Evidencias

Dominio Sub tem
1.1 Asignacin de
responsabilidades
1.1.6 Responsable de los

activos de informacin
1. Lineamientos Generales
1.3 Compromisos de
Confidencialidad
2.1 Inventario de activos
2.4 Directrices de
clasificacin de la
informacin
2. Gestin de los activos de informacin
2.5 Etiquetado y manejo de la

informacin
2. Gestin de los activos
2.5 Etiquetado y manejo de la
informacin
2.1 Respondabilidades sobre

los activos de informacin
informacin relacionada con el personal
3.2 Seleccin
3.3 Trminos y condiciones

laborales
3. Seguridad de la informacin relacionada
3.5 Devolucin de activos y

retiro de privilegios de acceso
4.1 Permetro de la
seguridad fsica
4.2 Controles de acceso fsico
4.3 Seguridad de oficinas,

recintos e instalaciones
4. Seguridad fsica y del entorno
4.4 Trabajo en reas seguras

4. Seguridad fsic 4.5 reas de carga, despacho
y acceso pblico
4.7 Servicios de suministro

elctrico
4.8 Seguridad del Cableado

Estructurado
4.9 Mantenimiento de los

equipos
4.9 Mantenimiento de los
equipos
4.10 Seguridad de los

equipos fuera de las
instalaciones
5.1 Documentacin de los

procedimientos de operacin
5.2 Gestin de Cambios

5.3 Distribucin y separacin
de funciones
5.4 Separacin de las

instancias de Capacitacin,
Implementacin y Produccin
5.6 Monitoreo y revisin de

los servicios por terceros.
5.7 Gestin de los cambios
en los servicios ofrecidos por
terceros
5.8 Gestin de la capacidad
5.9 Aceptacin del Sistema

e comunicaciones y operaciones de seguridad
5.10 Controles contra cdigo

malicioso
5.11 Controles contra cdigos

mviles
5. Gestin de comunicacione
5.11 Controles contra cdigos
mviles
5.13 Gestin de Seguridad de

las redes
5.14 Control de redes
5.15 Seguridad de los

servicios de red
5.16 Seguridad de la
documentacin del sistema
5.17 Medios fsicos en

trnsito
5.18 Mensajera electrnica

5.19 Sistemas de informacin
del negocio
5.20 Transacciones en lnea
5.21 Informacin disponible

al pblico
5.22 Registros para auditoras

y monitoreo de uso del
sistema
5.22 Registros para auditoras
y monitoreo de uso del
sistema
5.23 Sincronizacin de relojes

6.1 Controles de acceso
6.2 Registro de usuarios
6. Control, de acceso a los sistemas de informacin
6.3 Gestin de privilegios
6.4 Revisin de los derechos

de acceso de los usuarios
6.5 Uso de los servicios de
red
6.6 Separacin en las redes
6.7 Control del enrutamiento

en la red
6.7 Control del enrutamiento
en la red
6.8 Restriccin de acceso a

los sistemas de informacin
6.9 Aislamiento de sistemas

sensibles
6.9 Aislamiento de sistemas
sensibles
6.10 Computacin y
comunicaciones mviles
6.11 Trabajo remoto
7.1 Autorizacin para nuevos

servicios de procesamiento
de informacin
7.2 Anlisis y
especificaciones de los
requerimientos de seguridad
7.3 Uso de controles

criptogrficos.
7.3 Uso de controles
criptogrficos.
imiento
7. Adquisicin, desarrollo y mantenimiento
7.4 Gestin de cambios

7.5 Proteccin de los datos de
prueba del sistema
7.6 Control de acceso al

cdigo fuente de los
programas
7.7 Fuga de informacin
7.8 Desarrollo de software

contratado externamente
Seguridad de Informacin
8. Gestin de los
incidentes de la
8.1 Reporte sobre los eventos

y debilidades de seguridad
de la informacin
Seguridad de In
8.1 Reporte sobre los eventos
incidentes
8. Gestin
y debilidades de seguridad
de la informacin
9.1 Inclusin de la seguridad

de la informacin en el
proceso de gestin de la
continuidad del negocio
9.2 Continuidad del negocio

y evaluacin de riesgos
. Gestin de la Continuidad del Negocio
9.3 Desarrollo e
Implementacin de Planes de
9. Gestin de la 9.3 Desarrollo e
Implementacin de Planes de
Continuidad que Incluyan la
SI
9.4. Estructura de la
Planificacipon de la
9.5 Pruebas, mantenimiento

y revision de los planes de
10.1 Identificacin de la
legislacion aplicable
limiento
10.2 Derechos de propiedad

intelectual
10. Cumplimiento 10.2 Derechos de propiedad
intelectual
10.3 Proteccion de registros

en cada Departamento
10.4 Proteccion de los datos y

privacidad de la informacion
personal
10.5 Presencion del uso

inadecuado de servicios de
procesamiento de
informacin
Glosario
Notificacin: Documento suscrito o correo electrnico, a travs del cual se notificar o comunicar
Memorando: comunicacin formal, emitida a travs del Quipux.
Proceso: conjunto de operaciones ejecutadas.
Procedimiento:conjunto de acciones que tienen que realizarse para obtener un resultado.
Informe: exposicin formal y suscrita sobre la aplicacin de un control.
Registro: documento donde se describen ciertos acontecimientos en la ejecucin de un control.
Compromiso: Acuerdo formal al que llegan dos o ms partes.
Inventario: lista ordenada de acuerdo al requerimiento descrito en cada control.
Acta: documento escrito en el que se relaciona lo sucedido o tratado, de acuerdo al requerimiento
Acuerdos: convenio entre dos o m partes.
Reporte: cuerpo de informacin sobre las acciones tomadas en la aplicacin de un control.
Contratos: un acto jurdico en el que intervienen dos o ms personas destinados a crear derechos
Documentos: escrito que ilustra la aplicacin de un control .
Certificados: texto administrativo empleado para constatar el registro de propiedad intelectual de
Pliza: en el documento se describirn los objetos que se vean sujetos a aseguracin y se establ
Gua: descripcin de actividades que se dirije hacia el cumplimiento de un objetivo.
Plan: llevar a cabo las actividades a ejecutarse ante una recuperacin de desastres.
Riesgos: permiten tomar decisiones para proteger los activos de informacin.
Bitcora: un registro cronolgico.
Catlogo: lista.ordenada
Pregunta
1. Existe un memorando con la designacin oficial del Operador de

Seguridad de Informacin y sus funciones?
1 . Se ha delegado a un miembro de su equipo como Responsable

de los activos de informacin?
2. De qu forma se realizan los respaldos y recuperacin de los

activos de informacin?
3. Se mantiene en lugares seguros, los equipos, servidores, discos

portables, que contienen los respaldos de los activos de
informacin? (fotografa)
4. Existe un procedimiento formal para realizar los respaldos y

recuperacin de los activos de informacin?
1 . Cmo notifica al personal que ingresa, sobre el cumplimiento de

la NTSI (Norma Tcnica de Seguridad de Informacin)?
2. Existe algn control de los compromisos firmados ?
3. En donde se almacenan los compromisos de confidencialidad?

