EMarismaSOA ABC Auditoria 2022 20220118

SOA
VERSIÓN EXCLUSIVA ACADÉMICA USO NO COMERCIAL
Proyecto: ABC
Fecha 1/16/22 6:50 a.m.
Fecha Informe: 18/01/2022
Patrón: SNT_08_001 - Patrón General 2013
Responsable: Luz del Carmen Martínez Méndez
Descripción: Empresa de servicios financieros (bancarios)

especializada en afores.
SOA ABC - 18/01/2022
CÓDIGO DOMINIO: [A.5]
NOMBRE DOMINIO: Políticas de Seguridad de la información
CÓDIGO OBJETIVO: [A.5.1]
NOMBRE OBJETIVO: Directrices de gestión de la seguridad de la información
DESCRIPCIÓN: Proporcionar orientación y apoyo a la gestión de seguridad de la

información de acuerdo con los requisitos del negocio, las leyes
y normas pertinentes.
www.emarisma.com - eMarisma IT Risk Management - ©2018 - 2022 eMarisma Shield S.L. All
2
SOA ABC - 18/01/2022
CÓDIGO CONTROL: [A.5.1.1]
NOMBRE CONTROL: Políticas para la seguridad de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:12 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos necesarios y obligatorios que deben ser

observados por los funcionarios de la compañía y en especial por los
encargados de seguridad, para garantizar la confidencialidad, disponibilidad e
integridad de la información que se genera y gestiona dentro de la compañía.
IMPLEMENTACIÓN: Gobierno
RESPONSABLE: Luz del Carmen Martínez
ARCHIVOS ANEXOS
3
SOA ABC - 18/01/2022
NOMBRE CONTROL: Revisión de la política de seguridad de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:12 a.m.
APLICA: SI
DESCRIPCIÓN: Definir plazo y mecanismo para la revisión formal de la política de seguridad y

su actualización periódica, de acuerdo con las necesidades organizacionales
y de ley.
ARCHIVOS ANEXOS
4
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Organización de la seguridad de la información
NOMBRE OBJETIVO: Organización interna
DESCRIPCIÓN: Establecer un marco de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información
dentro de la organización.
5
SOA ABC - 18/01/2022
NOMBRE CONTROL: Roles y responsabilidades en seguridad de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los roles y responsabilidades necesarios para garantizar el

cumplimiento de las disposiciones en materia de seguridad de la información.
IMPLEMENTACIÓN: Estrategia
RESPONSABLE: Pablo Cabrera
ARCHIVOS ANEXOS
6
SOA ABC - 18/01/2022
NOMBRE CONTROL: Segregación de tareas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.
APLICA: SI
DESCRIPCIÓN: Identificar la presencia de conflictos en la implementación de actividades

relacionadas con seguridad de la información y garantizar que estos son
resueltos.
ARCHIVOS ANEXOS
7
SOA ABC - 18/01/2022
NOMBRE CONTROL: Contacto con las autoridades
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.
APLICA: SI
DESCRIPCIÓN: Disponer de un listado de contactos claramente identificados y divulgados a

los interesados, que puedan ser fácilmente ubicados en caso de eventos o
emergencias.
ARCHIVOS ANEXOS
8
SOA ABC - 18/01/2022
NOMBRE CONTROL: Contacto con grupos de interés especial
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.
APLICA: SI
DESCRIPCIÓN: Garantizar la actualización permanente del encargado de seguridad sobre

temas que impactan su labor, mediante su participación activa en foros y
grupos de investigación.
ARCHIVOS ANEXOS
9
SOA ABC - 18/01/2022
NOMBRE CONTROL: Seguridad de la información en la gestión de proyectos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.
APLICA: SI
DESCRIPCIÓN: Asegurar la implementación de los lineamientos y directrices definidos en

materia de seguridad de la información, durante la ejecución de los proyectos
y la prestación de los servicios.
ARCHIVOS ANEXOS
10
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Los dispositivos móviles y el teletrabajo
DESCRIPCIÓN: Garantizar la seguridad en el teletrabajo y en el uso de

dispositivos móviles.
11
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de dispositivos móviles
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:14 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el manejo adecuado de la seguridad de la

información en dispositivos móviles.
IMPLEMENTACIÓN: Procesos
RESPONSABLE: Karina Ugalde
ARCHIVOS ANEXOS
12
SOA ABC - 18/01/2022
NOMBRE CONTROL: Teletrabajo
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:14 a.m.
APLICA: SI
DESCRIPCIÓN: Definir directrices de obligatorio cumplimiento por parte del personal que
eventualmente realiza actividades de tipo laboral fuera de las instalaciones de
la compañía.
ARCHIVOS ANEXOS
13
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Seguridad ligada a los recursos humanos
NOMBRE OBJETIVO: Antes del empleo
DESCRIPCIÓN: Para asegurarse de que los empleados y contratistas entiendan

sus responsabilidades y son adecuados para las funciones para
las que se consideran.
14
SOA ABC - 18/01/2022
NOMBRE CONTROL: Investigación de antecedentes
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:14 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer controles específicos durante el proceso de selección y

