Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controles
Controles
para Exclusión
N° Dominio - Control #Controles Control Implementad Justificación
Tratamient (S/N)
os
o
A5 Política de seguridad de la información 2
A.5.1 Brindar orientación y soporte, por parte de la Dirección, para la
Se debe definir un conjunto ASPO05 Politica del
Se incluye como parte integral de
de políticas para la seguridad Subsistema de Gestión de
los requisitos del estándar para el
A.5.1. Política para la seguridad de la de la información, aprobada Seguridad de la Información,
1 información por la dirección, publicada y
1
ASPO09 Politicas de Tercer
SI NO NO SSI de la entidad. Tiene asociado
el numeral 5.2. de la norma de la
comunicada a los empleados nivel del Subsistema de
referencia.
y partes externas pertinentes. Seguridad de la Información
La políticas de seguridad de
información se deben revisar Se incluye como parte integral de
a intervalos planificados o si los requisitos del estándar para el
A.5.1. Revisión de las políticas para la Resolución 2659 de 2015,
2 seguridad de la información
ocurren cambios 1
Articulo 2 literal 10
SI NO NO SSI en la entidad. Tiene asociado
significativos, para asegurar el numeral 5.2. de la norma de la
su conveniencia, adecuación referencia.
y eficacia continúas.
A6 Organización de la seguridad de la información 7
A.6.1 Organización Interna: Establecer un marco de referencia de gestión 5
Se incluye como parte integral de
Se deben definir y asignar
los requisitos del estándar para el
A.6.1. Roles y responsabilidades para la todas las responsabilidades ASFT 14 Matriz de roles y
1 seguridad de la información. de la seguridad de la
1
responsabilidades
SI NO NO SSI en la entidad. Tiene asociado
el numeral 5.3. de la norma de la
información.
referencia.
Ley 489 de 1998 Incisos 2º y 3º
Los deberes y áreas de
del Artículo 115 y el Decreto
responsabilidad en conflícto
2462 de 2013 modificó la Como principio de seguridad para
se deben separar para reducir
estructura la Superintendencia el fortalecimiento del control
A.6.1. las posibilidades de
2
Separación de deberes
modificación no autorizada o
1 Nacional de Salud y determinó SI NO NO interno en la entidad, se debe
las funciones que ejercerán las contar con este control
no intencional, o el uso
dependencias; Resolución 1110 implementado.
indebido de los activos de la
de 2015 Conformacion Grupos
organización.
de Trabajo de OTI
Como principio de seguridad de la
información, cumplir con la
regulación del Gobierno
Se deben mantener contactos GGGU01 Guía de Contacto con
A.6.1. colombiano, además de contar
3
Contacto con las autoridades apropiados con las 1 las Autoridades y Grupos de SI NO NO con entidades externas que
autoridades pertinentes. Interés Especial
prestán servicios de TI, se debe
contar con este control
implementado.
Se debe mantener los
Como principio de seguridad para
contactos apropiados con
GGGU01 Guía de Contacto con el fortalecimiento del control
A.6.1. Contacto con grupos de interés grupos de interés especiales,
1 las Autoridades y Grupos de SI NO NO interno en la entidad, se debe
4 especiales otros foros especializados en
Interés Especial contar con este control
seguridad de la información y
implementado.
asociaciones de
La seguridad de la Como principio de seguridad para
información se debe tratar en EPPD02 Formulación, el fortalecimiento del control
A.6.1. Seguridad de la información en la
la gestión de proyectos, 1 Ejecución, Seguimiento y SI NO NO interno en la entidad, se debe
3 gestión de proyectos
independientemente del tipo Evaluación de Proyectos contar con este control
de proyecto. implementado.
A6.2 Dispositivos móviles y teletrabajo: Garantizar la seguridad del 2
Como principio de seguridad de la
información, cumplir con la
Se debe adoptar una política
regulación del Gobierno
y unas medidas de seguridad ASPO09 Politicas de Tercer
A.6.2. colombiano, además de contar
1
Política para dispositivos móviles de soporte, para la gestión de 1 nivel del Subsistema de SI SI NO con entidades externas que
los riesgos introducidos por el Seguridad de la Información
prestán servicios de TI, se debe
uso de dispositivos móviles.
contar con este control
implementado.