4. Se han firmado compromisos de confidencialidad con terceros?
1. Se ha trabajado con el Equipo de Seguridad para identificar los

activos de informacin de mayor relevancia?
2. Existen procedimientos para el manejo, procesamiento,

almacenamiento y comunicado de la informacin de acuerdo a su
calificacin, es decir existen canales seguros de informacin tales
como: mensajera privada, correo electrnico encriptado?
Gua de gestin de activos de informacin tem 2.3
1. Se ha realizado el inventario de los activos de informacin,

considerando datos como: propietario, ubicacin, tipo de
activo, valor, responsable tcnico, usando la matriz
denominada "Matriz de inventario y clasificacin", as como
tambin el nivel de clasificacin y criterios de valoracin?
Gua de gestin de activos de informacin tem 2
1. Los activos de informacin clasificados, han sido etiquetados

considerando si estos son: Activos de informacin pblica, interna,
confidencial, restringida?
2. Existe un registro de los medios extraibles? Gua de gestin de

activos de informacin tem 3.1
3. Se han activado medios extraibles solo para temas necesarios
del negocio, evitando fuga de informacin ? Gua de gestin de
activos de informacin tem 3.1
1. Previa asignacin y activacin de equipos nuevos o no, se realiza

el requerimiento mediante una autorizacin formal de los Jefes
inmediatos? Gua de gestin de activos de informacin tem 1.1.3
2. Se ha notificado mediante un memorando a las reas

correspondientes la desvinculacin o traslado de un Servidor, para la
devolucin de todos los activos de informacin a su cargo? Gua de
gestin de activos de informacin tem 1.1.4
3. Existe un acta entrega-recepcin suscrita de los activos de

informacin entregados inicialmente al personal que ingres tiempo
atrs y ahora se desvincula de la Corporacin? Gua de gestin de
activos de informacin tem 1.1.4
4. Si uno de los activos de informacin asignados al personal que

se desvincula de la Corporacin se encuentra en mal estado, se
informe formalmente al rea de Talento Humano? Gua de gestin
de activos de informacin tem 1.1.4
1. Existe una disposicin por parte de la Jefatura de Recursos

Humanos realizar la revisin de los antecedentes de candidatos a
ser servidores de la Coporacin?
2. En caso de existir alguna anomala en los antecedentes del

personal se reporta el inconveniente al Jede de RRHH y como se lo
reporta?
3. Se ha establecido un procedimiento para cumplir con este
control de la NTSI?
1. Se ha socializado o dado a conocer los derechos y

responsabilidad de los servidores y contratistas?
1. Existe un procedimiento para controlar la informacin,
documentos, equipos, software y otros activos de la Corporacin
tales como los dispositivos de cmputo mviles, tarjetas de crdito,
las tarjetas de acceso, tokens USB con certificados de electrnicos,
certificados electrnicos en archivo, memorias flash, telfonos
celulares, cmaras, manuales, informacin almacenada en medios
electrnicos y otros entregados, registrados para la terminacin del
contrato?
2. Se notifica formalmente al Oficial de Seguridad la terminacin de

un contrato con el servidor o un tercero, para proceder con el retiro
de derechos de acceso a los activos de informacin y a los servicios
de procesamiento de informacin?
1. Se han documentado y definido los permetros de seguridad

(barreras, paredes, puertas de acceso controladas con tarjeta, etc.)?
2. Se ha enviado un reporte formal al Oficial de Seguridad de

Informacin, sobre los sitios protegidos considerando:
Identificacin del rea, principales elementos a proteger,
medidas de proteccin fsica?
3. De que forma se han aislado los ambientes de procesamiento de

informacin propios de los ambientes proporcionados por terceros?
4. Se han definido medios para controlar el acceso fsico a

instalaciones de la Corporacin? (registros de ingreso y salida
de personal y equipos de computacin, llamadas de
confirmacin de visitas, uso de carnets para visitas, uso de
carnets del personal)
5. Se ha elaborado un informe de la instalacin y buen

funcionamiento de los sistemas de vigilancia preferentemente
mediante el uso de circuitos cerrados de televisin en las reas
restringidas que se determine?
6. Se han instalado alarmas de incendio y puertas de evacuacin

debidamente monitoreadas que cumplan normas establecidas, se ha
notificado mediante un informe el cumplimiento de este importante
requerimiento?
1. Se han documentado los derechos de acceso fsicos de las reas
consideradas como crticas, actualizando sta informacin en un
perodo de 4 meses?
2.Que tipo de medidas se han implementado para las visitas en las

reas restringidas, se registra la hora y fecha de ingreso y salida de
personal y terceros?
3. Todo el personal cuenta con su identificacin para acceder a las

diferentes espacios fsicos de la Corporacin. En caso afirmativo, de
que manera se controla su uso?
1. Existen sitios alternos para procesar datos crticos?
2. Se han implementado mecanismos para controlar intrusos. En

caso afirmativo, cuales son?
3. Donde se encuentran ubicadas las impresoras en cada
departamento?
4. Existen sealamientos adecuado para sitios de procesamiento?
5. Que suministros elctricos e interfaces de comunicaciones existe

para minimizar riesgos fsicos, ante robo, incendio, explosin, humo,
agua, polvo, vibracin, efectos qumicos, plagas, interferencia?
6. Existe seguridad en las reas crticas manteniendolas libre de

materiales o combustibles peligrosos?
7. Existen contratos de mantenimiento para las instalaciones

elctrcias y UPS de de los sistemas de climatizacin y ductos de
ventilacin, de acuerdo a la recomendacin del fabricante?
1. Los empleados de la Corporacin conocen las actividades que

pueden realizarse en las reas seguras, se ha socializado este
particular?
2.El ingreso a las reas seguras es supervisado por personal de

seguridad y se realiza un anlisis minucioso del personal que ingresa
a las reas seguras?
3. Existen registros de ingreso y salida de personal de las reas

crticas?
1. Se ha identificado los puntos de acceso a las reas de despacho
y carga? Que personal ingresa a estos puntos de acceso?
2. Se registra el ingreso y salida de personal a las reas de

despacho y carga?
1. Se encuentran documentos: la ubicacin y mantenimientos de

servicios de electricidad, agua, calefaccin, ventilacin y aire
acondicionado, suministrados a la Corporacin?
2. Existen UPS como suministro de energa en caso de que se

presente algn inconveniente elctrico?
3.Se dispone de mltiples enchufes o lneas de suministro para

evitar un nico punto de falla en el suministro de energa para
activos de informacin crticos, cuando sea posible?
1. Existen informes sobre el cableado de red que evidencie el

cumplimiento de los requisitos tcnicos y legales?
2. El cableado de red se encuentra rotulado de acuerdo a las

normas locales o internacionales?
3. Existen diseos o planos en los que se pueda observar la

distribucin de conexiones de redes almbricas/inalmbricas
(locales y remotas), voz, elctricas, etc.?
4. Las instalaciones de energa y telecomunicaciones son

subterrneas?
5. Se ha identificado en el diseo o planos de telecomunicaciones y

energa los puntos de fibra ptica?
1. Los equipos de centros de datos y centros de operacin y

control, cuenta con contratos de mantenimiento apegados a lo
dispuesto por el SERCOP y recomendaciones de fbrica?
2. Existen registros de los mantenimientos preventivos y

correctivos realizados a los equipos?
3. Existe un cronograma de actividades para realizar

peridicamente los mantenimientos preventivos y correctivos a los
equipos con la designacin de responsables y el perdo de tiempo
que toma realizar estos mantenimientos?
4. Se firman actas de entrega recepcin cuando salen los equipos
fueras de las instalaciones de la Corporacin?
5. Al ser retirados los equipos fuera de las instalaciones de la