contratación del recurso humano, con el fin de asegurar su idoneidad para el
desempeño del cargo y las responsabilidades asociadas en cuanto a
seguridad de la información.
IMPLEMENTACIÓN: Organización
RESPONSABLE: Itzel Segoviano
ARCHIVOS ANEXOS
15
SOA ABC - 18/01/2022
NOMBRE CONTROL: Términos y condiciones del empleo
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:15 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer políticas asociadas a la protección de la seguridad de la

información, que sean de obligatorio cumplimiento para el personal.
ARCHIVOS ANEXOS
16
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Durante el empleo
DESCRIPCIÓN: Asegurar que los empleados y contratistas conozcan y cumplan

con sus responsabilidades en seguridad de la información.
17
SOA ABC - 18/01/2022
NOMBRE CONTROL: Responsabilidades de gestión
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:15 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos necesarios para garantizar que los empleados y
terceros conozcan e implementen sus responsabilidades en gestión de
ARCHIVOS ANEXOS
18
SOA ABC - 18/01/2022
NOMBRE CONTROL: Concienciación, educación y capacitación en seguridad de la

información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:15 a.m.
APLICA: SI
DESCRIPCIÓN: Establece e implementar los mecanismos a través de los cuales la compañía

mantiene capacitado y comprometido a su personal en materia de seguridad
de la información.
ARCHIVOS ANEXOS
19
SOA ABC - 18/01/2022
NOMBRE CONTROL: Proceso disciplinario
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:15 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para la aplicación de sanciones o procesos

disciplinarios asociados a la ocurrencia de incidentes de seguridad.
ARCHIVOS ANEXOS
20
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Finalización del empleo o cambio en el puesto de trabajo
DESCRIPCIÓN: Proteger los intereses de la organización como parte del proceso

de cambio o finalización del empleo.
21
SOA ABC - 18/01/2022
NOMBRE CONTROL: Responsabilidades ante la finalización o cambio
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:15 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el procedimiento para el retiro de permisos y la devolución de

activos y dispositivos cuando finaliza el vínculo laboral de los funcionarios con
la compañía.
ARCHIVOS ANEXOS
22
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Gestión de activos
NOMBRE OBJETIVO: Responsabilidad sobre los activos
DESCRIPCIÓN: Identificar los activos de la organización y definir las

responsabilidades de protección adecuadas.
23
SOA ABC - 18/01/2022
NOMBRE CONTROL: Inventario de activos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:16 a.m.
APLICA: SI
DESCRIPCIÓN: Inventariar los activos de información de la compañía con el objeto de

establecer los controles necesarios para su adecuada protección.
IMPLEMENTACIÓN: Infraestructura
RESPONSABLE: Joanan Sierra
ARCHIVOS ANEXOS
24
SOA ABC - 18/01/2022
NOMBRE CONTROL: Propiedad de los activos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:16 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer la propiedad sobre los activos de información identificados, con el

fin de que las responsabilidades sobre ellos puedan ser monitoreadas
adecuadamente.
ARCHIVOS ANEXOS
25
SOA ABC - 18/01/2022
NOMBRE CONTROL: Uso aceptable de los activos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:16 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para asegurar que los activos de información sean
utilizados de acuerdo con las políticas establecidas por la organización.
ARCHIVOS ANEXOS
26
SOA ABC - 18/01/2022
NOMBRE CONTROL: Devolución de activos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:16 a.m.
APLICA: SI
DESCRIPCIÓN: Definir los mecanismos para realizar la devolución de activos a la compañía.
ARCHIVOS ANEXOS
27
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Clasificación de la información
DESCRIPCIÓN: Asegurar que la información reciba un nivel adecuado de

protección de acuerdo con su importancia para la organización.
28
SOA ABC - 18/01/2022
NOMBRE CONTROL: Clasificación de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:16 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer una clasificación de la información que permita definir claramente

los controles para garantizar su seguridad, disponibilidad e integridad.
ARCHIVOS ANEXOS
29
SOA ABC - 18/01/2022
NOMBRE CONTROL: Etiquetado de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer un mecanismo para etiquetar la información considerada como

confidencial con el objetivo de poder identificarla fácilmente.
ARCHIVOS ANEXOS
30
SOA ABC - 18/01/2022
NOMBRE CONTROL: Manipulado de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios para el manejo de la información de

acuerdo con su clasificación.
ARCHIVOS ANEXOS
31
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Manipulación de los soportes
DESCRIPCIÓN: Evitar la revelación, modificación, eliminación o destrucción no

autorizadas de la información almacenada en soportes.
32
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de soportes extraíbles
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el uso de soportes extraíbles con el fin de

prevenir la modificación, destrucción o pérdida de información confidencial.
ARCHIVOS ANEXOS
33
SOA ABC - 18/01/2022
NOMBRE CONTROL: Eliminación de soportes
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Definir los mecanismos para asegurar el borrado seguro de información

confidencial.
ARCHIVOS ANEXOS
34
SOA ABC - 18/01/2022
NOMBRE CONTROL: Soportes físicos en tránsito
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el manejo de soportes físicos con información

organizacional que van fuera de la organización.
ARCHIVOS ANEXOS
35
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Control de acceso
NOMBRE OBJETIVO: Requisitos de negocio para el control de acceso
DESCRIPCIÓN: Limitar el acceso a los recursos de tratamiento de información y

