Sobre el Cuestionario

Jefe de Infraestructura
Jefe de Comunicaciones
DBA
Jefe de Unidad de Gestin Informtica
Gestor de Proyecto
Alcances
Misin Institucin
Visin Institucin
Objetivos Estrategicos Institucin
Objetivos de la Unidad
Misin
Visin
Objetivo Estrategico que Persigue
Objetivo Estrategico que apoya el Software
Valores de la Unidad
Empresa

Limitaciones

Comentarios

Historial de Cambios
Version No.
Fecha
Descripcin de Cambios
1.00
02.01.2014 Creacin de Plantillas base
1.01
29.12.2012

Version
1.0

Fecha Tope

Plan de Trabajo

17.01.2014 Inicio de Entrevista con Plantilla Anexo A

mbios

Persona - Empresa
Julio Lamas - Decalink

Autor

Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmero y porcentaje

Proceso Cumple con la norma y esta documentado

Proceso se lleva a cabo y se debe documentar
Proceso no cumple con la norma y debe ser rediseado
Proceso no est en su lugar / no esta implementado
Proceso no es aplicable

In Percent

Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y documentado

100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

ISO 27001:2005 Controles Apndice-A Implementacin Estado por la Clasificacin en nmero y porcentaje

7; 5%
49; 37%

23; 17%
5; 4%
49; 37%

7; 5%
49; 37%

23; 17%
5; 4%
49; 37%

Controles doc umentados e implementados

Controles implementados deben ser doc umentados
Controles implementados no c umplen c on las normas, tiene que redisear
Control no implementado y doc umentado
Controles no aplic ados

porcentaje

20

0
Proceso
Cumple con la
norma y esta
documentado

0 se
Proceso
lleva a cabo y
se debe
documentar

0 no
Proceso
cumple con la
norma y debe
ser rediseado

0 no
Proceso
est en su
lugar / no esta
implementado

0 no es
Proceso
aplicable

Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y documentado

100%
90%
80%
70%
60%

Conf ormidad %

50%

Meta

40%
30%
20%
10%

m a s d e in fo rm a c i n , d e s a rro llo y m a n t e n im ie n t o

0%

C o n fo rm id a d

G e s t i n d e c o n t in u id a d d e l n e g o c io

d e in c id e n t e s d e s e g u rid a d d e in fo rm a c i n

C o n t ro l d e A c c e s o

s t i n d e C o m u n ic a c i n y O p e ra c io n e s

L a s e g u rid a d fis ic a y a m b ie n t a l

a s e g u rid a d d e lo s re c u rs o s h u m a n o s

P o lit ic a d e S e g u rid a d

1200%
1000%
800%
600%
400%
200%
0%

G e s t i n d e A c t ivo s

Apendice A - Controles Implementacin - Estado por dominio

en nmero y porcentaje

iz a c i n d e la s e g u rid a d d e la in fo rm a c i n

Compliance percentage

005 y documentado

Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmeros

Conf ormidad %
Meta

C o n fo rm id a d

G e s t i n d e c o n t in u id a d d e l n e g

G e s t i n d e in c id e n t e s d e s e g u rid a d d e in f

A d q u is ic i n d e s is t e m a s d e in fo rm a c i n , d e s a rro llo y

C o n t ro l d e A c c e s o

G e s t i n d e C o m u n ic a c i n y O p e ra c

L a s e g u rid a d fis ic a y a m b ie n

L a s e g u rid a d d e lo s re c u rs o s h u m

G e s t i n d e A c t ivo s

O rg a n iz a c i n d e la s e g u rid a d d e la in fo

P o lit ic a d e S e g u rid a d

800%
600%
400%
200%
0%
Conf ormidad %

Meta

n en nmeros

0 no
ceso
en su
ar / no esta
lementado

0 no es
Proceso
aplicable

01:2005 y documentado

Conf ormidad %
Meta

C o n fo rm id a d

G e s t i n d e c o n t in u id a d d e l n e g o c io

r dominio

Conformidad %
Meta

C o n fo rm id a d

G e s t i n d e c o n t in u id a d d e l n e g

Conformidad %

Meta

Etapa Implementacin de la ISO 27001:2005 - Clusulas

Referencia

Proceso Cumple con la

norma y esta documentado

ISO Clauses

Proceso no
Proceso se lleva a
cumple con la
cabo y se debe
norma y debe ser
documentar
rediseado

Situacin de la aplicacin de la norma ISO 27001:2005 - annexure - A Controles

Referencia

Controles documentados e
implementados

Controles
implementados
deben ser
documentados

Controls

23

Estado Adecuacin Implementacin ISO 27001 contra Clusulas

Cantidad
ISO Clause

4.1 - Requisitos Generales

4.2 - Establecimiento y gestin del SGSI
4.3 - Requisitos de documentacin
5.1 - Compromiso de la direccin
5.2 - Gestin de Recursos
6 - Auditoria Interna SGSI
7.1 - General
7.2 - Revisiones de Entrada
7.3 - Revisiones de salida
8.1 - Mejora continua
8.2 - Acciones Correctivas
8.3 - Acciones Preventivas

0
0
0
0
0
0
0
0
0
0
0
0

Controles
implementados
no cumplen con
las normas, tiene
que redisear

49

Conformidad %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!

Implementacin Estado Adecuacin segn la norma ISO 27001 annexure - A Controles

5
6
7
8
9
10
11
12
13
14
15

Descripcin del dominio

Cantidad
Politica de Seguridad
Organizacin de la seguridad de la informacin
Gestin de Activos
La seguridad de los recursos humanos
La seguridad fisica y ambiental
Gestin de Comunicacin y Operaciones
Control de Acceso
Adquisicin de sistemas de informacin, desarrol
Gestin de incidentes de seguridad de informaci
Gestin de continuidad del negocio
Conformidad

0
0
0
0
0
0
0
0
0
0
0

Conformidad %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!

Controles y Objetivos - ISO 27002:2005 - Tcnicas de Seguridad

Funciones

Administracin
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados

No. de controls
16
34
3
9
52
7
4
1

Conformidad %
38%
3%
0%
44%
15%
57%
0%
0%

Meta

100.00%
100.00%
100.00%
100.00%
100.00%
100.00%
100.00%
100.00%

5 - Clusulas
Proceso no est
en su lugar / no
esta
implementado

Proceso no
es aplicable

- annexure - A Controles
Control no
Controles no
implementado y
aplicados
documentado

