Declaración de Aplicabilidad Ejemplo

DECLARACIÓN DE APLICABILIDAD DEL SUBSISTEMA DE SEGURIDAD EN LA INFORMACIÓN ISO 27001:2013
Controles
Controles
para Exclusión
N° Dominio - Control #Controles Control Implementad Justificación
Tratamient (S/N)
os
o
A5 Política de seguridad de la información 2
A.5.1 Brindar orientación y soporte, por parte de la Dirección, para la
Se debe definir un conjunto ASPO05 Politica del
Se incluye como parte integral de
de políticas para la seguridad Subsistema de Gestión de
los requisitos del estándar para el
A.5.1. Política para la seguridad de la de la información, aprobada Seguridad de la Información,
1 información por la dirección, publicada y
1
ASPO09 Politicas de Tercer
SI NO NO SSI de la entidad. Tiene asociado
el numeral 5.2. de la norma de la
comunicada a los empleados nivel del Subsistema de
referencia.
y partes externas pertinentes. Seguridad de la Información
La políticas de seguridad de
información se deben revisar Se incluye como parte integral de
a intervalos planificados o si los requisitos del estándar para el
A.5.1. Revisión de las políticas para la Resolución 2659 de 2015,
2 seguridad de la información
ocurren cambios 1
Articulo 2 literal 10
SI NO NO SSI en la entidad. Tiene asociado
significativos, para asegurar el numeral 5.2. de la norma de la
su conveniencia, adecuación referencia.
y eficacia continúas.
A6 Organización de la seguridad de la información 7
A.6.1 Organización Interna: Establecer un marco de referencia de gestión 5
Se deben definir y asignar
A.6.1. Roles y responsabilidades para la todas las responsabilidades ASFT 14 Matriz de roles y
1 seguridad de la información. de la seguridad de la
1
responsabilidades
SI NO NO SSI en la entidad. Tiene asociado
el numeral 5.3. de la norma de la
información.
referencia.
Ley 489 de 1998 Incisos 2º y 3º
Los deberes y áreas de
del Artículo 115 y el Decreto
responsabilidad en conflícto
2462 de 2013 modificó la Como principio de seguridad para
se deben separar para reducir
estructura la Superintendencia el fortalecimiento del control
A.6.1. las posibilidades de
2
Separación de deberes
modificación no autorizada o
1 Nacional de Salud y determinó SI NO NO interno en la entidad, se debe
las funciones que ejercerán las contar con este control
no intencional, o el uso
dependencias; Resolución 1110 implementado.
indebido de los activos de la
de 2015 Conformacion Grupos
organización.
de Trabajo de OTI
Como principio de seguridad de la
información, cumplir con la
regulación del Gobierno
Se deben mantener contactos GGGU01 Guía de Contacto con
A.6.1. colombiano, además de contar
3
Contacto con las autoridades apropiados con las 1 las Autoridades y Grupos de SI NO NO con entidades externas que
autoridades pertinentes. Interés Especial
prestán servicios de TI, se debe
contar con este control
implementado.
Se debe mantener los
Como principio de seguridad para
contactos apropiados con
GGGU01 Guía de Contacto con el fortalecimiento del control
A.6.1. Contacto con grupos de interés grupos de interés especiales,
1 las Autoridades y Grupos de SI NO NO interno en la entidad, se debe
4 especiales otros foros especializados en
Interés Especial contar con este control
seguridad de la información y
implementado.
asociaciones de
La seguridad de la Como principio de seguridad para
información se debe tratar en EPPD02 Formulación, el fortalecimiento del control
A.6.1. Seguridad de la información en la
la gestión de proyectos, 1 Ejecución, Seguimiento y SI NO NO interno en la entidad, se debe
3 gestión de proyectos
independientemente del tipo Evaluación de Proyectos contar con este control
de proyecto. implementado.
A6.2 Dispositivos móviles y teletrabajo: Garantizar la seguridad del 2
información, cumplir con la
Se debe adoptar una política
regulación del Gobierno
y unas medidas de seguridad ASPO09 Politicas de Tercer
A.6.2. colombiano, además de contar
1
Política para dispositivos móviles de soporte, para la gestión de 1 nivel del Subsistema de SI SI NO con entidades externas que
los riesgos introducidos por el Seguridad de la Información
prestán servicios de TI, se debe
uso de dispositivos móviles.
implementado.
Se deben implementar una
La Entidad cuenta con esta
política y unas medidas de
modalidad de trabajo dando
seguridad de soporte, para ASPO09 Politicas de Tercer
cumplimiento a la Ley 1221 de
A.6.2. proteger la información a la nivel del Subsistema de
2
Teletrabajo
que se tiene acceso, que es
1
Seguridad de la Información,
SI NO NO 2008 Por la cual se establecen
normas para promover y regular el
procesada o almacenada en Resolución 1165 de 2015
Teletrabajo y se dictan otras
los lugares en los que se
disposiciones.
realiza el teletrabajo.
A7 Seguridad de los recursos humanos 6
A7.1 Antes de asumir el empleo: Asegurar que los empleados y 2
Las verificaciones de los
antecedentes de todos los
candidatos a un empleo. Se
el fortalecimiento del control
deben llevar a cabo d acuerdo
APPD01 Provisión de Empleos, interno en la entidad, por la
con las leyes, reglamentos y
A.7.1. APPD02 Novedades de naturaleza de su entidad y en
1
Selección ética pertinentes, y deben ser 1
Personal, Remuneración y
SI NO NO particular para los procesos de
proporcionales a los
Prestaciones selección de personal, se debe
requisitos de negocio, a la
clasificación de la información
implementado.
a la que se va a tener acceso
y a los riesgos percibidos.
Los acuerdos contractuales
con empleados y contratistas
interno en la entidad, por la
deben establecer sus
A.7.1. Circular 007 Reserva y Buen naturaleza de su entidad y en
2
Términos y condiciones del empleo responsabilidades 1
Manejo de la Información
SI NO NO particular para los procesos de
obligaciones y las de la
selección de personal, se debe
organización en cuanto a
seguridad de información.
implementado.
A.7.2 Durante la vigencia del empleo: Asegurarse de que los empleados y 3
La Dirección debe exigir a