a la información.
36
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de control de acceso
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para el control de acceso físico y virtual a los
sistemas utilizados por la compañía, con el fin de garantizar la seguridad de la
información que en ellos se maneja.
ARCHIVOS ANEXOS
37
SOA ABC - 18/01/2022
NOMBRE CONTROL: Acceso a las redes y a los servicios de red
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los permisos necesarios para garantizar el acceso

controlado de los usuarios autorizados a redes y recursos de red de la
compañía.
ARCHIVOS ANEXOS
38
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Gestión de acceso de usuario
DESCRIPCIÓN: Garantizar el acceso de usuarios autorizados y evitar el acceso

no autorizado a los sistemas y servicios.
39
SOA ABC - 18/01/2022
NOMBRE CONTROL: Registro y baja de usuario
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:17 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios y los lineamientos requeridos para

el registro y la baja de usuarios de los sistemas informáticos de la compañía.
ARCHIVOS ANEXOS
40
SOA ABC - 18/01/2022
NOMBRE CONTROL: Provisión de acceso de usuario
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios y los lineamientos requeridos para

dar permisos de acceso a los usuarios de los sistemas informáticos de la
compañía.
ARCHIVOS ANEXOS
41
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de privilegios de acceso
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para gestionar los privilegios de acceso a
la información de la compañía.
ARCHIVOS ANEXOS
42
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de la información secreta de autenticación de los

usuarios
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Contar con un procedimiento documentado e implementado para la gestión

segura de contraseñas.
ARCHIVOS ANEXOS
43
SOA ABC - 18/01/2022
NOMBRE CONTROL: Revisión de los derechos de acceso de usuario
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para asegurar que los permisos otorgados a los
usuarios permanecen vigentes y, en caso de que no sea así, para
implementar las medidas necesarias de manera oportuna.
ARCHIVOS ANEXOS
44
SOA ABC - 18/01/2022
NOMBRE CONTROL: Retirada o reasignación de los derechos de acceso
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Los derechos de acceso de todos los empleados y terceras partes, a la

información y a los recursos de tratamiento de la información deben ser
retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados
en caso de cambio.
ARCHIVOS ANEXOS
45
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Responsabilidades de usuario
DESCRIPCIÓN: Para que los usuarios se hagan responsables de salvaguardar

su información de autenticación.
46
SOA ABC - 18/01/2022
NOMBRE CONTROL: Uso de la información secreta de autenticación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Definir y asegurar su divulgación e implementación, una política que garantice

el uso seguro de la información de autenticación de los usuarios de los
sistemas de información de la compañía.
ARCHIVOS ANEXOS
47
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Control de acceso a sistemas y aplicaciones
DESCRIPCIÓN: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
48
SOA ABC - 18/01/2022
NOMBRE CONTROL: Restricción del acceso a la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos que aseguren solamente el acceso autorizado a los

sistemas de información de la compañía.
ARCHIVOS ANEXOS
49
SOA ABC - 18/01/2022
NOMBRE CONTROL: Procedimientos seguros de inicio de sesión
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos necesarios para garantizar inicios de sesión

seguros en los aplicativos organizacionales.
ARCHIVOS ANEXOS
50
SOA ABC - 18/01/2022
NOMBRE CONTROL: Sistema de gestión de contraseñas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Definir los mecanismo y medios para asegurar la gestión segura de las
contraseñas de manera que se garantice que solo el usuario la conoce y que
la cambia periódicamente.
ARCHIVOS ANEXOS
51
SOA ABC - 18/01/2022
NOMBRE CONTROL: Uso de utilidades con privilegios
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer políticas asociadas al uso seguro de utilidades en los sistemas

para garantizar que no sean accedidas o modificadas sin autorización.
ARCHIVOS ANEXOS
52
SOA ABC - 18/01/2022
NOMBRE CONTROL: Control de acesso al código fuente de los programas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:18 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar el acceso controlado al código fuente

de las aplicaciones organizacionales
ARCHIVOS ANEXOS
53
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Criptografía
NOMBRE OBJETIVO: Controles criptográficos
DESCRIPCIÓN: Garantizar un uso adecuado y eficaz de la criptografía para

proteger la confidencialidad, autenticidad y / o integridad de la
información.
54
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de uso de los controles criptográficos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:19 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer una política organizacional para el uso de información criptográfica

con el objeto de asegurar su confidencialidad, autenticidad e integridad.
IMPLEMENTACIÓN: Métodos
RESPONSABLE: Antonio Márquez
ARCHIVOS ANEXOS
55
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de claves
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Definir el mecanismo para garantizar la seguridad y restricción de acceso a

las claves de información criptográfica.
ARCHIVOS ANEXOS
56
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Seguridad física y del entorno
NOMBRE OBJETIVO: Áreas seguras
DESCRIPCIÓN: Prevenir el acceso físico no autorizado, los daños e interferencia

a la información de la organización y a los recursos de
tratamiento de la información.
57
SOA ABC - 18/01/2022
NOMBRE CONTROL: Perímetro de seguridad física
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Identificar los perímetros de seguridad de la compañía con el fin de definir