49

Meta

100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%

Meta

100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%

El anlisis de brechas: estado de aplicacin de ISO 27001

ISO 27001
clausulas

Requisito obligatorio para el SGSI

4
4.1

Sistema de Gestin de Seguridad de la Informacin

Requisitos generales
La organizacin debe establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un SGSI documentado
Establecimiento y gestin del SGSI
Establecer el SGSI
Definir el alcance y los lmites del SGSI
Definir una poltica SGSI
Definir el enfoque de evaluacin de riesgos
Identificar los riesgos
Analizar y evaluar los riesgos
Identificar y evaluar las opciones para el tratamiento de los riesgos
Seleccionar los objetivos de control y controles para el tratamiento de
los riesgos
Obtener la aprobacin de la gestin de los riesgos residuales
propuestos
Obtener la autorizacin de la gerencia para implementar y operar el
SGSI
Preparar una Declaracin de aplicabilidad
Implementar el SGSI
Formular un plan de tratamiento de riesgos
Implementar el plan de tratamiento de riesgos con el fin de alcanzar
los objetivos de control identificados
Implementar controles seleccionados en 4.2.1g para cumplir los
objetivos de control
Definir la forma de medir la efectividad de los controles o grupos de
controles seleccionados y especificar cmo estas medidas se van a
utilizar para evaluar la efectividad de los controles para producir
resultados comparables y reproducibles (ver 4.2.3c)
Implementar programas de capacitacin y sensibilizacin (vase
5.2.2)
Gestione la operacin del SGSI
Administrar los recursos para el SGSI (ver 5.2)
Implementar procedimientos y otros controles capaces de permitir
una rpida deteccin de eventos de seguridad y respuesta a
incidentes de seguridad (vase 4.2.3a)
Supervisar y revisar el SGSI
Ejecutar el seguimiento y revisar los procedimientos y otros controles
Llevar a cabo revisiones peridicas de la eficacia del SGSI
Medir la efectividad de los controles para verificar que se han
cumplido los requisitos de seguridad.
Revisar las evaluaciones de riesgo a intervalos planificados y revisar
los riesgos residuales y los niveles aceptables de riesgos
identificados
Realizar auditoras de ISMS internas a intervalos planificados (ver 6)
Realizar Auditoras Internas de ISMS una planificados Intervalos (ver
6)
Actualizacin de seguridad planea tomar en cuenta los resultados del
seguimiento y la revisin de las actividades
Grabar acciones y eventos que podran tener un impacto en la
eficacia o el rendimiento del SGSI (ver 4.3.3)
Mantener y mejorar el SGSI
Implementar las mejoras identificadas en el SGSI.
Tomar las acciones correctivas y preventivas apropiadas de
conformidad con 8.2 y 8.3
Comunicar las acciones y mejoras a todas las partes interesadas
Asegrese de que las mejoras a alcanzar sus objetivos previstos

4.1
4.2
4.2.1
4.2.1 (a)
4.2.1 (b)
4.2.1 (c)
4.2.1 (d)
4.2.1 (e)
4.2.1 (f)
4.2.1 (g)
4.2.1 (h)
4.2.1 (i)
4.2.1 (j)
4.2.2
4.2.2 (a)
4.2.2 (b)
4.2.2 (c)
4.2.2 (d)
4.2.2 (e)
4.2.2 (f)
4.2.2 (g)
4.2.2 (h)
4.2.3
4.2.3 (a)
4.2.3 (b)
4.2.3 (c)
4.2.3 (d)
4.2.3 (e)
4.2.3 (f)
4.2.3 (g)
4.2.3 (h)
4.2.4
4.2.4 (a)
4.2.4 (b)
4.2.4 (c)
4.2.4 (d)

Status

4.3
4.3.1
4.3.1 (a)
4.3.1 (b)
4.3.1 (c)
4.3.1 (d)
4.3.1 (e)
4.3.1 (f)
4.3.1 (g)
4.3.1 (h)
4.3.1 (i)
4.3.2
4.3.2
4.3.2 (a)
4.3.2 (b)
4.3.2 (c)
4.3.2 (d)
4.3.2 (e)
4.3.2 (f)
4.3.2 (g)
4.3.2 (h)
4.3.2 (i)
4.3.2 (j)
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
5
5.1
5.1
5.1 (a)

Requisitos de documentacin
Documentacin SGSI Generales
Declaraciones documentadas de la poltica del SGSI (ver 4.2.1b) y
objetivos
Alcance del SGSI (ver 4.2.1a)
Procedimientos y controles en apoyo del SGSI
Descripcin de la metodologa de evaluacin de riesgos (ver 4.2.1c)
Informe de evaluacin de riesgos (ver 4.2.1c a 4.2.1g)
Plan de tratamiento del riesgo (ver 4.2.2b)
Procedimientos necesitados por la organizacin para asegurarse de
la eficaz planificacin, operacin y control de sus procesos de
seguridad de la informacin y describir la forma de medir la
efectividad de los controles (ver 4.2.3c)
Los registros requeridos por esta Norma Internacional (vase 4.3.3)
Declaracin de aplicabilidad
Control de los documentos
Los documentos requeridos por el SGSI sern protegidos y
controlados. Debe establecerse un procedimiento documentado para
definir las acciones de gestin necesarias para:
Aprobar documentos adecuacin antes de su emisin
Documentos que sean necesarios Revisar y actualizar y re-aprobar
los documentos
Asegurarse de que se identifican los cambios y el estado de revisin
actual de los documentos
Asegrese de que las versiones pertinentes de los documentos
aplicables estn disponibles en los puntos de uso
Asegrese de que los documentos permanecen legibles y fcilmente
identificables
Asegrese de que los documentos se encuentran a disposicin de
quienes los necesitan, y de conformidad con los procedimientos
aplicables a su clasificacin son transferidos, almacenados y
finalmente eliminados
Asegurarse de que se identifican los documentos de origen externo
Asegrese de que se controla la distribucin de documentos
Prevenir el uso no intencionado de documentos obsoletos
Aplicar una identificacin adecuada en los documentos si se
mantengan por cualquier razn
Control de los registros
Los registros deben establecerse y mantenerse para proporcionar
evidencia de la conformidad con los requisitos y el funcionamiento
eficaz del SGSI
Los registros deben ser protegidos y controlados.
Protegidos servi Los Registros Deben Y Controlados.
Los registros deben permanecer legibles, fcilmente identificables y
recuperables.
Los controles necesarios para la identificacin, almacenamiento,
proteccin, recuperacin, tiempo de retencin y disposicin de
registros deben ser documentados e implementados.
Deber llevarse un registro de los resultados del proceso, como se
indica en 4.2 y de todas las apariciones de los incidentes de
seguridad significativos relacionados con el SGSI.
Responsabilidad de la direccin
Compromiso de la direccin
Direccin debe proporcionar evidencia de su compromiso con el
establecimiento, implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora del SGSI por:
El establecimiento de una poltica de SGSI

5.1 (b)
5.1 (c)
5.1 (d)
5.1 (e)
5.1 (f)
5.1 (g)
5.1 (h)
5.2
5.2.1
5.2.1
5.2.1 (a)
5.2.1 (b)
5.2.1 (c)
5.2.1 (d)
5.2.1 (e)
5.2.1 (f)
5.2.2
5.2.2
5.2.2 (a)
5.2.2 (b)
5.2.2 (c)
5.2.2 (d)
5.2.2
6
6
6 (a)
6 (b)
6 (c)
6 (d)
6

