Documentos de Académico
Documentos de Profesional
Documentos de Cultura
006 - 2019
TEMARIO
1. QUE ES ISO E HISTORIA DE LA ISO
2. PRINCIPIOS FUNDAMENTALES DEL SISTEMA DE GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN.
3. CICLO P-H-V-A
4. CONTEXTO DE LA ORGANIZACIÓN
1. Comprensión de la organización y su contexto
2. Comprensión de las necesidades y expectativas de las partes
interesadas
3. Determinación del alcance del sistema de gestión de seguridad de
la información,
4. Sistema de gestión de seguridad de la información.
5. LIDERAZGO
1. Liderazgo y compromiso
2. Política
3. Roles, responsabilidades y autoridades en la Organización
6. PLANIFICACIÓN
1. Acciones para abordar riesgos y oportunidades
2. Objetivos de Seguridad de la información y planes para lograrlos
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 2
7.
TEMARIO
APOYO1. Recursos
2. Competencia
3. Toma de conciencia
4. Comunicación
5. Información documentada
8. OPERACIÓN
1. Planificación y control operacional
2. Valoración de riesgos de seguridad de la información
3. Tratamiento de riesgos de seguridad de la información
9. EVALUACIÓN DEL DESEMPEÑO
1. Seguimiento, medición
2. Auditoria interna
3. Revisión por la dirección
10. MEJORA
1. Generalidades
2. No conformidad y acción correctiva
3. Mejora continua
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 3
TEMARIO
11. ANEXO A (DOMINIOS, OBJETIVOS DE CONTROL Y CONTROLES DE
REFERENCIA)
12. NORMA ISO 19011:2011
13. REQUISITOS SELECCIONES AUDITORES ISO/IEC 27006:2015
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 4
Antes de empezar…
¡Vamos a presentarnos!
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019
• Global Colombia Certificación SAS es un ORGANISMO
EVALUADOR DE LA CONFORMIDAD debidamente acreditado por
ONAC. Nos especializamos en el sector Servicios y Gobierno.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019
PRESENTACIÓN
DE ASISTENTES
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019
1. ¿Qué es ISO e historia de la ISO? (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 8
1. ¿Qué es ISO e historia de la ISO? (b)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 9
1. ¿Qué es ISO e historia de la ISO? (c)
ISO/IEC 27003: 2017
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 10
1. ¿Qué es ISO e historia de la ISO? (e)
ISO/IEC 27005: 2018
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 11
1. ¿Qué es ISO e historia de la ISO? (f)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 12
2. Principios fundamentales del sistema de
seguridad de la información (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 13
3. Ciclo P-H-V-A (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 14
3. Ciclo P-H-V-A (b)
7. Apoyo
8. Operación
4. Contexto de la
organización
Planificar Hacer
Satisfacción del
cliente
Requisitos de las
6. 9. Evaluación
partes interesadas 5. liderazgo de
Planificación
desempeño Productos
y Servicios
4.2 Necesidades y
expectativas de
las Actuar Verificar
partes
interesadas
10. Mejora
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 15
4. Contexto de la organización
4.1 Comprensión de la organización y
su contexto (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 16
4. Contexto dela organización
4.1 Comprensión de la organización y su
contexto (b)
Métodos:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 17
4. Contexto dela organización
4.1 Comprensión de la organización y
su contexto (c)
DEBILIDAD AMENAZA
Aspecto negativo de Aspecto negativo del
una situación interna y entorno exterior y
actual su proyección futura
FORTALEZA OPORTUNIDAD
Aspecto positivo de una Aspecto positivo del
situación interna y actual entorno exterior y su
proyección futura
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 18
Determine 2 fortalezas, 2 debilidades, 2 oportunidades y
2 amenazas sobre Atlantic International BPO.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 19
4. Contexto dela organización
4.2 Comprensión de las necesidades
y expectativas de las partes interesadas
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 20
4. Contexto de la organización
4.3 Determinar alcance del SGSI
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 21
Familiarícese con el alcance del SGSI de Atlantic
Internacional BPO.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 22
4. Contexto dela organización
4.4 Sistema de gestión seguridad de la
de información
Evaluar e
Mejorar procesos y
implementar
el SGSI
cambios necesarios
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 23
5. Liderazgo
5.1 Liderazgo y compromiso
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 24
5. Liderazgo
5.2 Política
La política debe:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 25
Tome la política de seguridad de la información
de Atlantic Internacional BPO.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 26
5. Liderazgo
5.3 Roles, responsabilidades y autoridades en la
organización
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 27
Revise la estructura del SGSI.
