Evaluación Estándar de Seguridad Informática para La Red de Concesionarios Toyota en Colombia DLR

Categoría Control
Políticas básicas y
responsabilidades
Las políticas de seguridad de la información
están establecidas y divulgadas a usuarios
1
internos o externos con capacitación anual y
evaluación .
medidas de seguridad de la
Marco de referencia para
información
Se evalúan los activos de información

2
importantes y se identifican los riesgos.
confidencialidad
Los empleados deben firmar un acuerdo de

Deber de
confidencialidad cuando son contratados en el

3
cual se les recuerde su deber de mantener el
secreto al final de su período de servicio.
La seguridad de la información está incorporada

en el programa de formación para empleados
seguridad de la información
Educación y conciencia en
recién contratados y en la reinducción.
Los empleados reciben formación en seguridad

de la información, incorporando las últimas
4 novedades.
Se lleva a cabo una formación para ataques

dirigidos al correo electrónico, con el fin de
prevenir o reducir la intrusión por ciberataques.
Se implementan actividades de sensibilización en
toda la empresa.
fuera de las instalaciones
confidencial dentro y
Llevar material
Se estipulan, hacen cumplir las reglas
5 (implementación) y procedimientos para evitar
la fuga de información
Cuando un dispositivo inteligente de propiedad

personal se utiliza con fines corporativos, los
inteligentes
dispositivos
datos personales y laborales se mantienen

Gestion de
separados.
6
Los procedimientos para aprobar o rechazar el
uso de dispositivos inteligentes con fines
comerciales están estipulados y se hacen
cumplir.
Existen criterios establecidos para aplicar
Gestión de estaciones de
parches de seguridad al sistema operativo y las

aplicaciones, y los parches de seguridad urgentes
se aplican de inmediato.
trabajo
7
El software antivirus está instalado, los archivos
de patrones de virus se actualizan y los discos
duros se analizan periódicamente en busca de
virus.
Los criterios para garantizar la seguridad de los

servidores se especifican y se dan a conocer a los
administradores de servidores.
Los datos de las unidad de disco duro se eliminan

de manera segura cuando se dan de baja.
Existen criterios establecidos para aplicar

parches de seguridad al sistema operativo y las
aplicaciones, y los parches de seguridad urgentes
se aplican de inmediato.
Gestión de servidores
8
Se implementa una verificación de
vulnerabilidades en los servidores accesibles
8 públicamente y en los servidores internos antes y
después de que se activen y se toman
contramedidas para las vulnerabilidades
identificadas.
Se requiere la aprobación del supervisor para

agregar / cambiar administradores o cambiar la
configuración del servidor.
Los estándares de desarrollo especifican los

requisitos de seguridad para las aplicaciones que
se publicarán en Internet, y las aplicaciones se
publican de acuerdo con estos estándares los
cuales son analizados antes del lanzamiento.
Las reglas sobre la conexión a una LAN

inalámbrica (WiFi) están estipuladas y se dan a
conocer a todos los empleados.
Red Local
9 Las PCs y otros dispositivos que están conectados

a la red local se administran a través de
inventarios para que la PC o el dispositivo
relevante se pueda identificar rápidamente en
caso de un incidente de seguridad.
Se instala un firewall en el punto de conexión

externas y cortafuegos
entre Internet y la red local para restringir las

Comunicaciones
comunicaciones.
Las reglas de filtrado del cortafuegos se guardan
10 y se comprueban periódicamente en busca de
reglas innecesarias.
Se toman medidas para bloquear el tráfico entre
el malware intruso y los servidores no
autorizados.
Autenticación personal
Existen procedimientos para crear, modificar o

eliminar cuentas de usuario.
11
Autenticación per
11
Existen políticas de complejidad de contraseña

para prevenir la debilidad en la elección de
contraseñas para evitar el secuestro de cuentas.
Se realiza un análisis antivirus en la puerta de

enlace de correo electrónico para evitar
infecciones de virus.
Herramientas de Office
Existe un sistema de filtrado de extensiones de

archivo para prevenir la infección por virus.
El acceso a sitios web no autorizados está

12 restringido.
Se realiza un análisis antivirus en la puerta de

enlace web para evitar infecciones de virus a
través del acceso a sitios web no autorizados.
El uso compartido de archivos y la transferencia
a terceros están restringidos cuando se utilizan
herramientas de comunicación.
Descripción
Se definen las políticas básicas y los responsables de

garantizar la seguridad de la información.
Los riesgos y amenazas de seguridad de la

información se revisan de manera oportuna y se
aplica el (ciclo PHVA).
Los acuerdos de confidencialidad para los empleados

está estipulado y se hace cumplir.
La capacitación en seguridad de la información se

lleva a cabo en toda la empresa.
Se implementan actividades de concienciación sobre

la confidencialidad
Se estipulan, hacen cumplir las reglas y
procedimientos para evitar la fuga de la información
Las reglas para administrar dispositivos inteligentes

están estipuladas y aplicadas.
Se monitorea el uso de dispositivos inteligentes.
Las reglas de gestión de estaciones de trabajo están

estipuladas y se hacen cumplir.
Se implementan medidas antivirus para estaciones

de trabajo.
Las reglas de administración de servidores están

Las reglas de administración de servidores están
Se gestionan los permisos de los administradores del

servidor.
Se implementan las contramedidas y verificaciones

necesarias para los servidores accesibles en Internet
* antes y después de su lanzamiento.
Las reglas sobre el uso de la red local están

Los activos de información que están conectados a la

red local se gestionan mediante inventarios.
Se han adoptado medidas para garantizar un uso

seguro de la red local.
Se gestiona la configuración de los dispositivos que

se comunican a través de las redes locales y
externas.
Las reglas sobre autenticación personal están

estipuladas y aplicadas.
Las reglas sobre autenticación personal están
estipuladas y aplicadas.
Existe un sistema para bloquear los ataques por

correo electrónico.
Existen medidas para prevenir las infecciones de

virus causadas por la navegación en sitios web no
autorizados.
Se toman medidas para evitar que la información se

filtre a través de herramientas de comunicación.
Soportes Cumple
- Politica de seguridad de la informacion

- Proceso o procedimiento de capacitaciones y
evaluación de seguridad de la informacion
Matriz de activos de información donde se evidencia

la clasificación de riesgos y amenazas
- Politica o numeral de acuerdo de confidencialidad

con los empleados
- Suministrar 1 caso donde se evidencie el acuerdo
de confidencialidad diligenciado
- Evidencia de las capacitaciones en seguridad de la

información realizadas en 2023 para empleados
contratados
- Cronograma de capacitaciones en seguridad de la

información y temas abordados en 2023
Soportes de concientización sobre las amenazas

ciberneticas dirigidas mediante correo electronico
- Procedimiento de identificación para evitar la fuga
de información
- Evidencia de la actividad de control para evitar
fuga de información (política de firewall, bloqueo de
puertos, etc)
- Politica de gestión de dispositivos personales de

uso corporativo
- Listado de dispositivos personales autorizados y
con fines comerciales.
- Politica de gestión de dispositivos personales de
uso corporativo
- Listado de dispositivos personales autorizados y con
fines comerciales
Soporte de procedimiento de actualización de

parches de seguridad al SO
- Suministrar el soporte de las configuraciones de la

herramienta de antivirus donde se evidencie la
actualización a la ultima version.
Evidencia del ultimo escaneo a discos duros en
busqueda de virus.
- Procedimiento y/o capacitación de seguridad de

servidores
- Procedimiento de eliminacion de informacion de

manera segura
- Evidencia de las ultimas eliminaciones seguras
generadas
- Politica y/o procedimiento para la aplicación de

parches de seguridad
- Procedimiento de escaneo de vulnerabilidades
- Resultado de los 2 ultimos informes de
vulnerabilidades
- Procedimiento de gestion usuarios administradores

del servidor.
- Evidencia del comité de cambios donde se
especifique cambios a servidores o administradores
- Política o procedimiento de desarrollo seguro

- Evidencia de los 2 ultimos proyectos
implementados
- Politica de seguridad de la informacion donde se

defina la conexión a redes WiFi por parte de los
empleados
- Inventario de equipos de computo donde se

evidencié a que red local debería estar conectado.
- Evidencia de las configuraciones del Firewall donde

se parametrice las reglas para restringir las
comunicaciones.
- Cronograma de actualizacion de reglas en la

herramienta de gestión de Firewall

se parametrice el control de trafico
- Politica y procedimiento para la creación,

modificación o eliminación de usuarios en
aplicaciones
- Suministrar 1 caso para:
- Creación de usuarios conforme a la politica
- Eliminación de usuarios conforme a la politica
- Politica de administración de contraseñas
- Evidencia de la configuración de los paramentros
de contraseña en las aplicaciones core de la
compañia
- Evidencia (Pantallazo) de la herramienta que

realiza a detección de correos maliciosos.

se parametrice el control de trafico de red a sitios
web no autorizados
- Politica o procedimiento documentado de

etiquetado y clasificación para el intercambio de
información electronica
Evidencia
llPROTECTED 関係者外秘
Concesionario
Revisado por Aprobado por

*Ingresar nombre y cargo *Ingresar nombre y cargo
Email Teléfono contacto:
ETAPA
Categoría Descripción No. Cumplimiento Control Objetivos a cumplir Estado
IMPLEMENTACION
[Medidas]
・Desarrollo de políticas de seguridad de la información alineada con estándares
responsabilidades
internacionales de seguridad de la información como: ISO 27001, NIST, etc.

(Ej.) Objetivos, alcance, periodicidad de actualización, controles, responsables, sanciones,
Las políticas de seguridad de la información están etc.
Se definen las políticas básicas y los responsables de garantizar la seguridad de
1 1 1 Debe establecidas y divulgadas a usuarios internos o externos
la información.
con capacitación anual y evaluación . [Alcance]
Interno
- Empleados directos o temporales, practicantes, etc.
Externo
- Proveedores o terceros con acceso a información confidencial
Marco de referencia para medidas
de seguridad de la información
[Medidas]
・Identificar niveles de riego sobre los activos de información con el objetivo de solucionar
vulnerabilidades, definir contramedidas y anticipar amenazas (Enfoque: Confidencialidad,
Integridad y disponibilidad).
Los riesgos y amenazas de seguridad de la información se revisan de manera Se evalúan los activos de información importantes y se
2 3 1
oportuna y se aplica el (ciclo PHVA). identifican los riesgos.
・Ser capaz de priorizar acciones en caso de vulnerabilidades detectadas en el sistema.
[Alcance]
Toda los sistemas de la compañía
ETAPA
IMPLEMENTACION
[Medidas]
Deber de confidencialidad
・Incluir clausulas de confidencialidad en los contratos de trabajo.
・Recordar a los empleados su deber de mantener el secreto de la información al termino de
su servicio.
Los empleados deben firmar un acuerdo de
Los acuerdos de confidencialidad para los empleados está estipulado y se hace confidencialidad cuando son contratados en el cual se les [Alcance]
3 8 1 Debe
cumplir. recuerde su deber de mantener el secreto al final de su Empleados
período de servicio.
[Cuando]
・Firma: al inicio del contrato de trabajo
・Recordatorio: Al finalizar el vinculo laboral
[Medidas]
El programa de formación de empleados y la reinducción periódica de los mismos debe
cubrir aspectos clave de seguridad informática y manejo de la información confidencial
La seguridad de la información está incorporada en el
[Alcance]
11 1 Debe programa de formación para empleados recién
contratados y en la reinducción.
[Cuando ]
Al ingreso a la compañía para nuevos empleados
Periódicamente para los todos empleados
La capacitación en seguridad de la información se lleva a cabo en toda la
empresa.
[Medidas]
El entramiento en seguridad de la información debe contemplar nuevos riesgos
Educación y conciencia en seguridad de la información
Los empleados reciben formación en seguridad de la identificados, nuevas herramientas implementadas para generar conciencia.
12 2 Debe
información, incorporando las últimas novedades. Debe realizarse en periodos no superiores a los 12 meses entre cada entrenamiento
[Alcance]
4 [Medidas]
・Capacitación a los usuarios para identificar emails sospechosos
・Instrucciones para reportar emails sospechosos al área de tecnología de cada empresa
Se lleva a cabo una formación para ataques dirigidos al correspondiente.
14 1 Debe correo electrónico, con el fin de prevenir o reducir la ・Mantener registro de los entrenamientos
intrusión por ciberataques. ・Revisar y actualizar el entrenamiento periódicamente
[Alcance]
Todos los usuarios con buzón de correo
Se implementan actividades de concienciación sobre la confidencialidad
[Medidas]
Implementar alertas, noticias o tips de seguridad de la información a los usuarios para
minimizar que sean objeto de un engaño o un ataque.
Se implementan actividades de sensibilización en toda la
15 1 Debe
empresa. [Alcance]
・Empleados directos o temporales, practicantes, etc.
・Directivos
Llevar material confidencial
[Reglas]
dentro y fuera de las
・Se debe restringir la extracción de información por medio de dispositivos extraíbles