todos los empleados y Circular 007 Reserva y Buen
interno en la entidad, por la
contratistas la aplicación de la Manejo de la Información,
A.7.2. naturaleza de su entidad y en
1
Responsabilidades de la dirección seguridad de la información 1 Juramento de Posesión de SI NO NO particular para los procesos de
de acuerdo con las políticas y cargo , APFT20 Acta de
selección de personal, se debe
procedimientos establecidos posesión
por la organización.
implementado.
Todos los empleados de la
organización y en donde sea Como principio de seguridad para
pertinente, los contratistas el fortalecimiento del control
PLAN INSTITUCIONAL DE
deben recibir la educación y la interno en la entidad, por la
Toma de conciencia, educación y FORMACIÓN Y
A.7.2. formación en la toma de naturaleza de su entidad y en
2
formación en la seguridad de la
conciencia apropiada, y
1 CAPACITACIÓN, Cronograma SI NO NO particular para los procesos de
información de capacitaciones,
actualizaciones regulares selección de personal, se debe
sensiblizaciones del SIG 2016
sobre las políticas y contar con este control
procedimientos de la implementado.
organización pertinentes para
ADPD01 Evaluación de las
Novedades Disciplinarias
Se debe contar con un
proceso formal, el cual debe
Ley 734 de 2002, Articulo 34, el fortalecimiento del control
ser comunicado, para
A.7.2. literal 4, 5, 21, 22, articulo 35 interno en la entidad y por su
3
Proceso disciplinario emprender acciones contra 1
literal 13, 21,titulo v Faltas y
SI NO NO componente público, se debe
los empleados que hayan
Sanciones, titulo único, el contar con este control
cometido una violación a la
articulo 48 faltas gravisimas, implementado.
seguridad de la información.
literal 43, , 47, libro iv
Procediminto Disciplinario,
Titulo ix procedimiento ordinario
A.7.3 Terminación o cambio de empleo: Proteger los intereses de la 1
Las responsabilidades y los
deberes de seguridad de la
información que permanecen
válidos despues de la
A.7.3. Responsabilidades en la interno en la entidad y por su
1 terminación
terminación o cambio de 1 APFT53 Paz y Salvo SI NO NO componente público, se debe
empleo se deben definir,
comunicar al empleado o
implementado.
contratista y se debe hacer
cumplir.
A.8 Gestión de activos 10
A8.1 Responsabilidad por los activos: Identificar los activos 4
Se deben identificar los GDFT03 Tablas de Retención
activos asociados con la Documental Se incluye como parte integral de
A.8.1. información e instalaciones los requisitos del estándar para el
1
Inventario de activos
de procesamiento de
1
ASFT22 Matriz de Valoración de
SI SI NO SSI en la entidad de acuerdo con
información, y se debe Activos y Analisis de riesgos de la definición del alcance.
elaborar y mantener un Seguridad de la Información
GDFT03 Tablas de Retención
Documental Se incluye como parte integral de
Los activos mantenidos en el
A.8.1. los requisitos del estándar para el
2
Propiedad de los activos inventario deben tener un 1
ASFT22 Matriz de Valoración de
propietario.
Activos y Analisis de riesgos de la definición del alcance.
Seguridad de la Información
Se deben identificar,
documentar e implementar
las reglas para el uso
A.8.1. GGGU02 Gestión de Activos de los requisitos del estándar para el
3
Uso aceptable de los activos aceptable de información y de 1
Información
activos asociados con
la definición del alcance.
información e instalaciones
de procesamiento de
Todos los empleados y
usuarios de partes externas
deben devolver todos los Se incluye como parte integral de
APFT53 Paz y Salvo, ASFT06
A.8.1. los requisitos del estándar para el
4
Devolución de activos activos de la organización que 1 Actas de Novedades de SI SI NO SSI en la entidad de acuerdo con
se encuentren a su cargo, al Personal
terminar su empleo, contrato la definición del alcance.
o acuerdo.
A.8.2 Clasificación de la información: Asegurar que la información recibe 3
La información se debe
clasificar en función de los GGPD01 Calificación y
A.8.2. requisitos legales, valor, Etiquetado de la Información
1
Clasificación de la información
criticidad y suceptibilidad a
1
Indice de Informacion
NO SI NO los requisitos del estándar para el
SSI en la entidad.
divulgación o a modificación Clasificada y Reservada
no autorizada.
Se debe desarrollar e
implementar un conjunto Como principio de seguridad para
adecuado de procedimientos el fortalecimiento del control
GGPD01 Calificación y
A.8.2. para el etiquetado de la interno en la entidad y por su
2
Etiquetado de la información
información, de acuerdo al
1 Etiquetado de la Información NO SI NO componente público, se debe
GGGU03 Guia de Tratamiento
esquema de clasificación de contar con este control
de la Información
información adoptado por la implementado.
organización.
Se deben desarrollar e
implementar procedimientos
A.8.2. para el manejo de activos, de GGGU02 Gestión de Activos de
3
Manejo de activos
acuerdo con el esquema de
1
Información
NO SI NO los requisitos del estándar para el
SSI en la entidad.
clasificación de información
adoptado por el organismo.
A.8.3 Manejo de medios: Evitar la divulgación, la modificación, el retiro o la 3
Se deben implementar Como principio de seguridad para
procedimientos para la el fortalecimiento del control
A.8.3. gestión de medios GSGU10 Gestión de Medios interno en la entidad y por su
Gestión de medios removibles
removibles, de acuerdo con el
1
Removibles
1
esquema de clasificación contar con este control
adoptado por la organización. implementado.
GGGU03 Guia de Tratamiento
de la Información
Se debe disponer en forma Programa de Gestion el fortalecimiento del control
A.8.3. segura de los medios cuando documental interno en la entidad y por su
Disposición de los medios
ya no se requieran, utilizando
1 SI NO NO componente público, se debe
2
procedimientos formales Circular externa 03 de la AGN, contar con este control
numeral 6 literal E implementado.
GSGU06 Borrado seguro de la