¿qué roles intervienen?
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 28
6. Planificación
1. Acciones para tratar riesgos y oportunidades
1. GENERALIDADES.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 29
6. Planificación
6.1.2. Evaluación de riesgos de la seguridad de la
información (a).
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 30
6. Planificación
6.1.2. Evaluación de riesgos de la seguridad de la
información (b).
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 33
6. Planificación
6.2. Objetivos de seguridad de la información
y planes para lograrlos (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 34
6. Planificación
6.2. Objetivos de seguridad de la información
y planes para lograrlos (b)
• Lo que se va a hacer.
• Que recursos se requerirán.
• Quien será el responsable.
• Cuando se finalizará.
• Como se evaluarán los resultados.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 35
Para el objetivo:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 36
7. Apoyo
7.1. Recursos
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 37
7. Apoyo
7.2. Competencia
Se debe:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 38
7. Apoyo
7.3. Toma de conciencia
TOMA DE CONCIENCIA
• La política.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 39
7. Apoyo
7.4. Comunicación
• El contenido de la comunicación.
• Cuándo comunicar.
• A quién comunicar.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 40
Elija un mensaje a comunicar dentro del proyecto de
implementación ISO/IEC 27001 y defina para este:
- Qué comunicar
- Cuándo
- Cómo
- Dónde y con què
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 41
7. Apoyo
5. Información documentada (a)
1. GENERALIDADES.
Se debe incluir:
2. CREACIÓN Y ACTUALIZACIÓN.
La identificación y descripción
El formato y sus medios de soporte.
La revisión y aprobación con respecto a la idoneidad y adecuación.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 43
7. Apoyo
7.5. Información documentada (c)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 44
8. Operación
8.1 Planificación y control operacional
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 45
8. Operación
8.2 Valoración de los riesgos de seguridad de la
información
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 46
Tome los 3 riesgos que definió previamente para el proyecto de
implementación de ISO 27001 en su empresa.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 47
8. Operación
8.3 Tratamiento de los riesgos de seguridad de la
información
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 48
9. Evaluación de desempeño
9.1 Seguimiento, medición, análisis y evaluación.
Se debe determinar:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 49
Solicite el formato de hoja de vida de indicadores y defina uno para
el SGSI.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 50
9. Evaluación de desempeño
9.2 Auditoria interna (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 51
9. Evaluación de desempeño
9.2 Auditoria interna (b)
La organización debe:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 52
Solicite el procedimiento de Auditorìas Internas y familiarícese con
él.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 53
9. Evaluación de desempeño
9.3 Revisión por la dirección (a)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 54
9. Evaluación de desempeño
9.4 Revisión por la dirección (b)
• Resultados de auditoria.
• Y cumplimientos de los objetivos de seguridad de la información.
• Retroalimentación de las partes interesadas
• Resultados de la evaluación de riesgos y estado del plan de tratamiento.
• Oportunidades de mejora
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 55
10. Mejora
10.1 No conformidades y acciones correctivas (a)
Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no
vuelvan a ocurrir las No Conformidades, mediante:
• Revisión de la No Conformidad.
• Determinar las causas.
• Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
• Implementar acciones
• Revisar la eficacia de las acciones tomadas.