(USB/CD/DVD, etc.)
instalaciones
・Se deben limitar los perfiles de internet para evitar el acceso y fuga de información por
Se estipulan y hacen cumplir las reglas y procedimientos para evitar la fuga de la Se estipulan y hacen cumplir las reglas (implementación) medio de paginas para compartir archivos
5 27 3 Debe
información y procedimientos para evitar la fuga de información (Ej.) WeTransfer, Google Drive, etc.
・Se debe limitar el acceso a la información solo a los dispositivos corporativos
[Alcance]
Todos los usuarios con acceso a los sistemas
[Recomendación]
ATC no recomienda el uso de dispositivos personales en ambientes corporativos, sin embargo
si el concesionario decide hacer uso de ellos debe tener en cuenta las siguientes medidas:
[Alcance de aplicación]
Dispositivos inteligentes (Incluyendo dispositivos personales) usados para propósitos
corporativos
Cuando un dispositivo inteligente de propiedad personal
Las reglas para administrar dispositivos inteligentes están estipuladas y [Medidas]
33 1 Debe se utiliza con fines corporativos, los datos personales y
aplicadas. El ambiente de trabajo debe estar separado usando los siguientes métodos:
laborales se mantienen separados.
・Implementar software MDM (Mobile Device Management) o otra solución de administración
de dispositivos
Gestion de dispositivos inteligentes
Crear espacios de almacenamiento separados por medio de virtualización

・Crear espacios de almacenamiento separados por medio de alguna aplicación especial
・Separar ambiente de trabajo de ambiente personal usando las características multiusuario
del Sistema Operativo del dispositivo
・Usar otro sistema similar a los mencionados anteriormente para separa la información
laborales y personal
6
Dispositivos inteligentes (Incluyendo dispositivos personales) usados para propósitos
corporativos
[Reglas]
El periodo durante el cual un dispositivo inteligente personal es permitido debe estar
especificado.
Los procedimientos para aprobar o rechazar el uso de
Se monitorea el uso de dispositivos inteligentes. 35 3 Debe dispositivos inteligentes con fines comerciales están
[Mecanismos de control]
estipulados y se hacen cumplir.
Solicitud y registro formal de la solicitud
[Ítems a controlas]
・Usuario, dispositivo, modelo, fecha de inicio, fecha fin
[Periodo de retención]
Al menos un año
Estaciones de trabajo
[Software el cual debe ser parchado]

Sistema operativo, Explorador (es), FlashPlayer, Java, Office, etc.
*Cualquier otro software instalado en las computadoras.
Existen criterios establecidos para aplicar parches de
Las reglas de gestión de estaciones de trabajo están estipuladas y se hacen cumplir. 38 1 Debe seguridad al sistema operativo y las aplicaciones, y los
[Reglas]
parches de seguridad urgentes se aplican de inmediato.
Gestión de estaciones de trabajo
Tiempos de actualización correctamente establecidos.
[Criterio]
Se utiliza cualquiera de los siguientes:
・Calificación CVSS de 7.0 s superior
・IPA/Microsoft "Critica"
7
El software antivirus está instalado, los archivos de *Actualizaciones de definiciones de virus deben ser actualizados en computadores inactivos
Se implementan medidas antivirus para estaciones de trabajo. 42 1 Debe patrones de virus se actualizan y los discos duros se o con acceso esporádico a la red.
analizan periódicamente en busca de virus.
[Alcance del escaneo]
Todos los discos (full scan)
[Criterio]
・Existen administradores y supervisores de servidores asignados.
・El acceso esta limitado solo a usuarios administradores.
Los criterios para garantizar la seguridad de los ・Los administradores con permisos solo tienen los permisos necesarios.
44 1 Debe servidores se especifican y se dan a conocer a los ・La contraseña de administrador cumple con las políticas de complejidad de contraseña y se
administradores de servidores. cambia periódicamente.
・El acceso físico se encuentra restringido a las personas apropiadas
(Cuarto de sistemas, datacenter, rack con llave, etc.).
・Servicios no necesarios se encuentran deshabilitados.
[Reglas]
・Datos en los discos duros deben ser borrados de manera segura una vez los servidores o
discos son dispuesto para baja.
・Se debe guardar un registro del proceso de borrado y el mecanismo utilizado
[Medidas]
45 3 Debe Los datos de las unidad de disco duro se eliminan de
Una de las siguientes medidas debe ser usada:
manera segura cuando se dan de baja.
・Destrucción física del disco
・Uso se herramientas para eliminación segura de datos
・Servicios externos de disposición de discos duros
* El formateo de un disco duro no es suficiente ya que la información puede ser recuperado
con herramientas especializadas.
Las reglas de administración de servidores están estipuladas y se hacen cumplir.

ETAPA
IMPLEMENTACION
Servidores accesibles públicamente y servidores internos
Las reglas de administración de servidores están estipuladas y se hacen cumplir. [Software al cual se debe aplicar parches de seguridad]
Sistema operativo, navegadores, Java, FlashPlayer
*Otros software instalados por cada compañía.
Existen criterios establecidos para aplicar parches de
46 2 Debe seguridad al sistema operativo y las aplicaciones, y los [Reglas]
parches de seguridad urgentes se aplican de inmediato. Debe haber un tiempo de actualización especificado.
[Criterios para definir urgencia]


・Calificación CVSS de 7.0 o mas alta
・Microsoft "Critica"
8 ・Otros criterios como impacto y nivel de explotación
Se implementa una verificación de vulnerabilidades en [Software aplicable]

los servidores accesibles públicamente y en los Sistema operativo, servicios y aplicaciones instaladas en ellos
47 2 Debe servidores internos antes y después de que se activen y
se toman contramedidas para las vulnerabilidades [Reglas]
identificadas. ・ Las contramedidas deben coincidir adecuadamente con la importancia y urgencia de la
vulnerabilidad.
・ Se deben mantener los resultados de los análisis de vulnerabilidades y las contramedidas
implementadas.
[Reglas]
・Los administradores de servidores solicitan aprobación antes de agregar o cambiar usuarios
Se requiere la aprobación del supervisor para agregar / o configuraciones del servidor.
Se gestionan los permisos de los administradores del servidor. 48 1 Debe cambiar administradores o cambiar la configuración del ・Se debe contar con un registro de control de cambios realizados por los administradores a
servidor. los servidores
・Se deben tomar medidas para evitar que los desarrolladores operen un servidor con
autoridad de administrador en el entorno de producción.
Los estándares de desarrollo especifican los requisitos de Aplicaciones accesibles públicamente (B2B, B2C)
seguridad para las aplicaciones que se publicarán en
Se implementan las contramedidas y verificaciones necesarias para los
49 3 Debe Internet, y las aplicaciones se publican de acuerdo con [Reglas]
servidores accesibles en Internet * antes y después de su lanzamiento.
estos estándares los cuales son analizados antes del ・Los requerimientos de seguridad deben estar documentados en los procedimientos de
lanzamiento. desarrollo.
・Resultados de los escaneos y contramedidas deben ser mantenidos.
Las reglas sobre la conexión a una LAN inalámbrica (WiFi) Dispositivos con tarjetas de red inalámbricas (Ipads, smartphones. Laptops, etc,)
Las reglas sobre el uso de la red local están estipuladas y se hacen cumplir. 51 1 Debe están estipuladas y se dan a conocer a todos los
empleados. [Reglas]
・Las señales inalámbricas deben estar encriptadas y deben exigir autenticación
Red Local
Las PC y otros dispositivos que están conectados a la red
Todos los dispositivos conectados a la red local
Los activos de información que están conectados a la red local se gestionan local se administran a través de inventarios para que la
52 3 Debe
mediante inventarios. PC o el dispositivo relevante se pueda identificar
[Información a registrar]
rápidamente en caso de un incidente de seguridad.
Nombre del dispositivo, Dirección IP, Serial, Ubicación, usuario, información de contacto
[Medidas]
Restringir conexiones basadas origen/destino y puerto de conexión.
Se instala un firewall en el punto de conexión entre
Se han adoptado medidas para garantizar un uso seguro de la red local. 53 1 Debe
Internet y la red local para restringir las comunicaciones.
[Punto de instalación]
Comunicaciones externas y cortafuegos
Punto de conexión entre la red externa y la red externa
[Mecanismo de control]
Backup de configuraciones y reglas
Las reglas de filtrado del cortafuegos se guardan y se
Se gestiona la configuración de los dispositivos que se comunican a través de las
10 56 1 Debe comprueban periódicamente en busca de reglas [Medidas]
redes locales y externas.
innecesarias. - Respaldar periódicamente las configuración del firewall
- Verificar regularmente las configuraciones en buscar de reglas no necesarias
[Medidas]
Una de las siguientes medidas debe ser tomada:
Se toman medidas para bloquear el tráfico entre el
57 3 Debería ・ Lista negra de información de direcciones de servidores.
malware intruso y los servidores no autorizados.
・ Restringir el tráfico mediante la función de autorización de usuario del servidor proxy.
・ Además de lo anterior, brindar protección contra el acceso no autorizado.
[Alcance]
Cuentas de usuario a los sistemas de información
[Reglas]
・Los empleados deben requerir los permisos y estos son aprobados por las personas
autorizadas antes de realizar los cambios.
・Solo los accesos necesarios de acuerdo a las funciones se asignan a los usuarios.
Existen procedimientos para crear, modificar o eliminar ・Las cuentas de usuario deben ser revisadas regularmente.
58 1 Debe
cuentas de usuario. ・Cuentas no necesarias son inactivadas inmediatamente.
・Se informa a ATC una vez se inactiva el usuario para que sea deshabilitado en sus sistemas
[Medidas de control]
Revisión periódica de usuarios
Formularios de solicitud de permisos: Como mínimo 5 años
11 Las reglas sobre autenticación personal están estipuladas y aplicadas.

Contraseñas de cuentas de usuario a los sistemas de información
[Reglas]
Las contraseñas deben cambiar periódicamente
(Ej.) 60 días
[Reglas de complejidad]
- No contener el nombre de la cuenta del usuario o nombres y apellidos completos del
usuario
Existen políticas de complejidad de contraseña para
- Tener una longitud mínima de ocho (08) caracteres
60 1 Debe prevenir la debilidad en la elección de contraseñas para
- Incluir caracteres de tres de las siguientes categorías:
evitar el secuestro de cuentas.
1. Mayúsculas (de la A a la Z)
2. Minúsculas (de la A a la Z)
3. Dígitos de base 10 (del 0 al 9)
4. Caracteres no alfanuméricos (por ejemplo: $, #, %, *)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas de red.
[Directivas de contraseña]
- Exigir Historial de contraseñas
- Exigir Vigencia máxima de la contraseña
- Exigir Vigencia mínima de la contraseña
Se realiza un análisis antivirus en la puerta de enlace de [Medida]

63 2 Debe
correo electrónico para evitar infecciones de virus. Se encuentra configurado el antivirus en la puerta de enlace del correo.
Existe un sistema para bloquear los ataques por correo electrónico.
[Medidas]
Existe un sistema de filtrado de extensiones de archivo
64 1 Debe Configurar las características de filtrado de extensiones de archivo.
para prevenir la infección por virus.
(Ej.: Archivos ejecutables (.exe, .msi,.bat, ,sh, .ps1, etc.), archivos comprimidos, etc.)
12 [Medidas]
Existen medidas para prevenir las infecciones de virus causadas por la 66 2 Debe El acceso a sitios web no autorizados está restringido. Contar con categorización de perfiles de internet de acuerdo a sus funciones
navegación en sitios web no autorizados. Contar con un sistema de filtrado de URL web
Se realiza un análisis antivirus en la puerta de enlace
[Medidas]
67 1 Debe web para evitar infecciones de virus a través del acceso
Configure un sistema antivirus en la puesta de enlace Web para el acceso a Internet.
a sitios web no autorizados.
El uso compartido de archivos y la transferencia a [Alcance de aplicación]
Se toman medidas para evitar que la información se filtre a través de
68 2 Debe terceros están restringidos cuando se utilizan Limitar las funciones de compartir archivos en paginas de compartir archivos, sistemas de
herramientas de comunicación.
herramientas de comunicación. conferencias web y aplicaciones de mensajería.
Estándar de seguridad informática para la red de concesionarios Toyota Colombia

Concesionario
Revisado por Aprobado por

*Ingresar nombre y cargo *Ingresar nombre y cargo
Email Teléfono contacto:
Progreso
■ (2) Implementado Incluir: Reglas, sistemas o
Categoría
ETAPA procedimientos, fecha de implementación.