Asegurarse de que se establecen los objetivos y planes del SGSI

Establecer las funciones y responsabilidades de seguridad de la
informacin
Comunicar a la organizacin la importancia de satisfacer los objetivos
de seguridad de la informacin y que se ajuste a la poltica de
seguridad de la informacin, las atribuciones que la ley y la
necesidad de mejora continua
Proporcionar recursos suficientes para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar el SGSI (ver 5.2.1)
Decidir los criterios de aceptacin de riesgos y los niveles aceptables
de riesgo
Asegurar que las auditoras internas del SGSI se llevan a cabo (ver
6)
La realizacin de revisiones por la direccin de los SGSI (ver 7)
Gestin de recursos
Provisin de recursos
La organizacin debe determinar y proporcionar los recursos
necesarios para:
Establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI
Asegurar que los procedimientos de seguridad de informacin
apoyan los requerimientos de negocio
Identificar y abordar los requisitos legales y reglamentarios y las
obligaciones contractuales de seguridad
Mantener la seguridad adecuada por la correcta aplicacin de todos
los controles implementados
Llevar a cabo revisiones cuando sea necesario, y para reaccionar
adecuadamente ante los resultados de estas revisiones
Cuando sea necesario, mejorar la eficacia del SGSI
Formacin, sensibilizacin y competencia
La organizacin debe asegurarse de que todo el personal que se
asignan responsabilidades definidas en el SGSI son competentes
para realizar las tareas requeridas por:
La determinacin de las competencias necesarias para el personal
que realiza las labores que afectan el SGSI
Proporcionar formacin o tomar otras acciones (por ejemplo, que
emplean a personal competente) para satisfacer estas necesidades
Evaluacin de la eficacia de las medidas adoptadas
El mantenimiento de los registros de educacin, formacin,
habilidades, experiencia y calificaciones (ver 4.3.3)
La organizacin velar por que todo el personal pertinente son
conscientes de la relevancia e importancia de sus actividades de
seguridad de la informacin y de cmo contribuyen al logro de los
objetivos del SGSI.
Auditora interna SGSI
La organizacin debe llevar a cabo auditoras de ISMS internas a
intervalos planificados para determinar si los objetivos de control,
controles, procesos y procedimientos de su SGSI:
Cumplir con los requisitos de esta norma internacional y la legislacin
pertinente o las normas
Cumplir con los requisitos de seguridad de informacin identificados
Implantacin y el mantenimiento eficaz
Lleve a cabo como se esperaba.
Se debe planificar un programa de auditoras

6
7
7.1
7.1
7.2
7.2
7.2 (a)
7.2 (b)
7.2 (c)
7.2 (d)
7.2 (e)
7.2 (f)
7.2 (g)
7.2 (h)
7.2 (i)
7.3
7.3
7.3 (a)
7.3 (b)
7.3 (c)
7.3 (d)
7.3 (e)
8
8.1

8.1
8.2
8.2
8.2 (a)
8.2 (b)
8.2 (c)
8.2 (d)
8.2 (e)
8.2 (f)
8.3

La direccin responsable del rea que est siendo auditada debe

asegurarse de que se toman acciones sin demora injustificada para
eliminar las no conformidades detectadas y sus causas. Las
actividades de seguimiento deben incluir la verificacin de las
acciones tomadas y el informe de los resultados de la verificacin
(ver 8).
Revisin por la direccin del SGSI
General
La direccin revisar SGSI de la organizacin a intervalos
planificados (por lo menos una vez al ao) para asegurarse de su
conveniencia, adecuacin y eficacia
Revisiones de Entrada
La entrada a una revisin por la direccin debe incluir:
Los resultados de las auditoras de SGSI y comentarios
La retroalimentacin de las partes interesadas
Tcnicas, productos o procedimientos, que podran utilizarse en la
organizacin para mejorar el rendimiento y la eficacia SGSI
Estado de las acciones preventivas y correctivas
Las vulnerabilidades o amenazas que no se abordan
adecuadamente en la evaluacin del riesgo conocido
Los resultados de las mediciones de eficacia
Las acciones de seguimiento de las revisiones por la direccin
previas
Todos los cambios que podran afectar el SGSI
Recomendaciones para la mejora
Revisiones de Salida
La salida de la revisin por la direccin deben incluir todas las
decisiones y acciones relacionadas con lo siguiente:
Mejora de la eficacia de los SGSI
Actualizacin de la evaluacin de riesgos y plan de tratamiento de
riesgos
Modificacin de los procedimientos y controles de seguridad de la
informacin que el efecto, si es necesario, para responder a eventos
internos o externos que pueden impactar en el SGSI
Las necesidades de recursos
Mejora la forma en que se est midiendo la eficacia de los controles
Mejora del SGSI
Mejora continua
La organizacin debe mejorar continuamente la eficacia del SGSI a
travs del uso de la poltica de seguridad de la informacin, los
objetivos de seguridad de la informacin, resultados de las
auditoras, el anlisis de los sucesos supervisados, las acciones
correctivas y preventivas y la revisin por la direccin (vase 7).
La accin correctiva
La organizacin debe tomar acciones para eliminar la causa de no
conformidades con los requisitos del SGSI, a fin de prevenir la
recurrencia. El procedimiento documentado para acciones
correctivas debe definir los requisitos para:
La identificacin de las no conformidades
Determinar las causas de las no conformidades
La evaluacin de la necesidad de adoptar medidas para garantizar
que las no conformidades no vuelvan a ocurrir
La determinacin y aplicacin de las medidas correctoras necesarias
Resultados de la grabacin de acciones tomadas (vase 4.3.3)
Revisin de las acciones correctivas tomadas
La accin preventiva

8.3
8.3 (a)
8.3 (b)
8.3 (c)
8.3 (d)
8.3 (e)
8.3

La organizacin debe determinar acciones para eliminar la causa de

no conformidades potenciales con los requisitos del SGSI a fin de
prevenir su ocurrencia. Las acciones preventivas tomadas deben ser
apropiadas a los efectos de los problemas potenciales. El
procedimiento documentado para la accin preventiva deber definir
los requisitos para:
La identificacin de las no conformidades potenciales y sus causas
La evaluacin de la necesidad de actuar para prevenir la ocurrencia
de no conformidades
La determinacin y aplicacin de las medidas preventivas necesarias
Resultados de la grabacin de acciones tomadas (vase 4.3.3)
Revisin de las acciones preventivas tomadas
La organizacin debe identificar los riesgos que lo precisen y
determinar las necesidades de accin preventiva que se centran la
atencin en los riesgos cambiado significativamente

Leyenda
Cantidad
0

Codigos Status
D

MD

RD

PNP

NA (Not Applicable)

Buscar

Hallazgos

Significado
El control se document e implement
El Control se lleva a cabo y el proceso debe ser
documentado para asegurar la repetibilidad del
proceso y mitigar los riesgos.
El control no cumple las normas y debe ser
rediseado para cumplir con las normas
El proceso no est en su lugar / no implementado.
(Control requeridos ni documentado ni
implementado)
El control no es aplicable para la empresa ni para el
negocio

Recomendaciones

Contribution %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!

Declaracin de aplicabilidad de la norma ISO / IEC 27001 Anexo A controla a la:

Anexo A de referencia
Ttulo de control
Politica de Seguridad
A.5
A5.1
A.5.1.1
A.5.1.2

Descripcin del control

Funcin

Status

Buscar

Hallazgos

Para proporcionar a la direccin de gestin y apoyo a la seguridad de

la informacin de acuerdo con los requerimientos del negocio y las
leyes y reglamentos pertinentes.
Un documento de poltica de seguridad de la informacin deber ser
Documento de Politica de
aprobado por la administracin, y publicado y comunicado a todos los
segurida de la informacin
empleados y colaboradores externos.
La poltica de seguridad de la informacin ser revisada a intervalos
Review of the information security
planificados o si se producen cambios significativos para asegurar su
policy
conveniencia, adecuacin y eficacia.
Informacin Politica de
Seguridad

