Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Declaración Aplicabilidad 27001-2013
Declaración Aplicabilidad 27001-2013
GTI010-PRC10 SEGU
G
TÚ E
POLÍTICAS DE
5 SEGURIDAD DE LA
INFORMACIÓN
Orientación de la
dirección para la
5.1 gestión de la
seguridad de la
información.
Revisión de las políticas Se cuenta con organigrama (Documento solo para uso
2 5.1.2 de seguridad de la interno del proceso - Este organigrama no es oficial)
información.
Definido en el manual
La CGN proporciona de seguridad,
a los en el anumeral
usuarios acceso 10.1.
los diferentes
Revisióndedeinformación,
activos la Política y el
se Manual de Políticas
realiza unica y exclusivamente
ORGANIZACIÓN DE LA bajo registro de usuario por medio del dominio de la
6. SEGURIDAD DE LA entidad, de igual forma la creación de usuarios solo se
INFORMACIÓN. realiza si se solicita formalmente la creación de usuario por
medio de un
La entidad formato autorizado
actualmente por cada
se encuentra coordinador
inscrita de
en los grupos
grupo interno de trabajo, en cumplimiento
de respuesta a emergencia COLcert - Csirt Ponal a la politica de
6.1 Organización interna. seguridad de la entidad. El proceso gestion TICs cuenta con
Roles y los
El formatos
Plan GTI010-FOR02
de contingencia
Integracion del comité de SOLICITUD
detalla algunos
seguridad DE CUENTAS
denumeros de DEen el
la información
USUARIO
responsabilidades para contacto
sistema de INSTITUCIONAL
con las autoridades
gestion y GTI010-FOR03
y desempeñocompetentes CREACIÓN
y personal
- Resolución 193 delDE19
3 6.1.1
la seguridad de la USUARIOS
encargado. APLICATIVO CHIP, GTI010-FOR04 SOLICITUD DE
de junio 2019
información. CUENTAS DE USUARIO INSTITUCIONAL -VPN
4 6.1.2 Separación de deberes. Se menciona en el flujograma de Gestión de incidente del
procedimiento de seguridad de la información para incluir
el reporte de incidentes a estos grupos de contacto y
autoridades competentes
El GIT cuenta
Definido en elcon documento
numeral 2.1 delque contienen
formato los contactos
GTI04-FOR02 -
con autoridades
FORMATO y grupos de interes
DE ESPECIFICACIONES especial.TIC-PLG-CJU-
TECNICAS,
2020-C-PREC-Anexo Matriz de Riesgo donde se menciona
Seguridad de la las especificaciones de seguridad informatica de producto
7 6.1.5 información en la y/o servicio
gestión de proyectos.
7. SEGURIDAD DE LOS
RECURSOS HUMANOS.
Antes de asumir el
7.1 empleo
La CGN adopta este control, puesto que se realiza la
revision de documentos precontractuales, verificaciones de
10 7.1.1 Selección. los antecedentes de todos los candidatos al empleo se deba
llevan a cabo de acuerdo con las leyes, reglamentaciones y
ética pertinentes, y deben ser proporcionales a los
requisitos de la entidad, a la clasificación de la información
y sistemas a los que se va a tener acceso
8. GESTIÓN DE ACTIVOS.
Responsabilidad por
8.1 los activos.
procedimiento GTI-PRC11 - ADMINISTRACIÓN DE ACTIVOS
DE TIC
16 8.1.1 Inventario de activos.
DE TIC
16 8.1.1 Inventario de activos.
Uso aceptable de los Los activos de información de la entidad son recursos que
18 8.1.3
activos. deben utilizarse para el cumplimiento de las funciones de
los empleados y estan bajo su responsabilidad
Clasificación de la
8.2
información.
9. CONTROL DE ACCESO
Requisitos del negocio
9.1 para control de
acceso.
Definido en el manual de seguridad de la información
Política de control de Numeral 10.38. Política de Control de Acceso
26 9.1.1
acceso.
Este requisito tambien se tiene en cuenta en el flujograma
del procedimiento de seguridad de la información del
control de acceso a sistemas de informacion y
administracion de usuarios y contraseñas,
Gestión de acceso a
9.2
usuarios.