Descripción No. IMPLEMENTACION Cumplimiento Control Objetivos a cumplir Estado
■ (1) En implementación Incluir: Estado actual y fecha de
planeada de implementación.
■ (0) No implementado Incluir: Planes futuros
■ N/A Incluir: Razón por la que no aplica el requerimiento
[Medidas]
・Desarrollo de políticas de seguridad de la información alineada con estándares internacionales de
responsabilidades
seguridad de la información como: ISO 27001, NIST, etc.

Se definen las políticas básicas y los responsables de garantizar Las políticas de seguridad de la información están establecidas (Ej.) Objetivos, alcance, periodicidad de actualización, controles, responsables, sanciones, etc.
1 la seguridad de la información. 1 1 Debe y divulgadas a usuarios internos o externos con capacitación 2
anual y evaluación . [Alcance]
Interno
Externo
- Proveedores o terceros con acceso a información confidencial
[Medidas]
・Definir activos de información
・Definir criticidad de los activos de información
(Ej.) Análisis BIA (Business Important Analisys) sobre los sistemas de información financiera,
información de producto, pagina web, aplicaciones corporativas, etc.
2 1 Debe Los activos de información importante se encuentran definidos ・Desarrollar una lista de activos de información importantes
(Ej.) Sistema de almacenamiento (Nombre), periodo de retención , usuarios y roles
[Alcance]
Toda los sistemas de la compañía
[Medidas]
・Identificar niveles de riego sobre los activos de información con el objetivo de solucionar
vulnerabilidades, definir contramedidas y anticipar amenazas (Enfoque: Confidencialidad, Integridad y
Marco de referencia para medidas de seguridad de la información
Se evalúan los activos de información importantes y se disponibilidad).

3 1 identifican los riesgos.
・Ser capaz de priorizar acciones en caso de vulnerabilidades detectadas en el sistema.
[Alcance]
Los riesgos y amenazas de seguridad de la información se Toda los sistemas de la compañía
revisan de manera oportuna y se aplica el (ciclo PHVA).
[Medidas]
・Priorizar las acciones a tomar para responder a los riesgos identificados.
Se desarrolla un plan de respuesta basado en los resultados de ・Desarrollar un plan de respuesta a riesgos identificados.
4 2 Debe la evaluación del punto 3
[Alcance]
Todos los sistemas de la compañía
[Medidas]
・Evaluar los riesgos identificados internamente o a través de evaluaciones externas* y plantear planes
Las medidas de seguridad de la información se evalúan de mejora para la seguridad de la información
5 1 Debe periódicamente y se utiliza kaizen para resolver problemas que
se han identificado a través de la evaluación.
*La frecuencia de las evaluaciones externas es determinada por cada compañía en un periodo no
superior a 12 meses.
[Medidas]
Identificar y hacer las revisiones necesarias a:
Las reglas / marco de seguridad de la información se revisan La empresa se adapta a las innovaciones tecnológicas, los ・Nuevos sistemas y herramientas necesarias para introducir a la empresa
continuamente para detectar problemas que puedan surgir de 6 3 Debe incidentes y las leyes relacionadas con la seguridad de la ・Directrices de la marca o el distribuidor en herramientas tecnológicas
cambios en el entorno, ya sea dentro o fuera de la organización. información, y la información obtenida de la marca.
・Revisión de leyes relevantes
・Actualizaciones sobre incidentes o planes de trabajo sobre los mismos
El área corporativa responsable de la gestión de la seguridad de [Alcance de la inspección]

la información utiliza una hoja de verificación, etc. para revisar ・Identificar violaciones en las reglas definidas para el manejo de la información
cómo se administra la información confidencial en cada lugar
Cómo se gestiona y revisa la información confidencial. 7 3 Debe de trabajo o departamento que maneja información [Propósito]
confidencial y realiza mejoras a través de Kaizen cuando es Alinear las áreas y usuarios para que gestionen la información de acuerdo a las reglas y políticas
necesario. definidas.
Progreso
Categoría
[Medidas]
・Incluir clausulas de confidencialidad en los contratos de trabajo.
・Recordar a los empleados su deber de mantener el secreto de la información al termino de su
servicio.
Los empleados deben firmar un acuerdo de confidencialidad
8 1 Debe cuando son contratados en el cual se les recuerde su deber de [Alcance]
Empleados
mantener el secreto al final de su período de servicio.
[Cuando]
・Firma: al inicio del contrato de trabajo
Los acuerdos de confidencialidad para los empleados está ・Recordatorio: Al finalizar el vinculo laboral
estipulado y se hace cumplir.
Deber de confidencialidad
[Reglas]
・Descripción de la obligación de mantener en secreto la información confidencial
4 Las reglas y penalidades con respecto al deber de mantener la ・Definir medidas a tomar en caso de un evento de fuga de información confidencial
información confidencial esta establecido y claramente ・Descripción de las penalidades o sanciones
9 1 Debe estipuladas por escrito en caso de incumplimiento.
[Alcance]
Empleados y Outsourcing
[Términos del contrato]

・El alcance de la información confidencial esta definida en el contrato
Se estipula el deber de confidencialidad para los trabajadores Se realiza un acuerdo de confidencialidad con los empleadores ・Descripción de la obligación al secreto
temporales o externos (por ejemplo, trabajadores por agencias 10 1 Debe temporales o los trabajadores externos in-house. ・Medidas a tomar y penalidades en caso de fuga de información
temporales o externos in-house).
[Alcance]
Trabajadores temporales o trabajadores externos in-house
[Medidas]
El programa de formación de empleados y la reinducción periódica de los mismos debe cubrir aspectos se tiene complimiento a traves de la firma del contrato
clave de seguridad informática y manejo de la información confidencial donde ,,,,,,,,,, anexo donde se firma la confidencialidad
La seguridad de la información está incorporada en el
programa de formación para empleados recién contratados y [Alcance]
11 1 Debe - Empleados directos o temporales, practicantes, etc.
en la reinducción.
[Cuando ]
Al ingreso a la compañía para nuevos empleados
Periódicamente para los todos empleados
[Medidas]
El entramiento en seguridad de la información debe contemplar nuevos riesgos identificados, nuevas
Los empleados reciben formación en seguridad de la herramientas implementadas para generar conciencia.
12 2 Debe información, incorporando las últimas novedades. Debe realizarse en periodos no superiores a los 12 meses entre cada entrenamiento
La capacitación en seguridad de la información se lleva a cabo [Alcance]
en toda la empresa. - Empleados directos o temporales, practicantes, etc.
Educación y conciencia en seguridad de la información
[Descripción]
・Capacitación acerca de nuevas tecnologías o medidas de seguridad implementadas y riesgos de
Los directivos son capacitados sobre sus funciones y seguridad de información.
13 3 debe responsabilidades en relación con la seguridad de la ・Capacitación sobre sus responsabilidades acerca de la seguridad de la información.
información.
[Target]
Directivos
5
[Medidas]
・Capacitación a los usuarios para identificar emails sospechosos
・Instrucciones para reportar emails sospechosos al área de tecnología de cada empresa
Se lleva a cabo una formación para ataques dirigidos al correo correspondiente.
14 1 Debe electrónico, con el fin de prevenir o reducir la intrusión por ・Mantener registro de los entrenamientos
ciberataques. ・Revisar y actualizar el entrenamiento periódicamente
[Alcance]
Todos los usuarios con buzón de correo
Se implementan actividades de concienciación sobre la

confidencialidad
[Medidas]
Implementar alertas, noticias o tips de seguridad de la información a los usuarios para minimizar que
sean objeto de un engaño o un ataque.
Se implementan actividades de sensibilización en toda la
15 1 Debe empresa. [Alcance]
・Directivos
[Reglas]
・Se incluyen clausulas de confidencialidad de la información en los contratos con aliados y estos son
Los contratos con empresas aliadas incluyen una cláusula de firmados antes que se empiece a prestar los servicios.
Se aplican reglas que imponen el deber de confidencialidad a las confidencialidad en los casos que existe acceso a información ・Los acuerdos deben incluir términos y condiciones de la seguridad de la información.
empresas asociadas a las que se proporciona información 16 1 Debe confidencial. (Ej.) Condiciones de auditorias, inspecciones en sitio, subcontrataciones, compensación por daños,
confidencial. penalidades en caso de violación, vigencias y caducidad de las autorizaciones.
[Alcance]
Aliados con acceso a información confidencial
Empresas aliadas
[Medidas]
・Especificar en los contratos y clausulas de confidencialidad la fecha de expiración y la obligación de
6 devolver o eliminar la información.
Al vencimiento de los acuerdos, toda la información (Ej.) Acuerdos de confidencialidad (NDA: non-disclosure agreement)
17 3 Debería confidencial y los derechos de acceso se devuelven o se
eliminan. ・Revisar periódicamente la expiración y controlar el cumplimiento de las obligaciones
[Alcance]
Aliados con acceso a información confidencial
El manejo de información altamente confidencial se acuerda y

se hace cumplir.
[Medidas]
・Se reportan las medidas de seguridad implementadas
El informe sobre las medidas de seguridad, riegos o ataques es ・Se reportan a ATC los riesgos identificados en los sistemas.
18 3 Debe enviado por las empresas aliadas que manejan información ・Se debe reportar a ATC inmediatamente la materialización de un riego de seguridad informática o en
confidencial. caso de presentarte un ciber ataque o brecha de seguridad.
[Alcance]
Riesgos en cualquier sistema informático
[Reglas]
・Definición de áreas permitidas
(Ej.) Recepción, espacios comunes, salas de reuniones, etc.
Los procedimientos para visitantes / proveedores para ingresar ・Manejo del registro de visitantes
19 1 Debe a las instalaciones de la empresa están estipulados e ・Todo visitante debe estar a cargo de algún empleado
implementados. ・A todo visitante se le debe entregar una escarapela de identificación, la cual debe ser portada en un
lugar visible
[Alcance]
Visitantes o invitados
[Reglas]
Cualquier persona ingresando a las instalaciones debe estar debidamente identificado.
Existen medidas para identificar fácilmente a cualquier persona Todos los empleados deben estar capacitados en cuanto al procedimiento a seguir en caso de
Las reglas generales para ingresar a las instalaciones de la 20 1 Debe no autorizada que ingrese a las áreas restringidas de la identificar a una persona sospechosa dentro de las instalaciones
empresa, ya sea a pie o en vehículo, se estipulan y hacen empresa.
cumplir junto con las reglas para ingresar a las áreas [Alcance]
restringidas. Empleados o visitantes
[Reglas]
El área donde se maneja la información confidencial de su Las áreas deben restringidas deben estar definidas y correctamente identificadas.
empresa o clientes (un " área restringida ") está claramente Estas áreas deben contar con un sistema de acceso especifico de control
Control de entrada y salida
21 2 Debe especificada y se da a conocer a todos los empleados y

visitantes. [Alcance]
Empleados o visitantes
7
Debe haber procedimientos establecidos para que los [Reglas]