Organizacin de la seguridad de la informacin

A.6
A.6.1
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7

A.6.1.8

A6.2

A.6.2.1
A.6.2.2

A.6.2.3
A.7
A.7.1
A.7.1.1

Para gestionar la seguridad de la informacin dentro de la

organizacin
Gestin apoyar activamente a la seguridad dentro de la organizacin a
Compromiso de la direccin de
travs de una direccin clara, demuestra el compromiso, la asignacin
seguridad de la informacin
explcita, y el reconocimiento de las responsabilidades de seguridad de la
informacin.
Actividades de seguridad de informacin estarn coordinadas por
Coordinacin de la seguridad de
representantes de diferentes sectores de la organizacin con un papel
informacin
relevante y funcin de trabajo.
La asignacin de las
Todas las responsabilidades de seguridad de la informacin deben estar
responsabilidades de seguridad
claramente definidas.
de la informacin
Proceso de autorizacin para
Un proceso de autorizacin de la administracin para las nuevas
instalaciones de procesamiento
instalaciones de procesamiento de informacin se define y se aplica.
de informacin
Requisitos para los acuerdos de confidencialidad o de no divulgacin que
Los acuerdos de confidencialidad
reflejen las necesidades de la organizacin para la proteccin de la
informacin deben ser identificados y revisados con regularidad.
Contacto con las autoridades
Se mantendrn los contactos apropiados con las autoridades pertinentes.
Contacto con grupos de interes Se mantendrn los contactos apropiados con los grupos de inters especial
especial
u otros foros de seguridad especializados y asociaciones profesionales.
El enfoque de la organizacin para la gestin de seguridad de la
informacin y su aplicacin (es decir, los objetivos de control, controles,
Revisiones independientes de la
polticas, procesos y procedimientos para la seguridad de la informacin)
policita de seguridad de la
se revisar de forma independiente a intervalos planificados, o cuando se
informacin
producen cambios significativos en la implementacin de seguridad se
Para mantener la seguridad de producen.
la informacin y de las instalaciones
de procesamiento de informacin de la organizacin que se tiene
Partes Externas
acceso, procesan, comunican a, o administrados por entidades
externas.
Los riesgos para la informacin y las instalaciones de procesamiento de
Identificacin de los riesgos
informacin de la organizacin de los procesos de negocio relacionados
relacionados con los agentes
con las partes externas deben ser identificados y los controles apropiados
externos
implementados antes de conceder el acceso.
Todos los requisitos de seguridad identificados debern dirigirse antes de
Abordar la seguridad cuando se
dar a los clientes el acceso a la informacin o de los activos de la
trata de clientes
organizacin.
Acuerdos con terceros relacionados con el acceso, tratamiento, la
comunicacin o la gestin de la informacin o de las instalaciones de
Abordar la seguridad en los
procesamiento de informacin de la organizacin, o la adicin de productos
contratos de terceros
o servicios a las instalaciones de procesamiento de informacin se referirn
a todos los requisitos de seguridad pertinentes.
Gestin de Activos
La responsabilidad de los
Para lograr y mantener la proteccin adecuada de los activos de la
activos
organizacin.
Todos los activos deben estar claramente identificados y un inventario de
Inventarios de Activos
todos los activos importantes establecimiento y el mantenimiento.
Organizacin Interna

Xerox Internal Use Only

279791472.xls

Page 28 of 49

Anexo A de referencia
A.7.1.2
A.7.1.3
A.7.2
A.7.2.1
A.7.2.2
A.8
A.8.1

A.8.1.1

A.8.1.2

A.8.1.3

A.8.2

A.8.2.1

A.8.2.2
A.8.2.3
A.8.3
A.8.3.1
A.8.3.2

A.8.3.3

A.9

Ttulo de control

Descripcin del control

Toda la informacin y los activos asociados a las instalaciones de
Propiedad de Activos
tratamiento de la informacin sern propiedad de una parte designada de
la organizacin.
Normas para el uso aceptable de la informacin y de los activos asociados
Uso aceptables de los activos
a las instalaciones de procesamiento de informacin debern ser
identificados, documentados e implementados.
Para asegurar que la informacin reciba un nivel adecuado de
clasificacin de la informacin
proteccin.
La informacin se clasificar en funcin de su valor, los requisitos legales,
directrices de clasificacin
la sensibilidad y criticidad para la organizacin.
Un conjunto apropiado de procedimientos para el etiquetado de
Etiquetado de la informacin y la
informacin y de tramitacin se desarrollar y ejecutar de conformidad
manipulacin
con el sistema de clasificacin adoptado por la organizacin.

Funcin

Status

Buscar

Hallazgos

La seguridad de los recursos humanos

Para asegurarse de que los empleados, contratistas y usuarios de
terceras partes entiendan sus responsabilidades, y son adecuados
Antes del Empleo
para las funciones que se consideran para, y para reducir el riesgo de
robo, fraude o mal uso de las instalaciones.
Funciones y responsabilidades de los empleados, contratistas y usuarios
Roles y Responsabilidades
de terceras partes de proteccin se definen y documentan de conformidad
con la poltica de seguridad de la informacin de la organizacin.
Controles de verificacin de antecedentes de todos los candidatos a
empleo, contratistas y usuarios de terceras partes se llevarn a cabo de
Proyeccin
conformidad con las leyes, regulaciones y tica, y proporcional a los
requerimientos del negocio, la clasificacin de la informacin que se
acceda, y contractual,
los riesgos percibidos.
Como parte de su obligacin
los empleados, contratistas y
usuarios de terceras partes se pondrn de acuerdo y firmar los trminos y
Terminos y condiciones del
condiciones de su contrato de trabajo, en el que expondr y
empleo
responsabilidades de sus de la organizacin para la seguridad de la
informacin.contratistas y usuarios de
Para asegurar que todos los empleados,
terceras partes son conscientes de la informacin amenazas y
preocupaciones, sus responsabilidades y obligaciones de seguridad,
Durante el empleo
y estn equipados para apoyar la poltica de seguridad de la
organizacin en el curso de su trabajo normal, y para reducir el riesgo
de error humano.
Administracin exigir a los empleados, contratistas y usuarios de terceras
Gestion de responsabilidades
partes para aplicar la seguridad de conformidad con las polticas y
procedimientos de la organizacin establecidas
Todos los empleados de la organizacin y, en su caso, los contratistas y
Concienciacin sobre la
usuarios de terceras partes, debern recibir una capacitacin adecuada
seguridad de la informacin, la
sensibilizacin y actualizaciones regulares en las polticas y procedimientos
educacin y la formacin
de la organizacin, que sea relevante para su funcin de trabajo.
Habr un proceso disciplinario formal para los empleados que han
Proceso Diciplinario
cometido una infraccin de seguridad.
Para asegurarse de que los empleados, contratistas y usuarios de
El termino o cambio de empleo terceras partes salen de una organizacin o el cambio de empleo de
una manera ordenada.
Las responsabilidades para la realizacin de la terminacin del empleo o
Termino de responsabilidades
cambio de empleo, debern estar claramente definidas y asignadas.
Todos los empleados, contratistas y usuarios de terceras partes debern
Retorno de los activos
devolver todos los activos de la organizacin en su poder a la terminacin
de su empleo, contrato o acuerdo..
Los derechos de acceso de todos los empleados, contratistas y usuarios de
Eliminacion de los derechos de terceras partes a las instalaciones de procesamiento de la informacin y de
la informacin del reglamento ser eliminado despus de la terminacin de
acceso
su empleo, contrato o acuerdo, o se ajustan al cambio.
La seguridad fisica y ambiental

Xerox Internal Use Only

279791472.xls

Page 29 of 49

Anexo A de referencia
A9.1
A9.1.1
A9.1.2
A9.1.3
A9.1.4
A9.1.5
A9.1.6
A9.2
A9.2.1
A9.2.2
A9.2.3
A9.2.4
A9.2.5
A9.2.6
A9.2.7
A10
A10.1
A10.1.1
A10.1.2
A10.1.3
A10.1.4
A10.2
A10.2.1