Se controla con la implementación de un proceso formal de
registro y de cancelación de registro de usuarios, para
posibilitar la asignación de los derechos de acceso, para ello
Registro y cancelación se cuenta con formato GTI010-FOR02 Solicitud de cuentas
28 |
del registro de usuarios. de usuario institucional, el cual permite la creacion,
eliminacion, modificacion y habilitacion de usuario para
conceder los permisos a cada una de los cuentas que
debera tener acceso durante el periodo contractual, hace
parte del proceso de Gestiòn TICs y el formato GAD05-
FOR01 - Paz y salvo por desvinculación o terminación de
contrato del proceso Gestión Administrativa
9.3 Resposabilidades de
los usuarios.
Seguridad de equipos y
53 11.2.6 activos fuera de las
instalaciones.
Definido en el numeral 10.6.1 Política de dispositivos
móviles del Manual de Seguridad
Disposición segura o
54 11.2.7
reutilización de equipos.
Se cuenta con la política de uso de medios removibles,
borrado seguro y disposición medios el cual establece el
procedimiento que se debe realizar para asegurar y
garantizar que la información haya sido manipulada según
lineamientos y directrices de la misma
12.4 Registro y
seguimiento
12.6 Gestión de la
vulnerabilidad técnica
Analisis de vulnerabilidades desde la consola de antivirus
Eset Enpoint, registro de amenazas y vulnerabilidades, se
Gestión de las identifican vulnerabilidades tecnicas desde la herramienta
68 12.6.1 vulnerabilidades perimetral - Fortinet.
técnicas.
Plan de remedicacion y seguimiento de vulnerabilidades
Consideraciones sobre
12.7 auditorías de sistemas
de información
ADQUISICIÓN,
14. DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS
Requisitos de
14.1 seguridad de los
sistemas de
información
Mediante reuniones con los desarrolladores y responsables
de los proyectos se establecen los requisitos relacionados
Análisis y especificación con seguridad de la información se deberían incluir en los
de requisitos de requisitos para nuevos sistemas de información,
78 14.1.1
seguridad de la requerimientos que se registran en el documento de
información. especificaciones tecnicas, ademas del diligenciamiento de
los GPS (Guiones de Prueba Seguridad).
Seguridad en los
procesos de
14.2
desarrollo y de
soporte
Se cuenta con la politica GTI07-POL01 - POLITICA DE
DESARROLLO Y MANTENIMIENTO DE SOFTWARE, donde se
establece los lineamientos que deben ser aplicados durante
el ciclo de desarrollo
Revisión técnica de las Anter de salir un cambio de los sistemas se realizan pruebas
aplicaciones después de de versionamiento las cuales se encuentran en el
83 14.2.3 cambios en la repositorio de pruebas. Se soportan con los formatos
plataforma de GTI06-FOR02 - ACTA DE RECIBO A SATISFACCIÓN - GTI06-
operación. FOR03 - ACTA DE CERTIFICACIÓN DE VERSIÓN
Desarrollo contratado
87 14.2.7
externamente.
Seguridad de la
información en las
15.1
relaciones con los
proveedores
Los proveedores que realizan actividades en la entidad
cuentan con permisos exclusivamente en los sistemas
relacionados con el objeto del contrato
Gestión de cambios en
95 15.2.2 los servicios de los
proveedores.
Gestión de incidentes
y mejoras en la
16.1
seguridad de la
información
ASPECTOS DE
SEGURIDAD DE LA
INFORMACIÓN DE LA
17.
GESTIÓN DE
CONTINUIDAD DEL
NEGOCIO
Continuidad de
17.1 seguridad de la
información
17.2 Redundancias
Disponibilidad de
instalaciones de
106 17.2.1
procesamiento de
información. Se cuenta con replicación de datos en tiempo real de la
información misional de datacenter principal a data center
alterno.
Identificación de la
legislación aplicable y de Se evidencia en la pagina Web de la CGN el Nomograma
107 18.1.1
los requisitos Institucional
contractuales. http://www.contaduria.gov.co/wps/portal/internetes/
home/internet/normativa/normatividad-entidad
109 18.1.3 Protección de registros. La CGN cuenta con la Política de privacidad y protección de
datos personales que se encuentra publicada en la pagina
de la entidad y en el aplicativo movil , ademas de las TRD, el
repositorio en Galatea, logs, registros de auditorias (Visor
de sucesos) y demas elementos que permiten obtener
registros
Privacidad y protección
110 18.1.4 de información de datos
personales.