Los medios que contienen Como principio de seguridad para
información se deben el fortalecimiento del control
A.8.3. proteger contra acceso no GGGU03 Guia de Tratamiento interno en la entidad y por su
Transferencia de medios fisicos
autorizado, uso indebido o
1
de la Información
3
corrupción durante el contar con este control
transporte. implementado.
A.9 Control de acceso 14
A 9.1 Requisito del negocio para el control de acceso: Limitar el acceso a 2
Se debe establecer, Como principio de seguridad para
documentar y revisar una el fortalecimiento del control
A.9.1. política de control de acceso interno en la entidad y por su
1
Política de control de acceso
con base en los requisitos del
1 nivel del Subsistema de SI NO NO componente público, se debe
negocio y de la seguridad de contar con este control
la información. implementado.
Solo se debe permitir el
acceso de lso usuarios a la
A.9.1. Acceso a redes y a servicios en GSGU05 Acceso a redes y a interno en la entidad y por su
2 red
red y a los servicios de red 1
servicios en red
para los que hayan sido
autorizados específicamente.
implementado.
A.9.2 Gestión de acceso de usuarios: Asegurar el acceso de usuarios 6
Se debe implementar un Como principio de seguridad para
proceso formal de registro y el fortalecimiento del control
A.9.2. Registro y cancelación del registro de cancelación de registro de GSGU09 Guía de Gestión interno en la entidad y por su
1 de usuarios usuarios, para posibilitar la
1
Segura de Usuarios
asignación de los derechos contar con este control
de acceso. implementado.
Se debe implementar un
proceso de suministro de
acceso formal de usuarios
A.9.2. GSGU09 Guía de Gestión interno en la entidad y por su
2
Suministro de acceso de usuarios para asignar o revocar los 1
Segura de Usuarios
derechos de acceso para
todo tipo de usuarios, para
implementado.
todos los sistemas y servicios.
Se debe restringir y controlar el fortalecimiento del control
A.9.2. Gestión de derechos de acceso la asignación y uso de GSGU09 Guía de Gestión interno en la entidad y por su
3 privilegiado derechos de acceso
1
Segura de Usuarios
privilegiado. contar con este control
implementado.
La asignación de información el fortalecimiento del control
A.9.2. Gestión de información de de autenticación secreta se GSGU09 Guía de Gestión interno en la entidad y por su
4 autenticación secreta de usuarios debe controlar por medio de
1
Segura de Usuarios
un proceso de gestión formal. contar con este control
implementado.
Los propietarios de los activos el fortalecimiento del control
A.9.2. Revisión de los derechos de deben revisar los derechos de GSGU09 Guía de Gestión interno en la entidad y por su
5 acceso de usuarios acceso de los usuarios, a
1
Segura de Usuarios
intervalos regulares. contar con este control
implementado.
Los derechos de acceso de
todos los empleados y de
usuarios externos a la
información y a las
A.9.2. Retiro o ajuste de los derechos de GSGU09 Guía de Gestión interno en la entidad y por su
6 acceso
instalaciones de 1
Segura de Usuarios
procesamiento de información
se deben retirar al terminar su
implementado.
empleo, contrato o acuerdo, o
sedebn ajustar cuando se
A.9.3 Responsabilidades de los usuarios: Hacer que los usuarios rindan 1
A.9.3. Uso de información de Se debe exigir a los usuarios GSGU09 Guía de Gestión interno en la entidad y por su
autenticación secreta que cumplan las practicas
1
Segura de Usuarios
1
implementado.
A.9.4 Control de acceso a sistemas y aplicaciones: Evitar el acceso no 5
El acceso a la información y Como principio de seguridad para
a las funciones de los el fortalecimiento del control
A.9.4. Restricciones de acceso a la sistemas de las aplicaciones GSGU09 Guía de Gestión interno en la entidad y por su
1 información se debe restringir de acuerdo
1
Segura de Usuarios
SI SI NO componente público, se debe
con la política de control de contar con este control
acceso. implementado.
Cuando lo requiere la política Como principio de seguridad para
de control de acceso, el el fortalecimiento del control
A.9.4. acceso a sistemas y GSGU09 Guía de Gestión interno en la entidad y por su
2
Procedimiento de ingreso seguro
aplicaciones se debe
1
Segura de Usuarios
controlar mediante un contar con este control
proceso de ingreso seguro. implementado.
Los sistemas de gestión de el fortalecimiento del control
A.9.4. contraseñas deben ser GSGU09 Guía de Gestión interno en la entidad y por su
3
Sistema de gestión de contraseñas
interactivos y deben asegurar
1
Segura de Usuarios
la calidad de las contraseñas. contar con este control
implementado.
Se debe restringir y controlar Como principio de seguridad para
estrictamente el uso de el fortalecimiento del control
A.9.4. Uso de los programas utilitarios programas utilitarios que GSGU09 Guía de Gestión interno en la entidad y por su
4 privilegiados pueden anular los controles
1
Segura de Usuarios
del sistema y de las contar con este control
aplicaciónes. implementado.
Se debe restringir el acceso a
A.9.4. Control de acceso a códigos fuente GSGU09 Guía de Gestión interno en la entidad y por su
5 de programas
los codigos fuente de los 1
Segura de Usuarios
programas.
implementado.
A.10 Criptografía 2
A.10.1 Controles criptográficos: Asegurar el uso apropiado y eficaz de la 2
Se debe desarrollar e Como principio de seguridad
implementar una política informática, explicitamente y por el
A.10. Política sobre el uso de sobre el uso de controles intercambio de datos con
1 nivel del Subsistema de SI SI NO entidades externas, se debe
1.1 controles criptográficos criptográficos para la Seguridad de la Información
protección de la contar con este control
información. implementado.
Se debe desarrollar e
implementar una política Como principio de seguridad
informática, explicitamente y por el
sobre el uso, protección y ASPO09 Politicas de Tercer
A.10. intercambio de datos con
Gestión de llaves tiempo de vida de las 1 nivel del Subsistema de SI SI NO entidades externas, se debe
1.2 Seguridad de la Información
llaves criptográficas, contar con este control
durante todo su ciclo de implementado.
vida.
A.11 Seguridad física y del entorno 13
A.11.1 Áreas seguras: Prevenir el acceso físico no autorizado, el daño y la 6
Se deben definir y usar
Como principio de seguridad
perímetros de seguridad y
informacion, explicitamente y
usarlos para proteger áreas ASPO09 Politicas de Tercer
A.11.1 debido a que las instalaciones de
.1
Perímetro de seguridad física. que contengan información 1 nivel del Subsistema de SI NO NO la Entidad contienen informacion
confidencial o crítica, e Seguridad de la Información
sensible, se debe contar con este
instalaciones de manejo de
control implementado.
información.
Las áreas seguras se deben Como principio de seguridad
SGGU01 Guía de Seguridad
proteger mediante controles informacion, explicitamente y
Física y del Entorno
A.11.1 de acceso apropiados para debido a que las instalaciones de
.2
Controles de acceso físico
asegurar que solo se le
1 SI NO NO la Entidad contienen informacion
GSFT01 Ingreso a áreas
permita el acceso a personal sensible, se debe contar con este
seguras de Tecnología
autorizado. control implementado.

