Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Declaracion de Aplicabilidad
Declaracion de Aplicabilidad
NUMERAL
DEL NOMBRE DEL CONTROL DESCRIPCION
ANEXO
6. ORGANIZAC
Objetivo: Establecer un marco de referencia d
6.1 Organización interna. controlar la implementación y la operación d
información dentro de la organi
Roles y Responsabilidades para la Seguridad de la Se deben definir y asignar todas las responsabi
6.1.1
Información de la Información
7. SEGU
Objetivo: Asegurar que los empleados y contra
7.1 Antes de asumir el empleo responsabilidades y son idóneos en los rol
consideran
9.4 Control de acceso a sistemas y aplicaciones. Objetivo: Evitar el acceso no autorizado a sis
El acceso a la información y a las funciones d
9.4.1 Restricción del acceso a la información. aplicaciones se debe restringir de acuerdo con
acceso.
9.4.5 Control de acceso a código fuente de programas. Se debe restringir el acceso a los códigos fue
11. S
Objetivo: Prevenir el acceso físico no auto
11.1 Áreas seguras interferencia a la información y a las instalacione
información de la organizac
13. SE
15. RE
Seguridad de la información en las relaciones con los Objetivo: Asegurar la protección de los activos
15.1
proveedores sean accesibles a los proveed
Los requisitos de seguridad de la información p
Política de seguridad de la información para las relaciones
15.1.1 asociados con el acceso de proveedores a
con proveedores
organización se deben acordar con estos y se
16. GESTIÓN DE I
Objetivo: Asegurar un enfoque coherente y ef
Gestión de incidentes y mejoras en seguridad de la
16.1 incidentes de seguridad de la información, inc
información
sobre eventos de seguridad y deb
Se evaluará la seguridad de la
información para todos los
Información se debe tratar en la gestión de
X proyectos desarrollados en Manual del SGS
ependientemente del tipo de proyecto.
Finsociual, sin importar la
naturaleza del proyecto
Requisitos previos a la
os antecedentes de todos los candidatos a un
contratación, como visita
n llevar a cabo de acuerdo con las leyes, Estudio de Confiabi
domiciliaria, consultas en paginas
ca pertinentes y deben ser proporcionales a los X Poligrafo
web para conocer antecedentes,
la clasificación de la información a que se va a Revisión de anteced
realizar pruebas de polígrafo y
cceso y a los riesgos percibidos
técnicas
Manual de Funciones y D
atuales con empleados y contratistas deben Conocimiento de las funciones, de Perfiles
abilidades y las de las organización en cuanto a X responsabilidades y autoridades Manual del SGS
eguridad de la información del personal en SGSI Clausula de Confidenc
Contratos de Trab
8. GESTIÓN DE ACTIVOS.
ar los activos organizacionales y definir las
X
lidades de proteccción apropiadas
Inventario y Clasificación
os en el inventario deben tener un propietario X Usuario que responde por el activo
de Información
y usuarios de partes externas deben devolver Todos los empleados deben Procedimiento de Desvi
organización que se encuentren a su cargo al X devolver los activos de información de Personal
su empleo, contrato o acuerdo de los que es responsable Paz y Salvo del Per
La clasificación de la información
e clasificar en función de los requisitos legales,
en Finsocial esta establecida en: Inventario y Clasificación
ceptibilidad a divulgación o a modificación no X
Privada, Semiprivada, Sensible y de Información
autorizada.
Pública
9. CONTROL DE ACCESOS.
ctivos deben revisar los derechos de acceso de Revisión de los derechos de uso de Acta de Reunión Com
X
uarios, a intervalor regulares. los activos de información Seguridad de la Inform
Desactivación de usuarios
de todos los empleados y de usuarios externos
Desactivación de correo corporativo
instalaciones de procesamiento de información
X Desactivación de huella para el Manual del SGS
inar su empleo, contrato o acuerdo o se deben
acceso a areas restringidas
ar cuando se hagan cambios.
Retiro del TAC de acceso al edificio
10. CRIPTOGRAFIA
uso apropiado y eficaz de la criptografía para
ialidad, la autenticidad y/o la integridad de la X
información.