Reglamentación de
111 18.1.5
controles criptográficos. La CGN cuenta con el certificacion SSL que permite
establecer conexiones seguras y cifrar la información
transmitida. Esta credencial se encuentra instalada para la
pagina del CHIP, se implemento la autenticacion de los
usuarios para conexion de algunos sistemas de informacion
a traves de dispositivos (Token)
Revisiones de
18.2 seguridad de la
información
Se establece periodicidad, seguimiento, monitoreo y
Revisión independiente control en el numeral 10.1 Revisión de la Política y el
112 18.2.1 de la seguridad de la Manual de Políticas del manual de seguridad
información.
El requisito aplica a la totalidad del Sistema de Gestión. La
entidad desarrolla auditorías objetivas e independientes,
que se evidencia mediante el Plan de Auditorías y los
informes de auditoría derivados.
Cumplimiento
Se a la norma
requiere garantizar 27001:2013,
la proteccíón y elMSPI de
manejo
Mintic del activo a traves del procedimiento de
optimo
gestión de activos
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
Se requiere impletar una pólicita para evitar la
propagación de virus informaticos y fuga de
información
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
Es necesario dar respuesta inmediata y oportuna a
los eventos presentados en la entidad, gestionando
adecuadamente los incidentes de seguridad de la
información, por tanto se debe controlar de acuerdo
a los implementado y/o procedimientos establecidos
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
Es necesario implementar procedimiento apropiado
que permita asegurar el cumplimiento de los
requisistos legales relacionados con la propiedad
intelectual y uso legal de sofware
SI NO
Intranet - Proceso
Inscripción GruposGestión TICs - Formatos
de Respuesta a Emergencias ColCERT - CsirtGOB -
CsirtPONAL (Directorio)
Flujograma Incidentes
TIC-GDP-MPY-FAS0-FACT-TIC-GDP-MPY-FAS0-FACT-
MatrizRiesgosProyecto
formato GTI04-FOR02 -FORMATO DE ESPECIFICACIONES TECNICAS,
TIC-PLG-CJU-2020-C-PREC-Anexo Matriz de Riesgo
seguridad
Cláusula de Confidencialidad
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP
GTI010-FOR04 - Solicitud de cuentas de usuario institucional - VPN
Procolo de conexión
Formato GTI010-FOR02 Solicitud de cuentas de usuario institucional
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y GTI010-
FOR04 - Solicitud de cuentas de usuario institucional - VPN
Acuerdo de confidencialidad
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y GTI010-
FOR04 - Solicitud de cuentas de usuario institucional - VPN
Evidencia Reporte de novedades de personal (Gestión Humana y
Secretaria General GTH-PRC17 Y GAD-PRC17)
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y GTI010-
FOR04 - Solicitud de cuentas de usuario institucional - VPN
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y GTI010-
FOR04 - Solicitud de cuentas de usuario institucional - VPN
Repositorio documental
Formatos
GTI01-FOR02 Orden de Cambio
GTI07-FOR03 - Documentos Guiones de Prueba
Formato GTI02-FOR04 - Administracion a cambios de TI
Plan de inversión
Plan de acción
Plan Estratégico de Tecnología de la Información (PETI).
Formatos:
Privilegios de usuarios según perfil y responsabilidades
Manual de Seguridad de la Información numeral 10.29 "Control de
virus"
Formatos:
GTI02-FOR01 Bitacora de la Plataforma tecnológica"
GTI02-FOR04 Admon-cambios -TI
GTI03-FOR01-Cheklist
Formatos
GTI02-FOR04 - Administración de Cambios de TI
GTI01-FOR02 Orden de Cambio
Formato GTI01-FOR02 Orden de cambio.
GTI07-MTD01 -
Metodologia de Desarrollo y Matenimiento de Software
Formatos:
GTI06-FOR02 - Acta de Recibo a Satisfacción
GTI06-FOR03 - Acta de Certificación de Versión
Evidencia aprobación cambios
GTI07-MTD01 -
Metodologia de Desarrollo y Matenimiento de Software
Acuerdo de confidencialidad
Evidencia - Configuración Ambientes de Contingencvia y Pruebas
Contrato - Proveedores
Acuerdo de confidencialidad
Acuerdo de confidencialidad
Documentos proveedores
Plan de contingencia
Plan de continuidad de negocio
TRD - CGN