Se debe diseñar y aplicar la
A.11.1 Seguridad de oficinas, recintos e SGGU01 Guía de Seguridad debido a que las instalaciones de
.3 instalaciones
seguridad física a oficinas, 1
SI NO NO la Entidad contienen informacion
recintos e instalaciones.

Se debe diseñar y aplicar informacion, explicitamente y
A.11.1 Protección contra amenazas protección física contra SGGU01 Guía de Seguridad debido a que las instalaciones de
.4 externas y ambientales desastres naturales, ataques
1
maliciosos y accidentes. sensible, se debe contar con este

Se deben diseñar y aplicar
A.11.1 SGGU01 Guía de Seguridad debido a que las instalaciones de
.5
Trabajo en áreas seguras procedimientos para trabajo 1
en áreas seguras.
Se deben controlar los puntos
de acceso tales como áreas
de despacho y de carga y
otros puntos en donde
A.11.1 SGGU01 Guía de Seguridad interno en la entidad y por su
.6
Áreas de despacho y carga pueden entrar personas no 1
autorizadas, y si es posible,
aislarlos de las instalaciones
implementado.
de procesamiento de
información para evitar el
A.11.2 Equipos: Prevenir la pérdida, daño, robo o compromiso de activos, y la 7
Los equipos deben estar Como principio de seguridad para
ubicados y protegidos para el fortalecimiento del control
A.11.2 Ubicación y protección de los reducir el riesgos de amenaza SGGU01 Guía de Seguridad interno en la entidad y por su
.1 equipos y peligros del entorno, y las
1
posibilidades de acceso no contar con este control
autorizado. implementado.
Los equipos se deben
proteger contra fallas de
.2
Servicios de suministro energía y otras interrupciones 1
causadas por fallas en los
servicios de suministro.
implementado.
El cableado de energía
eléctrica y de
telecomunicaciones que porta
.3
Seguridad del Cableado datos o brinda soporte a los 1
servicios de información se
debe proteger contra
implementado.
interceptación, interferencia o
Los equipos deben mantener el fortalecimiento del control
A.11.2 correctamente para asegurar SGGU01 Guía de Seguridad interno en la entidad y por su
.4
Mantenimiento de equipos
disponibilidad e integridad
1
continuas. contar con este control
implementado.
Los equipos, información, el fortalecimiento del control
A.11.2 software no se deben retirar SGGU01 Guía de Seguridad interno en la entidad y por su
.5
Retiro de activos
de su sitio sin autorización
1
previa. contar con este control
implementado.
Se deben aplicar medidas de
seguridad a los activos que se
encuentren fuera de las
A.11.2 Seguridad de los equipos fuera de SGGU01 Guía de Seguridad interno en la entidad y por su
.6 las instalaciones
instalaciones de la 1
SI SI NO componente público, se debe
organización teniendo en
cuenta los diferentes riesgos
implementado.
de trabajar fuera de dichas
Se debe verificar todos los
elementos del equipo que
contengan medios de
almacenamiento para
A.11.2 Disposición segura o reutilización GSGU06 Borrado seguro de la interno en la entidad y por su
asegurar que cualquier dato 1 SI NO NO
.7 de equipos
confidencial o software información componente público, se debe
licenciado haya sido retirado o
implementado.
sobrescrito de forma segura,
antes de su disposición o
Los usuarios deben el fortalecimiento del control
A.11.2 asegurarse de que a los interno en la entidad y por su
.8
Equipos de usuario desatendido
equipos desatendidos se les
1 nivel del Subsistema de SI NO NO componente público, se debe
da protección apropiada. contar con este control
implementado.
Se debe adoptar una política
de escritorio limpio para los
papeles y medios de ASPO09 Politicas de Tercer
A.11.2 Política de escritoria limpio y interno en la entidad y por su
.9 pantalla limpia
almacenamiento removibles, 1 nivel del Subsistema de SI SI NO componente público, se debe
y una política de pantalla Seguridad de la Información
limpia en las instalaciones de
implementado.
procesamiento de
A.12 Seguridad de las operaciones 16
A.12.1 Procedimientos operacionales y responsabilidades: Asegurar las 4
Los procedimientos de operación informacion, explicitamente se
A.12. Procedimientos de operación se deben documentar y poner a debe controlar las operaciones
documentados disposición de todos los usuarios
1 Base de Conocimiento de TI SI NO NO
1.1 efectuadas, por tanto se debe
que los necesitan. contar con este control
implementado.
Se deben controlar los cambios Como principio de seguridad de la
en la organización, en los informacion, explicitamente se
procesos de negocio, en las
A.12. GSPD02 Gestión de debe controlar las operaciones
Gestión de cambios instalaciones y en los sitemas de 1 SI SI NO efectuadas, por tanto se debe
1.2 procesamiento de información Cambios
que afectan la seguridad de la contar con este control
información. implementado.
Se debe hacer seguimiento al Como principio de seguridad de la
uso de los recursos, hacer los informacion, explicitamente se
ajustes, y hacer proyecciones de
A.12. GSGU11 Seguridad en las debe controlar las operaciones
Gestión de capacidad los requisitos de capacidad 1 SI SI NO efectuadas, por tanto se debe
1.3 futura, para asegurar el Operaciones
desempeño requerido del contar con este control
sistema implementado.
Se deben separar los ambientes informacion, explicitamente se
de desarrollo, de prueba y
debe contar con ambientes de
A.12. Separación de los ambientes de operación, para reducir los GSGU11 Seguridad en las
desarrollo, pruebas y operación. riesgos de acceso o cambios no
1 SI SI NO desarrollo y prueba de los
1.4 Operaciones sistemas de información, por tanto
autorizados al ambiente de
operación. se debe contar con este control
implementado.
A.12.2 Protección contra códigos maliciosos: Asegurarse de que la 1
Se deben implementar controles informacion, explicitamente se
de detección de prevencion y de
debe contar con controles contra
A12.2 recuperación, combinados con la GSGU11 Seguridad en las
Controles contra códigos maliciosos
toma de conciencia apropiada de
1 SI NO NO codigos maliciosos que protejan la
.1. Operaciones infraestructura de la SNS, por
los usuarios, para proteger
contra códigos maliciosos. tanto se debe contar con este
A12.3. Copias de Respaldo: Proteger contra la perdida de daños 1
Se deben hacer copias de informacion, explicitamente se
respaldo de la información, debe contar con controles de
software e imágenes de los
A12.3 GSGU07 Copias de respaldo de la información para
Respaldo de la Informacion sistemas, y ponerlas a prueba 1 SI NO NO preservar la disponibilidad de la
.1. regularmente de acuerdo con Seguridad
una politica de copias de información, por tanto se debe
respaldo acordadas. contar con este control
implementado.
A12.4. Registro y Seguimiento: Registrar eventos y generar evidencia 4