• Hacer cambios al SGSI cuando sea necesario.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 56
10. Mejora
10.1 No conformidades y acciones correctivas (b)
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 57
Analizar causas es una de las actividades más complejas de un sistema de
gestión.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 58
10. Mejora
10.2 Mejora continua
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 59
Anexo A
Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo,
lo que indica que su implementación es imprescindible. Y en cuanto a controles de
seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta
una lista de dichos controles que pueden resultar fundamentales para mejorar la
protección de la información en las organizaciones.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 60
Dominio 5: Política de Seguridad de la información
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 61
Dominio 6: Organización de la Seguridad de
la Información
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 62
Dominio 6: Organización de la Seguridad de
la Información
A.6.1. Organización Interna.
Objetivo:
Controles:
Objetivo:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 64
Dominio 7: Seguridad de los recursos
humanos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 65
Dominio 7: Seguridad de los recursos
humanos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 66
Dominio 7: Seguridad de los recursos
humanos
A.7.2. Durante la ejecución del empleo.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 67
Dominio 7: Seguridad de los recursos
humanos
Objetivo:
Controles:
• Proceso Disciplinario: Se debe contar con un proceso formal, el cual debe ser
comunicado, para emprender acciones contra empleados que hayan cometido
una violación a la seguridad de la información.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 68
Dominio 7: Seguridad de los recursos
humanos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 69
Determine 5 acciones que cumplan con los controles del Dominio 7
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 70
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 71
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 72
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 73
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 74
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 75
Dominio 8: Gestión de activos
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 76
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 77
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 78
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 79
Dominio 9: Control de acceso
A.9.2. Gestión de acceso de usuarios.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 80
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 81
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 82
Dominio 9: Control de acceso
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 83
Determine 5 acciones que cumplan con los controles del Dominio 8 y 9
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 84
Dominio 10: Criptografía
A.10.1. Controles criptográficos.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 85
Dominio 11: Seguridad física y del entorno
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 86
Dominio 11: Seguridad física y del entorno
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 87
Dominio 11: Seguridad física y del entorno
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 88
Dominio 11: Seguridad física y del entorno
A.11.2. Equipos.
Objetivo:
Controles:
• Ubicación y protección de los equipos: Los equipos deben estar ubicados y protegidos
para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso
no autorizado.
• Servicios de suministro: Los equipos se deben proteger contra fallas de energía y otras
interrupciones causadas por fallas en los servicios de suministro.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 89
Dominio 11: Seguridad física y del entorno
A.11.2. Equipos.
Objetivo:
Controles:
• Retiro de activos: Los equipos, información o software no se deben retirar de su sitio sin
autorización previa.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 90
Dominio 11: Seguridad física y del entorno
A.11.2. Equipos.
Objetivo:
Controles:
• Equipos de usuario desatendido: los usuarios deben asegurarse de que a los equipos
desatendidos se les da la protección apropiada.
• Política de escritorio limpio y pantalla limpia: Se debe adoptar una política de escritorio
limpio para los portapapeles y medios de almacenamiento removibles, y una política de
pantalla limpia en las instalaciones de procesamiento de información.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 91
Dominio 12: Seguridad de las operaciones
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 92
Dominio 12: Seguridad de las operaciones
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 93
Dominio 12: Seguridad de las operaciones
A.12.2. Protección contra códigos maliciosos.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 94
Dominio 12: Seguridad de las operaciones
A.12.3. Copias de Respaldo.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 95
Dominio 12: Seguridad de las operaciones
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 96
Dominio 12: Seguridad de las operaciones
A.12.4. Registro y Seguimiento.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 97
Dominio 12: Seguridad de las operaciones
A.12.5. Control de software operacional.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 98
Dominio 12: Seguridad de las operaciones
A.12.6. Gestión de la vulnerabilidad técnica.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 99
Dominio 12: Seguridad de las operaciones
A.12.7. Consideraciones sobre auditorías de sistemas de información.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 10
Determine 5 acciones que cumplan con los controles del Dominio 10 a 12
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 101
Dominio 13: Seguridad de las comunicaciones
Objetivo:
Controles:
• Seguridad de los servicios de red: Se debe identificar los mecanismos de seguridad, los
niveles de servicio y los requisitos de gestión de todos los servicios de red, e incluirlos en
los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se
contraten externamente.