visitantes / proveedores soliciten acceso autorizado a un área Procedimientos definidos para la autorizar el acceso a áreas restringidas
22 2 Debe restringida, y dichos procedimientos se dan a conocer a todos
los empleados. [Alcance]
Visitantes y proveedores.
[Reglas]
Se deben tener identificadas las zonas restringidas para el acceso de los usuarios no autorizados, Zona
de cajas, Tesorería, Datacenters, Etc.
Se debe llevar registro en listado de visitantes, planillas de registro o sistema de registro, etc.
El acceso a las áreas restringidas está controlado y se mantienen El acceso a las áreas restringidas está controlado y se
registros de visitantes. 23 2 Debe mantienen registros para identificar a las personas que han [Medidas]
ingresado a dichas áreas . Registro de fecha y hora de ingreso, nombre del visitante, nombre del acompañante, objetivo del
ingreso.
Por lo menos 6 meses
Progreso
Categoría
[Medidas]
El monitoreo de vigilancia se realiza en todo momento para Se monitorean el acceso no autorizado y el comportamiento ・Supervisar a quien entran y sale, ya sea de manera visual o automáticamente.
evitar el acceso no autorizado. 24 1 Debe sospechoso. (Ej.) Guardia de seguridad, , cámaras de vigilancia (Debe contar con monitoreo 24 horas), sensores
infrarrojos, sistemas de control de acceso, etc.
・ Compruebe periódicamente el estado del monitoreo. mínimo 45 días de grabación
[Reglas]
・ Criterios para la inclusión y retiro en el control de acceso
Los procedimientos para la inclusión en los sistemas de control Los procedimientos para incluir empleados en el sistema de ・Definición de reglas y horarios de acceso
・Definir reglas de caducidad
Control de acceso para empleados
de acceso a los no empleados están estipulados y se hacen 25 3 Debería acceso por medios biométricos o tarjetas de acceso están
cumplir. claramente estipulados e implementados.
[Alcance]
Empleados o terceros con acceso individual autorizado a las instalaciones
Periódicamente se lleva a cabo una revisión de los accesos [Reglas]

asignados 26 3 Debe Se realiza una revisión de los accesos asignados periódicamente Revisión periódica de los accesos permitidos
Llevar material confidencial dentro
y fuera de las instalaciones
[Reglas]
・Se debe restringir la extracción de información por medio de dispositivos extraíbles (USB/CD/DVD,
etc.)
・Se deben limitar los perfiles de internet para evitar el acceso y fuga de información por medio de
Se estipulan y hacen cumplir las reglas y procedimientos para Se estipulan y hacen cumplir las reglas (implementación) y paginas para compartir archivos
9 evitar la fuga de la información 27 3 Debe procedimientos para evitar la fuga de información (Ej.) WeTransfer, Google Drive, etc.
・Se debe limitar el acceso a la información solo a los dispositivos corporativos
[Alcance]
Todos los usuarios con acceso a los sistemas
Seguridad interna para fotografías / grabaciones de video
[Reglas]
Se estipulan y hacen cumplir las reglas para la toma de Los procedimientos de solicitud y las reglas para tomar fotos y ・Restringir los permisos para tomar fotos o videos en áreas restringidas
fotografías y la grabación de videos en las áreas restringidas de 28 3 Debe grabar videos en las instalaciones de la empresa están [Alcance]
la empresa. estipulados y se hacen cumplir
・Empleados directos o temporales, practicantes, visitantes etc.
10
[Reglas]
・Monitoreo constante a los sistemas de almacenamiento de video
El estado de almacenamiento de cámaras y funcionamiento de Inspecciones periódicas a los sistemas de grabación y ・Definir periodos adecuados de retención de las grabaciones de los sistemas de seguridad
los mismos se inspecciona periódicamente. 29 3 Debe almacenamiento de video son realizados. ・Realizar inspecciones y mantenimientos periódicos a las cámaras
・Controlar periódicamente los accesos asignados a los sistemas de grabación
[Reglas]
・Se deben definir el alcance y procedimientos para el manejo de incidentes de seguridad
Se define el alcance de los incidentes de seguridad de la ・Se deben definir niveles de severidad de los incidentes de seguridad
30 3 Debe información. * se deben compartir con ATC y toda la red los incidentes de seguridad.
[Alcance]
[Medidas]
Las reglas para informar y manejar incidentes de seguridad de la ・Priorizar acciones a tomar de acuerdo al nivel de severidad del incidente.
información están estipuladas y se hacen cumplir.
Respuesta a incidentes
・Especificar procedimientos para responder a incidentes de seguridad incluyendo los pasos básicos:
(1) Detección/Reporte
(2) Respuesta Inicial
(3) Investigación/ Respuesta
11 Se encuentran definidos los procedimientos para la respuesta a (4) Notificación/Reporte/Divulgación: Que y cuando la organización revelara la información
31 3 Debe incidentes de seguridad.
[Requerimientos]
・Manual de respuesta a incidentes
・Reporte de incidentes a ATC
[Alcance]
・Área y personas del equipo de respuesta a incidentes
Existen procedimientos para que el área responsable de la [Medidas]

32 3 Debe seguridad de la información maneje incidentes recurrentes o ・Revisar incidentes de seguridad.
de alto riesgo. ・Identificar en los diferentes tipos de incidentes tendencias o incidentes repetitivos .
[Recomendación]
ATC no recomienda el uso de dispositivos personales en ambientes corporativos, sin embargo si el
concesionario decide hacer uso de ellos debe tener en cuenta las siguientes medidas:
Dispositivos inteligentes (Incluyendo dispositivos personales) usados para propósitos corporativos
Cuando un dispositivo inteligente de propiedad personal se [Medidas]

33 1 Debe utiliza con fines corporativos, los datos personales y laborales El ambiente de trabajo debe estar separado usando los siguientes métodos:
se mantienen separados. ・Implementar software MDM (Mobile Device Management) o otra solución de administración de
dispositivos
Crear espacios de almacenamiento separados por medio de virtualización
・Crear espacios de almacenamiento separados por medio de alguna aplicación especial
Las reglas para administrar dispositivos inteligentes están ・Separar ambiente de trabajo de ambiente personal usando las características multiusuario del
estipuladas y aplicadas. Sistema Operativo del dispositivo
・Usar otro sistema similar a los mencionados anteriormente para separa la información laborales y
personal
Gestion de dispositivos inteligentes
12 La división responsable de la seguridad de la información [Configuraciones requeridas]

34 1 Debe preconfigura los dispositivos inteligentes. ・Contraseña o código de acceso de mínimo 6 dígitos
・Cifrado de almacenamiento
・Función para borrar los datos remotamente en caso de perdida del dispositivo
[Reglas]
El periodo durante el cual un dispositivo inteligente personal es permitido debe estar especificado.
Los procedimientos para aprobar o rechazar el uso de [Mecanismos de control]
Se monitorea el uso de dispositivos inteligentes. 35 3 Debe dispositivos inteligentes con fines comerciales están Solicitud y registro formal de la solicitud
estipulados y se hacen cumplir.
[Ítems a controlas]
・Usuario, dispositivo, modelo, fecha de inicio, fecha fin
Al menos un año
[Reglas]
・ Se deben estipular las reglas para la baja de estaciones de trabajo, así como la ubicación /
Las reglas de uso de estaciones de trabajo están estipuladas y almacenamiento cuando se deja desatendido.
36 3 Debe se dan a conocer a todos los empleados.
・ Los computadores portátiles debe entregarse con una guaya de seguridad para que el usuario pueda
asegurarlos cuando se dejen los equipos desatendidos
・ Se debe realizar una inspección regular para verificar si las estaciones de trabajo de los usuarios se
utilizan de acuerdo con las reglas.
[Reglas]
・Configuraciones estándar (software y versión) deben encontrarse especificadas.
La configuración y los ajustes estándar de estaciones de trabajo - Software: Sistema Operativo, Office, navegador (es), antivirus
37 2 Debe están especificados y los cambios en las configuraciones o ・Las siguientes configuraciones mínimas deben estar especificadas.
ajustes se realizan con aprobación. - Cambio de contraseña periódico
- Bloqueo automático de pantalla
- Configuraciones de actualización de definiciones de antivirus
・Antes de realizar cambios en las configuraciones o software debe existir una aprobación del equipo
de tecnología.
Progreso
Categoría
[Software el cual debe ser parchado]
Sistema operativo, Explorador (es), FlashPlayer, Java, Office, etc.
*Cualquier otro software instalado en las computadoras.
Existen criterios establecidos para aplicar parches de seguridad
38 1 Debe al sistema operativo y las aplicaciones, y los parches de [Reglas]
Las reglas de gestión de estaciones de trabajo están estipuladas seguridad urgentes se aplican de inmediato. Tiempos de actualización correctamente establecidos.
y se hacen cumplir.
[Criterio]
・Calificación CVSS de 7.0 s superior
・IPA/Microsoft "Critica"
Gestión de estaciones de trabajo
13 [Alcance de aplicación]
Se especifica el software que está permitido o prohibido para [Reglas]
39 2 Debe uso en estaciones de trabajo y se prohíbe la instalación de ・Una lista de software autorizado y no autorizado debe estar definida y debe ser de conocimiento de
software sin autorización. los empleados.
・Los empleados no pueden realizar instalación de software en las estaciones de trabajo sin la
aprobación e intervención del equipo de tecnología.
[Reglas]
・Los empleados tiene prohibido el uso de dispositivos personales de almacenamiento de datos.
・Los empleados deben obtener las autorizaciones necesarias antes de permitirse la escritura en
Las reglas para evitar que la información se filtre a través de medios de almacenamiento externos.
40 1 Debe dispositivos de almacenamiento externos se estipulan y se dan
a conocer a todos los empleados. ・Los dispositivos de almacenamiento deben estar encriptados y protegidos con contraseña.
・Los dispositivos de almacenamiento externo deben estar almacenados en lugares protegidos con
llave.
・Una vez los datos son descartados se debe realizar una eliminación segura de los mismos.
[Medidas]
Se toman algunas medidas para restringir la escritura de datos Uno de los siguientes métodos deben ser utilizados.
41 3 Debe desde una estación de trabajo. ・Uso de software o políticas de dominio para restringir la escritura y lectura en dispositivos externos
(USB/CD/DVD, etc.)
・Bloquear puertos físicamente
・Otras medidas similares designada al limitar la escritura y lectura de datos de almacenamientos
externos.
El software antivirus está instalado, los archivos de patrones de *Actualizaciones de definiciones de virus deben ser actualizados en computadores inactivos o con
42 1 Debe virus se actualizan y los discos duros se analizan acceso esporádico a la red.
periódicamente en busca de virus.
[Alcance del escaneo]
Todos los discos (full scan)
Se implementan medidas antivirus para estaciones de trabajo.
Progreso
Categoría
Se implementan medidas antivirus para estaciones de trabajo. planeada de implementación.
Los datos críticos que son vitales para las operaciones [Reglas]
comerciales se almacenan en una ubicación que no sean las Información critica debe ser almacenada en servidores de archivos centralizados y no en las estaciones
43 2 Debe estaciones de trabajo para protegerlos de ataques de virus (por de trabajo.
ejemplo, cifrado de datos). ・Los servidores de archivos deben tener respaldo regularmente
[Criterio]
・Existen administradores y supervisores de servidores asignados.
・El acceso esta limitado solo a usuarios administradores.
Los criterios para garantizar la seguridad de los servidores se ・Los administradores con permisos solo tienen los permisos necesarios.
44 1 Debe especifican y se dan a conocer a los administradores de ・La contraseña de administrador cumple con las políticas de complejidad de contraseña y se cambia
servidores. periódicamente.
・El acceso físico se encuentra restringido a las personas apropiadas
(Cuarto de sistemas, datacenter, rack con llave, etc.).
・Servicios no necesarios se encuentran deshabilitados.
[Reglas]
・Datos en los discos duros deben ser borrados de manera segura una vez los servidores o discos son
dispuesto para baja.
・Se debe guardar un registro del proceso de borrado y el mecanismo utilizado
[Medidas]
45 3 Debe Los datos de las unidad de disco duro se eliminan de manera Una de las siguientes medidas debe ser usada:
segura cuando se dan de baja.
・Destrucción física del disco
・Uso se herramientas para eliminación segura de datos
・Servicios externos de disposición de discos duros
* El formateo de un disco duro no es suficiente ya que la información puede ser recuperado con
herramientas especializadas.
Las reglas de administración de servidores están estipuladas y
se hacen cumplir. [Software al cual se debe aplicar parches de seguridad]
Sistema operativo, navegadores, Java, FlashPlayer
*Otros software instalados por cada compañía.
Existen criterios establecidos para aplicar parches de seguridad
46 2 Debe al sistema operativo y las aplicaciones, y los parches de [Reglas]
seguridad urgentes se aplican de inmediato. Debe haber un tiempo de actualización especificado.
[Criterios para definir urgencia]
・Calificación CVSS de 7.0 o mas alta