Se deben elaborar, conservar
informacion, explicitamente se
y revisar regularmente los
debe contar con controles de
registros acerca de
A12.4 GSGU11 Seguridad en las registro de eventos que puedan
Registro de eventos actividades del usuario, 1 NO SI NO afectar la seguridad de la
.1. excepciones fallas y eventos
Operaciones
información, por tanto se debe
de seguridad de la
informacion.
implementado.
informacion, explicitamente se
Las instalaciones y la
debe contar con controles de
información de registro se
A12.4 Protección de la infomación de GSGU11 Seguridad en las registro de eventos que puedan
registro.
deben proteger contra 1 SI NO NO afectar la seguridad de la
.2. alteración y acceso no
Operaciones
autorizado.
implementado.
Las actividades del informacion, explicitamente se
administrador y del operador debe contar con controles de
A12.4 Registros del administrador y del del sistema se deben GSGU11 Seguridad en las registro de eventos que puedan
operador registrar, y los registros se
1 NO SI NO afectar la seguridad de la
.3. Operaciones
deben proteger y revisar con información, por tanto se debe
regularidad. contar con este control
implementado.
Los relojes de todos los Como principio de seguridad de la
sistemas de procesamiento informacion, explicitamente se
de información pertinentes debe contar con la sincronización
A12.4 GSGU11 Seguridad en las
Sincronización de Relojes dentro de una organización o 1 SI NO NO de relojes en los sistemas de
.4. ámbito de seguridad se deben
Operaciones información, por tanto se debe
sincronizar con una única contar con este control
fuente de referencia de implementado.
Control de Software Operacional: Asegurarse de la integridad de
A12.5. 1
los sistemas operacionales.
GSGU04 Prestación del
Servicio para la atención de
requerimientos
Se deben implementar
GSPD04 Gestión de informacion, se debe contar con
A12.5 Instalación de software en procedimientos para controlar
sistemas operativos la instalación de software en
1 Requerimientos SI NO NO controles para la instalacion de
.1. software, por tanto se debe contar
sistemas operativos.
ASPO09 Politicas de Tercer con este control implementado.
nivel del Subsistema de
A12.6. Gestion de las vulnerabilidad técnica: Prevenir el 4 ,