Corporacin, se realiza un respaldo de la informacin calificada
como confidencial que estos contienen?
1. Como se garantiza la integridad de los equipos si se encuentran

fuera de las instalaciones de la Corporacin?
2. Se han identificado los riesgos que existen al mantener a los

equipos fuera de las instalaciones de la Corporacin?
3. Se han adquirido seguros para los equipos en caso de existir

algn dao, prdida o robo de los mismos?
1. Existen procedimientos para la interrelacin con otros sistemas,

respaldos o restauracin de informacin?
2. Los errores que ocurren en el sistema son documentados?
3. En caso de existir algn incidente en el sistema, existe un

registro de contactos de soporte para solventar el inconveniente?
4. De acuerdo a la documentacin relacionada a los incidentes

ocurridos en el sistema, se reporta 1 vez cada 6 meses, sobre este
particular al Oficial de Seguridad de Informacin?
5. Existen procedimientos documentados para el reinicio y

recuperacin de los sistemas en caso de fallas?
6. Se han documentado los registros de auditora de registros del

sistema?
1. Se ha establecido un procedimiento y responsables para el

control de cambios en los equipos y software, por una razn vlida
para el negocio, como: cambio de versin, correccin de
vulnerabilidades, costos, licenciamiento, nuevo hardware?
1. Se ha limitado el acceso a los activos de informacin,
restringiendo las modificaciones no autorizadas y su uso
inadecuado?
2. Qu controles de seguridad se aplican para limitar el acceso para

aquellos activos de informacin sensibles?
3. Qu controles se aplican en los activos de informacin ante el

personal que trabaja de turno o los fines de semana?
4. Como se monitorean las actividades realizadas por los

empleados a los activos de informacin considerados sensibles?
1. Se han separado los ambientes de capacitacin, implementacin

y produccin?. En caso afirmativo Que controles se han
implementado para el cumplimiento de este requisito?
2. Existe un ambiente de pruebas separado de los ambientes de

capacitacin y produccin?
3. Existe un procedimiento en el cual se controle la instalacin de

herramientas de desarrollo de software y/o acceso a bases de datos
y redes en los equipos, que han sido autorizadas?
4. Se registra los accesos del personal de implementacin de

software al entorno de produccin siempre y cuando sea en caso
extremo y previa autorizacin ?
5. Se mantiene un inventario del software de los equipos que

contienen sistemas de informacin?
6. Se ha definido un catlogo sobre los perfiles de usuarios para los

diferentes ambientes?
1. Se han Identificado los sistemas sensibles o crticos dentro o

fuera de la Corporacin, y se ha informado de este particular al
Comit de Tecnologa de Informacin?
2. Se han revisado y verificado peridicamente (por lo menos una

vez cada 3 meses) los registros y pruebas de auditora de terceros
con respecto a eventos de seguridad, problemas de operacin, fallas
relacionados con el servicio prestado y se ha emitido un informe al
respecto?
1. Se ha elaborado un proceso de gestin de cambios en los
servicios ofrecidos por terceros, en el desarrollo de aplicaciones,
provisin de servicios de hardware, software, redes, uso de nuevas
tecnologas, cambio de proveedores, y cambio de ubicacin fsica en
los servicios ofrecidos por terceros?
1. Se realiza informes de monitoreo de recursos asignados a los

servicios y sistemas, para garantizar la capacidad y rendimiento de
los mismos?
1. Se realiza un anlisis sobre el efecto que tiene el nuevo sistema

en la seguridad global de la Corporacin?
2. Existe un informe sobre la verificacin del desempeo y los

requerimientos de cmputo necesarios para los nuevos sistemas?
3. Existe algn procedimiento de recuperacin y planes de

contingencia?
1. Existen registros de instalacin y actualizacin peridica de

software de antivirus y contra cdigo malicioso?
2. Existen registros, en los que se pueda evidenciar las

actualizaciones realizadas a los sistemas operativos y sistemas de
procesamiento de informacin con las ltimos parches de seguridad
disponibles?
3. Se revisa y reporta peridicamente el estado o anomalas

detectadas del software y datos de los equipos de procesamiento
que sustentan procesos crticos de la Corporacin?
4. Existe un contrato con el proveedor de Internet o del canal de

datos, para los servicios de filtrado de: virus, spam, programas
maliciosos (malware), en el permetro externo, de ser posible?
1. Se aislan de forma lgica los dispositivos mviles (equipos

smart, tablet, ipad) , es decir en forma similar a lo que ocurre con
las VLANs?
2. Se gestiona el cdigo mvil mediante procedimientos de
auditora y medidas tcnicas disponibles, bloqueando cdigos
mviles no autorizados?
3. Se han establecido en lo posible, controles criptogrficos para
autenticar de forma nica el cdigo mvil?
1. Cmo se controlan los equipos de seguridad perimentral?

2. Se reportan peridicamente los incidentes detectados por los
equipos de seguridad perimentral?
1. Existe un procedimiento para la gestin de equipos remotos y

acceso por VPNs?
2. Se dispone de un esquema de red de los enlaces de datos,

internet y redes locales?
3. Existe un informe de supervisin peridica sobre la aplicacin de

controles de redes?
1. Se han incorporado seguridad en los servicios de red como:

autenticacin, encriptacin y controles de conexin de red?
2. Se ha definido un procedimiento para utilizar servicios de red

para restringir el acceso a los servicios de red cuando sea
necesario?
3. Se ha incorporado una zona desmilitarizada DMZ, para aislar la

red Corporativa de las aplicaciones disponibles para el pblico?
4. En caso de existir la DMZ En los esquemas o diagramas de red

se puede visualizar la DMZ?
1. Existe una lista de acceso a la documentacin del sistema,

adjuntado su debida autorizacin?
1. Existen registros de envi y recepcin de mensajera?
2. Cundo la informacin enviada es considerada como: sensible,

que tipo de tratamiento se da a la misma en el envo?
1. Se han encriptado los contenidos e informacin sensible, que se

puede enviar por mensajera electrnica?
1. Existe un registro o lista de vulnerabilidades identificadas en los
sistemas administrativos, financiero y dems sistemas informticos
donde la informacin es compartida?
2. Se protegen las llamasdas telefnicas del personal que

adiministra los sistemas de comunicacin del negocio?
3. Existe un registro o lista de vulnerabilidades identificadas en los

sistemas de comuniacin del negocio, como la grabacin de
llamadas telefnicas?
4. Se han implementado controles de acceso a la informacin para

proyectos confidenciales?
5. Existe un registro de las cuentas de usuario de los sistemas de

informacin del negocio con los estados: activos, inactivo,
bloqueado?
1. Existe un procedimiento, para el uso de certificados electrnicos?
2. Se ha establecido protocoles seguros?
1. Existe una lista de controles o un procedimiento que permita

proteger la informacin sea esta sensible o no, al pblico?
1. Se registran los accesos al sistema no autorizados

considerando:Identificacin ID del usuario, fecha y hora de
eventos clave, tipos de evento, archivos o registros a los que
se ha tenido acceso, programas y utilitarios utilizados?
2. Se registran y monitorean, las operaciones privilegiadas,
considerando: Uso de cuentas privilegiadas, encendido y
deteccin del sistema, acople y desacople de dispositivos de
entrada?
3. Se registran y monitorean intentos de acceso fallidos como:

Acciones de usuarios fallidos o rechazadas, violacin de la
poltica de acceso y notificaciones de firewalls y gateways?
4. Se registran y revisan alertas o fallas del sistema como: Alertas

y/o mensajes de consola, excepciones de registro del
sistema, alarmas de gestin de red, alarmas del sistema de
control de acceso?
5. Se registran cambios o intentos de cambios de la configuracin y
los controles de seguridad del sistema?
6. Existe un procedimiento para el monitoreo de uso de los

servicios de procesamiento de informacin?
7. Se registra fecha, hora y detalles de los eventos clave, como

registro de inicio y registro de cierre?
8. Se registra el uso de las aplicaciones y sistemas?
9. Se registra la direcciones y protocolos de red?
10. Se han definido alarmas originadas por los controles de acceso?
1. Se ha sincronizado los relojes de los equipos, mantenimindolos

sincronizados?
1. Cmo se protege el acceso no autorizado por un programa

utilitario, software malicioso del sistema operativo, software
malicioso o cualquier otro software que pueda anular o desviar los
controles de seguridad del sistema?
2. Existe un formulario para la creacin de cuentas considerando el

siguiente formato : primernombre.primerapellido,
segundonombre.primerapellido, adicional en caso de existir ya
una cuenta con ese nombre o de existir una coinsidencia adicional
se usa la primera letra del segundo nombre y/o apellido para crear
el usuario?
3. Existe algn formulario o solicitud formal y documentada emitida

por el rea requiriente a la Mesa de Servicios previa autorizacin del
Gerente General de la Unidad de Negocio o Director de Gestin
Estratgica enviado a la Subdireccin de TIC de Matriz, para crear
cuentas de usuario genricas y asignar perfiles a estas cuentas
de usuario en las aplicaciones o sistemas y se adjunta el
compromiso de confidencialidad suscrito previamente por el servidor
responsable quien llevar la cuenta, justificando este requerimiento?
(Gua de control de acceso tem 2, 3.2)
4. Existe un inventario documentado sobre los usuarios creados en
el caso de las cuentas genricas que disponga de la siguiente
informacin: N, usuario, responsable, fecha de creacin, tipo
(fijo/temporal), fecha de eliminacin o bloqueo, permisos
asignados?
5. Existe un formulario para la creacin de usuarios genricos,