controles que garanticen su protección.
ARCHIVOS ANEXOS
58
SOA ABC - 18/01/2022
NOMBRE CONTROL: Controles físicos de entrada
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para proteger los perímetros de seguridad
definidos de accesos no autorizados.
ARCHIVOS ANEXOS
59
SOA ABC - 18/01/2022
NOMBRE CONTROL: Seguridad de oficinas, despachos y recursos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para garantizar la seguridad de las

instalaciones de la compañía.
ARCHIVOS ANEXOS
60
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección contra las amenazas externas y ambientales
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para minimizar las amenazas externas y ambientales que
puedan afectar los activos de información de la compañía.
ARCHIVOS ANEXOS
61
SOA ABC - 18/01/2022
NOMBRE CONTROL: El trabajo en áreas seguras
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer políticas para el trabajo en áreas seguras.
ARCHIVOS ANEXOS
62
SOA ABC - 18/01/2022
NOMBRE CONTROL: Áreas de carga y descarga
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:20 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer las áreas en las cuales estará permitida la carga y descarga de
información en medio físico.
ARCHIVOS ANEXOS
63
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Seguridad de los equipos
DESCRIPCIÓN: Evitar la pérdida, daño, robo o el compromiso de los activos y la

interrupción de las operaciones de la organización.
64
SOA ABC - 18/01/2022
NOMBRE CONTROL: Emplazamiento y protección de equipos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer las medidas de control necesarias para evitar la pérdida, robo o
daño de los equipos que contienen información de la compañía.
ARCHIVOS ANEXOS
65
SOA ABC - 18/01/2022
NOMBRE CONTROL: Instalaciones de suministro
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Asegurar el suministro eléctrico necesario para el adecuado funcionamiento

de los equipos y la protección de estos contra altas tensiones eléctricas.
ARCHIVOS ANEXOS
66
SOA ABC - 18/01/2022
NOMBRE CONTROL: Seguridad del cableado
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer las características de seguridad del cableado de red y eléctrica de

la compañía.
ARCHIVOS ANEXOS
67
SOA ABC - 18/01/2022
NOMBRE CONTROL: Mantenimiento de los equipos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar los lineamientos para el mantenimiento preventivo de

los equipos.
ARCHIVOS ANEXOS
68
SOA ABC - 18/01/2022
NOMBRE CONTROL: Retirada de materiales propiedad de la empresa
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para controlar el retiro de materiales propios de la

compañía.
ARCHIVOS ANEXOS
69
SOA ABC - 18/01/2022
NOMBRE CONTROL: Seguridad de los equipos fuera de las instalaciones
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar la seguridad de la información

contenida en los equipos que se mantienen fuera de las instalaciones de la
compañía.
ARCHIVOS ANEXOS
70
SOA ABC - 18/01/2022
NOMBRE CONTROL: Reutilización o eliminación segura de equipos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Definir lineamientos relacionados con la reutilización y eliminación segura de

información contenida en los equipos a cargo de la compañía.
ARCHIVOS ANEXOS
71
SOA ABC - 18/01/2022
NOMBRE CONTROL: Equipo de usuario desatendido
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer controles para garantizar que los equipos desatendidos no queden
disponibles para ser manipulados por usuarios no autorizados.
ARCHIVOS ANEXOS
72
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de puesto de trabajo despejado y pantalla limpia
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:21 a.m.
APLICA: SI
DESCRIPCIÓN: Definir políticas de puesto de trabajo despejado y pantalla limpia con el fin de
evitar acceso no controlado a información confidencial.
ARCHIVOS ANEXOS
73
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Seguridad de las operaciones
NOMBRE OBJETIVO: Procedimientos y responsabilidades operacionales
DESCRIPCIÓN: Asegurar el funcionamiento correcto y seguro de las

instalaciones de tratamiento de la información.
74
SOA ABC - 18/01/2022
NOMBRE CONTROL: Documentación de procedimientos de la operación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Contar con procedimientos documentados sobre el establecimiento de los

ambientes necesarios para la operación y su control con miras a proteger la
información que allí se trata y genera.
ARCHIVOS ANEXOS
75
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de cambios
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para controlar los cambios en los ambientes que se
utilizan para la operación, minimizando así el impacto de dichos cambios en
la compañía.
ARCHIVOS ANEXOS
76
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de capacidades
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los mecanismos necesarios para gestionar las

capacidades de los servidores en los que se aloja la información corporativa,
con el objeto de asegurar su correcto funcionamiento y prever fallos.
ARCHIVOS ANEXOS
77
SOA ABC - 18/01/2022
NOMBRE CONTROL: Separación de los recursos de desarrollo, prueba y operación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para separar los recursos de desarrollo, prueba y
operación con el fin de evitar accesos o cambios no intencionales.
ARCHIVOS ANEXOS
78
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Protección contra el software malicioso
DESCRIPCIÓN: Asegurar que los recursos de tratamiento de información y la

información están protegidos contra el malware.
79
SOA ABC - 18/01/2022
NOMBRE CONTROL: Controles contra el código malicioso
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para asegurar la protección de la

información contra código malicioso.
IMPLEMENTACIÓN: Método
ARCHIVOS ANEXOS
80
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Copias de seguridad
DESCRIPCIÓN: Evitar la pérdida de datos.
81
SOA ABC - 18/01/2022
NOMBRE CONTROL: Copias de seguridad de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:22 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para asegurarla generación de copias de