Se obtener oportunamente
información acerca de las
vulnerabilidades técnicas de
informacion, se debe contar con
los sistemas de información
A12.6 Gestión de las vulnerabilidades GSGU11 Seguridad en las controles para la gestión de
técnicas
que se usen; evaluar la 1 SI NO NO vulnerabilidades técnicas, por
.1. exposición de la organización
Operaciones
tanto se debe contar con este
a estas vulnerabilidades, y
tomar las medidas apropiadas
para tratar el riesgo asociado.
Se debe establecer e
ASPO09 Politicas de Tercer informacion, se debe contar con
A12.6 Restricciones sobre la instalación implementar las reglas para la
de software. instalación de software por
1 nivel del Subsistema de SI NO NO controles para la instalacion de
.2. software, por tanto se debe contar
parte de los usuarios. Seguridad de la Información
con este control implementado.
A12.7. Consideraciones sobre auditorias de sistemas de infomación: 1
Los requisitos y actividades
de auditoría que involucran la Como principio de seguridad de la
verificación de los sistemas informacion, explicitamente se
A12.7 Controles de auditoria de sistemas GSGU11 Seguridad en las
de información
operativos se deben planificar 1 SI SI NO debe contar con controles de
. 1. y acordar cuidadosamente
Operaciones auditoría, por tanto se debe contar
para minimizar las con este control implementado.
interrupciones en los
A13. SEGURIDAD DE LAS COMUNICACIONES 7
A13.1. Gestión de la seguridad de las redes: Asegurar la protección de la 3
Las redes se deben gestionar
información y para dar un
A.13. y controlar para proteger la GSGU05 Acceso a redes y
Controles de redes
información en sistemas y
1 SI NO NO adecuado uso a las redes de
1.1. a servicios en red información, se debe contar con
aplicaciones.
este control implementado.
Se deben identificar los
mecanismos de seguridad,
los niveles de servicio y los
información y para dar un
A13.1 requisitos de gestión de todos GSGU05 Acceso a redes y
Seguridad de los servicios de red.
los servicios de red, ya sea
.2. a servicios en red información, se debe contar con
que los servicios se presten
internamente o se contraten
externamente.
Los grupos de servicios de
A información y para dar un
información, usuarios y GSGU05 Acceso a redes y
13.1.3 Separación en las redes.
sistemas de información se
a servicios en red información, se debe contar con
. deben separar de las redes.
A13.2. Transferencia de información: Mantener la seguridad de la 4
Se debe contar con políticas,
procedimietos y controles de
transferencia formales para ASPO09 Politicas de Tercer
A13.2. Politicas y procedimientos de intercambio de datos con
1 transferencia de información.
proteger la transferencia de 1 nivel del Subsistema de SI NO NO entidades externas, se debe
información mediante el uso Seguridad de la Información
de todo tipo de isntalaciones
implementado.
de comunicaciones.
Los acuerdos deben tratar la
transferencia segura de
A13.2. Acuerdos sobre transferencia de GGGU03 Guia de Tratamiento intercambio de datos con
2. información.
información del negocio entre 1
de la Información
SI NO NO entidades externas, se debe
la organización y las partes
externas.
implementado.
Se debe proteger informática, explicitamente y por el
A13.2. adecuadamente la GGGU03 Guia de Tratamiento intercambio de datos con
3.
Mensajería electrónica
información incluida en la
1
de la Información
SI NO NO entidades externas, se debe
mensajería eletrónica. contar con este control
implementado.
Se deben identificar, revisar
regularmente y documentar Como principio de seguridad
los requisitos para los informática, explicitamente y por el
Acuerdo de Confidencialidad y
A13.2. Acuerdos de confidencialidad o de acuerdos de confidencialidad intercambio de datos con
4. no divulgación. o no divulgación que reflejen
1 Reserva de manejo de la SI NO NO entidades externas, se debe
Información
las necesidades de la contar con este control
organización para la implementado.
protección de la información.
A14. ADQUISICION Y MANTEMIENTO DE SISTEMAS 13
A14.1. Requisitos de seguridad de los sistemas de información: Asegurar 3
Los requsitos relacionados RSFT03 Requerimientos De
con seguridad de la Seguridad Para Aplicaciones
información, y especificamente
Análisis y especificación de información se deben incluir
A14.1. con el desarrollo de sistemas de
1.
requisitos de seguridad de la en los requisitos para nuevos 1 RSPD01 Gestión de SI NO NO información en su fase inicial, se
información. sistemas de información o arquitectura de tecnologías de la
debe contar con este control
para mejoras a los sistemas información
implementado.
de información existentes.
La información involucrada en
los servicios de las Como principio de seguridad de la
aplicaciones que pasan sobre información, y especificamente los
A14.1. Seguridad de servicios de las redes públicas se debe RSPD02 Gestión de sistemas de información que son
2. aplicaciones en redes públicas. proteger de actividades
1
Aplicaciones
SI SI NO expuestas a redes públicas, se
fraudulentas, disputas debe contar con este control
contractuales y divulgación y implementado.
modificación no autorizadas.
La información involucrada en
las transacciones de los
servicios de las aplicaciones
se debe proteger para evitar Como principio de seguridad de la
la trasmisión incompleta, el información, y especificamente en
A14.1. Protección de transacciones de los RSPD02 Gestión de
3. servicios de las aplicaciones
enrutamiento errado, la 1
Aplicaciones
SI SI NO la protección de los servicios de
alteración no autorizada de las aplicaciones, se debe contar
mensajes, la divulgación no con este control implementado.
autorizada, y la duplicación o
reproducción de mensajes no
autorizada.
A14.2. Seguridad en los procesos de desarrollo y de soporte: Asegurar 9
Se deben establecer y aplicar
información, la Entidad debe
reglas para el desarrollo de ASPO09 Politicas de Tercer
A14.2. contar con una política de
1.
Politica de desarrollo seguro. software y de sistemas, a los 1 nivel del Subsistema de SI NO NO Desarrollo Seguro clara, por tanto
desarrolladores dentro de la Seguridad de la Información
se debe contar con este control
organización.
implementado.
Los cambios a los sistemas Como principio de seguridad de la
dentro dentro del ciclo de vida información, se debe controlar los
A14.2. Procedimiento de control de de desarrollo se deben cambios en los sistemas de
2. cambios en sistemas. controlar mediante el uso de
1 GSPD02 Gestión de Cambios SI SI NO información, por tanto se debe
procedimientos formales de contar con este control
control de cambios. implementado.
Cuando se cambian las
plataformas de operación, se Como principio de seguridad de la
debn revisar las aplicaciones información, se debe controlar los
Revisión técnica de las
A14.2. críticas del negocio, y RSPD02 Gestión de cambios en los sistemas de
3.
aplicaciones después de cambios
someter a prueba para
1
Aplicaciones
SI SI NO información, por tanto se debe
en la plataforma de operación.
asegurar que no haya contar con este control
impacta adverso en las implementado.
operaciones o seguridad de la
Se deben desalentar las
modificaciones a los paquetes Como principio de seguridad de la
de software, los cuales se información, se debe restringir los
A14.2. Restricciones en los cambios a los RSPD02 Gestión de
4. paquetes de software
deben limitar a los cambios 1
Aplicaciones
SI SI NO cambios en los paquetes de
necesarios, y todos los software, por tanto se debe contar
cambios se deben controlar con este control implementado.
estrictamente.
Se deben establecer,
documentar y mantener Como principio de seguridad