Ttulo de control

Descripcin del control

Para prevenir el acceso no autorizado fsico, daos e interferencia a
Areas Seguras
las instalaciones y la informacin de la organizacin.
Permetros de proteccin se utilizarn (barreras tales como paredes,
puertas de entrada de la tarjeta controlada o mostradores de recepcin
Permetro de seguridad fsica
tripulados) para proteger reas que contienen las instalaciones de
procesamiento de la informacin y de la informacin.
Las reas seguras quedar protegido por entrada apropiada controles para
Controles de entradas fisicas
asegurarse de que se les permite el acceso slo el personal autorizado ..
Asegurar oficinas, salas e
La seguridad fsica de las oficinas, habitaciones e instalaciones, se dise
instalaciones
y aplic
La proteccin fsica contra daos por incendio, inundacin, terremoto,
La proteccin contra amenazas
explosin, disturbios civiles, y otros tipos de catstrofes naturales o de
externas y ambientales
origen humano debe ser diseado y aplicado.
Proteccin fsica y pautas para el trabajo en las reas de seguridad deben
Trabajar en zonas seguras
ser diseadas y aplicadas.
Los puntos de acceso, tales como las zonas de entrega y de carga y otros
Zonas de acceso pblico, de
puntos en los que las personas no autorizadas puedan entrar los locales se
entrega y de carga
debern controlar y, si es posible, aislada de las instalaciones de
procesamiento de informacin para evitar el acceso no autorizado.
Para evitar la prdida, dao, robo o el compromiso de los activos y la
Seguridad de los equipos
interrupcin de las actividades de la organizacin.
El equipo deber estar situado o protegido para reducir los riesgos de las
Emplazamiento y Proteccin del
amenazas y peligros ambientales, y las oportunidades para el acceso no
equipo
autorizado.
El equipo deber estar protegida contra fallas de energa y otras
Apoyo a los servicios pblicos
interrupciones causadas por fallas en el apoyo a los servicios pblicos.
Energa y telecomunicaciones cableado que transporta datos o el apoyo a
seguridad del cableado
los servicios de informacin deben estar protegidos contra la interceptacin
o dao.
El equipo debe mantenerse correctamente para permitir su continua
El mantenimiento del equipo
disponibilidad e integridad.
Seguridad se aplicar a los equipos fuera de las instalaciones, teniendo en
Seguridad de los equipos fuera
cuenta los diferentes riesgos de trabajar fuera de los locales de la
de las instalaciones
Todos los elementos delorganizacin.
equipo que contiene los medios de
La eliminacin segura o
almacenamiento debern ser evaluados para verificar que los datos
de re-uso de equipos
sensibles y el software con licencia se ha eliminado o sobrescrito de forma
segura antes de su eliminacin.
Equipo, la informacin o el software no se tomarn fuera del sitio sin la
Eliminacin de los equipos
previa autorizacin.

Funcin

Status

Buscar

Hallazgos

Gestin de Comunicacin y Operaciones

Procedimientos y
To ensure the correct and secure operation of information processing
responsabilidades
facilities.
operacionales
Procedimientos operacionales, Los procedimientos de operacin debern ser documentados, mantenidos
adecuadamente documentados
y puestos a disposicin de todos los usuarios que los necesitan.
Los cambios en las instalaciones y los sistemas de procesamiento de
Gestin del Cambio
informacin deben controlarse.
Deberes y reas de responsabilidad deben estar separados para reducir
La segregacin de funciones
las oportunidades de modificacin o mal uso de los activos de la
organizacin no autorizado o involuntario.
Estarn separadas de desarrollo, prueba e instalaciones operacionales
Separacin de desarrollo, prueba
para reducir el riesgo de acceso no autorizado o alteraciones en el sistema
e instalaciones operacionales
operativo.
Para implementar y mantener el nivel adecuado de seguridad de la
Gestin de entrega de
informacin y la prestacin de servicios en lnea con los acuerdos de
servicios de terceros
prestacin de servicios de terceros.
Se velar por que los controles de seguridad, las definiciones de servicio, y
Servicio de entrega
los niveles de envo incluidos en el tercer acuerdo de prestacin de
servicios del partido se implementan, operado y mantenido por el tercero.

Xerox Internal Use Only

279791472.xls

Page 30 of 49

Anexo A de referencia
A10.2.2

A10.2.3
A10.3
A10.3.1
A10.3.2
A10.4
A10.4.1

A10.4.2
A10.5
A10.5.1
A10.6
A10.6.1

A10.6.2
A10.7
A10.7.1
A10.7.2
A10.7.3
A10.7.4
A10.8
A10.8.1
A10.8.2
A10.8.3

Descripcin del control

Los servicios, los informes y los registros proporcionados por el tercero
El seguimiento y la revisin de los
debern ser controlados regularmente y revisados, y las auditoras se
servicios de terceros
llevarn a cabo con regularidad.
os cambios en la prestacin de servicios, incluido el mantenimiento y la
mejora de las actuales polticas de seguridad de informacin,
Gestin de cambios en los
procedimientos y controles, se gestionarn, teniendo en cuenta la criticidad
servicios de terceros
de los sistemas y procesos que intervienen empresas y re-evaluacin de
los riesgos.
Planificacin y aceptacin del
Para minimizar el riesgo de fallo de los sistemas.
sistema
El uso de los recursos deber ser monitoreada, afinado, y proyecciones de
gestin de la capacidad
las futuras necesidades de capacidad para asegurar el rendimiento del
sistema requerido.
Los criterios de aceptacin para los nuevos sistemas de informacin,
actualizaciones y nuevas versiones sern establecidos y las pruebas
la aceptacin del sistema
adecuadas del sistema) llevaron a cabo durante el desarrollo y antes de la
aceptacin.
Proteccin contra cdigo
Para proteger la integridad del software y la informacin.
malicioso y mvil
Se llevarn a cabo la deteccin, prevencin y recuperacin controles de
Controles contra cdigo malicioso
proteccin contra cdigo malicioso y los procedimientos apropiados de
sensibilizacin usuario.
Cuando se autorice el uso de cdigo mvil, la configuracin deber
garantizar que el cdigo mvil autorizado opera de acuerdo con una poltica
Controles contra cdigos mviles
de seguridad claramente definido, y el cdigo mvil no autorizado puede
ser impedido de ejecutar.
Para mantener la integridad y la disponibilidad de instalaciones de
Back-up
procesamiento de la informacin y de la informacin.
Copias de respaldo de la informacin y software sern tomadas y
Informacin
analizadas con regularidad de acuerdo con la poltica de copia de
back-up
seguridad acordado.
Gestin de la seguridad de la Para garantizar la proteccin de la informacin en las redes y la
red
proteccin de la infraestructura de apoyo.
Redes se gestionarn adecuadamente y controlados, con el fin de
controles de red
protegerse de las amenazas, y para mantener la seguridad de los sistemas
y aplicaciones que utilizan la red, incluyendo la informacin en trnsito.
Las caractersticas de seguridad, niveles de servicio y los requisitos de
gestin de todos los servicios de la red deben ser identificados e incluidos
Seguridad de los servicios de red
en cualquier acuerdo de servicios de red, si estos servicios se ofrecen en la
empresa o subcontratado.
Para evitar la divulgacin no autorizada, modificacin, eliminacin o
manejo del soporte
destruccin de bienes, y la interrupcin de las actividades
comerciales.
Deber haber procedimientos establecidos para el manejo de los medios
Gestin de soportes extrables
extrables.
La eliminacin de los medios de Medios debern ser desechados de forma segura y sin peligro cuando ya
comunicacin
no sea necesario, utilizando procedimientos formales.
Los procedimientos para el manejo y almacenamiento de la informacin se
Informacin del manejo de los
establecern para proteger esta informacin contra su divulgacin o uso no
procedimientos
autorizado.
Seguridad de la documentacin
Documentacin del sistema deben estar protegidos contra el acceso no
del sistema
autorizado.
Para mantener la seguridad de la informacin y software
Intercambio de informacin intercambiado dentro de una organizacin y con cualquier entidad
externa.
Polticas formales de cambio, los procedimientos y los controles debern
Las polticas y los procedimientos
estar en su lugar para proteger el intercambio de informacin mediante el
de intercambio de informacin
uso de todo tipo de instalaciones de comunicacin.
Los acuerdos se establecieron para el intercambio de informacin y
Los acuerdos de intercambio
software entre la organizacin y las partes externas.
Los medios que contienen informacin deben estar protegidos contra el
Medios fsicos en trnsito
acceso no autorizado, mal uso o corrupcin durante el transporte ms all
de los lmites fsicos de una organizacin.