Se deben implementar una
La Entidad cuenta con esta
política y unas medidas de
modalidad de trabajo dando
seguridad de soporte, para ASPO09 Politicas de Tercer
cumplimiento a la Ley 1221 de
A.6.2. proteger la información a la nivel del Subsistema de
2
Teletrabajo
que se tiene acceso, que es
1
Seguridad de la Información,
SI NO NO 2008 Por la cual se establecen
normas para promover y regular el
procesada o almacenada en Resolución 1165 de 2015
Teletrabajo y se dictan otras
los lugares en los que se
disposiciones.
realiza el teletrabajo.
A7 Seguridad de los recursos humanos 6
A7.1 Antes de asumir el empleo: Asegurar que los empleados y 2
Las verificaciones de los
antecedentes de todos los
Como principio de seguridad para
candidatos a un empleo. Se
el fortalecimiento del control
deben llevar a cabo d acuerdo
APPD01 Provisión de Empleos, interno en la entidad, por la
con las leyes, reglamentos y
A.7.1. APPD02 Novedades de naturaleza de su entidad y en
1
Selección ética pertinentes, y deben ser 1
Personal, Remuneración y
SI NO NO particular para los procesos de
proporcionales a los
Prestaciones selección de personal, se debe
requisitos de negocio, a la
contar con este control
clasificación de la información
implementado.
a la que se va a tener acceso
y a los riesgos percibidos.
Como principio de seguridad para
Los acuerdos contractuales
el fortalecimiento del control
con empleados y contratistas
interno en la entidad, por la
deben establecer sus
A.7.1. Circular 007 Reserva y Buen naturaleza de su entidad y en
2
Términos y condiciones del empleo responsabilidades 1
Manejo de la Información
SI NO NO particular para los procesos de
obligaciones y las de la
selección de personal, se debe
organización en cuanto a
contar con este control
seguridad de información.
implementado.
A.7.2 Durante la vigencia del empleo: Asegurarse de que los empleados y 3
Como principio de seguridad para
La Dirección debe exigir a
el fortalecimiento del control
todos los empleados y Circular 007 Reserva y Buen
interno en la entidad, por la
contratistas la aplicación de la Manejo de la Información,
A.7.2. naturaleza de su entidad y en
1
Responsabilidades de la dirección seguridad de la información 1 Juramento de Posesión de SI NO NO particular para los procesos de
de acuerdo con las políticas y cargo , APFT20 Acta de
selección de personal, se debe
procedimientos establecidos posesión
contar con este control
por la organización.
implementado.
Todos los empleados de la
organización y en donde sea Como principio de seguridad para
pertinente, los contratistas el fortalecimiento del control
PLAN INSTITUCIONAL DE
deben recibir la educación y la interno en la entidad, por la
Toma de conciencia, educación y FORMACIÓN Y
A.7.2. formación en la toma de naturaleza de su entidad y en
2
formación en la seguridad de la
conciencia apropiada, y
1 CAPACITACIÓN, Cronograma SI NO NO particular para los procesos de
información de capacitaciones,
actualizaciones regulares selección de personal, se debe
sensiblizaciones del SIG 2016
sobre las políticas y contar con este control
procedimientos de la implementado.
organización pertinentes para
ADPD01 Evaluación de las
Novedades Disciplinarias
Se debe contar con un
Como principio de seguridad para
proceso formal, el cual debe
Ley 734 de 2002, Articulo 34, el fortalecimiento del control
ser comunicado, para
A.7.2. literal 4, 5, 21, 22, articulo 35 interno en la entidad y por su
3
Proceso disciplinario emprender acciones contra 1
literal 13, 21,titulo v Faltas y
SI NO NO componente público, se debe
los empleados que hayan
Sanciones, titulo único, el contar con este control
cometido una violación a la
articulo 48 faltas gravisimas, implementado.
seguridad de la información.
literal 43, , 47, libro iv
Procediminto Disciplinario,
Titulo ix procedimiento ordinario
A.7.3 Terminación o cambio de empleo: Proteger los intereses de la 1
Las responsabilidades y los
deberes de seguridad de la
Como principio de seguridad para
información que permanecen
el fortalecimiento del control
válidos despues de la
A.7.3. Responsabilidades en la interno en la entidad y por su
1 terminación
terminación o cambio de 1 APFT53 Paz y Salvo SI NO NO componente público, se debe
empleo se deben definir,
contar con este control
comunicar al empleado o
implementado.
contratista y se debe hacer
cumplir.