seguridad que respalden la información contenida en los repositorios de la
compañía.
IMPLEMENTACIÓN: Método
ARCHIVOS ANEXOS
82
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Registros y supervisión
DESCRIPCIÓN: -
83
SOA ABC - 18/01/2022
NOMBRE CONTROL: Registro de eventos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Definir mecanismos eficientes para disponer del registro de los eventos en los
sistemas y servidores de la compañía.
ARCHIVOS ANEXOS
84
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección de la información de registro
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para asegurar que no haya acceso no autorizado a los
logs de los sistemas operativos.
ARCHIVOS ANEXOS
85
SOA ABC - 18/01/2022
NOMBRE CONTROL: Registros de administración y operación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer políticas para asegurar que los administradores y auditores de

sistemas de información no puedan manipular los registros y trazas de la
información.
ARCHIVOS ANEXOS
86
SOA ABC - 18/01/2022
NOMBRE CONTROL: Sincronización del reloj
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Sincronizar los relojes de los diferentes servidores y estaciones de trabajo

con el objeto de poder disponer de evidencias de trazabilidad y no repudio en
caso de requerirse.
ARCHIVOS ANEXOS
87
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Control del software en explotación
DESCRIPCIÓN: Asegurar la integridad del software en explotación.
88
SOA ABC - 18/01/2022
NOMBRE CONTROL: Instalación del software en explotación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para la instalación y control del software instalado en las
estaciones de trabajo y servidores de la compañía.
IMPLEMENTACIÓN: Aplicaciones
RESPONSABLE: Yessica Bonilla
ARCHIVOS ANEXOS
89
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Gestión de la vulnerabilidad técnica
DESCRIPCIÓN: Reducir los riesgos resultantes de la explotación de las

vulnerabilidades técnicas.
90
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de las vulnerabilidades técnicas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los mecanismos de control necesarios para analizar

el software antes de su instalación.
ARCHIVOS ANEXOS
91
SOA ABC - 18/01/2022
NOMBRE CONTROL: Restricción en la instalación de software
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para restringir el proceso de instalación del

software que genera riesgo para la operación de la compañía.
ARCHIVOS ANEXOS
92
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Consideraciones sobre la auditoria de sistemas de información
DESCRIPCIÓN: Minimizar el impacto de las actividades de auditoría en los

sistemas operativos.
93
SOA ABC - 18/01/2022
NOMBRE CONTROL: Controles de auditoría de sistemas de información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:23 a.m.
APLICA: SI
DESCRIPCIÓN: Implementar, de manera planificada, auditorías a los sistemas de información

internos de la compañía.
ARCHIVOS ANEXOS
94
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Seguridad de las comunicaciones
NOMBRE OBJETIVO: Gestión de la seguridad de redes
DESCRIPCIÓN: Asegurar la protección de la información en las redes y los

recursos de tratamiento de la información.
95
SOA ABC - 18/01/2022
NOMBRE CONTROL: Controles de red
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer controles sobre la red corporativa, con el objeto de mantenerla

protegida y disponible.
ARCHIVOS ANEXOS
96
SOA ABC - 18/01/2022
NOMBRE CONTROL: Seguridad de los servicios de red
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Identificar los servicios de red que emplea la compañía, así como los ANS
para cada uno, con el objeto de garantizar su seguridad y disponibilidad.
ARCHIVOS ANEXOS
97
SOA ABC - 18/01/2022
NOMBRE CONTROL: Segregación de las redes
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Determinar la segregación de redes que utiliza la compañía y sus niveles de

seguridad.
ARCHIVOS ANEXOS
98
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Intercambio de información
DESCRIPCIÓN: Mantener la seguridad en la información que se transfiere dentro

de una organización y con cualquier entidad externa.
99
SOA ABC - 18/01/2022
NOMBRE CONTROL: Políticas y procedimientos de intercambio de información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer y divulgar lineamientos asociados a la seguridad en el intercambio

de información, tanto a nivel interno como con terceros y contratistas.
ARCHIVOS ANEXOS
100
SOA ABC - 18/01/2022
NOMBRE CONTROL: Acuerdos de intercambio de información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer acuerdos para el intercambio de información con funcionarios y

terceros.
ARCHIVOS ANEXOS
101
SOA ABC - 18/01/2022
NOMBRE CONTROL: Mensajería electrónica
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar procedimientos para el uso de mensajería

electrónica.
ARCHIVOS ANEXOS
102
SOA ABC - 18/01/2022
NOMBRE CONTROL: Acuerdos de confidencialidad o no revelación
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:24 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer acuerdos de confidencialidad con las partes interesadas para

garantizar la no revelación de la información de la compañía.
ARCHIVOS ANEXOS
103
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Adquisición, desarrollo y mantenimiento de los sistemas de

información
NOMBRE OBJETIVO: Requerimientos de seguridad en sistemas de información
DESCRIPCIÓN: Garantizar que la seguridad de la información sea parte integral

de los sistemas de información a través de todo el ciclo de vida.
Esto también incluye los requisitos para los sistemas de
información que proporcionan los servicios a través de redes
públicas.
104
SOA ABC - 18/01/2022
NOMBRE CONTROL: Análisis de requisitos y especificaciones de seguridad de la

información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar requisitos de seguridad para los aplicativos que la