Xerox Internal Use Only

Ttulo de control

Funcin

279791472.xls

Status

Buscar

Hallazgos

Page 31 of 49

Anexo A de referencia

Ttulo de control

A10.8.4

Mensajeria Electronica

A10.8.5

Sistemas de informacin de
negocios

A10.9

Servicios de comercio
electrnico

A10.9.1

Comercio Electronico

A10.9.2

Transacciones On-line

A10.9.3

Informacin pblica

A10.10

Monitoreo

A10.10.1

Registro de Auditoria

A10.10.2

Uso del sistema de monitoreo

A10.10.3
A10.10.4
A10.10.5
A10.10.6
A11
A11.1
A11.1.1
A11.2
A11.2.1

Descripcin del control

Informacin involucrado en la mensajera electrnica ser debidamente
preservado.
Las polticas y procedimientos debern ser desarrollados e implementados
para proteger la informacin asociada a la interconexin de los sistemas de
informacin de negocios.
Para garantizar la seguridad de los servicios de comercio electrnico,
y su uso seguro.
Informacin involucrado en el comercio electrnico que pasa a travs de
redes pblicas, sern protegidos de la actividad fraudulenta, disputa de
contrato, y la divulgacin y modificacin no autorizada.
Informacin involucrada en las transacciones en lnea debern estar
protegidos para prevenir la transmisin incompleta, mal enrutamiento,
alteracin mensaje no autorizado, la divulgacin no autorizada, la
duplicacin de mensajes no autorizada o la reproduccin.
La integridad de la informacin puesta a disposicin de un sistema de
acceso pblico debe ser protegido para evitar la modificacin no
autorizada.
Para detectar las actividades de procesamiento de informacin no
autorizados.
Los registros de auditora de grabacin de las actividades del usuario,
excepciones y eventos de seguridad de informacin se producen y se
conservarn durante un perodo acordado para ayudar en futuras
investigaciones y la vigilancia del control de acceso.
Procedimientos para el uso de vigilancia de las instalaciones de
procesamiento de informacin se establecern y los resultados de las
actividades de seguimiento de revisiones regulares.
Instalaciones de registro y la informacin de registro se protegern contra
la manipulacin y acceso no autorizado.

Administracin de Privilegios

La asignacin y el uso de los privilegios se limitarn y controlados.

A11.2.3

Administracin de Password de
Usuarios

La asignacin de contraseas se controla a travs de un proceso de

gestin formal.

A11.2.4

Revisin de los derechos de

acceso de usuario

A11.3.1
A11.3.2

Status

Buscar

Hallazgos

Proteccin de los registros de

informacin
Administracin y operacin de los
Actividades del administrador del sistema y gestor de la red se registrarn.
registros de informacin
Fallo de Registros
Fallos se registrarn, analizarn y tomarn las medidas correspondientes.
Los relojes de todos los sistemas de procesamiento de informacin
Sincronizacin de Relojes
pertinentes dentro de una organizacin o dominio de seguridad se pueden
sincronizar con una fuente horaria exacta acordado.
Control de Acceso
Requerimiento de negocio de
Para controlar el acceso a la informacin.
control de acceso
Se establecer una poltica de control de acceso, documentado y revisado
Poltica de control de acceso
basado en los requisitos empresariales y de seguridad para el acceso.
Gestin de acceso de los
Para garantizar el acceso del usuario autorizado y evitar el acceso no
usuarios
autorizado a los sistemas de informacin.
Habr un registro de usuario formal y procedimiento de la matrcula en el
Registro de Usuarios
lugar para otorgar y revocar el acceso a todos los sistemas y servicios de
informacin.

A11.2.2

A11.3

Funcin

La direccin revisar los derechos de acceso de los usuarios a intervalos

regulares utilizando un proceso formal.
Para prevenir el acceso no autorizado de usuarios, y el compromiso o
Responsabilidades de los
el robo de las instalaciones de procesamiento de la informacin y de
usuarios
la informacin.
Los usuarios estarn obligados a seguir las buenas prcticas de seguridad
Utilizacin de Contrasea
en la seleccin y uso de contraseas.
Los usuarios debern asegurarse de que el equipo desatendido tiene la
Equipo de usuarios desatendido
proteccin adecuada.

Xerox Internal Use Only

279791472.xls

Page 32 of 49

Anexo A de referencia

Ttulo de control

A11.3.3

Poltica de escritorio y pantalla en

blanco o despejado

A11.4

Control de acceso de red

Para prevenir el acceso no autorizado a los servicios en red.

A11.4.1

Poltica sobre el uso de los

servicios de red

Los usuarios slo debern disponer de acceso a los servicios que han sido
especficamente autorizados para su uso.

A11.4.2

Autenticacin de usuario para las

conexiones externas

Mtodos de autenticacin adecuados se utilizan para controlar el acceso

de usuarios remotos.

A11.4.3

Identificacin de los equipos en

las redes

Identificacin automtica de los equipos se considerar como un medio

para autenticar las conexiones de los lugares y equipos especficos.

A11.4.4

Diagnstico remoto y proteccin

puerto de configuracin

Se controlar el acceso fsico y lgico a los puertos de diagnstico y

configuracin.

A11.4.5

Segregacin en redes

A11.4.6

Control de la conexin de red

A11.4.7

Control de Ruta de red

A11.5
A11.5.1
A11.5.2
A11.5.3
A11.5.4
A11.5.5
A11.5.6
A11.6
A11.6.1
A11.6.2
A11.7
A11.7.1
A11.7.2

Descripcin del control

Se adoptarn una poltica de escritorio limpio de papeles y soportes de
almacenamiento extrables y una poltica de la pantalla clara para las
instalaciones de procesamiento de informacin.

Funcin

Status

Buscar

Hallazgos

Grupos de servicios de informacin, los usuarios y los sistemas de

informacin debern estar separados de las redes
Para las redes compartidas, especialmente aquellas que se extienden a
travs de fronteras de la organizacin, la capacidad de los usuarios para
conectarse a la red se limitar, en lnea con la poltica y los requisitos de
las aplicaciones de negocio de control de acceso (vase 11.1).
Controles de enrutamiento se aplicarn a las redes para garantizar que las
conexiones de la computadora y los flujos de informacin no infringen la
poltica de control de acceso de las aplicaciones de negocio.