principios para la construcción informática se debn establecer los
A14.2. Principios de construccion de los de sistemas seguros para las RSPD02 Gestión de principios de construcción de
5. sistemas seguros. actividades de desarrollo e
1
Aplicaciones
SI SI NO sistemas de información seguros,
integración de sistemas que por tanto se debe contar con este
comprendan todo el ciclo de control implementado.
vida de desarrollo de
Las organizaciones deben Como principio de seguridad
establecer y proteger informática, se debe contar con
adecuadamente los ambientes de desarrollo seguro,
A14.2. ambientes de desarrollo RSPD02 Gestión de protegidos adecuadamente para
6.
Ambiente de desarrollo seguro.
seguros para las actividades
1
Aplicaciones
SI NO NO las actividades de desarrollo de
de desarrollo e integración de los sistemas de información, por
sistemas de comprendan todo tanto se debe contar con este
el ciclo de vida de desarrollo control implementado.
La organización debe
informática, los servicios de
supervisar y hacer
A14.2. Desarrollo contratado RSPD02 Gestión de desarrollo tercerizados se deben
7. externamente
seguimiento de la actividad de 1
Aplicaciones
SI SI NO controlar adecuadamente, por
desarrollo de sistemas
contratados externamente.
informática se deben realizar
Durante el desarrollo se
pruebas de seguridad a los
A14.2. deben llevar a cabo pruebas RSPD02 Gestión de
8.
Pruebas de seguridad de Sistemas
de funcionalidad de
1
Aplicaciones
SI SI NO sistemas de información durante
el desarrollo, por tanto se debe
seguridad.
implementado.
Para los Sistemas de
información nuevos,
informática se deben realizar
actualizaciones y nuevas
A.14.2 RSPD02 Gestión de pruebas de aceptación a los
.9.
Prueba de aceptación de Sistemas versiones, se debn establecer 1
Aplicaciones
SI SI NO sistemas de información, por tanto
programas de prueba para
se debe contar con este control
aceptación y criterios de
implementado.
aceptación relacionados.
A14.3. Datos de prueba: Asegurar la protección de los datos usados para 1
Como principio de seguridad de
la información se deben proteger
Los datos de prueba se
los datos de prueba
A14.3. deben seleccionar, proteger RSPD02 Gestión de
1.
Protección de datos de prueba. 1
Aplicaciones
NO SI NO adecuadamente en los sistemas
y controlar
de información, por tanto se debe
cuidadosamente.
implementado.
A15. RELACIONES CON LOS PROVEEDORES 5
A15.1. Seguridad de la información en las relaciones con los 3
Los requisitos de seguridad
contar con la Politica de seguridad
de la información para mitigar
de la información en la relación
Política de seguridad de la los riesgos asociados con el ASPO09 Politicas de Tercer
A15.1. con los proveedores a fin de
1.
información para las relaciones acceso de proveedores a los 1 nivel del Subsistema de SI NO NO mitigar los riesgos que se puedan
con proveedores. activos de la organización se Seguridad de la Información
presentar durante la prestaciión
deben acordar con éstos y se
de los servicios, por tanto se debe
deben documentar.
implementado
Se deben establecer y Como principio de seguridad de la
acordar todos los requisitos información, la Entidad debe
de seguridad de la contar con la Politica de seguridad
información pertinentes con de la información en la relación
Acuerdo de confidencialidad y
A15.1. Tratamiento de la seguridad dentro cada proveedor que pueda con los proveedores a fin de
2. de los acuerdos con proveedores. tener acceso, procesar,
1 reserva de manejo de SI NO NO mitigar los riesgos que se puedan
información
almacenar, comunicar o presentar durante la prestaciión
suministrar componentes de de los servicios, por tanto se debe
infraestructura de TI para la contar con este control
información de la implementado
Los acuerdos con
proveedores deben incluir
contar con la Politica de seguridad
requisitos para tratar los
ASFT24 Criterios de Selección a de la información en la relación
Cadena de suministro de riesgos de seguridad de la
A15.1. Proveedores y Productos con los proveedores a fin de
3.
tecnología de información y información asociados con la 1
Críticos para el Sistema
NO SI NO mitigar los riesgos que se puedan
comunicación. cadena de suministro de
Integrado de Gestión presentar durante la prestaciión
productos y servicios de
de los servicios, por tanto se debe
tecnología de información y
comunicación.
implementado
A15.2. Gestión de la prestación de servicios de proveedores: Mantener 2
Las organizaciones deben hacer seguimiento y revisión a los
ASFT24 Criterios de Selección a
hacer seguimiento, revisar y servicios prestados por los
A15.2. Seguimiento y revisión de los Proveedores y Productos
1. servicios de los proveedores.
auditar con regularidad la 1
NO SI NO proveedores a fin de mitigar los
prestación de los servicios de riesgos que se puedan presentar
Integrado de Gestión
los proveedores. durante la prestaciión de los
servicios, por tanto se debe contar
con este control implementado
Se deben gestionar los
cambios en el suministro de Como principio de seguridad de la
servicios por parte de los información, la Entidad debe
proveedores, incluido el hacer seguimiento a la gestión de
mantenimiento y la mejora de ASFT24 Criterios de Selección a los cambios en la revisión a los
A15.2. Gestión de cambios en los las poíticas, procedimientos y Proveedores y Productos servicios prestados por los
2. servicios de los proveedores. controles de seguridad de la
1
NO SI NO proveedores a fin de mitigar los
información existentes, Integrado de Gestión riesgos que se puedan presentar
teniendo en cuenta la durante la prestaciión de los
criticidad de la información , servicios, por tanto se debe contar
sistemas y procesos del con este control implementado
negocio involucrados, y la
A16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 7
A16.1. Gestión de incidentes y mejoras en la seguridad de la 7
Se deben establecer las Como principio de seguridad de la
responsabilidades y información la Entidad debe
procedimientos de gestión gestionar adecuadamente los
A16.1. Responsabilidades y GSGU08 Gestion de Incidentes
1. procedimientos.
para asegurar una respuesta 1
de Seguridad de la Informacion
SI NO NO incidentes de seguridad de la
rápida, eficaz y ordenada a información, por tanto se debe
los incidentes de seguridad contar con este control
de la información. implementado.
GSGU08 Gestion de Incidentes
Los eventos de seguridad de Como principio de seguridad de la
la información se deben información la Entidad promover
A16.1. Reporte de eventos de seguridad informar a través de los el reporte de eventos de seguridad
2. de la información. canales de gestión
1 ASPO09 Politicas de Tercer SI NO NO de la información, por tanto se
nivel del Subsistema de
apropiados, tan pronto como debe contar con este control
sea posible. implementado.
Se debe exigir a todos los
empleados y contratistas que
usan los servicios y sistemas
información la Entidad promover
de información de la
A16.1. Reporte de debilidades de GSGU08 Gestion de Incidentes el reporte de debilidades de
3. seguridad de la información
organización, que observen y 1
SI NO NO seguridad de la información, por
reporten cualquier debilidad
de seguridad de la
información observada o
sospechada en los sistemas o
Los eventos de seguridad de
información la Entidad debe
la información se deben
Evaluación de eventos de gestionar adecuadamente los
A16.1. evaluar y se debe decidir si se GSGU08 Gestion de Incidentes
4.
van a clasificar como
1
decisiones sobre ellos. información, por tanto se debe
incidentes de seguridad de la
información.
implementado.
Se debe dar respuesta a los información la Entidad debe