compañía construye durante todo su ciclo de vida.
ARCHIVOS ANEXOS
105
SOA ABC - 18/01/2022
NOMBRE CONTROL: Asegurar los servicios de aplicaciones en redes públicas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para asegurar los servicios de aplicaciones que

emplea la compañía.
ARCHIVOS ANEXOS
106
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección de las transacciones de servicios de aplicaciones
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para proteger las transacciones de servicios de

aplicaciones que realiza la compañía.
ARCHIVOS ANEXOS
107
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Seguridad en el desarrollo y en los procesos de soporte
DESCRIPCIÓN: Garantizar la seguridad de la información que se ha diseñado e

implementado en el ciclo de vida de desarrollo de sistemas de
información.
108
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de desarrollo seguro
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar políticas de desarrollo seguro que serán empleadas

en la construcción y mantenimiento del software.
ARCHIVOS ANEXOS
109
SOA ABC - 18/01/2022
NOMBRE CONTROL: Procedimiento de control de cambios en sistemas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar un procedimiento para gestionar los cambios en los

sistemas de información que la empresa desarrolla y mantiene.
ARCHIVOS ANEXOS
110
SOA ABC - 18/01/2022
NOMBRE CONTROL: Revisión técnica de las aplicaciones tras efectuar cambios en el

sistema operativo
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Implementar un mecanismo para asegurar el correcto funcionamiento de las

aplicaciones después de implementar cambios en los sistemas operativos.
ARCHIVOS ANEXOS
111
SOA ABC - 18/01/2022
NOMBRE CONTROL: Restricciones a los cambios en los paquetes de software
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar que los cambios en el software

instalado son analizados y autorizados antes de su implementación.
ARCHIVOS ANEXOS
112
SOA ABC - 18/01/2022
NOMBRE CONTROL: Principios de ingeniería de sistemas seguros
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer e implementar un ciclo de desarrollo de software basado en las

mejores prácticas del mercado.
ARCHIVOS ANEXOS
113
SOA ABC - 18/01/2022
NOMBRE CONTROL: Entorno de desarrollo seguro
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:25 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer medidas para asegurar un entorno de desarrollo seguro.
ARCHIVOS ANEXOS
114
SOA ABC - 18/01/2022
NOMBRE CONTROL: Externalización del desarrollo de software
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para controlar el trabajo y entregables

contratados externamente.
ARCHIVOS ANEXOS
115
SOA ABC - 18/01/2022
NOMBRE CONTROL: Pruebas funcionales de seguridad de sistemas
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Implementar la realización de pruebas funcionales de seguridad a los

aplicativos antes de su liberación al usuario.
ARCHIVOS ANEXOS
116
SOA ABC - 18/01/2022
NOMBRE CONTROL: Pruebas de aceptación de sistemas.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Implementar una metodología estándar para la ejecución de pruebas de

aceptación de los sistemas o aplicativos.
ARCHIVOS ANEXOS
117
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Datos de prueba
DESCRIPCIÓN: Asegurar la protección de los datos de prueba.
118
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección de los datos de prueba
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para proteger los datos de prueba

entregados por el cliente, con el objetivo de prevenir problemas legales a
futuro.
ARCHIVOS ANEXOS
119
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Relación con proveedores
NOMBRE OBJETIVO: Seguridad en las relaciones con proveedores
DESCRIPCIÓN: Asegurar la protección de los activos de la organización que

sean accesibles a los proveedores.
120
SOA ABC - 18/01/2022
NOMBRE CONTROL: Política de seguridad de la información en las relaciones con los

proveedores
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Asegurar los mecanismos empleados por los proveedores para proteger la
información organizacional a la cual tienen acceso.
ARCHIVOS ANEXOS
121
SOA ABC - 18/01/2022
NOMBRE CONTROL: Requisitos de seguridad en contratos con terceros
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos de seguridad mínimos para los terceros, con el objeto
de proteger la información corporativa a la cual tienen acceso.
ARCHIVOS ANEXOS
122
SOA ABC - 18/01/2022
NOMBRE CONTROL: Cadena de suministro de tecnología de la información y de las

comunicaciones
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer requisitos mínimos de seguridad exigidos a terceros y proveedores

que tienen acceso a la información corporativa.
ARCHIVOS ANEXOS
123
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Gestión de la provisión de servicios del proveedor
DESCRIPCIÓN: Mantener un nivel acordado de seguridad y de provisión de

servicios en línea con acuerdos con proveedores.
124
SOA ABC - 18/01/2022
NOMBRE CONTROL: Control y revisión de la provisión de servicios del proveedor
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Definir y evaluar el nivel de cumplimiento de los criterios de seguridad de la

información establecidos para la contratación de proveedores.
ARCHIVOS ANEXOS
125
SOA ABC - 18/01/2022
NOMBRE CONTROL: Gestión de cambios en la provisión del servicio del proveedor
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:26 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para modificar los criterios de selección de

proveedores, en materia de seguridad de la información, cuando se presenten
cambios en los requisitos o bajo desempeño.
ARCHIVOS ANEXOS
126
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Gestión de incidentes de seguridad de la información
NOMBRE OBJETIVO: Gestión de incidentes de seguridad de la información y mejoras
DESCRIPCIÓN: Asegurar un enfoque coherente y eficaz para la gestión de

incidentes de seguridad de la información, incluida la
comunicación de eventos de seguridad y debilidades.
127
SOA ABC - 18/01/2022
NOMBRE CONTROL: Responsabilidades y procedimientos
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:27 a.m.
APLICA: SI
DESCRIPCIÓN: Documentar y divulgar el procedimiento para la gestión de incidentes de