considerando el siguiente formato: El rea o funcin de la cuenta
como primernombre y como primerapellido las siglas de la
Unidad de Negocio interesada que constan en el IFS?
6. El registro de usuarios se realiza en primera instancia en el

directorio activo? (Gua de control de acceso tem 3)
7. Se suspenden las sesiones inactivas despus de un perodo de

tiempo, sin considerar el lugar o dispositivo desde el cual se realiza
el acceso, tomando en cuenta: tiempos de conexin a las horas
normales de oficina y accesos temporales para ciertas
aplicaciones de alto riesgo? (Gua tem de control de acceso 2.2 y
2.1)
8. Se bloquean las cuentas de usuarios cuando se ha sobrepasado

los 3 intentos de ingreso a la cuenta por error fallido de
contrasea? (Gua de control de acceso tem 2.4 y 3.4)
9. Se desactivan los usuarios que no han usado su cuenta por ms

de 3 meses?
10. Se evita que se despliegue mensajes o identificadores de
aplicacin del sistema o ayudas durante el procedimiento de registro
de inicio de sesin?
11. Existe un procedimiento formal y documentado, que contenga
los registro de monitoreo de intentos exitosos y fallidos de
autenticacin del sistema, registros de alarmas cuando se violan las
polticas de seguridad del sistema? (Gua de control de acceso tem
5.2)
12. En caso de que sea tecnolgicamente posible Los sistemas y
aplicaciones que existen en la Corporacin se autentican a los
usuarios usando active directory?
13. Una vez activada las cuentas de usuarios normales y genricas,

Se solicita el cambio obligatorio de su contrasea al inicio de
sesin? (Gua de control de acceso tem 4.1)
14. Se ha desactivado la opcin de dejar una contrasea en blanco

en todo los servicios y sistema que dispone TIC? (Gua de control de
acceso tem 4.1)
15. Se han adecuado los sistemas para que soliciten el cambio
obligatorio transcurrido los 180 das? (Gua de control de acceso
tem 4.2)
16. Se ha configurado los sistemas para que no se repitan las 2
contraseas anteriores? (Gua de control de acceso tem 4.3)
17. Se han configurado los sistemas para controlar que las

contraseas cumplan con: Tener una longitud de al menos 8
caracteres, combinaciones de maysculas y minsculas (desde
A/a a la Z/z no /), nmeros desde el (0 al 9),
opcionalmente puede incluir caractres especiales (como
#,",@,%,$,&,/), adicionalmente no deben incluir nombres o
apellidos del usuario y ms de 3 caracteres iguales
consecutivos? (Gua de control de acceso tem 4.3)
18. Se ha configurado las claves temporales y su cambio

inmediato? (Gua de control de acceso tem 4.4)
19. Se ha configurado las cuentas despus de 3 intentos fallidos

y su bloqueo temporal de 10 minutos, pudiendose repetir este
ltimo solamente 2 veces? (Gua de control de acceso tem 4.4)
20. En caso de bloquearse una cuenta, se solicita mediante una

solicitud formal la activacin de la misma? (Gua de control de
acceso tem 4.4)
21. Si las cuentas permanecen inactivas por 30 das son
bloqueadas y para su activacin se realiza una solicitud formal?
(Gua de control de acceso tem 4.4)
22. Existe algn formulario o solicitud formal y documentada

emitida por Talento Humano a la Mesa de Servicios previa
autorizacin de la Subdireccin o Jefaturas de TIC, para crear
cuentas de usuario o grupos y asignar perfiles a las cuentas de
usuario en las aplicaciones o sistemas y se adjunta el compromiso
de confidencialidad suscrito previamente? (Gua de control de
acceso tem 2, 3.2)
23. Se notifica la salida de un servidor de la Corporacin al terminar

su relacin de dependencia o traslado entre Unidades de Negocio, a
travs de un formulario o correo formal a la Mesa de Servicio, para
proceder a la eliminacin o desactivacin de todas las cuentas que
le hayan sido asignadas en todos los servicios?
24. Se han implementado medidas, para suspender la sesin de

una estacin de trabajo si esta no ha sido bloqueado y tiene un
tiempo de inactividad de 10 minutos y solo se desbloquee si el
usuario ingresa su clave ?
25. Se han bloqueado las impresoras despus de horarios de
oficinas, para el personal que trabaja fuera de horarios de oficina,
que control se ha aplicado para el cumplimento de este
requerimiento?
1. Existe un procedimiento formal y documentado sobre la
administracin de los perfiles y roles de las cuentas de usuario, en el
cual se evidencie detalladamente los pasos y responsabilidades?
2. Se han eliminado los usurios y cambiado las contraseas "por

defecto" de los sistemas y equipos previa puesta en produccin?
(Gua de control de acceso tem 3.6)
3. Se han cambiado las contraseas de los administradores de

sistemas y equipos al menos cada 6 meses? (Gua de control de
acceso tem 3.6)
4. Se registran las conexiones remotas a travs de un log y se han

limitado los accesos a los segmentos de red? (Gua de control de
acceso tem 3.7)
1. Existe un formulario formal y documentado sobre la solicitud de

asignacin de privilegios por cuenta de usuario asociados con cada
servicio o sistema operativo, sistema de gestin de base de datos y
aplicaciones? (Gua de control de acceso tem 3.5)
2. Se ha documentado por cada activo de informacin tecnolgico

la definicin de niveles de acceso basados en perfiles y permisos
asignados de acuerdo a las actividades de los usuarios y
necesidades de la Corporacin? (Gua de control de acceso tem 3.5)
3. Existe un formulario o documento formal y documentado sobre

la solicitud de asignacin y eliminacin de privilegios especiales por
cuenta de usuario? (Gua de control de acceso tem 2.4)
1. Existe un informe formal y documentado que reporte las

depuraciones respectivas de los accesos de los usuarios a sus
cuentas?
2 Durante qu perido de tiempo se realiza esta depuracin de los

acceso a usuarios? (La NTSI recomienda en un perodo mximo de
10 das)
3. Existe un infome formal y documentado que reporte las

depuraciones respectivas de los accesos de los usuarios a sus
cuentas en caso de existir un cambio organizacional?
4. Existen archivos logs activos en los cuales se pueda evidenciar

los cambios realizados sobre los derechos de acceso o registros de
sistemas?
1. Existe un reporte o informe que contenga los registros de los
servicios de la red Corporativa?
2. Existe algn formulario o registro en el cual se pueda identificar
por cada servicio de la red, los grupos de usuarios que deben
acceder?
3. Existe un formulario o documento formal y documentado sobre

los perfiles y roles para cada grupo de usuarios que tengan acceso a
la red y a sus servicios?
4. Se han bloquedo los equipos de red para evitar acceso indebidos

o de usuarios que no son administradores de estos equipos?
5. Existen un diseo de red o documentos en los que se puedan

identificar los equipos en la red? Gua de control de acceso tem 5.3
6 Existen plizas de seguro para los equipos de red, adquiridos a

travs del rea de Abastecimientos? Gua de control de acceso tem
5.6
7. Se desconecta de la red, servicio o sistemas, computadoras
personales, terminales, impresoras asignadas a funciones crticas
cuando se encuentren desatendidas? Gua control de acceso tem
(5.1)
8. Existe un informe formal, en el cual se garantice que los puertos

sean solo accesibles mediante un acuerdo entre el adminsitrador del
servicio y el personal de soporte de hardware y software que
requiere el acceso, as como tambin los puertos innecesarios han
sido desactivados? Gua de control de acceso tem 5.4
1. Existe algn documento formal en el cual se pueda evidenciar si