Control de acceso del sistema

Para prevenir el acceso no autorizado a los sistemas operativos.
operativo
El acceso a los sistemas operativos se controla mediante un procedimiento
Procedimientos de Inicio Seguro
de inicio de sesin seguro.
Todos los usuarios deben tener un identificador nico (ID de usuario) slo
Identificacin y autenticacin de
para su uso personal, y una tcnica de autenticacin adecuados sern
usuarios
elegidos para corroborar la identidad declarada de un usuario.
Sistema de gestin de
Sistemas de gestin de contraseas sern interactivos y se asegurarn de
contraseas
contraseas de calidad.
El uso de programas utilitarios que podran ser capaces de sistema y de
Uso de las utilidades del sistema
aplicacin controles primordiales ser restringido y estrechamente
controlado.
Sesiones inactivas se cerrarn
despus de un perodo definido de
Sesin de tiempo de espera
inactividad.
Las restricciones a los tiempos de conexin se utilizan para proporcionar
Limitacin de tiempo de conexin
seguridad adicional para aplicaciones de alto riesgo.
El control de aplicaciones y
acceder a informacin

Para prevenir el acceso no autorizado a la informacin contenida en

los sistemas de aplicacin.

El acceso a las funciones de informacin y sistemas de aplicaciones por los

usuarios y el personal de apoyo se limitar de acuerdo con la poltica de
control de acceso definido.
Aislamiento del sistema Sensible Sistemas sensibles deben tener un (aislado) entorno informtico dedicado.
Computadores Mobiles y
Para garantizar la seguridad de la informacin cuando se utilizan las
Teletrabajo
instalaciones de computacin y teletrabajo mvil.
Una poltica formal deber estar en su lugar, y se adoptar medidas de
Computadores Mobiles y
seguridad para proteger contra los riesgos del uso de las instalaciones de
comnucaciones
computacin mvil y la comunicacin.
Una poltica, planes y procedimientos operativos deber ser desarrollado e
Teletrabajo
implementado para las actividades de teletrabajo.
Restriccin de acceso
Informacin

Adquisicin de sistemas de informacin, desarrollo y mantenimiento

A12

Xerox Internal Use Only

279791472.xls

Page 33 of 49

Anexo A de referencia
A12.1
A12.1.1
A12.2
A12.2.1
12.2.2
12.2.3
12.2.4
A12.3
A12.3.1
12.3.2
A12.4
A12.4.1
A12.4.2
A12.4.3
A12.5
A12.5.1
A12.5.2
A12.5.3
A12.5.4
A12.5.5
A12.6
A12.6.1

A13
A13.1

Ttulo de control
Descripcin del control
Los requisitos de seguridad de Para asegurar que la seguridad es una parte integral de los sistemas
los sistemas de informacin de informacin.
Declaraciones de los requerimientos del negocio para los nuevos sistemas
Anlisis de los requisitos de
de informacin, o mejoras de los sistemas de informacin existentes
seguridad y las especificaciones
especificarn los requisitos para los controles de seguridad.
Procesamiento correcto en
Para evitar errores, la prdida, modificacin o mal uso de la
aplicaciones
informacin en la aplicacin no autorizada.
La entrada de datos a las aplicaciones deber ser validado para
Validacin de Datos de Entrada
asegurarse de que esta informacin es correcta y apropiada.
Comprobaciones de validacin debern ser incorporados en las
Control del procesamiento interno aplicaciones para detectar cualquier corrupcin de la informacin a travs
de los errores de procesamiento o actos deliberados.
Requisitos para garantizar la autenticidad y la proteccin de la integridad
Integridad de los mensajes
del mensaje en las aplicaciones deben ser identificados, y los controles
apropiados identificados e implementados.
La salida de datos desde una aplicacin deber ser validado para
Validacin de datos de salida
asegurarse de que el procesamiento de la informacin almacenada es
correcta y adecuada a las circunstancias.
Para proteger la confidencialidad, autenticidad o integridad de la
Controles criptogrficos
informacin por medios criptogrficos.
Poltica sobre el uso de controles Una poltica sobre el uso de controles criptogrficos para la proteccin de
criptogrficos
la informacin debe ser desarrollado e implementado
Gestin de claves estar en el lugar para apoyar el uso de la organizacin
Gestin de claves
de las tcnicas criptogrficas.
Seguridad de los archivos del
Para garantizar la seguridad de los archivos del sistema
sistema
Habr procedimientos para controlar la instalacin de software en los
Control del Software Operacional
sistemas operativos
Proteccin de los datos de
Los datos de prueba deben seleccionarse cuidadosamente y protegidos y
prueba del sistema
controlados.
Control de acceso al cdigo
El acceso al cdigo fuente del programa se limitar.
fuente del programa
Seguridad en desarrollo y
soporte de procesos

Funcin

Status

Buscar

Hallazgos

Para mantener la seguridad de software de sistema de aplicacin y la

informacin.

Procedimientos de control de
La implementacin de los cambios se controla mediante el uso de
cambio
procedimientos formales de control de cambios.
Revisin tcnica de aplicaciones
Cuando se cambian los sistemas operativos, aplicaciones crticas de
despus de cambios en el
negocio deben ser revisados y probados para asegurar que no hay impacto
sistema operativo
negativo en las operaciones de la organizacin o de la seguridad.
Las modificaciones a los paquetes de software se pondrn trabas, otros,
Restricciones en los cambios a
las modificaciones necesarias, y todos los cambios deben ser
los paquetes de software
estrictamente controlados.
filtracin de informacin
Se impedir Oportunidades para la fuga de informacin.
Desarrollo de software
Desarrollo de software externalizado ser supervisado y controlado por la
externalizado
organizacin
Gestin de Vulnerabilidades Para reducir los riesgos derivados de la explotacin de las
Tcnica
vulnerabilidades tcnicas publicadas.
La informacin oportuna acerca de las vulnerabilidades tcnicas de los
Control de las vulnerabilidades
sistemas de informacin que se utilizan se obtienen, la exposicin de la
tcnicas
organizacin a tales vulnerabilidades evaluado y tomado las medidas
adecuadas para hacer frente a los riesgos asociados.
Gestin de incidentes de seguridad de informacin
Para garantizar la seguridad de la informacin de eventos y
Informar sobre los eventos de
debilidades asociadas a los sistemas de informacin se comunican de
seguridad de informacin y
una manera que permite acciones correctivas oportunas que deban
debilidades
tomarse.