ARCHIVOS ANEXOS
128
SOA ABC - 18/01/2022
NOMBRE CONTROL: Notificación de los eventos de seguridad de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:27 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para notificar al responsable sobre los incidentes de

ARCHIVOS ANEXOS
129
SOA ABC - 18/01/2022
NOMBRE CONTROL: Notificación de puntos débiles de la seguridad
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:27 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer un mecanismo para notificar sobre aquellas situaciones que

pueden llegar a convertirse en incidentes de seguridad de la información con
impacto sobre la organización.
ARCHIVOS ANEXOS
130
SOA ABC - 18/01/2022
NOMBRE CONTROL: Evaluación y decisión sobre los eventos de seguridad de

información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:27 a.m.
APLICA: SI
DESCRIPCIÓN: Definir una metodología para la gestión de los incidentes de seguridad de la

información.
ARCHIVOS ANEXOS
131
SOA ABC - 18/01/2022
NOMBRE CONTROL: Respuesta a incidentes de seguridad de la información
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:27 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para seleccionar los planes de acción que se

implementarán sobre los incidentes de seguridad.
ARCHIVOS ANEXOS
132
SOA ABC - 18/01/2022
NOMBRE CONTROL: Aprendizaje de los incidentes de seguridad de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Definir los medios para generar aprendizaje a partir del análisis de los
incidentes de seguridad reportados y sus causas.
ARCHIVOS ANEXOS
133
SOA ABC - 18/01/2022
NOMBRE CONTROL: Recopilación de evidencias
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para resguardar las evidencias de la gestión de

incidentes de seguridad de la información.
ARCHIVOS ANEXOS
134
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Aspectos de seguridad de la información para la gestión de la

continuidad del negocio
NOMBRE OBJETIVO: Continuidad de la seguridad de la información
DESCRIPCIÓN: La continuidad de la seguridad de la información debe formar

parte de los sistemas de gestión de continuidad de negocio de la
organización.
135
SOA ABC - 18/01/2022
NOMBRE CONTROL: Planificación de la continuidad de la seguridad de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer un plan de continuidad de seguridad de la información que le

permita a la compañía estar preparado frente a contingencias relacionadas
con sus activos.
ARCHIVOS ANEXOS
136
SOA ABC - 18/01/2022
NOMBRE CONTROL: Implementar la continuidad de la seguridad de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Implementar los mecanismos definidos para garantizar la continuidad de la

seguridad de la información en la operación de la compañía.
ARCHIVOS ANEXOS
137
SOA ABC - 18/01/2022
NOMBRE CONTROL: Verificación, revisión y evaluación de la continuidad de la

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para probar la efectividad del Plan de Contingencia

y Continuidad del Negocio (Seguridad de la Información).
ARCHIVOS ANEXOS
138
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Redundancias
DESCRIPCIÓN: Los recursos de tratamiento de la información deben ser

implementados con la redundancia suficiente para satisfacer los
requisitos de disponibilidad.
139
SOA ABC - 18/01/2022
NOMBRE CONTROL: Disponibilidad de los recursos de tratamiento de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Identificar los recursos redundantes requeridos para el correcto

funcionamiento de los sistemas corporativos.
ARCHIVOS ANEXOS
140
SOA ABC - 18/01/2022
NOMBRE DOMINIO: Cumplimiento
NOMBRE OBJETIVO: Cumplimiento de los requisitos legales y contractuales
DESCRIPCIÓN: Evitar incumplimientos de las obligaciones legales, estatutarias,

reglamentarias o contractuales relativas a la seguridad de la
información o de los requisitos de seguridad.
141
SOA ABC - 18/01/2022
NOMBRE CONTROL: Identificación de la legislación aplicable y de los requisitos

contractuales.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Identificar la legislación en materia de seguridad de la información que aplica

a la compañía.
ARCHIVOS ANEXOS
142
SOA ABC - 18/01/2022
NOMBRE CONTROL: Derechos de propiedad intelectual (DPI)
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar los mecanismos para garantiza el respeto por los
derechos de propiedad intelectual.
ARCHIVOS ANEXOS
143
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección de los registros de la organización.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos eficientes para resguardar los registros generados

por la organización y aquellos suministrados por el cliente.
ARCHIVOS ANEXOS
144
SOA ABC - 18/01/2022
NOMBRE CONTROL: Protección y privacidad de la información de carácter personal.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:28 a.m.
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para garantizar la protección y el correcto

manejo de los datos personales que le son suministrados a la compañía, por
parte de todos los grupos de interés.
ARCHIVOS ANEXOS
145
SOA ABC - 18/01/2022
NOMBRE CONTROL: Regulación de los controles criptográficos.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:29 a.m.
APLICA: SI
DESCRIPCIÓN: Regular el uso de firmas digitales y certificados con el objeto de garantizar