・Microsoft "Critica"
・Otros criterios como impacto y nivel de explotación
14
[Software aplicable]
Se implementa una verificación de vulnerabilidades en los Sistema operativo, servicios y aplicaciones instaladas en ellos
servidores accesibles públicamente y en los servidores internos
47 2 Debe antes y después de que se activen y se toman contramedidas [Reglas]
para las vulnerabilidades identificadas. ・ Las contramedidas deben coincidir adecuadamente con la importancia y urgencia de la
vulnerabilidad.
・ Se deben mantener los resultados de los análisis de vulnerabilidades y las contramedidas
implementadas.
[Reglas]
・Los administradores de servidores solicitan aprobación antes de agregar o cambiar usuarios o
configuraciones del servidor.
Se requiere la aprobación del supervisor para agregar / cambiar
Se gestionan los permisos de los administradores del servidor. 48 1 Debe administradores o cambiar la configuración del servidor. ・Se debe contar con un registro de control de cambios realizados por los administradores a los
servidores
・Se deben tomar medidas para evitar que los desarrolladores operen un servidor con autoridad de
administrador en el entorno de producción.
Los estándares de desarrollo especifican los requisitos de Aplicaciones accesibles públicamente (B2B, B2C)
Se implementan las contramedidas y verificaciones necesarias seguridad para las aplicaciones que se publicarán en Internet, y
para los servidores accesibles en Internet * antes y después de 49 3 Debe las aplicaciones se publican de acuerdo con estos estándares [Reglas]
su lanzamiento. los cuales son analizados antes del lanzamiento. ・Los requerimientos de seguridad deben estar documentados en los procedimientos de desarrollo.
・Resultados de los escaneos y contramedidas deben ser mantenidos.
Progreso
Categoría
Todos los dispositivos conectados a la red local
Las reglas para conectar estaciones de trabajo, servidores y
50 1 Debe otros dispositivos a la red local se estipulan y se dan a conocer [Reglas]
a todos los empleados. ・Los empleados No deben conectar un nuevo dispositivo personal a la red local. Esta conexión debe
realizarse sobre una red alterna o de visitantes por medio del equipo de IT Local.
・Las condiciones para conectar los dispositivos están documentadas.
Las reglas sobre el uso de la red local están estipuladas y se

hacen cumplir.
Red Local
Dispositivos con tarjetas de red inalámbricas (Ipads, smartphones. Laptops, etc,)

Las reglas sobre la conexión a una LAN inalámbrica (WiFi) están
15 51 1 Debe estipuladas y se dan a conocer a todos los empleados. [Reglas]
・Las señales inalámbricas deben estar encriptadas y deben exigir autenticación
Las PC y otros dispositivos que están conectados a la red local [Alcance de aplicación]
Los activos de información que están conectados a la red local se administran a través de inventarios para que la PC o el Todos los dispositivos conectados a la red local
se gestionan mediante inventarios. 52 3 Debe dispositivo relevante se pueda identificar rápidamente en caso
de un incidente de seguridad. [Información a registrar]
Nombre del dispositivo, Dirección IP, Serial, Ubicación, usuario, información de contacto
[Medidas]
Se instala un firewall en el punto de conexión entre Internet y Restringir conexiones basadas origen/destino y puerto de conexión.
53 1 Debe la red local para restringir las comunicaciones. [Punto de instalación]
Punto de conexión entre la red externa y la red externa
Se han adoptado medidas para garantizar un uso seguro de la 54 Las comunicaciones a través de Internet están encriptadas para ・Trafico de acceso remoto desde redes externas hacia redes internas
2 Debe evitar escuchas y alteraciones no autorizadas.
red local. ・Las comunicaciones que requieren autenticación entre los servidores de la DMZ y los usuarios
Comunicaciones externas y cortafuegos
Servidores accesibles públicamente
Los servidores accesibles en Internet están aislados de la red
55 3 Debería local para garantizar la seguridad de la red. [Reglas]
Debería existir una DMZ para aquellos servidores publicados en internet que este aislada de la red
local.
16
[Mecanismo de control]
Backup de configuraciones y reglas
Se gestiona la configuración de los dispositivos que se Las reglas de filtrado del cortafuegos se guardan y se [Medidas]
comunican a través de las redes locales y externas. 56 1 Debe comprueban periódicamente en busca de reglas innecesarias. - Respaldar periódicamente las configuración del firewall
- Verificar regularmente las configuraciones en buscar de reglas no necesarias
[Medidas]
Una de las siguientes medidas debe ser tomada:
Se toman medidas para bloquear el tráfico entre el malware ・ Lista negra de información de direcciones de servidores.
57 3 Debería intruso y los servidores no autorizados.
・ Restringir el tráfico mediante la función de autorización de usuario del servidor proxy.
・ Además de lo anterior, brindar protección contra el acceso no autorizado.
[Alcance]
[Reglas]
・Los empleados deben requerir los permisos y estos son aprobados por las personas autorizadas antes
de realizar los cambios.
・Solo los accesos necesarios de acuerdo a las funciones se asignan a los usuarios.
Existen procedimientos para crear, modificar o eliminar ・Las cuentas de usuario deben ser revisadas regularmente.
58 1 Debe cuentas de usuario. ・Cuentas no necesarias son inactivadas inmediatamente.
・Se informa a ATC una vez se inactiva el usuario para que sea deshabilitado en sus sistemas
[Medidas de control]
Revisión periódica de usuarios
Formularios de solicitud de permisos: Como mínimo 5 años
Cada usuario recibe una identificación única, personal e
Las reglas sobre autenticación personal están estipuladas y 59 1 Debe intransferible, como regla general sin excepciones, se le
17 aplicadas. [Reglas]
prohíbe compartir su identificación con otros.
・Las cuentas de usuario son únicas, personales e intransferibles, por lo tanto sin excepción se prohíbe
compartir las credenciales.
Contraseñas de cuentas de usuario a los sistemas de información
[Reglas]
Las contraseñas deben cambiar periódicamente
(Ej.) 60 días
[Reglas de complejidad]
- No contener el nombre de la cuenta del usuario o nombres y apellidos completos del usuario
Existen políticas de complejidad de contraseña para prevenir la - Tener una longitud mínima de ocho (08) caracteres
60 1 Debe debilidad en la elección de contraseñas para evitar el secuestro - Incluir caracteres de tres de las siguientes categorías:
de cuentas. 1. Mayúsculas (de la A a la Z)
2. Minúsculas (de la A a la Z)
3. Dígitos de base 10 (del 0 al 9)
4. Caracteres no alfanuméricos (por ejemplo: $, #, %, *)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas de red.
[Directivas de contraseña]
- Exigir Historial de contraseñas
- Exigir Vigencia máxima de la contraseña
- Exigir Vigencia mínima de la contraseña
Progreso
Categoría
[Reglas]
Las reglas para evitar que la información se filtre a través de ・ Los archivos adjuntos deben manejarse de acuerdo con sus niveles de confidencialidad.
61 1 Debe transmisiones por correo electrónico se estipulan y se dan a ・ El correo electrónico no debe utilizarse para fines personales.
conocer a todos los empleados. ・ La información confidencial debe enviarse a través de un archivo adjunto con contraseña o mediante
mecanismos de encripción.
Se toman medidas para evitar que la información se filtre por

correo electrónico.
Correo electrónico saliente a destinatarios externos
Implemente y documente capacitaciones, recomendaciones [Medidas]

62 2 Debe del uso correcto del correo para evitar que los empleados Se debe tomar una de las siguientes medidas:
envíen correos electrónicos incorrectamente. ・ Compartir casos de incidentes de seguridad, enviar alertas e implementar otras actividades de
sensibilización.
・ Use la configuración de la aplicación de correo electrónico para evitar que los empleados envíen
correos electrónicos incorrectamente.
18 Se realiza un análisis antivirus en la puerta de enlace de correo [Medida]