la red se ha divido en dominios lgicos de red, dominios de red
interna, dominios de red externa e inalmbrica?
2. Existe algn diagrama de red, formal y documentado que

permitar identificar la segregacin de red, identificando las
direcciones IP que se encuentran en cada segmenteo de red?
3. Se han implementado listas de control de acceso o algn medio

de seguridad que permita controlar los flujos de datos en la red?
1. Existen algn documento, formal y documentado que contenga

polticas de control de acceso para el enrutamiento de la red?
2. Se ha configurado puerta de enlace de seguridad (gateway)
contralando el trfico por medio de trabalas o reglas predefinidas,
aplicando filtros considerando: mensajera, transferencia de
archivos, acceso interactivo, acceso a las aplicaciones, horas
del da y fechas de mayor carga? Gua de control de acceso tem
5.5
3. Se ha incorporado controles para restringir la capacidad de

conexin de los usuarios a redes compartidas, en especial a los
usuarios externos a la Corporacin? Gua de control de acceso tem
5.5
1. Para controlar las transacciones realizadas en los sistemas y

aplicaciones, existe algn campo que registra: usuario, direccin
IP, fecha, suspensin, activacin, hora y que accin se ha
realido:lectura, escritura, borrado o modificacin? (Gua de
control de acceso tem 3.3)
2. Existe algn documento formal, o se ha documentado, el control
de acceso entre aplicaciones?
3. Se han cifrado los discos duros de las computadoras personales

y otros dispositivos que se considere necesarios, de las mximas
autoridades de la Corporaci? Gua de control de acceso tem (5.1)
4. Existe un procedimiento para controlar la identificacin

autenticacin y autorizacin para programas utilitarios? (Gua de
5. Existe un procedimiento formal, sobre la autorizacin del uso de

programas utilitarios no estndares en la Corporacin y para su
retiro o inhabilitacin? (Gua de control de acceso tem 2.1)
6. Se ha sepadaro los programas utilitarios del software de

aplicaciones y se lleva un registro de estos programas? (Gua de
7. Se ha establecido un lmite de tiempo para el uso de programas
utilitarios? (Gua de control de acceso tem 2.1)
8. Existen cuentas de usuarios autorizadas y registradas a travs
de un formulario formal para el uso de programas utilitarios? (Gua
de control de acceso tem 2.1)
9. El uso de programa utilitarios ha sido restringido y se han
establecido tipos de usuarios autorizados para su uso? (Gua de
10. Se utiliza algn medio criptogrfico, tarjetas inteligentes,
tokens o medios biomtricos de autenticacin? (Gua de
1. Se ha reportado a travs de un informe formal y documentado,
sobre el cumplimiento de requisitos tcnicos de seguridad de
informacin de los equipos que contienen aplicaciones o sistemas
crticos?
2. Existe alguna matriz o lista de riesgos documentados, cuando
una aplicacin o sistema se ejecuta en un entorno compartido?
3. Existe algn informe que contenga el registro de las aplicaciones

sensibles que se encuentran compartiendo recursos?
1. Existe algn procedimiento formal y documentado, relacionado a

la proteccin contra los riesgos que existen debido al uso de equipos
mviles e informticos?
2. Existen registros de soporte a usuarios sobre el respaldo de

informacin sensible?
3. Se ha implementado mtodos de cifrado?
4. Se ha configurado el tiempo mximo que el equipo informtico

puede permanecer sin conexin a la red Corporativa? Gua de
control de acceso tem 5.7
5. Como se aseguran los equipos porttiles? Gua de control de
acceso tem 5.7
1. Existe un formulario formal que registre y disponga el acceso
remoto a las apliacaciones o sistemas Corporativos que cumpla con
los respectivos parmetros de seguridad?
2. Existe una bitcora en la cual se registren las autorizaciones

solicitadas para acceder remotamente a equipos y esta es
entregada al Oficial de Segurida de Informacin mensualmente?
3. El rea de TIC ha implementado la proteccin por antivirus y

reglas de firewall? Gua de control de acceso tem 5.6
1. Se ha enviado una solicitud formal y suscrita por el rea

requerimiente al Subdirector o Jefe responsable de TIC, para la
adquisicin del nuevo servicio de procesamiento?
2. Se ha realizado un informe que contenga la evaluacin de

compatibilidad a nivel de hardware y software del nuevo servicio?
3. Que controles de seguridad de informacin se han aplicado para

la adquisicin de nuevos servicios de procesamiento?
4 .Existen digramas, manuales tcnicos, de instalacin y

configuracin, as como de usuario, difundidos al personal que lo
requiera y actualizados de forma permanente, registrando estas
actualizaciones a travs de un registro formal y documentando?
Gua adquisicin, desarrollo y mantenimiento de sistemas de
informacin tem 1.1
1. Se han elaborado informes en los cuales se han definido he
identificado las especificaciones tcnicas y requerimientos de
seguridad, controles requeridos, proporcionales en tiempo, costo y
esfuerzo al valor del activos de informacin, para el desarrollo y
mantenimiento de sistemas de informacin por falla o falta de
seguridad? Gua adquisicin, desarrollo y mantenimiento de
sistemas de informacin tem 1.1
2. Existe algn documento formal que contenga informacin del

tipo de tratamiento que se dar al procesos de emergencia que
pudieran presentarse? Gua adquisicin, desarrollo y mantenimiento
de sistemas de informacin tem 2.2
3. Para la adquisicin de nuevos software o soluciones tecnolgicas

existe la autorizacin de la mxima autoridad de la Corporacin?
informacin tem 2.2
4. Existe algn procedimiento para la recepcin de productos , su

documentacin en general, garantas de soporte, mantenimiento y
actualizaciones? Gua adquisicin, desarrollo y mantenimiento de
5. Existe un registro de pruebas, previa puesta en produccin del

nuevo software o soluciones tecnolgicas?
1. Se han implementado controles criptogrficos, para garantizar:

confidencial: usando cifrado (encriptacin) para proteger la
informacin sensible o crtica sea almacenada o tramisita,
integridad/autenticidad:uso de firmas electrnicas o cdigos
de autenticacin de mensajes para proteger informacin
sensible o crtica transmitida o almacenada, No-repudio:uso
de tcnicas de cifrado (criptogrficas) para obtener prueba
de la ocurrencia o no ocurrencia de un evento ? Gua
adquisicin, desarrollo y mantenimiento de sistemas de informacin
tem 2.2
2. Se han definido los algoritmos de cifrado (encriptacin) a ser

utilizados en la Corporacin? Gua adquisicin, desarrollo y
mantenimiento de sistemas de informacin tem 3
3. Se ha identificado el nivel requerido de proteccin de datos que

se almacenar en el sistema considerando: el tipo, fortaleza y
calidad del algoritmo de cifrado (encriptacin)? Gua adquisicin,
desarrollo y mantenimiento de sistemas de informacin tem 3
4. Existe un sistema para la administracin (generacin,
almacenamiento, respaldo y eliminacin segura) de claves pblicas
y secretas cifradas (criptogrficas)? Gua adquisicin, desarrollo y
mantenimiento de sistemas de informacin tem 3..3
5. Existe un registro que contenga informacin de la generacin de

claves temporales de la creacin de usuarios? Gua adquisicin,
desarrollo y mantenimiento de sistemas de informacin tem 3.3
6. Existe un registro de envis de correos electrnicos para recibir

una nueva clave y de manera inmediata cambiarla? Gua
tem 3.3
7. Existen un archivo de claves? Gua adquisicin, desarrollo y

mantenimiento de sistemas de informacin tem 3.3
8. Se han implementado polticas de controles criptogrficos? Gua

tem 3.1
9. Como se gestionan las claves? Gua adquisicin, desarrollo y

10. Existe una lista de controles criptogrficos a ser implementados

o ya implementados? Gua adquisicin, desarrollo y mantenimiento
11. Existen certificados electrnicos? Gua adquisicin, desarrollo y