que estos son empleados solo para el uso autorizado.
ARCHIVOS ANEXOS
146
SOA ABC - 18/01/2022
NOMBRE OBJETIVO: Revisiones de la seguridad de la información
DESCRIPCIÓN: Garantizar que la seguridad de la información se implementa y

opera de acuerdo con las políticas y procedimientos de la
organización.
147
SOA ABC - 18/01/2022
NOMBRE CONTROL: Revisión independiente de la seguridad de la información.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:29 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para implementar una revisión independiente acerca

del cumplimiento con de los requisitos establecidos en el SGSI de la
compañía.
ARCHIVOS ANEXOS
148
SOA ABC - 18/01/2022
NOMBRE CONTROL: Cumplimiento de las políticas y normas de seguridad.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:29 a.m.
APLICA: SI
DESCRIPCIÓN: Asegurar que las políticas y procedimientos establecidos por la compañía, en

materia de seguridad de la información, son entendidos por todo el personal e
implementados adecuadamente.
ARCHIVOS ANEXOS
149
SOA ABC - 18/01/2022
NOMBRE CONTROL: Comprobación del cumplimiento técnico.
FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:29 a.m.
APLICA: SI
DESCRIPCIÓN: Establecer los medios a través de los cuales la compañía evalúa el nivel de
cumplimiento del SGSI y valida su conformidad y pertinencia.
ARCHIVOS ANEXOS
150

EMarismaSOA ABC Auditoria 2022 20220118

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EMarismaSOA ABC Auditoria 2022 20220118

Cargado por

Copyright:

Formatos disponibles

SOA

VERSIÓN EXCLUSIVA ACADÉMICA USO NO COMERCIAL

Fecha 1/16/22 6:50 a.m.

Fecha Informe: 18/01/2022

Patrón: SNT_08_001 - Patrón General 2013

Responsable: Luz del Carmen Martínez Méndez

Descripción: Empresa de servicios financieros (bancarios)

CÓDIGO DOMINIO: [A.5]

NOMBRE DOMINIO: Políticas de Seguridad de la información

CÓDIGO OBJETIVO: [A.5.1]

NOMBRE OBJETIVO: Directrices de gestión de la seguridad de la información

DESCRIPCIÓN: Proporcionar orientación y apoyo a la gestión de seguridad de la

CÓDIGO CONTROL: [A.5.1.1]

NOMBRE CONTROL: Políticas para la seguridad de la información

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:12 a.m.

DESCRIPCIÓN: Establecer los lineamientos necesarios y obligatorios que deben ser

RESPONSABLE: Luz del Carmen Martínez

CÓDIGO CONTROL: [A.5.1.2]

NOMBRE CONTROL: Revisión de la política de seguridad de la información

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:12 a.m.

DESCRIPCIÓN: Definir plazo y mecanismo para la revisión formal de la política de seguridad y

RESPONSABLE: Luz del Carmen Martínez

CÓDIGO DOMINIO: [A.6]

NOMBRE DOMINIO: Organización de la seguridad de la información

CÓDIGO OBJETIVO: [A.6.1]

NOMBRE OBJETIVO: Organización interna

DESCRIPCIÓN: Establecer un marco de gestión para iniciar y controlar la

CÓDIGO CONTROL: [A.6.1.1]

NOMBRE CONTROL: Roles y responsabilidades en seguridad de la información

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.

DESCRIPCIÓN: Establecer los roles y responsabilidades necesarios para garantizar el

RESPONSABLE: Pablo Cabrera

CÓDIGO CONTROL: [A.6.1.2]

NOMBRE CONTROL: Segregación de tareas

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.

DESCRIPCIÓN: Identificar la presencia de conflictos en la implementación de actividades

RESPONSABLE: Pablo Cabrera

CÓDIGO CONTROL: [A.6.1.3]

NOMBRE CONTROL: Contacto con las autoridades

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.

DESCRIPCIÓN: Disponer de un listado de contactos claramente identificados y divulgados a

RESPONSABLE: Pablo Cabrera

CÓDIGO CONTROL: [A.6.1.4]

NOMBRE CONTROL: Contacto con grupos de interés especial

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.

DESCRIPCIÓN: Garantizar la actualización permanente del encargado de seguridad sobre

RESPONSABLE: Pablo Cabrera

CÓDIGO CONTROL: [A.6.1.5]

NOMBRE CONTROL: Seguridad de la información en la gestión de proyectos

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:13 a.m.

DESCRIPCIÓN: Asegurar la implementación de los lineamientos y directrices definidos en

RESPONSABLE: Pablo Cabrera

CÓDIGO OBJETIVO: [A.6.2]

NOMBRE OBJETIVO: Los dispositivos móviles y el teletrabajo

DESCRIPCIÓN: Garantizar la seguridad en el teletrabajo y en el uso de

CÓDIGO CONTROL: [A.6.2.1]

NOMBRE CONTROL: Política de dispositivos móviles

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:14 a.m.

DESCRIPCIÓN: Establecer lineamientos para el manejo adecuado de la seguridad de la

RESPONSABLE: Karina Ugalde

CÓDIGO CONTROL: [A.6.2.2]

NOMBRE CONTROL: Teletrabajo

FECHA 1/16/22 6:50 a.m. FECHA 1/18/22 6:14 a.m.

RESPONSABLE: Karina Ugalde