63 2 Debe electrónico para evitar infecciones de virus. Se encuentra configurado el antivirus en la puerta de enlace del correo.
Existe un sistema para bloquear los ataques por correo
electrónico.
Existe un sistema de filtrado de extensiones de archivo para [Medidas]
64 1 Debe prevenir la infección por virus. Configurar las características de filtrado de extensiones de archivo.
(Ej.: Archivos ejecutables (.exe, .msi,.bat, ,sh, .ps1, etc.), archivos comprimidos, etc.)
[Reglas]
Las prohibiciones y restricciones en el uso de sitios web y ・ Prohibir o restringir lo siguiente.
Se toman medidas para evitar que la información se filtre a aplicaciones web están estipuladas y se dan a conocer a todos - Navegar por sitios web con fines personales
través de los servicios web. 65 1 Debe
los empleados. - Publicar información de la empresa en sitios de redes sociales, foros de mensajes, etc.
- Carga de archivos no autorizados en portales de archivos compartidos
- Usar la misma contraseña para múltiples sitios web o aplicaciones
[Medidas]
Existen medidas para prevenir las infecciones de virus causadas 66 2 Debe El acceso a sitios web no autorizados está restringido. Contar con categorización de perfiles de internet de acuerdo a sus funciones
por la navegación en sitios web no autorizados. Contar con un sistema de filtrado de URL web
Se realiza un análisis antivirus en la puerta de enlace web para [Medidas]
67 1 Debe evitar infecciones de virus a través del acceso a sitios web no Configure un sistema antivirus en la puesta de enlace Web para el acceso a Internet.
autorizados.
Se toman medidas para evitar que la información se filtre a El uso compartido de archivos y la transferencia a terceros [Alcance de aplicación]
través de herramientas de comunicación. 68 2 Debe están restringidos cuando se utilizan herramientas de Limitar las funciones de compartir archivos en paginas de compartir archivos, sistemas de conferencias
comunicación. web y aplicaciones de mensajería.
PROTECTED
関係者外秘 All Toyota Security Guideline Ver.7.0 （IT Draft）
要求
会社名 TEST Company 評価範囲
レベル
○○部 ○○室 ○○ （2014年○月○日）部部長 ○○
評価者
○○部 ○○室 ○○ （2014年○月○日）確認者
*役職を記載下さい
（評価日）
ご担当者
EメールアドレスＸＸＸＸＸＸ@XXXX.co.jp ご担当者Tel （XXXX）XX-XXXX
■ 備考（補足説明、評価所感、ご要望など）
元のドキュメントと要求事項
対策状況ご説明欄該当する
ISO
要求 No ドキュ
分類
レベル実施事項チェック
(仮) 実施内容基準 ■実施…規程名・導入システム／策定・改定・導入年 27002
管理策メント
No 要求事項
■未実施…現状および今後の改善計画
■該当なし…該当しないと判断した理由（仮）
【対象】
業務に利用するスマートフォン等（BYOD含む）スマートフォン等(BYODを含む)の業務利用についての承認・終了手続きを明
【管理方法】確にしている
申請書と台帳による管理
【台帳の管理項目】スマートフォン等(BYODを含む)の業務利用に関して機密管理上、遵守事項を
52
スマートフォン等（ＢＹＯＤを含む）の業務利用について、利用者、端末情報（機種）、利用期間定めている
1 Ver6 53
規定を定め、業務利用についての承認・終了手続きを明確にしている【台帳棚卸頻度】 56
（例：Webメールの利用制限、公衆Wi-Fi利用の制限、社内でのテザリング機能
１回／年以上の使用制限）
【申請書保管期間】
スマートフォン等(BYOD、タブレット型端末を含む１年以上スマートフォン等(BYODを含む)の利用期間が終了するまで記録を最低限直近
TS の1年間分は保管している
)の管理についての規定を定め、運用している ※利用規定の例は解説書XX参照
スマートフォン等の管理
12 【対象】
業務に利用するスマートフォン等（会社貸与）会社が貸与するスマートフォン等については管理部署が予め端末に機密管理
【必要な設定】上以下の設定を行っている
2
会社が貸与するスマートフォンについては管理部署が・パスワード／パスコード設定 Ver6 54
予め端末に機密管理上必要な設定を行っている (必須：パスワード設定、ウイルス対策、アプリの制限、保存データ暗号化、紛
・ウイルス対策ソフトの導入
・アプリのインストール制限失時のデータ削除機能)
・紛失時のデータ削除機能
【対象】
業務に利用するスマートフォン等（BYOD含む）
【確認頻度】スマートフォン等(BYODを含む)の不適切な利用がないかを最低限年に1回は
Ad スマートフォン等の利用状況を管理しているスマートフォン等（ＢＹＯＤを含む）の業務利用について、 Ver6 57 確認している
3
不適切な利用がないか定期的に確認している１回／年以上
【確認項目】 (例：無許可アプリの利用)
・利用期間を過ぎていないか
・ソフトウェアのインストール状況を確認
離席時のPCの取り扱いに関するルールを明確にしている(例：画面ロック)
【ルール】
廃棄時、離席時、帰宅時の設置・保管のルールを定めること 62 帰宅時のPCの設置・保管ルールを明確にしている
4 ＰＣの取扱い運用ルールを定め、全社に周知している【周知対象】 Ver6 63 （例：PCのワイヤー固定、ロッカー保管）
ＯＡ用PCを利用する従業員 64
※周知方法については解説書（PXX）を参照 PCを廃棄または業務利用を終了する場合は、ハードディスクのデータを消去し
ている（例：専用ツールによる消去、物理的なハードディスクの破壊）
【対象】
ＯＡ用ＰＣ
【構成として定めることルール】
ソフトウェアの名称とバージョン
- ソフトウェア：ＯＳ、オフィスソフト、ブラウザ、ウィルス対策ソフトＰＣの標準構成を定める
・標準設定（ソフトウェアとバージョン）を定めること
- ソフトウェア：ＯＳ、オフィスソフト、ブラウザ、ウィルス対策ソフト NIST IP-1 標準構成を変更する場合は、承認を得て変更する
ＰＣの標準構成構成・設定ルールを定めセッティングを行い、変更がある場合は承認 NIST IP-3
5 ・最低限、下記の設定ルールを定めること
を経て変更している
- パスワードの定期変更設定＜他の設定候補＞ Ver6 66 PC管理ツールでPCの設定状況を最低限年に2回は確認している
- ウィルス対策ソフトのパターンファイル更新設定 (必須：パスワード定期変更、ウィルス対策ソフトのパターンファイル更新、ソフト
- ＰＣから外部記憶媒体へのデータ書き出し制限・ソフトウェアの自動更新停止（バージョン管理のたウェアのインストール状況確認)
【周知対象】め）
ＯＡ用PCをセッティングする従業員・メールのメッセージ形式を「テキスト形式」に設定
【設定状況の確認頻度】
・２回／年・特定サイトを「信頼済」に設定
【対象機器】
OA用PCおよびWEB閲覧可能なPC
【対象ソフトウェア】 OSやアプリケーションのセキュリティパッチ（修正プログラム）の適用基準を明
OSやアプリケーションのセキュリティパッチの適用基準を定め、 OS、ブラウザ、FlashPlayer 61 確にしている
6
Ver6
緊急度の高いパッチについて適用している【適用基準】補足版 4
以下のいずれかを基準とするクライアントPCのWeb閲覧環境を安全な状態するため、
- CVSSのレベルⅢ 緊急度の高いパッチについて適用している
TS PCの日常管理規定を定め、運用している - IPA、Microsoftで「緊急」レベル
【ルール】
クライアントPC
・社内で利用可能なソフトウェアの一覧を作成し、周知すること
・ソフトウェア（有償、無償）許可ソフトウェア以外の
13 ソフトウェアの無断インストールを禁止し、無断インストールを禁止すること
許可を得てインストールする場合は安全性を確認している。・許可されていないソフトウェアをやむを得ずインストールする場合
7 は Ver6 58 ソフトウェアの無断インストールを禁止している
PCで利用を許可するソフトウェアを定め、インストールを申請／承認制にすること
許可ソフトウェア以外の無断インストールを禁止している・ソフトウェアの安全性を評価する判断基準を定めること
【周知対象】
ＯＡ用PCを利用する従業員
※周知方法、判断基準は解説書ＸＸＸ参照
【対象】
社内外のネットワークに接続するＯＡ用ＰＣ
※遊休機など常時ネットワークに接続されていない機器は、ウィルス対策ソフトを導入しパターンファイルを最新にしている
ウイルス対策ソフトを導入し、パターンファイルの最新化および、定期的なハードディ利用時にパターンファイルを更新すること 59
8 Ver6
スクのウィルススキャンを実施している【パターンファイルの更新頻度】 60 ハードディスクのウィルススキャンを最低限年に2回は実施し、
１回／日以上パターンファイル更新前にＰＣに侵入していたウィルスを検知・削除している
【定期スキャンの頻度】
１回／週以上
【ルール】
重要データはＰＣ以外に保管することクライアントPCが、
マルウェアによる被害（データ暗号化等）を受けた場合に業務に支障をきたす重要デ
9 【周知対象】補足版 3 改ざん・消去・暗号化等のマルウェア被害にあっても
ータについては、PC以外へ保管している
ＯＡ用PCを利用する従業員データを復元できるようにしている
※周知方法は解説書ＸＸＸ参照
【対象】
ＯＡ用ＰＣ
【設定として定めること】
？＜ＷＧ相談＞
PCを安全に維持するための標準設定を定め、定期的に設定状況を確認している【確認項目】 PC管理ツールでPCの設定状況を最低限年に2回は確認している
HS PCの利用状況を管理している Ver6 66 (必須：パスワード定期変更、ウィルス対策ソフトのパターンファイル更新、ソフト
→ No5に設定ルールとして統合・パスワード定期変更設定
ウェアのインストール状況確認)
・ウィルス対策ソフトのパターンファイル更新状況
・ソフトウェアのインストール状況
【確認頻度】
２回/年
【設定基準】
・アクセス権の設定
・不要サービスの停止
・安全な場所へのサーバ設置場所への物理的アクセス制限サーバを安全に維持するための設定基準を明確にしている
10 サーバを安全に維持するための設定基準を定め、サーバ管理者に周知している・スクリーンロック等のサーバ管理者以外の操作制限 Ver6 67 （必須：アクセス制限、不要サービスの停止、＊推測されにくいパスワード
((No.93参照))の設定）
【周知対象】
サーバ管理者
※ルール例、周知方法は解説書ＸＸ参照
サーバのデータ削除について、ルールを定め周知している【ルール】
サーバを廃棄、業務利用を終了する場合には、ハードディスクのデータを消去してい・廃棄時、業務利用終了時にHDDのデータを消去すること
るサーバを廃棄、業務利用を終了する場合には、ハードディスクのデータを消去
・消去を実施した記録を残すこと
11 【対策条件】 Ver6 69 している
※サーバからＤＬした機密データがＰＣ上に残る問題については、（例：専用ツールによる消去、物理的なハードディスクの破壊）
No5の基準に「データＰＣから外部記憶媒体へのデータ書き出し制限」を追記するディスクのフォーマットは対策に含めない
ことで
カバー・開発業務終了時にテストで利用したデータを削除すること
【対象】
・Windowsサーバ：全て
ウィルス対策ソフトを導入し、パターンファイルを最新にしている
サーバがウィルスに感染しないような対策を実施している・Windowsサーバ以外：機密情報を取り扱うサーバ
サーバ安全性維持のための実施事項の規定を 12 【ルール】 Ver6 68 ウィルス対策ソフトを導入し、パターンファイルを最新にしている
定め ※アンチウィルスソフト以外で実装するケースがあり、表現を見直し・定期的な更新を伴なう仕組みの場合は、常に最新化すること
運用している【パターンファイルの更新頻度】
１回／日以上
TS 【対象サーバ】
社内サーバ、社外公開サーバ
【対象ソフトウェア】
OSやアプリケーションのセキュリティパッチの適用基準を定め、緊急度の高いパッチ OS、ミドルウェア、ブラウザ社外へ公開しているサーバのOSやアプリケーションの脆弱性パッチ（修正プロ
13 Ver6 73
について適用している【適用基準】グラム）の適用基準を明確にしている
以下のいずれかを基準とする
- CVSSのレベルⅢ
- IPA、Microsoftで「緊急」レベル
【対象サーバ】
社外公開サーバ
【診断対象】
OS、ミドルウェア
社外へ公開しているサーバについて、本番稼働前および稼働後に脆弱性検査を実施【ルール】 Ver6 74
14
し、対策している社外へ公開しているサーバの脆弱性検査を実施している
・対応する脆弱性のレベルを決めておくこと (対象：OS、ミドルウェア)
・検査結果を管理すること
【検査頻度】
・本番稼働前：１回以上
・本番稼働後：２回／年およびシステムの大きな変更時
クラウドなどの社外サービス利用について社外サービスの利用におけるセキュリティ要件を定め、サービス事業者が要件
社外サービスの利用におけるセキュリティ要件を定め、サービス事業者が要件を満た【ルール】 Ver6 72 を満たしているか確認している
安全なサービスを利用するための基準を定め、 15
しているか確認している・セキュリティ要件が明文化されていること
運用している・確認した証跡を管理すること (例：ISO27001/ISMSなど公的資格)
【対象】インターネットに公開しているサーバは社内ネットワークから分離した場所に設
インターネットに公開しているサーバが攻撃を受インターネットに公開しているサーバは社内ネットワークから分離した場所に設置して社外公開サーバ置している
けても、社内ネットワークには影響が無いように 16 Ver6 75
いる【ルール】（例：ホスティング業者のサービス利用、DMZなどファイアウォール外に設定し
している
社内ネットワークと別のネットワークセグメントに設置することた公開ゾーンへの設置）
バの管理
14
ISO
要求 No ドキュ
分類
管理策メント
No 要求事項
■該当なし…該当しないと判断した理由（仮）
サーバの管理
14
【ルール】
・サーバ管理者と責任者を定めること
・サーバ管理者には必要な権限のみ付与することサーバ管理者は必要最小限とし、責任者の承認を得ている
・管理者の追加/変更は申請・承認制にすること Ver6 70
サーバにおける特権ユーザーの管理を行ってい 17
サーバ管理者は必要最小限とし、管理者の追加/変更およびサーバの設定内容の変・サーバの設定変更は申請・承認制にすること Ver6 71
サーバ管理者はサーバの設定変更については責任者の承認を得ている
る更については、責任者の承認を得ている。・システム開発者が本番環境で特権で操作できないようにすること NIST AC-4
【管理方法】最小権限および職務の分離の原則を取り入れて、アクセス権限を管理してい
申請書と台帳による管理る。
【台帳の管理項目】
対象サーバ、管理者名、部署名、権限、連絡先
HS
社内サーバ
【診断対象】社内サーバの脆弱性検査を実施している
OS、ミドルウェア (対象：OS、ミドルウェア)
社内用サーバに対して、脆弱性検査を実施して 18
社内サーバについて、本番稼働前および稼働後に脆弱性検査を実施し、対策してい【ルール】 Ver6 76
いるる・対応する脆弱性のレベルを決めておくこと NIST IP-2
・検査結果を管理すること
【検査頻度】・情報システムの開発時にセキュリティを実装する
・本番稼働前：１回以上
・本番稼働後：１回／年およびシステムの大きな変更時
開発・テスト環境を本番環境から分離し、テスト、検証の際に業務に影響が出ないよう
にしているている【対象システム】
・社外公開システム、 DS-7
開発時の情報漏えい対策を実施している 19 NIST 開発・テスト環境を実稼働環境から分離している
※ＮＩＳＴの目的は権限分離ではなく、本番環境の可用性・完全性確保・極秘情報、個人情報を扱うシステム
→職務分離（開発者とサーバ管理者）の要素をNo17に含め、設問としては削除・停止すると生産、販売、決算に影響が出るシステム
社外公開サーバ
【検査対象】インターネットへ公開するアプリケーションについて、セキュリティの要求事項を
アプリケーション記載した開発標準を定めている（例：SQLインジェクション対策）
20
【ルール】 Ver6 77
インターネットへ公開するアプリケーションについて、セキュリティの要求事項を記載し・開発標準にセキュリティの要求事項を定めていること補足版 5
た開発標準を定め、アプリケーションに脆弱性のあるサイトを構築しないようサイトリリ・対応する脆弱性のレベルを決めておくこと社外に公開するWebサイトについて、アプリケーションに脆弱性のあるサイトを
ース前に検査している・検査結果を管理すること構築しないようサイトリリース前に対策をしている
【検査頻度】
本番稼働前：１回以上
【対象サイト】
Ad B2Cサイト
【実施方法】
以下のいずれかの対策を実施すること
インターネットに公開しているWebサイトについて、社外に公開しているWebサイトについて、
インターネットに公開するアプリケーション、Web 21 - 改ざん検知システムを導入補足版 7
サイトの改ざんを検知する仕組みを導入し、定期的に確認しているサイトの改ざんを検知する仕組みを導入している
サイト、システムについて、開発時、運用時に必 - サイト変更時にサイト管理者へメール送信を行う仕組みを利用
要な（サイト管理者が把握していないサイト変更を検知する）
システム対策を実施している【確認頻度】
１回／日以上
【適用対象】
インターネットに公開しているWebサイト/システムについて、・社外公開Webサイト（B2C） DDoS攻撃を受けてもサービスを継続するための
22 補足版 8
DDos攻撃を受けてもサービスを継続するための対策を実施している・社外公開システム（DNSサーバ、ファイアウォール）対策を実施している
（対象サイト・システムの選定は各社判断とする）
【対象】
Ｂ２Ｃサイト
【対策】社外に公開しているWebサイトについて、
インターネットに公開しているWebサイトについて、以下のいずれかの対策を実施すること補足版 6
23 サイトリリース後のアプリケーションへの攻撃を防ぐ対策をしている
サイトリリース後のアプリケーションへの攻撃を防ぐ対策をしている - アプリケーション脆弱性診断（1回／年以上）
- ペネトレーションテスト（1回／年以上）
- WAF（Web Application Firewall）の導入
【対象機器】
ＯＡ用ＰＣ、スマートフォン等、サーバ、プリンタ、ネットワーク機器
【ルール】
24
社内ネットワークにPCやサーバなどの機器を接続するためのルールを定め、周知し・社内ネットワークへの接続は申請・承認制にすること Ver6 78
社内ネットワークにPCやサーバなどの機器を接続するための申請手続きおよ
ている・機器を接続するための条件を定めることび遵守事項を明確にしている
・申請内容に変更があった場合は、許可を得ること
【周知対象】
対象機器を利用する従業員
TS 社内ネットワークを利用するための規定を定め、
運用している
【ルール】
・利用場所、利用者、利用端末を制限すること
・無線通信を暗号化すること
・禁止事項を定めていること社内無線LANの使用ルール（必須：場所、利用者、利用端末の制限、暗号化、
25 社内無線LANの使用ルールを定め、周知している Ver6 79
※禁止事項の例は解説書XX参照モバイルWi-Fiルータの利用制限）を明確にしている
【周知対象】
無線LANを利用する従業員
【対象機器】
ＯＡ用ＰＣ、スマートフォン等、サーバ、プリンタ、ネットワーク機器
【管理方法】 PCを台帳等で資産管理している
申請書と台帳による管理
【管理項目】
・ハードウェア情報 Ver6 65
会社管理の情報資産を台帳で管理している接続機器(例：ネットワーク機器、サーバ、クライアントPC、プリンタ)を台帳等で
社内ネットワーク
26 機器管理番号、機器名、ＩＰアドレス、設置場所、使用者、連絡先 Ver6 80
PCなどの接続機器を台帳で管理している管理している(必須：機器管理番号、使用者、IPアドレス、機種名)
・ソフトウェア情報 NIST AM-2
15 ソフトウェア名、バーション
（OS、ミドルウェア、アプリケーション、企業内のソフトウェアプラットフォームとアプリケーションの一覧を作成している
接続機器を制限し台帳等で管理しているネットワーク機器のファームウェア）。
HS 脆弱性やインシデントの影響を把握するため、【棚卸頻度】
会社管理の情報資産を台帳で管理している１回／年以上
【対象機器】
社外公開システム、機密情報を取り扱うシステム
【管理項目】企業内のソフトウェアプラットフォームとアプリケーションの一覧を作成している
27 ソフトウェア、アプリケーションを台帳で管理している NIST AM-2
ソフトウェア名、バーション（OS、ミドルウェア、アプリケーション) 。
【棚卸頻度】
１回／年以上
【対象機器】
機器が不正にネットワークに接続されないように 28 許可された機器以外はネットワークに接続できないよう、システムで制限しているＯＡ用ＰＣ、スマートフォン等、プリンタ、ネットワーク機器 Ver6 82 許可された機器以外はネットワークに接続できないよう、システムで制限してい
している【実施方法】る
不正接続の検知・遮断システムを導入していること
Ad
【対象】
システム（在庫管理システム、売掛管理システム等）
システムの優先度を定めている 29
システムの脆弱性が発覚した場合、対応の優先順位付ができるようリスクアセスメン【ルール】 NIST AM-5 リソース（例：ハードウェア、デバイス、データ、ソフトウェア）を、分類、重要度、
トを行っているアセスメント評価方法と実施方法を定めることビジネス上の価値に基づいて優先順位付けしている。
【実施頻度】
１回／年
【設置場所】インターネットとの接続口は管理部門で管理し、ファイアウォールを設置してい
る
30
インターネットと社内ネットワークとの接続口にファイアウォールを設置し、通信を制限社内ネットワークとインターネットとの接続口 Ver6
83
している【実施方法】 84
接続元／接続先のIPアドレス、通信ポートで制限ファイアウォールの設定手続きを明確にし、通信を制限している
（必須：通信の有効期限、接続先、通信ポート）
伝送中のデータを保護している。
対社外とのネットワークの接続についての規定を一般のｻｰﾋﾞｽﾌﾟﾛﾊﾞｲﾀﾞを利用している場合、下記を検討
TS 定め・暗号化（SSL/TSL、IPSec）の利用
運用している【対象】
・社外から社内へのリモートアクセス通信 NIST DS-2 ・DNSSECの利用（DNSメッセージの認証と完全性の確保）など
31 インターネット経由の通信が盗聴、改ざんされないよう、通信を暗号化している。・ Webサイトを公開する場合： Ver6 55
外部との通信ルールとファイアウォール
- ユーザーとWebサイトとの間で認証を伴う通信 Ver6 85 公衆無線LANを利用して社内サーバにアクセスする場合は、通信を暗号化し