CCTV
Control de Acceso al edificio
plicar seguridad física a oficinas, recintos e Recepcionista
X Manual del SGS
instalaciones. Oficinas con control de acceso
(TICS, Fabrica de Créditos,
Gerencia y Desembolsos)
Procedimiento de trabaj
aplicar procedimientos para trabajo en áreas Permiso de trabajo en el Rack del
X para actividades en ár
seguras. data center
procesamiento de infor
CCTV
untos de acceso tales como áreas de despacho Control de Acceso al edificio
untos en donde pueden entrar personas no Recepcionista
X Manual del SGS
s posible aislarlos de las instalaciones de Oficinas con control de acceso
ormación para evitar el acceso no autorizado. (TICS, Fabrica de Créditos,
Gerencia y Desembolsos)
Realizar el mantenimiento
n mantener correctamente para asegurar su Procedimiento de Mante
X preventivo para el optimo
bilidad e integridad continuas. preventivo y correc
desempeño de los equipos
ministrador y del operador del sistema se deben Log del Sistema Finsonet
X
s se deben proteger y revisar con regularidad. Log Base de Datos Base de datos
Segregación de redes
stionar y controlar para proteger la información
X Uso de 2 firewall Manual del SGS
n sistemas y aplicaciones.
Barracuda WAF
Acuerdos de transferencia de
Manual de políticas de
atar la transferencia segura de información del información
X Procedimiento de Transfe
e la organización y partes externas. Ticket de solicitud de transferencia
Información
de información
Manual de Políticas de
decuadamente la información incluída en la Directrices de Mensajeria
X Procedimiento de Transfe
mensajería electrónica. electronica
Información
temas dentro del ciclo de vida de desarrollo se El software desarrollado cuenta con
Procedimiento de Dis
te el uso de procedimientos formales de control X un controlador de versiones
Desarrollo de Softw
de cambios. llamado BitBucked
Ticket
ad de la información se deben informar a través
X Se reportan a través de tickets Procedimiento de rep
stión apropiados ta pronto como sea posible.
incidentes
Revisión Gerencial
Organigrama
Manual del SGSI
Incumplimiento de Requisitos
Matriz de Comunicaciones
Legales
Participación en foros
Falta de Capacidad de la
Manual del SGSI infraestructura TIC en nuevos
proyectos
Perdida o publicación de
información privada, semiprivada o
sensible
Manual de Políticas del SGSI Perdida o publicación de
información privada, semiprivada o
sensible
Incumplimiento de funciones y
Reglamento Interno de Trabajo
responsabilidades del personal
Perdida o publicación de
Procedimiento Desvinculación del
información privada, semiprivada o
Personal
sensible
Procedimiento de Desvinculación
de Personal
Paz y Salvo del Personal
Procedimiento de Mantenimiento
preventivo y correctivo
Robo o daño de información
Procedimientos de Selección y
Vinculación de Personal
Procedimiento de Desvinculación
de Personal
Finsonet
Infinito
Ingreso de personas no
autorizadas a la red, equipos,
aplicaciones o instalaciones de
Manual del SGSI procesamiento de la información
Procedimiento de Mantenimiento
preventivo y correctivo
Pérdida de la confidencialidad,
autenticidad o integridad de la
Procedimiento de trabajo seguro en información
Data Center
Procedimiento de Diseño y
Desarrollo de Software
Finsonet
Procedimiento de Reporte de
Incidentes
Finsonet
Finsonet
Base de datos
Pérdida de la confidencialidad,
Manual del SGSI autenticidad o integridad de la
información
Procedimiento de Mantenimiento
Preventivo y Correctivo
Procedimiento de Mantenimiento
Preventivo y Correctivo
Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Manual del SGSI
Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Contratos
Acuerdos de confidencialidad y
proteccion de datos
Planificación TICS
Manual del
Procedimiento de Diseño y
Desarrollo de Software
Procedimiento de Diseño y
Desarrollo de Software
Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Informe de pruebas
Procedimiento de Diseño y
Desarrollo de Software
Procedimiento de Diseño y
Desarrollo de Software
Procedimiento de Diseño y
Desarrollo de Software
Procedimiento de Diseño y
Desarrollo de Software
Procedimiento de Diseño y
Desarrollo de Software
Acuerdos de Confidencialidad y
Protección de Datos
Manual de Políticas del SGSI
Acuerdos de Confidencialidad y
Protección de Datos
Procedimiento de reporte de
Incidentes
Manual del SGSI
Ticket
Procedimiento de reporte de
incidentes
Ticket
Procedimiento de reporte de
incidentes Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Procedimiento de reporte de
Incidentes
Registro de Incidentes
Procedimiento de reporte de
Incidentes
Procedimiento de reporte de
Incidentes
Procedimiento de reporte de
Incidentes
Incumplimiento de Requisitos
legales
Listado Maestro de Registros
Procedimiento de Elaboración y
Control de Documentos
legales
Comité de Seguridad de la
Información
Revisión Gerencial