12. Existe algn procedimiento formal y documentado para la

adminsitracin de claves, de recuperacin de informacin cifrada?
informacin tem 3,1
1. Existe algn proceso formal y documentado para el control de
cambios, al implementarse nuevo software en el ambiente de
produccin?
2. Exsite algn procedimiento documentado que establezca los

pasos para implementar las autorizaciones de paso a produccin?
3. Se ha creado formalmente la comisin de Control de Cambios,

para cada cambio que se produzca en el sistema? Gua adquisicin,
desarrollo y mantenimiento de sistemas de informacin tem 5.1.1
4. Existe un informe formal sobre el paso de pruebas a produccin,

reportando los puntos mencionados en la gua tem 5.1.1 (f)? Gua
tem 5.1.1
5. Se aprueban formalmente los cronogramas de implementacin
del cambio? Gua adquisicin, desarrollo y mantenimiento de
sistemas de informacin tem 5.1.1
6. Existen notificaciones formales enviadas al personal, sobre el

tiempo que durar la ejecucin del cambio y se informa cuando ya
se ha restablecido el servicio? Gua adquisicin, desarrollo y
mantenimiento de sistemas de informacin tem 5.1.2
7. Existe un reporte emitido por el Equipo de Seguridad

garantizando la no violacin de los requerimientos de seguridad que
debe cumplir el software? Gua adquisicin, desarrollo y
8. Existe algn reporte de satisfaccin del propietario de la

informacin sobre los resultados de las pruebas realizadas en el
software? Gua adquisicin, desarrollo y mantenimiento de sistemas
de informacin tem 5.1.2
9 Existe algn registro que contenga informacin de las

actualizaciones de la documentacin para cada cambio
implementado tanto en los manuales de usuario como en la
documentacin operativa? Gua adquisicin, desarrollo y
10. Existe algn registro que contenga un control de las versiones

para todas las actualizaciones de software? Gua adquisicin,
desarrollo y mantenimiento de sistemas de informacin tem 5.1.3
11. Existe algn informe formal en el cual se evidencie si los

cambios a realizar en el software tienen impacto sobre la conituidad
del servicio? Gua adquisicin, desarrollo y mantenimiento de
sistemas de informacin tem 5.1.3
12. Existe algn informe formal de las pruebas realizadas ante
cambios realizados a los sistemas, equipos o apliacciones? Gua
tem 5.2
13. Existe algn registro que contenga informacin de las copias

realizadas al software original, las cuales son utilizadas para ejecutar
cambios sobre las mismas?
14. Existe un proceso formal sobre la gestin de las actualizaciones

del software? Gua adquisicin, desarrollo y mantenimiento de
15. Existe un registro que contenga informacin, sobre todos los

cambios realizados en los paquetes de software? Gua adquisicin,
1. Exsite algn proceso formal y documentado para copiar los datos
de un ambiente de produccin al de pruebas?
2. Existe algn registro en cual tenga informacin por cada

sistema, los datos que pueden ser copiados de un ambiente de
produccin a un ambiente de pruebas? Gua adquisicin, desarrollo y
3. Existe un documento formal autorizando realizar una copia a la

base de datos de produccin como base de datos de pruebas? Gua
tem 4.2
4. Se han registrados los datos crticos que debern ser
modificados o eliminados del ambiente de pruebas? Gua
tem 4.2
1. Se ha desginado oficialmente un Adminsitrador de programas

fuentes quien se encarga de realizar tareas realcionadas al acceso
del cdigo fuente de los programas?
2. Existen algn proceso documentado de control de cambios para

la implementacin del software en produccin? Gua adquisicin,
3. Existe una lista de protocolos de pruebas previo puesta en

produccin para cada sistema? Gua adquisicin, desarrollo y
4. Se ha definido un proceso documentado para el proceso de paso

a produccin para cada sismtema? Gua adquisicin, desarrollo y
5. Previa puesta en produccin de un sistema, existen las

autorizaciones respectivas, el informe de pruebas previstas y el
informe de paso a produccin? Gua adquisicin, desarrollo y
6. Existe un registro de las actualizaciones realizadas a los

sistemas? Gua adquisicin, desarrollo y mantenimiento de sistemas
de informacin tem 4.1
7. Existe un registro que contenga informacin y el lugar de

repositorio de las versiones previas del sistema? Gua adquisicin,
8. Existe un software de control de configuracin para mantener el
control del softtware instalado? Gua adquisicin, desarrollo y
9. Existe un registro del monitoreo de las actividades de soporte

realizadas sobre el ambiente de produccin? Gua adquisicin,
10. Existe un responsable (Adminsitrador de programas fuentes)

delagado formalmente para: utilizar un manejador de versiones para
cdigos fuentes, proveer los cdigos fuentes los desarrollladores,
llevar un registro de cdigos fuentes y dems actividades descritas
en la Gua adquisicin, desarrollo y mantenimiento de sistemas de
informacin tem 4.3? Gua adquisicin, desarrollo y mantenimiento
1. Existe algn iforme de monitoreo regular de las actividades del

personal y del sistema, uso de los recursos en los sistemas de
computador y transmisin de datos por la red?
2. Existe algn informe en el cual se hayan examinado los cdigos

fuentes antes de utilizar los programas?
1. Se han definido acuerdos de licencias, acuerdos de uso,

propiedad de cdigo y derechos conferidos, acuerdos de custodia de
las fuentes de software o convenios de fideicomiso?
2. Se han definido acuerdos contractuales con respecto a la calidad

y garanta del cdigo fuente?
3. Existe un procedimiento documentado sobre calidad?
4. Se ha realizado un informe de pruebas previa instalacin del

software del proveedor contratado, para detectar cdigos troyanos o
maliciosos?
1. Existen correos o formularios, en los cuales se reporten

incidentes de seguridad de informacin a la Mesa de Servicios? Gua
de gestin de incidentes de seguridad de informacin tem 1 y 2
2. Existe un registro de los incidentes reportados, que contena la

siguiente informacin: fecha, hora, apellidos y nombres del
funcionario ? Gua de gestin de incidentes de seguridad de
informacin tem 2
3. Existe una lista de controles que permita prevenir y eliminar las
vulnerabilidades o debilidades detectadas? Gua de gestin de
incidentes de seguridad de informacin tem 1
1. Cmo realiza la supervicin del plan de continuidad y de

recuperacin ante desastres y seguridad del personal?
2. Con qu frecuencia evalua el plan de contingencia?
3. Cundo fue el ltimo entrenamiento relacionado con el plan de

contingencia?
4. Cundo se socializaron los ltimos cambios realizados en la

configuracin de servicios, sistemas o equipos?
5. Se han identificado los activos involucrados en los procesos

crticos de los servicios informticos?
6. Cuenta con la gua de continuidad de los servicios informaticos a
su cargo?
7. Ha elaborado el plan de recuperacin de desastres de los
servicios informticos a su cargo?
1. Ha realizado un anlisis de riego para los activos que usted

administra?
2. Ha elaborado el Plan de Accin?
3. Ha realizado un analisis de riesgo para la gestin de la

informacin?
4. Ha identificado los eventos que pueden ocasionar interrupciones

en los procesos de negocio?
5. Cul es el tiempo mximo de interrupcin permitida para cada

servicio o aplicacin crtica?
1. Se ha designado un responsable para: Brindar respuestas a

incidentes, proporcionar los medios para la puesta en operacin de
las actividades y Poner en servicio la infraestructura?
2. Cuantas capacitaciones sobre aspectos de continuidad del

servicio de TIC y Centros de Operacin y Control se han realizado en
los ultimos 6 meses?
3. Cules son los sitios alternos y de almacenamiento externo?

4. De qu manera y con qu periodicidad se realiza la duplicacin
de registros fsicos y electrnicos?
5. Se ha incorporado RAID en los discos de los servidores?
6. Cuales son los lugares criticos en los que se cuenta con una
toma electrica de emergencia?
7. Se cuenta con doble suministro electrico en lugares considerador
crticos? (numeral 4)
8. Cul es la estrategia para el reinicio de las actividades?
9. Existe al menos un contrato suscrito en el ao para realizar el

mantenimiento preventivo y correctivo?
10. Cul es la estrategia a seguir para realizar respaldos?
11. Los activos se encuentran asegurados?