・インターネット経由の仮想的な専用ネットワーク通信（VPN）ている
社外から社内へのリモートアクセスの通信を暗号化し、利用者、接続機器、シ
ステムを制限している
【管理方法】ファイアウォールのフィルタリング設定を記録している
16 申請書と台帳で管理（必須：使用者、社外IPアドレス、通信方向、社内IPアドレス、プロトコル、
【管理項目】
ファイアウォールのフィルタリング設定を記録し、 86 ポート番号、利用用途、登録日、有効期限）
HS 設定記録を管理している 32 使用者、接続元／接続先のIPアドレス、通信方向、プロトコル、 Ver6
不要な設定がないか定期的に確認している 88
ポート番号、利用用途、登録日、有効期限ファイアウォールのフィルタリング設定に、不要な設定が残っていないか最低限
【確認頻度】年に2回は確認し不要な設定があれば削除している
１回／年
【対策方法】
システムを導入すること不正アクセスをリアルタイムで検知、または遮断するシステムを導入している
33 不正アクセスをリアルタイムで検知または遮断するシステムを導入している Ver6 89
【導入場所】 (例： IDS/IPS)
Ad 不正な通信を検知、遮断する仕組みを導入してインターネットと社内ネットワークの境界
いる
34
社内に侵入したマルウェアと社外(C&Cサーバ等)との通信 ※対策例については解説書XX参照補足版 9
社内に侵入したマルウェアと社外(C&Cサーバ等)との通信
を遮断する対策を実施しているを遮断する対策を実施している
【対象】
業務システム、社内サービス、PCログオン時のパスワード
【ルール】業務システム、社内サービス、PCログオン時のユーザIDの発行・変更・削除の
発行・変更・削除は申請・承認制であること手続きを明確にしている
【管理方法】 91
業務システム、社内サービス、PCログオン時のユーザIDの発行・変更・削除の手続き申請書または台帳による管理ユーザIDの作成・変更・削除の実施記録を残している
35 Ver6 94
を定め、定期的に見直し、不要ユーザIDがあれば削除している【管理項目】 95
（例：ログ・申請書の保管）
作業日時、対象システム、ユーザID、ユーザの氏名・所属
【保管期間】業務システム、社内サービスのユーザIDを最低限年に1回は見直し、不要なユ
１年以上ーザIDがあれば削除している
【見直し頻度】
１回／年以上
個人認証の実装
ネットワークやシステムの開発や利用に際して
17 TS 【対象】
個人認証IDに関する規定を定め、運用している
36
業務システム、社内サービス、PCログオン時のユーザIDは個人ごとに発行し、原則【ルール】 Ver6 92
業務システム、社内サービス、PCログオン時のユーザIDは個人ごとに発行し、
共用を禁止している・ユーザーIDを共用しないこと原則共用を禁止している
・やむを得ず共用ＩＤが必要な場合は、共用ＩＤで
機密情報にアクセスできないようアクセス権を設定すること
業務システム、社内サービス、PCログオン時のパスワードについて
＊推測されにくいパスワード(例:6桁以上、英大文字・英小文字・記号・数字の
組み合わせ)を設定している
【対象】
37
業務システム、社内サービス、PCログオン時のパスワードについて、推測されにくい【桁数】 Ver6 93 パスワードの強度を上げ、システムで制御している
パスワードが設定されるようにシステムで制限している８桁以上補足版 10 ＜要求事項＞
【文字種】対象：業務システム、社内サービス、PCログオン時のパスワード
英大文字・小文字・記号・数字のうち3種以上の組み合わせパスワードの強度：文字数（8桁以上）、
文字種（英大文字・小文字・記号・数字のうち3種組み合わせ）
管理方法：管理システムで制限
（例：ADのパスワードポリシーで文字数・文字種を制限等）
【対象】
外部記憶媒体・外部記憶媒体を破棄する場合は、データを消去する
【ルール】 DS-3 （専用ツールによる消去、物理的な破壊）
外部記憶媒体を管理している 38
外部記憶媒体経由の取扱い情報漏えいを防止するためのルールを定め、全社に周廃棄時、保管時、社外運搬時のルール NIST IP-6
知している【周知対象】 PT-2 ・外部記憶媒体は施錠管理し、必要な人だけアクセスできるようにする
外部記憶媒体を利用する従業員・社外に運搬する場合は、紛失・盗難により情報漏えいしないよう、データの
※周知方法は解説書（PXX）を参照暗号化を行う
電子メール利用における禁止事項および制限事項を明確にしている
【ルール】 (例：社外送信時の上司cc)
メールの社外送信時のルールを定めること 96
39 メール経由の不正利用情報漏えいを防止するためのルールを定め、周知している Ver6
【周知対象】 103
メールを利用する従業員社外宛電子メールにルール違反がないかチェックし
違反がある場合は利用部署に確認し、適切な措置を実施している
【ルール】
・メール本文には機密情報を記述しないこと（添付ファイルに記
機密情報を社外にメール送信する場合のルールを定め、周知している述）重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保
40 機密情報を社外にメール送信する場合は、機密情報を添付ファイルに記述し、・添付ファイルをパスワードで保護すること中小 8 護するなどのように、重要情報の保護をしていますか？
メール送信による情報漏えい対策を実施しているパスワードで保護している・パスワードは桁数、文字種を定めることガイド
・添付ファイルと同一メールの本文にパスワードを記述しないこと
【周知対象】
メールを利用する従業員
メール送信による情報漏えい対策を実施している No ISO
ドキュ
要求
分類
管理策メント
No 要求事項
■該当なし…該当しないと判断した理由（仮）メール誤送信対策を実施している
＜要求事項＞
以下のいずれかの対策を実施：
・社外メールの送信保留
【ルール】スパムメールや不審メールなどの迷惑メールを受信しないようシステム対策を
例）
宛先間違いを防ぐためのルールを定めること行っている
41 メールの誤送信を防ぐためのルールを定め、周知している【周知対象】補足版 11 - 送信したメールを一旦送信トレイへ保存／一定時間後に送付するよう
メールを利用する従業員に
不正な送信元からのメールを判別するための対策を実施している
メーラーの設定を変更
※ルールの例は解説書ＸＸ参照＜要求事項＞
- 送信保留システムを導入
対象：メールゲートウェイ
- 送信時に確認画面（注意喚起）を表示等
＜対策の例＞
・メール署名でのセルフチェック
・メールレピュテーション(※1)を導入
署名欄にチェック事項を設け、チェック後に送信する運用
【対策方法】・送信ドメイン認証 (※2) を導入等
Ver6 102 （例： SPF、Sender ID、DKIM、DMARC 等）
TS ウィルスメール、不審メール、バラマキ型の攻撃メール等を受信しないよう、GW（ゲーシステムを導入すること 12
42
トウェイ）にシステムを導入している【必須機能】
補足版＜解説＞
Ver6 107 (※1)メールレピュテーションとは
アンチウィルス機能、スパムフィルタ機能
受信メールを介した攻撃を防御するシステムをセキュリティベンダーが独自に収集した情報をもとに
導入している不正と判断したメールの受信を防ぐ仕組み
(※2) 送信ドメイン認証とは
【対策方法】受信したメールが正規なサーバーから発信されているか否かを検証し、
メールの添付ファイルによるウィルス侵入を防止するため、システムを導入すること送信者のアドレスが正規なものであることを証明する技術
メールの添付ファイルによるウィルス侵入を防止するため、システムで拡張子
43 Ver6 105
システムで拡張子制限を実施している【対象拡張子】制限を実施している
オフィスツール
※解説書ＸＸ参照
メール経由でのウィルス感染を防止するため、GW（ゲートウェイ）にてウィルス
18 チェックを実施している
【対象】メッセンジャー(チャットなど)利用における禁止事項および制限事項を明確にし
ている（例：ファイル添付の禁止）
コミュニケーションツールを管理している 44
コミュニケーションツール（会議システム、メッセージアプリ）を利用する場合は、ファイ会議システム（TV, Web）、メッセージアプリ Ver6
97
ルの共有・転送機能を制限している【周知対象】 99
会議システムの利用における禁止事項および制限事項を明確にしている
コミュニケーションツールを利用する従業員 Webフィルタリングソフト等で、Webメールや掲示板等へのアクセス制限を実施
(例:資料ファイルの取扱い、盗み見・盗み聞きの防止)
している
---- or ----
【ルール】 Webメールや掲示板等へのアクセスを、最低限年に1回は状況調査し、
Web閲覧における禁止事項および制限事項を明確にしている
社外のWebサイト利用時のルールを定めること異常がある場合は利用部署に確認し、適切な措置を実施している
Webサイトの閲覧、利用における Ver6 98
Web利用による情報漏えい対策を実施している 45 ※ルール例は解説書ＸＸ参照パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避け
禁止事項および制限事項を定め、周知している【周知対象】
中小ｶﾞｲﾄﾞ 3
て複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを
Webサイトを利用する従業員ウィルス対策のため、Webサイトへのアクセス制限を
設定していますか？
強化している
＜要求事項＞
対象：クライアントPCもしくはWebゲートウェイ
【対策箇所】
ＯＡ用PCもしくはWebゲートウェイ 104(or設＜対策の例＞
ウィルス感染や情報漏えいを防ぐため、 Ver6
46 【対策方法】問) ・Webレピュテーション (※1) の導入
Webフィルタリングソフトでアクセス制限を実施している補足版
システムでの制限 13 クライアントPCもしくはゲートウェイにWebレピュテーションの仕組みを導入
※実施例、サイト例については解説書ＸＸ参照する
Web閲覧を介した攻撃を防御するシステムを・フィルタリングのホワイトリスト化
導入している閲覧を許可したWebサイト以外はアクセスできないようフィルタリング設定を
【対策方法】行う
システムを導入すること・仮想ブラウザ（インターネット環境の分離）による対策
危険サイト（ウィルス感染）にアクセスしても感染しないよう、 Web閲覧でのウィルス感染を防止するため、GW（ゲートウェイ）にてウィルスチ
インターネット接続には仮想環境を利用（不審サイトにアクセスしても影響無
47 【必須機能】 Ver6 106
GW（ゲートウェイ）にてウィルスチェックを実施しているェックを実施している
）等
アンチウィルス機能
※対策例については解説書ＸＸ参照
＜解説＞
(※1) Webレピュテーションとは
セキュリティベンダーが独自に収集した情報をもとに不正と判断したURLへ
【対象】のアクセスをブロックする仕組み
社外宛ての送信メール
社外宛ての送信メールの内容をチェックし、【対策方法】
情報漏えいの発見および従業員への抑止を実 48 メールの送信内容の監査を行い、監査を実施していることを周知しているシステムを導入すること
施している【周知対象】
メール経由の漏えい防止を実施しているメールを利用する従業員メールおよびWebからの未知ウィルス感染を防止するため、
【監査頻度】未知ウィルス対策を実施している
１回／月＜要求事項＞
Ad
対象：クライアントPC、ゲートウェイのいずれか、もしくは両方
＜対策の例＞
・振る舞い検知 (※1)の仕組みを導入
【対策箇所】
OA用PC、ゲートウェイのいずれか、もしくは両方・クライアントPCをユーザ権限で動作（マルウェア等によるシステム変更を防止
未知ウィルス対策を実施しているメールおよびWebからの未知ウィルスに感染しないよう、補足版 14 ）
49
対策システムを導入している【対策条件】
パターンファイルに依存しないウィルス検知機能を・複数対策を組み合わせ（メールゲートウェイ対策＋仮想ブラウザ等）等
備えたシステムを導入すること＜解説＞
(※1) 振る舞い検知とは
実行中のプログラムの振る舞いを監視することで、ウィルス定義ファイルを
用いた
パターンマッチング法では検知できない、未知のウィルスを
【整備項目】検知するための仕組み
・インシデント対応チームの体制図（体制と役割を記載） 15
補足版 (サンドボックス、ヒューリスティック分析、ビヘイビア分析等)
サイバー攻撃などのインシデント発生時の
サイバー攻撃対応専門の事件事故対応体制のうち、ＩＴに関するインシデントへの・インシデント発生時の情報連携先窓口リストと報告フォーマット
TS インシデント対応の 50 【定めておく情報連携先】 NIST
XX 対応・情報連携を行う体制(CSIRT)を構築している
基本的な対応・情報連携体制を構築している
基本的な体制を構築している・関係部署の窓口（管理系 XX
・上位組織へのエスカレーション先 …
・親会社の対応窓口
社外から社内へのリモートアクセスのログを最低限6ヶ月間は保管している
【ルール】
・取得したログを不正な改ざん・削除から保護する対策を定める
こと社外への電子メール送信ログを最低限6ヶ月間は保管している
・ログの時間を正確に記録するために、時刻を同期すること（必須：日時、送信先アドレス、送信元アドレス)
【取得項目（必須）】
・メール： From/Toアドレス、送信元IP（ホスト名）、 Web閲覧へのアクセス記録を最低限6ヶ月間は保管している
添付ファイル名とファイルサイズ、処理結果（必須：日時、接続元、接続先URL）
・ファイアウォール：送信元ＩＰ、宛先ＩＰ、処理結果 Ver6 87
・プロキシ：送信元IP、宛先ＩＰ、URL、メソッド、 Ver6 100 サイバー攻撃の検知に必要なログを取得し、1年以上保管している
Ver6 101
サイバー攻撃の検知、インシデント発生時の調査のために UserAgent、(Referer,サイズ,POSTログ)、処理結果
51 補足版 17 ・取得したログを改ざんおよび削除から保護すること（ログの完全性、可用性
必要なログを取得し、改ざん・削除されないよう保護している ※ＩＰはホスト名でも可 NIST PT-1
【推奨項目（推奨）】の確保）
NIST CM-3 例）一度だけ書き込める追記型媒体の利用
必要なログを取得し、サイバー攻撃の調査、分析・ActiveDirectory ：ユーザＩＤ、処理結果 Ver6 81
を・ＤＮＳ：送信元ＩＰ、宛先ＩＰ、処理結果（一度記録した部分は、上書きや変更ができない）
行っている【保管期間】
・ FW、プロキシ、メール：オンライン３カ月、オフライン１年・インシデントの発生や予兆があった場合に、原因となる機器（ＰＣ、サーバ、Ｎ
・リモートアクセス：オンライン３カ月、オフライン６カ月Ｗ機器）や個人ＩＤを特定できるようにする
セキュリティ監視・対応体制
※o365のログ保管期間が90日 → ATSGとの整合について次年度ログの時間を正確に記録するために、社内ネットワークに接続されている機器