Xerox Internal Use Only

279791472.xls

Page 34 of 49

Anexo A de referencia
A13.1.1
A13.1.2
A13.2
A13.2.1
A13.2.2
A13.2.3

A14
A14.1

A14.1.1

A14.1.2

A14.1.3

A14.1.4

A14.1.5
A15
A15.1
A15.1.1

A15.1.2

A15.1.3
A15.1.4

Ttulo de control
Informar sobre los eventos de
seguridad de informacin

Descripcin del control

Los eventos de seguridad de informacin se comunicarn a travs de
canales de gestin adecuadas tan pronto como sea posible.
Todos los empleados, contratistas y usuarios de terceras partes de los
Informes debilidades de
sistemas y servicios de informacin estarn obligados a observar y reportar
cualquier debilidad de seguridad que observen o sospechen en los
seguridad
sistemas o servicios.
Gestin de incidentes de
Para garantizar un enfoque coherente y eficaz se aplica a la gestin de
seguridad de la informacin y
incidentes de seguridad de la informacin.
mejoras
Responsabilidades y procedimientos de manejo debern ser establecidos
Responsabilidades y
para asegurar una respuesta rpida, eficaz y ordenada a los incidentes de
procedimientos
seguridad de la informacin.
Habr mecanismos que permitan a los tipos, volmenes y costos de los
Aprendiendo de los incidentes de
incidentes de seguridad de la informacin para ser cuantificados y
seguridad de la informacin
controlados.
Cuando una accin de seguimiento
contra una persona u organizacin
despus de un incidente de seguridad de informacin implica una accin
Acopio de Evidencias
jurdica (civil o penal), se percibir la evidencia, conservado, y se present
a cumplir con las reglas para la prueba prevista en la jurisdiccin
correspondiente (s ).
Gestin de continuidad del negocio

Funcin

Status

Buscar

Hallazgos

Para contrarrestar las interrupciones a las actividades comerciales y

Los aspectos de seguridad de
proteger los procesos crticos de negocio de los efectos de los fallos
informacin de la gestin de la
principales de los sistemas de informacin o los desastres y asegurar
continuidad del negocio
su oportuna reanudacin.
Incluyendo seguridad de la
Un proceso gestionado se desarrolla y se mantiene la continuidad del
informacin en el proceso de
negocio en toda la organizacin que se ocupa de los requisitos de
gestin de la continuidad del
seguridad de la informacin necesaria para la continuidad del negocio de la
negocio
organizacin.
Los eventos que pueden causar interrupciones en los procesos de negocio
Continuidad del negocio y
deben ser identificados, junto con la probabilidad y el impacto de estas
anlisis de riesgos
interrupciones y de sus consecuencias para la seguridad de la informacin.
Desarrollo e implementacin de Los planes debern desarrollarse y aplicarse para mantener o restaurar las
planes de continuidad que
operaciones y asegurar la disponibilidad de informacin al nivel requerido y
incluyen seguridad de la
en las escalas de tiempo requeridas siguientes a la interrupcin o el
informacin
fracaso de los procesos crticos de negocio.
Deber mantenerse un nico marco de los planes de continuidad del
Marco de planificacin de la
negocio para asegurar que todos los planes son consistentes, para abordar
continuidad del negocio
de manera coherente los requisitos de seguridad de la informacin, y para
identificar las prioridades de prueba y mantenimiento.
Pruebas, mantenimiento y reLos planes de continuidad debern ser probados y actualizados
evaluacin de los planes de
regularmente para asegurarse de que estn al da y efectivo.
continuidad del negocio
Conformidad
El cumplimiento de los
Para evitar el rebasamiento de cualquier ley, obligaciones legales,
requisitos legales
reglamentarias o contractuales, y de los requisitos de seguridad.
Todos los requisitos legales, reglamentarios y contractuales pertinentes y
Identificacin de la legislacin
por el enfoque de la organizacin para cumplir con estos requisitos se
aplicable
definirn explcitamente, documentados, y se mantienen al da para cada
sistema de informacin y la organizacin.
Procedimientos apropiados se aplicarn para garantizar el cumplimiento de
Derechos de propiedad
requisitos legales, reglamentarios y contractuales sobre el uso de material
intelectual (DPI)
con respecto al cual puede haber derechos de propiedad intelectual y
sobre el uso de productos de software propietario.
Registros importantes estarn protegidos contra prdida, destruccin y
Proteccin de los registros de la
falsificacin, de acuerdo con los requisitos legales, reglamentarios,
organizacin
contractuales y de negocios.
Proteccin de datos y privacidad se garantizar como se requiere en la
Proteccin de datos y privacidad
legislacin pertinente, los reglamentos, y, si procede, las clusulas
de la informacin personal
contractuales.

Xerox Internal Use Only

279791472.xls

Page 35 of 49

Anexo A de referencia
A15.1.5
A15.1.6
A15.2
A15.2.1
A15.2.2
A15.3
A15.3.1
A15.3.2

Ttulo de control
Descripcin del control
Prevencin del uso indebido de
Los usuarios se decidan a utilizar las instalaciones de procesamiento de
las instalaciones de
informacin para fines no autorizados.
procesamiento de informacin
Regulacin de los controles
Controles criptogrficos sern utilizados en cumplimiento de todos los
criptogrficos
acuerdos, leyes y reglamentos.
El cumplimiento de las
polticas de seguridad y las Para garantizar el cumplimiento de los sistemas con las polticas y
normas y el cumplimiento
estndares de seguridad de la organizacin
tcnico
Administradores se asegurarn de que todos los procedimientos de
El cumplimiento de las polticas y
seguridad dentro de su rea de responsabilidad se llevan a cabo
correctamente para lograr el cumplimiento con las polticas y estndares de
normas de seguridad
seguridad.
Comprobacin del cumplimiento
Los sistemas de informacin deben ser revisados regularmente por el
tcnico
cumplimiento de las normas de aplicacin de la seguridad.
Consideraciones de auditora Para maximizar la eficacia y minimizar la interferencia a / desde el
del sistema de informacin
proceso de auditora de sistemas de informacin.
Requisitos de auditora y las actividades relacionadas con los controles de
Controles de auditora de
los sistemas operativos debern ser planeadas cuidadosamente y
sistemas de informacin
acordaron reducir al mnimo el riesgo de interrupciones en los procesos de
negocio.
Proteccin de las herramientas
El acceso a las herramientas de auditora de sistemas de informacin debe
de auditora de sistemas de
ser protegido para evitar cualquier posible mal uso o el compromiso.
informacin

Funcin

Status

Buscar

Hallazgos

Leyenda
Cantidad

Xerox Internal Use Only

Codigos Status

Significado

Contribution %

279791472.xls

Page 36 of 49

Anexo A de referencia
0

Ttulo de control
D

MD

RD

PNP

0
0

NA (Not Applicable)

Xerox Internal Use Only

Descripcin del control

El control se document e implement
El Control se lleva a cabo y el proceso debe ser documentado para
asegurar la repetibilidad del proceso y mitigar los riesgos.
El control no cumple las normas y debe ser rediseado para cumplir con
las normas
El proceso no est en su lugar / no implementado.
(Control requeridos ni documentado ni implementado)
El control no es aplicable para la empresa ni para el negocio

Funcin

279791472.xls

Status
#DIV/0!

Buscar

Hallazgos

#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!

Page 37 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 38 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 39 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 40 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 41 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 42 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 43 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 44 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 45 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 46 of 49

Recomendaciones

Xerox Internal Use Only

279791472.xls

Page 47 of 49

Nota :

Los nmeros en esta hoja deben ser llenados en marcha manualmente para reflejar en el r

Cantidad de Status
Funciones
Administracion
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados
Gran Total

Status
D

Funciones
Administracin
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados

Gran Total
Conformidad Porcentual %

PNP

RD

6
1

1
19

4
8
4

1
25

NA

3
23

49
PNP

RD

6
1

1
19

4
8
4

1
25
3

MD

8
13
3
4
16
3
1
1
49

Gran Total
1
1

MD

6
1

16
34
3
9
58
8
4
1
133

Gran Total Conformidad %

16
38%
34
3%
3
0%
9
44%
3
52
15%
7
57%
4
0%
1
0%

8
13
3
4
16
3
1
1

1
1

23

49

49

126

18%

39%

39%

4%

100%

manualmente para reflejar en el resumen de la hoja / dashboard

NA

Net Total

6
1

133