incidentes de seguridad de la gestionar adecuadamente los
A16.1. Respuesta a incidentes de GSGU08 Gestion de Incidentes
5. seguridad de la información.
información de acuerdo con 1
procedimientos información, por tanto se debe
documentados. contar con este control
implementado.
El conocimiento adquirido al
analizar y resolver incidentes
Aprendizaje obtenido de los gestionar adecuadamente los
A16.1. de seguridad de la GSGU08 Gestion de Incidentes
6.
incidentes de seguridad de la
información se deb usar para
1
SI SI NO incidentes de seguridad de la
información. información, por tanto se debe
reducir la posibilidad o el
impacto de incidentes futuros.
implementado.
La organización debe definir y
aplicar procedimientos para la
gestionar adecuadamente los
A16.1. identificación, recolección, GSGU08 Gestion de Incidentes
7.
Recolección de evidencia.
adquisición y preservación de
1
SI SI NO incidentes de seguridad de la
información que pueda servir
como evidencia.
implementado.
A17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE 4
A17.1. Continuidad de seguridad de la informacion: La continuidad de 3
determinar sus requisitos Como principio de la información
para la seguridad de la se debe planear la continuidad de
A17.1. Planificación de la continuidad de información y la continuidad GGPD02 Gestión de la seguridad de la información en
1. la seguridad de la información. de la gestión de la seguridad
1
Continuidad del Negocio
NO SI NO situaciones adversas, por tanto se
de la información en debe contar con este control
situaciones adversas, por implementado.
ejemplo, durante una crisis o
establecer, documentar, Como principio de la información
implementar y mantener se debe planear la continuidad de
A17.1. Implementación de la continuidad procesos, procedimientos y GGPD02 Gestión de la seguridad de la información en
2. de la seguridad de la información. controles para asegurar el
1
NO SI NO situaciones adversas, por tanto se
nivel de continuidad requerido debe contar con este control
para la seguridad de la implementado.
información durante una
La organización debe verificar
Como principio de la información
a intervalos regulares los
se debe verificar, revisar y evaluar
controles de continuidad de la
Verificación, revisión y evaluación la continuidad de la seguridad de
A17.1. seguridad de la información GGPD02 Gestión de
3.
de la continuidad de la seguridad
establecidos e
1
NO SI NO la información en situaciones
de la información. adversas, por tanto se debe
implementados, con el fin de
asegurar que son válidos y
implementado.
eficaces durante situaciones
A17.2. Redundancias: Asegurar la disponibilidad de instalaciones de 1
Como principio de la información
Las instalaciones de se debe contar con redundancias
procesamiento de información en las instalaciones de
A17.2. Disponibilidad de instalaciones de se deben implementar con GGPD02 Gestión de procesamiento de información
1. procesamiento de información. redundancia suficiente para
1
NO SI NO para tener disponibilidad de la
cumplir los requisitos de información, por tanto se debe
disponibilidad. contar con este control
implementado.
A18. CUMPLIMIENTO 8
A18.1. Cumplimiento de requisitos legales y contractuales: Evitar el 5
Todos los requisitos
estaturios, reglamentarios y Se debe identificar
contractuales pertinentes y el adecuadamente la legislación
Identificación de la legislación enfoque de la organización aplicable con el SSI para cumplir
A18.1. ASFT03 Normograma del
1.
aplicable y de los requisitos para cumplirlos, se deben 1
Sistema Integrado de Gestión
SI NO NO con regulación vigente gobierno
contractuales. identificar y documentar colombiano, por tanto se debe
explícitamente, y mantenerlos cumplir con este control
actualizados para cada implementado
sistema de información y para
Se deben implementar
procedimientos apropiados La Entidad debe promover el
para asegurar el cumplimiento a la reglamentación
cumplimiento de los requisitos vigente relacionados con
A18.1. Documento de Contrato -
2.
Derechos de propiedad intelectual. legislativos, de 1
Obligaciones Generales inciso 4
SI NO NO propiedad intelectual y el uso de
reglamentación y software patentado, por tanto se
contractuales relacionados debe cumplir con este control
con los derechos de implementado
propiedad intelectual y el uso
Los registros se deben
proteger contra pérdida,
La Entidad debe proteger
destrucción, falsificación,
adecuadamente los registros que
A18.1. acceso no autorizado y Programa de Gestión
3.
Protección de registros.
liberación no autorizada de
1
Documental
SI NO NO se generen durante su gestión,
por tanto se debe cumplir con este
acuerdo con los requisitos
control implementado
legislativos, de
reglamentación contractuales
Se deben asegurar la La Entidad debe promover el
privacidad y la protección de cumplimiento a la reglamentación
la información de datos vigente relacionados con
A18.1. Privacidad y Protección de
4. información de datos personales.
personales, como se exige en 1 Resolución 656 de 2016 SI NO NO privacidad y protección de datos
la legislación y la personales, por tanto se debe
reglamentación pertinentes, cumplir con este control
cuando sea aplicable. implementado
DECRETO 2674 DE 2012
Dando cumplimiento a la
Se deben usar controles CAPÍTULO V
reglamentación vigente en cuanto
criptográficos, en
A18.1. Reglamentación de controles al uso de controles criptograficos,
5. criptográficos.
cumplimiento de todos los 1 De las obligaciones y SI NO NO la Entidad implementa los
acuerdos, legislación y responsabilidades en el uso del
controles adecuados pasra esta
reglamentación pertinentes. SIIF Nación
labor
Artículo 27 literal d.
A18.2. Revisiones de seguridad de la información: Asegurar que la 3
El enfoque de la organización
para la gestión de la
su implementación ( es decir,
los objetivos de control, los
A18.2. Revisión independiente de la controles, las políticas, los
1. seguridad de la información. procesos y los procedimientos
1 Programa anual de auditorías SI NO NO SSI en la entidad. Tiene asociado
el numeral 9 de la norma de la
para seguridad de la
referencia.
información) se deben revisar
independientemente a
intervalos planificados o
cuando ocurran cambios
Los directores deben revisar
con regularidad el
cumplimiento del Por disposición del Gobierno
procesamiento y Nacional, la seguridad de la
A18.2. Cumplimiento con las políticas y
2. normas de seguridad.
procedimientos de 1 Decreto 2573 de 2014 SI NO NO información debe estar presente
información dentro de su área en los procesos de la Entidades
de responsabilidad, con las del Estado.
políticas y normas de
seguridad apropiadas, y
Para preservar la seguridad en los
Los sistemas de información
sistemas de información, se
se deben revisar
hacen analisis de
A18.2. periódicamente para GSGU11 Seguridad en las
3.
Revisión del cumplimiento técnico
determinar el cumplimiento
1 SI NO NO vuolnerabilidades a los mismos,
Operaciones de igual manera se revisa que se
con las políticas y normas de
estan dando cumplimiento a las
seguridad de la información.
politicas de seguridad
COFL03

Declaración de Aplicabilidad Ejemplo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Declaración de Aplicabilidad Ejemplo

Cargado por

Copyright:

Formatos disponibles

DECLARACIÓN DE APLICABILIDAD DEL SUBSISTEMA DE SEGURIDAD EN LA INFORMACIÓN ISO 27001:2013

GSGU06 Borrado seguro de la

Como principio de seguridad

Como principio de seguridad

Como principio de seguridad

A12.4. Registro y Seguimiento: Registrar eventos y generar evidencia 4

A12.6. Gestion de las vulnerabilidad técnica: Prevenir el 4 ,

También podría gustarte