各社とディスカッション予定（例：ネットワーク機器、サーバ、クライアントPC、プリンタ）の時刻同期を行って
いる
19
【対象ログ】ファイアウォールの異常な通信がないか点検し、異常がある場合には原因を調
FW、プロキシ、メール、リモートアクセス査し適切な対応を実施している（点検ポイント：通信量、曜日/時間帯、不正/異
52
インシデントの未然防止・発生時の事後対処のため、【調査・分析頻度】 Ver6 90 常なアクセス先やパケット）
Ad 取得したログを調査・分析している１回／月以上補足版 18
【調査・分析の内容】インシデントの未然防止・発生時の事後対処のため、取得したログを調査・分
※（保留）析している
【整備項目】
・インシデント対応チームの体制図（体制と役割を記載）
・インシデント発生時の対応基準、フロー／マニュアル
・インシデント発生時の情報連携先窓口リストと報告フォーマット 15
NoXXに加え、コンピューターインシデントへの迅速な対応および【定めておく情報連携先】
未然防止のための情報連携体制（CSIRT）を構築している補足版サイバー攻撃などのインシデント発生時の
53
・社内 XX 対応・情報連携を行う体制(CSIRT)を構築している
- 関係部署の窓口 NIST
事件事故対応体制のうち、サイバー攻撃などコンピューターインシデント専門の（管理系 XX
- 上位組織へのエスカレーション先
対応・情報連携を行う体制(CSIRT)を構築している・社外 …
- 外部組織（セキュリティ関連機関・グループ会社）
サイバー攻撃対応専門の体制を構築し、訓練し - 外部専門企業（フォレンジック等の調査）
ている - 他組織のCSIRT
【訓練対象】
インシデント対応チーム 16
【訓練頻度】補足版
54
サイバー攻撃を想定したインシデント対応訓練を実施し、１回／年以上 XX
サイバー攻撃を想定した
訓練結果を受けインシデント対応の見直しをしている NIST インシデント対応訓練を実施している
【見直し頻度】（管理系 XX
１回／年以上 …
※訓練シナリオは解説書（PXX）を参照

Evaluación Estándar de Seguridad Informática para La Red de Concesionarios Toyota en Colombia DLR

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Evaluación Estándar de Seguridad Informática para La Red de Concesionarios Toyota en Colombia DLR

Cargado por

Copyright:

Formatos disponibles

Categoría Control

Se evalúan los activos de información

Los empleados deben firmar un acuerdo de

confidencialidad cuando son contratados en el

La seguridad de la información está incorporada

recién contratados y en la reinducción.

Los empleados reciben formación en seguridad

Se lleva a cabo una formación para ataques

Cuando un dispositivo inteligente de propiedad

datos personales y laborales se mantienen

parches de seguridad al sistema operativo y las

Los criterios para garantizar la seguridad de los

Los datos de las unidad de disco duro se eliminan

Existen criterios establecidos para aplicar

Se requiere la aprobación del supervisor para

Los estándares de desarrollo especifican los

Las reglas sobre la conexión a una LAN

9 Las PCs y otros dispositivos que están conectados

Se instala un firewall en el punto de conexión

entre Internet y la red local para restringir las

Existen procedimientos para crear, modificar o

Existen políticas de complejidad de contraseña

Se realiza un análisis antivirus en la puerta de

Existe un sistema de filtrado de extensiones de

El acceso a sitios web no autorizados está

Se realiza un análisis antivirus en la puerta de

Se definen las políticas básicas y los responsables de

Los riesgos y amenazas de seguridad de la

Los acuerdos de confidencialidad para los empleados

La capacitación en seguridad de la información se

Se implementan actividades de concienciación sobre

Las reglas para administrar dispositivos inteligentes

Se monitorea el uso de dispositivos inteligentes.

Las reglas de gestión de estaciones de trabajo están

Se implementan medidas antivirus para estaciones

Las reglas de administración de servidores están

Se gestionan los permisos de los administradores del

Se implementan las contramedidas y verificaciones

Las reglas sobre el uso de la red local están

Los activos de información que están conectados a la

Se han adoptado medidas para garantizar un uso

Se gestiona la configuración de los dispositivos que

Las reglas sobre autenticación personal están

Existe un sistema para bloquear los ataques por

Existen medidas para prevenir las infecciones de

Se toman medidas para evitar que la información se

- Politica de seguridad de la informacion

Matriz de activos de información donde se evidencia

- Politica o numeral de acuerdo de confidencialidad

- Evidencia de las capacitaciones en seguridad de la

- Cronograma de capacitaciones en seguridad de la

Soportes de concientización sobre las amenazas

- Politica de gestión de dispositivos personales de

Soporte de procedimiento de actualización de

- Suministrar el soporte de las configuraciones de la

- Procedimiento y/o capacitación de seguridad de

- Procedimiento de eliminacion de informacion de

- Politica y/o procedimiento para la aplicación de

- Procedimiento de gestion usuarios administradores

- Política o procedimiento de desarrollo seguro

- Politica de seguridad de la informacion donde se

- Inventario de equipos de computo donde se

- Evidencia de las configuraciones del Firewall donde

※o365のログ保管期間が90日 → ATSGとの整合について次年度ログの時間を正確に記録するために、社内ネットワークに接続されている機器