12.Existen procesos y procedimientos para la recuperacin de los
servicios?
1. Cules son los procedimientos que han sido actualizados a
traves del control de cambios?
2. Cuales han sido los resultados de la aplicacin de los planes de

continuidad y recuperacin de desastres informticos (planes de
contingencia) que se han diseado?
3. Cuantas veces se han aplicado planes de contingencia en el

ultimo trimestre?
4. Cules son los requisitos para ejecutar procedimientos de

emergencia, respaldo y reanudacin de servicios?
1. Existe un informe sobre los resultados de las autoevaluaciones

del plan de continuidad y procedimientos aplicados?
1. El rea legal ha constituido el inventario de normas legales,

estatutarias, reglamentarias y contractuales para los activos de
informacin de la Corporacin?
2. De que manera se ha dado a conocer al personal de la

Corporacin sobre el inventario de las normas legales, estaturias,
reglamentarias y contractuales?
1. Cuenta con los certificados de registro de propiedad intelectual

del software adquirido o desarrollado por personal de la
Corporacin?
2. Se ha identificado el cdigo fuente del software desarrollado por
personal tcnico de la Corporacion?
3. Existe un inventario de licencias del software adquirido?
4. Existe software desarrollado por la Corporacin que posea

licencia publica general? (GNU)
5. Existe un memorando o documento formal, que disponga el uso

del software o aplicaciones en la Corporacin?
1. Existe un inventario documentado sobre las especificaciones

tcnicas de los algoritmos para cifrado y descifrado?
1. Se han identificado e implementado controles de seguridad para

proteger el acceso a la informacin personal de los empleados en la
Corporacin?
1. De qu forma se controla el uso inadecuado de servicios de

procesamiento de informacin?
2.Se han implementado mecanismos tecnologicos u

organizacionales para detectar intrusiones, ante el uso inadecuado
de servicios de procesamiento de informacin?
Glosario
correo electrnico, a travs del cual se notificar o comunicar de manera oficial la ejecucin de una accin.
emitida a travs del Quipux.
ecutadas.
s que tienen que realizarse para obtener un resultado.
a sobre la aplicacin de un control.
riben ciertos acontecimientos en la ejecucin de un control.
e llegan dos o ms partes.
do al requerimiento descrito en cada control.
e relaciona lo sucedido o tratado, de acuerdo al requerimiento del control .
re las acciones tomadas en la aplicacin de un control.

e intervienen dos o ms personas destinados a crear derechos y generar obligaciones.
aplicacin de un control .
mpleado para constatar el registro de propiedad intelectual del software adquirido o desarrollado por person
n los objetos que se vean sujetos a aseguracin y se establecern las indemnizaciones y garantas en cas
e se dirije hacia el cumplimiento de un objetivo.
ejecutarse ante una recuperacin de desastres.
para proteger los activos de informacin.
Aspectos a verificar rea/Fuente de
o requisito informacin/Responsable
rea de Tecnologas de la
Control Organizacional
Informacin y Comunicaciones
TIC y/o Admisnitradores de

Sistemas de Centros de
Operaciones y Control
Control Tcnico TIC y/o Admisnitradores de

cojuntamente con el Responsable
de los activos de informacin
Subdirector o Jefe del

Departamento de Talento Humano
Jefe del Departamento de Talento

Humano
Operaciones y Control,
Control Organizacional Responsable de los activos,
Propietarios de activos de
informacin (usuarios de los
activos de informacin)
Responsable de los activos y

informacin trabajando en
Control Tcnico
conjunto con el Oficial de
Seguridad de Informacin y su
Equipo
Equipo de Seguridad de
Control Tcnico
Informacin y Responsable de los
activos de informacin

Control Tcnico
Equipo

Control Tcnico
Equipo
Control Tcnico rea de TIC y Abastecimientos

Control Tcnico Sistemas de Centros de
Control Tcnico el rea de TIC
Control
rea de Talento Humano
Orgnizacional/Tcnico
Control Tcnico Responsable de los activos

Control Tcnico Operaciones y Control, con el
apoyo del Equipo de Seguriad de
Informacin
Control Orgnizacional rea de Talento Humano
Control Tcnico rea de Talento Humano

Control Orgnizacional rea de Talento Humano
Operadores de Seguridad de
Informacin, en coordinacin con
Control Tcnico
los responsables de Seguridad
Industrial
Operadores de Seguridad de
Control Tcnico
Informacin
Control Tcnico rea de TIC
Los responsables de Servicios

Generales
Control
rea de TIC y los responsables de
Organizacional/Tcnic
Servicios Generales
o
Los responsables de Seguridad

Industrial
Control
Los Responsables a cargo de reas
crticas protegidas
o
Control Organizacional Servicios Generales
Servicios Generales
Control Organizacional conjuntamente con el rea de
Talento Humano
Control Tcnico Jefe de TIC's
Control Tcnico Jefe de Seguridad Industrial

Control Organizaciol crticas protegidas, conjuntamente
con Seguridad Industrial

crticas protegidas, conjuntamente
Control Tcnico
con las reas de TIC y Servicios
Generales

crticas protegidas con apoyo del
Control Organizaciol
Operador de Seguridad de
Informacin
Control Organizaciol crticas protegidas en coordinacin

Control
crticas protegidas en coordinacin
Organizaciol/Tcnico
Los Operadores de Seguridad de

Informacin, en coordinacin con
Control Tcnico
los responsables a cargo de reas
crticas protegidas
El rea de TIC y/o Administradores

Control Tcnico de Sistemas de Centros de
Operacin y Control
Operacin y Control
Los Responsables de los activos de

Control Tcnico
informacin
El Operador de Seguridad de
Control Tcnico Informacin, en coordinacin con
el responsable del rea de TIC
El rea de Seguros, en
coordinacin con el responsable
Control Tcnico
del rea de TIC y del rea de
Servicios Generales

Operacin y Control
Informacin en conjunto con el
Control Tcnico rea de TIC y/o Administradores de
Sistemas de Centros de Operacin
y Control

de Sistemas de Centros de
Control Tcnico
Operacin y Control en conjunto
con el Equipo de Seguridad
El Responsable de rea, en
Control Tcnico conjunto con el Propietario del
activo de informacin
Informacin, en conjunto con el
Control Tcnico
Propietario de los activos de
informacin
El jefe o responsable del rea de

TIC y/o Administradores de
Control Tcnico
y Control
Control
El Subdirector de TIC, en conjunto
Tcnico/Organizaciona
con los Jefes del rea de TIC
l
y Control
y Control

Operacin y Control deber:
El Subdirector de TIC en conjunto

Control Tcnico con el Oficial de Seguridad de
Informacin deber:

Operacin y Control
y Control
y Control
y Control
Control Tcnico Informacin en conjunto con el
rea de TIC

Informacin en conjutno con el
Control Tcnico rea TIC y/o Admisnitradores de

Control Tcnico rea de Servicios Generales
rea de TIC
rea TIC y/o
rea TIC y/o Admisnitradores de

Control TIC y/o Admisnitradores de
Organizacional/Control Sistemas de Centros de
Tcnico/Pruebas Operaciones y Control
Control Tcnico rea de Talento Humano

Informacin conjuntamente con el
Control Tnico/Pruebas rea de TIC y/o Admisnitradores de
Control Tnico rea de TIC y/o Admisnitradores de

Control
Control
Organizacional/Control rea TIC
Tcnico
Operador de Seguridad en
Control Tcnico
conjunto on el rea de TIC

Control Informacin conjuntamente con el
Organizacional/Control rea de TIC y/o Admisnitradores de
Tcnico/Pruebas Sistemas de Centros de


Control
Tcnico/Pruebas
Control Tcnico rea de TIC y/o Admisnitradores de
Control
rea de TIC y/o Admisnitradores de
Tcnico/Pruebas
Control
Tcnico/Pruebas
Control
Organizacional/Control
rea de TIC
Tcnico
rea de TIC y responsables de los