• Separación en las redes: los grupos de servicio de información, usuarios y sistemas de
información se deben separar en las redes.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 102
Dominio 13: Seguridad de las comunicaciones
A.13.2. Transferencia de información.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 103
Dominio 13: Seguridad de las comunicaciones
A.13.2. Transferencia de información.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 104
Dominio 14: desarrollo y
Adquisición, mantenimiento de
sistemas
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de los sistemas de
información durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de
información que prestan servicios sobre redes públicas.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 105
Dominio 14: desarrollo y
Adquisición, mantenimiento de
sistemas
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de los sistemas
de información durante todo el ciclo de vida. Esto incluye también los requisitos
para sistemas de información que prestan servicios sobre redes públicas.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 106
Dominio Adquisición, desarrollo y mantenimiento de
14:
sistemas
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 107
Dominio 14: Adquisición, desarrollo y mantenimiento
de sistemas
A.14.2. Seguridad en los procesos de desarrollo y de soporte.
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.
Controles:
• Restricciones en los cambios a los paquetes de software: Se deben desalentar las
modificaciones a los paquetes de software , los cuales se deben limitar a los cambios
necesarios, y todos los cambios se deben controlar estrictamente.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 108
Dominio Adquisición, desarrollo y mantenimiento de
sistemas
14:
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 109
Dominio 14: desarrollo y
Adquisición, mantenimiento de
sistemas
A.14.3. Datos de prueba.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 110
Determine 5 acciones que cumplan con los controles del Dominio 13 y 14
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 111
Dominio 15: Relaciones con los proveedores
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 112
Dominio 15: Relaciones con los proveedores
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 113
Dominio 15: Relaciones con los proveedores
Objetivo:
Mantener el nivel acordado de SI y de prestación del servicio en línea con los acuerdos
con los proveedores.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 114
Dominio 16: Gestión de incidentes de seguridad de
la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Controles:
• Responsabilidades y procedimientos: Se deben establecer las responsabilidades
y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada
a los incidentes de seguridad de la información.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 115
Dominio 16: Gestión de incidentes de seguridad de la
información
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la
información, incluida la comunicación sobre eventos de seguridad y debilidades.
Controles:
• Reporte de debilidades de seguridad de la información: Se debe exigir a todos los
empleados y contratistas que usan los servicios y sistemas de información de la
organización, que observen y reporten cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas o servicios.
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 116
Dominio 16: Gestión de incidentes de seguridad de
la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la
información, incluida la comunicación sobre eventos de seguridad y debilidades.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 117
Dominio 17: Aspectos de seguridad de la información de la
gestión de continuidad del negocio
Objetivo:
La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de
la continuidad de negocio de la organización.
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 118
Dominio 17: Aspectos de seguridad de la información de la
gestión de continuidad del negocio
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 119
Dominio 17: Aspectos de seguridad de la información de la
gestión de continuidad del negocio
A.17.2. Redundancia.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 120
Dominio 18: Cumplimiento
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de reglamentación o
contractuales relacionadas con seguridad de la información y de cualquier requisito de
seguridad
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 121
Dominio 18: Cumplimiento
A.18.1. Cumplimiento de requisitos legales y contractuales.
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 122
Dominio 18: Cumplimiento
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 123
Dominio 18: Cumplimiento
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 124
Dominio 18: Cumplimiento
Objetivo:
Controles:
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 125
Determine 5 acciones que cumplan con los controles del Dominio 15 a 18
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 126
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019