A.8 Gestión de activos 10
A8.1 Responsabilidad por los activos: Identificar los activos 4
Se deben identificar los GDFT03 Tablas de Retención
activos asociados con la Documental Se incluye como parte integral de
A.8.1. información e instalaciones los requisitos del estándar para el
1
Inventario de activos
de procesamiento de
1
ASFT22 Matriz de Valoración de
SI SI NO SSI en la entidad de acuerdo con
información, y se debe Activos y Analisis de riesgos de la definición del alcance.
elaborar y mantener un Seguridad de la Información
GDFT03 Tablas de Retención
Documental Se incluye como parte integral de
Los activos mantenidos en el
A.8.1. los requisitos del estándar para el
2
Propiedad de los activos inventario deben tener un 1
ASFT22 Matriz de Valoración de
SI SI NO SSI en la entidad de acuerdo con
propietario.
Activos y Analisis de riesgos de la definición del alcance.
Seguridad de la Información
Se deben identificar,
documentar e implementar
Se incluye como parte integral de
las reglas para el uso
A.8.1. GGGU02 Gestión de Activos de los requisitos del estándar para el
3
Uso aceptable de los activos aceptable de información y de 1
Información
SI SI NO SSI en la entidad de acuerdo con
activos asociados con
la definición del alcance.
información e instalaciones
de procesamiento de
Todos los empleados y
usuarios de partes externas
deben devolver todos los Se incluye como parte integral de
APFT53 Paz y Salvo, ASFT06
A.8.1. los requisitos del estándar para el
4
Devolución de activos activos de la organización que 1 Actas de Novedades de SI SI NO SSI en la entidad de acuerdo con
se encuentren a su cargo, al Personal
terminar su empleo, contrato la definición del alcance.
o acuerdo.
A.8.2 Clasificación de la información: Asegurar que la información recibe 3
La información se debe
clasificar en función de los GGPD01 Calificación y
Se incluye como parte integral de
A.8.2. requisitos legales, valor, Etiquetado de la Información
1
Clasificación de la información
criticidad y suceptibilidad a
1
Indice de Informacion
NO SI NO los requisitos del estándar para el
SSI en la entidad.
divulgación o a modificación Clasificada y Reservada
no autorizada.
Se debe desarrollar e
implementar un conjunto Como principio de seguridad para
adecuado de procedimientos el fortalecimiento del control
GGPD01 Calificación y
A.8.2. para el etiquetado de la interno en la entidad y por su
2
Etiquetado de la información
información, de acuerdo al
1 Etiquetado de la Información NO SI NO componente público, se debe
GGGU03 Guia de Tratamiento
esquema de clasificación de contar con este control
de la Información
información adoptado por la implementado.
organización.
Se deben desarrollar e
implementar procedimientos
Se incluye como parte integral de
A.8.2. para el manejo de activos, de GGGU02 Gestión de Activos de
3
Manejo de activos
acuerdo con el esquema de
1
Información
NO SI NO los requisitos del estándar para el
SSI en la entidad.
clasificación de información
adoptado por el organismo.
A.8.3 Manejo de medios: Evitar la divulgación, la modificación, el retiro o la 3
Se deben implementar Como principio de seguridad para
procedimientos para la el fortalecimiento del control
A.8.3. gestión de medios GSGU10 Gestión de Medios interno en la entidad y por su
Gestión de medios removibles
removibles, de acuerdo con el
1
Removibles
SI NO NO componente público, se debe
1
esquema de clasificación contar con este control
adoptado por la organización. implementado.
GGGU03 Guia de Tratamiento
de la Información
Como principio de seguridad para
Se debe disponer en forma Programa de Gestion el fortalecimiento del control
A.8.3. segura de los medios cuando documental interno en la entidad y por su
Disposición de los medios
ya no se requieran, utilizando
1 SI NO NO componente público, se debe
2
procedimientos formales Circular externa 03 de la AGN, contar con este control
numeral 6 literal E implementado.
COFL03