación del SGSI 06/03/2015 00:00:00 contratos debe incluir los Información requerimientos de seguridad de la información con base en el SGSI - A.15.2.1 Seguimiento y Director Administrativo Log de eventos Informes 31/03/2015 00:00:00 revisión de los servicios de los proveedores Requerir a los Oficial de Seguridad de la Log de eventos - Informes 27/03/2015 00:00:00 Proveedores los log de Información eventos, estadísticas e informes donde se pueda corroborar el cumplimiento de los requerimientos de seguridad de la información de los activos involucrados en el servicio Incluir en el acuerdo con Oficial de Seguridad de la Política de Gestión de 31/03/2015 00:00:00 los Proveedores el reporte de Información Incidentes incidentes con base en la Política de Gestión de Incidentes del SGSI - A.15.2.2 Gestión de Director Administrativo Política de Gestión de 24/04/2015 00:00:00 cambios en los servicios de Cambios los proveedores Aplicar la Política de Director de Sistemas Política de Gestión de 24/04/2015 00:00:00 Gestión de Cambios del SGSI Cambios en la relación con los proveedores - A.17.1.1 Planificación de la Oficial de Seguridad de la Procedimiento de la 28/05/2015 00:00:00 continuidad de la seguridad Información continuidad de la Seguridad de la información en caso de Contingencia Verificar los Director Administrativo Documentación del Sistema 20/02/2015 00:00:00 requerimientos del Sistema de Gestión de Continuidad de de Gestión de Continuidad CNMH General de CNMH Verificar el cumplimiento Oficial de Seguridad de la Resultados del Análisis de 20/03/2015 00:00:00 de los mecanismos de Información Impacto de Negocio (BIA( respaldo de los Sistemas de Información frente a los resultados del análisis de Impacto de Negocio (BIA) Implementar las mejoras Oficial de Seguridad de la Resultados del Análisis de 22/04/2015 00:00:00 identificadas en la verificación Información Impacto de NEgocio de los requerimientos deducidos del BIA - A.17.1.2 Implementación de Oficial de Seguridad de la Procedimiento de la 30/06/2015 00:00:00 la continuidad de la seguridad Información continuidad de la Seguridad de la información en caso de Contingencia Implementar los Oficial de Seguridad de la Backups - Redundancia - 30/06/2015 00:00:00 mecanismos de Respaldo de Información Sitio Alterno acuerdo con los resultados del Análisis de Impacto de Negocio para cada uno de los Sistemas de Información Ejecutar pruebas para Oficial de Seguridad de la Procedimiento de la 30/06/2015 00:00:00 verificar el cumplimiento del Información continuidad de la Seguridad tiempo de recuperación en caso de Contingencia exigido por los servicios misionales de CNMH - A.17.1.3 Verificación, Oficial de Seguridad de la Procedimiento de la 29/05/2015 00:00:00 revisión y evaluación de la Información continuidad de la Seguridad continuidad de la seguridad en caso de Contingencia de la información Aplicar el Procedimiento Oficial de Seguridad de la Procedimiento de la 29/05/2015 00:00:00 de la continuidad de la Información continuidad de la Seguridad Seguridad en caso de en caso de Contingencia Contingencia para que se mantengan los requerimientos de confidencialidad e integridad para los activos involucrados en el evento de una contingencia Implementar los Oficial de Seguridad de la FireWall - Antimalware - IDS - 29/05/2015 00:00:00 respaldos requeridos para las Información IPS plataformas de seguridad informática en caso de una Contingencia - A.17.2.1 Disponibilidad de Director Administrativo Centro de Datos de CNMH 26/03/2015 00:00:00 las instalaciones de Centro de Datos de terceros procesamiento de información Verificar los contratos de Director Administrativo Contrato con Empresas 27/02/2015 00:00:00 Mantenimiento y atención a especializadas emergencias con los Proveedores de servicios de suministro de Energía, agua, gas y aire acondicionado, para tener la certeza que atienden las situaciones en el tiempo establecido por los resultados del BIA Verificar los contratos de Director Administrativo Contrato con Empresas 26/03/2015 00:00:00 Mantenimiento y atención de especializadas emergencias con los Proveedores de Acceso biométrico, cerraduras, plomería, electricidad, gas, para corroborar que atienden emergencias de acuerdo con los tiempos que los resultados del BIA lo exigen. - A.18.1.1 Identificación de la Director Jurídico Marco Legal Colombiano 27/02/2015 00:00:00 legislación aplicable y los requisitos contractuales Definir la revisión Director Jurídico Metodología de Identificación 30/07/2015 00:00:00 periódica de la legislación y Clasificación de Activos aplicable plasmada en el documento de Metodología de Identificación y Clasificación de Activos - A.18.1.2 Derechos de Director Jurídico Procedimiento de verificación 29/05/2015 00:00:00 propiedad intelectual para el cumplimiento legislativo y regulatorio en cuanto a derechos de Autor Aplicar el Procedimiento Director Jurídico - Oficial de Procedimiento de verificación 13/03/2015 00:00:00 de verificación para el Seguridad de la para el cumplimiento cumplimiento legislativo y Información legislativo y regulatorio en regulatorio en cuanto a cuanto a derechos de Autor derechos de Autor - A.18.1.4 Privacidad y Director Jurídico Política de protección de 20/03/2015 00:00:00 protección de los datos datos personales personales Aplicar la Política de Director Jurídico - Oficial de Política de protección de 20/03/2015 00:00:00 protección de datos Seguridad de la datos personales personales Información - A.18.2.1 Revisión Director Administrativo Empresa Especializada 05/06/2015 00:00:00 independiente de la seguridad Externa de la información Establecer la revisión Director Administrativo Estándares y mejores 29/01/2016 00:00:00 anual por parte de una prácticas de seguridad de la Empresa Especializada información Externa - A.18.2.2 Cumplimiento de Director General Proceso Disciplinario Código 27/02/2015 00:00:00 las políticas y normas de Disciplinario seguridad Gestión requerida para Director General Documentos del SGSI 27/02/2015 00:00:00 cumplir con la socialización y entrenamiento en las Políticas y normas de seguridad de la información Gestión requerida para Director General Proceso Disciplinario 28/01/2015 00:00:00 aplicar el Proceso disciplinario para exigir el cumplimiento de las Políticas y normas de seguridad de la información - A.18.2.3 Revisión del Director de Sistemas Documentación del SGSI 27/03/2015 00:00:00 cumplimiento técnico Verificar que los Director de Sistemas Procedimientos de Cifrado 20/03/2015 00:00:00 sistemas de información y aplicaciones que manejen información que requiera cifrado, que cuente con los controles criptográfiicos que exige el Procedimientos de Cifrado Verificación de los Director de Sistemas Procedimiento de Verificación 20/03/2015 00:00:00 sistemas de información y de Integridad aplicaciones que manejen información que requiera verificación de integridad, que cuenten con los algoritmos de verificación tal como lo específica el Procedimiento de verificación de integridad Verificar que los Director de Sistemas Resultados del BIA 27/03/2015 00:00:00 sistemas de información y aplicaciones cumplan con los niveles de disponibilidad que establece los proceso misionales de CNMH