Control Tcnico
sismetas tcnicos
Control Tcnico rea de TIC apoyados por el
Equipo de Seguridad de
Informacin
Los Servidores a cargo de la

adquisicin de productos
Control Tcnico informticos, apoyados por el rea
de TIC, Centros de Control y
Equipo de Seguridad
rea de TIC y responsables de los

Control Tcnico
sismetas tcnicos
rea de TIC y/o Admisnitradores
Operaciones y Control con el
apoyo del Equipo de Seguridad de
Informacin
Operaciones y Control con el
Informacin

Control Tcnico
Informacin
Tcnico Sistemas de Centros de
Control El rea de TIC y/o Admisnitradores

Organizacional/Control de Sistemas de Centros de
Tcnico Operaciones y Control
Control El rea de TIC y/o Admisnitradores

Organizacional/Control de Sistemas de Centros de

Control
Tcnico/Pruebas
Control Tcnico Operaciones y Control con el
Informacin

Operacin y Control
Control Tcnico
Informacin

Control
Informacin
o
Control Oficial de Seguridad de

Organizacional/Control Informacin
Tcnico/Pruebas
Informacin
TIC
Control Tcnico
Administradores de Centros de
Control
TIC
Administradores de Sistemas de
Centros de Operacin y Control
Administradores de Sistemas de
Centros de Control
Control Tecnico Subdirector de TICs
TICs y/o
Control Tcnico Administradores de Centros de
Operacin y Control
TICs y/o
Control Tecnico Administradores de Centros de
Operacin y Control
TICs y/o
Operacin y Control
Informacin
Control Tecnico TICs y/o
Administradores de Centros de
Operacin y Control
TICs y/o
Operacin y Control
Control Organizacionl /
Tcnico
Oficial de Seguridad
Area Jurdica
Control Organizacionl
Control Tcnico Informacin conjutamente con
TICs
Control Tcnico Informacin conjutamente con
TICs
Control Organizacional rea de TICs
Control Tecnico Informacin conjutamente con
TICs
TICs
TICs
nera oficial la ejecucin de una accin.
as indemnizaciones y garantas en caso que se produzca un siniestro que afecte a ese bien.
Mtodo
Observacin y verificacin por

muestreo (memorando)
Observacin
Observacin y muestreo
(compromisos)
Observacin, verificacin y
muestreo (inventario y lista de
activos sensibles, etiquetado)
Observacin y verificacin
(procedimiento)
(registro)
(imgenes)
muestreo (autorizacines)
muestreo (memorando)
Observacin y verificacin (acta

entrega-recepcin)
muestreo (informe formal)
(autorizacines o disposicin,
procedimiento)
Observacin (hojas de registro,

informes o similares, que
evidencie la realizacin de la
misma.)
(procedimiento, notificaciones
formales)
(documentos)
(reportes)
(informe)
(informe)
(documentado)
Observacin
Observacin
Observacin (evidencia
fotogrfica)
(contratos de mantenimiento)
(registros de socializacin o
manuales, registros de ingreso y
salida)
(registros)
(documentos)
(informes, diseo o planos)
(contratos de mantenimiento,
registros, cronograma de
actividades, actas de entrega
recepcin)
(contratos de mantenimiento,
registros, cronograma de
actividades, actas de entrega
recepcin)
Observacin
Observacin
(contrato de seguros)
Obervacin y verificacin
(procesos o procedimientos)
Obervacin y verificacin (errores

documentados, registro,
reportes)
(procedimiento)
Obervacin y verificacin (lista
de controles)
Obervacin y verificacin (lista

de controles)
(procedimiento, registro,
inventario, catlogo)
(proceso)
(informe)
Observacin (anlisis)
Observacin (informe,
procedimiento)
(registros, contrato)
(imgenes)
(imgenes)
Observacin, verificacin
(imgenes, reportes)
(procedimiento, esquema de red)
(informes)
(procedimiento, esquemas o
diagramas de red)
Observacin, verificacin (lista

de acceso)
Observacin, verificacin por

muestreo (registro)
(imgenes, reportes)
(registro o lista)
(procedimiento)
Observacin, verificacin (lista

de controles, procedimiento)
(registro)
(registro)
(imgenes)
muestreo (imgenes, formulario,
inventario)
(formulario)
(informe de administrador de
roles, procedimiento, imgenes,
logs, registros)
(formulario)
muestreo (informes y logs)
(registro, informes, formulario,
diseos de red, plizas)
Observacin (informe)
(documento, digramas de red,
reporte de lista de control de
acceso)
Observacin , verificacin y
muestreo (documento, imgenes,
controles)
muestreo (documento, imgenes,
controles)
(registros, documentos,
imgenes de configuracin)
muestreo (procedimiento,
registro, formulario documento,
imgenes)
(imgenes)
Observacin y muestreo (matriz,
informe)
(procedimiento, registros,
imgenes)
muestreo (formulario, bitcoras,
imgenes o lista de reglas del
firewall)
(solicitud, informes, lista de
controles, diagramas, manuelaes,
registro)
(diagramas, manueles)
(informes)
(documentos, autorizaciones,
procedimiento)
(registro de pruebas)
muestreo (algoritmos de cifrado,
sistema para la administracin,
registros, archivos de claves)
muestreo (algoritmos de cifrado,
sistema para la administracin,
registros, archivos de claves)
(polticas de controles
criptogrficos, lista de controles
criptogrficos, certificados
electrnicos)
(procedimiento)
Observacin (proceso,
procedimiento, informes)
Observacin (proceso,
procedimiento, informes)
Observacin (proceso)
Observacin (proceso)
Observacin, muestreo
(memorando de designacin,
proceso, lista de protocolos,
registro, imgenes)
(informe)
(acuerdo, procedimiento)
(informe de pruebas)
Observacin, muestreo y
verificacin (correos o
formularios, registros)
Observacin y verificacin (lista
de controles)
Observacin y Verificacin por

Muestreo
(plan aprobado, procedimiento,
registros de eventos, hojas
resultado pruebas, registros de
entrenamientos planificados, hoja
de configuracion de servicios y/o
equipos)
Verificacin y verificacin por

muestreo (lista de activos de
procesos crticos, gua de
continuidad de servicios
informticos, plan de
recuperacin de desastres, plan
de emergencia)
Verificacin por muestreo
(anlisis de riesgos de los
activos: Probabilidad e impacto;
matriz de riesgo; priorizacion,
mitigacin)
Plan de Accin
Verificacin por muestreo

(anlisis de riesgos para la
gestion de la informacion en la
Corporacin: matriz de riesgo;
priorizacion, mitigacin)
Observacin, Verificacin (lista

de eventos)
Verificacin
Verificacion por muestreo

(documento de designacin de
responsables, informe sobre
capacitacin y/o contrato
suscrito, registro de asistencia a
la capacitacin
Verificacin (Actas de Acuerdos,
procedimientos, registros de
verificacin de informacin (RAIS,
tomas electricas y donde
aplique), poliza de seguros,
contratos de mantenimiento)
Verificacin (Registros con la

aplicacin del control de cambios
para procedimientos de SI,
registros de pruebas para
verificacin de nmero y planes
de contingencia aplicados, lista
de activos y recursos previos
para ejecutar acciones de
emergencia, respaldo y
reanudacin de servicios, lista de
requisitos)
Verificacion (informe)

Muestreo (inventario de normas
legales, estatutarias,
reglamentarias y contractuales)

Muestreo (inventario de normas
legales, estatutarias,
reglamentarias y contractuales)
Observacin y Verificacin
(certificados de registro,
inventario de licencias)
(certificados de registro,
inventario de licencias)
(memorando o documento formal
de autorizacin)
(inventario)
(controles de seguridad)
Observacin y verificacin por

muestreo
n siniestro que afecte a ese bien.

Evidencia
Memo enviado al Oficial de Seguridad de Informacin con el nombre del

Operador de Seguridad de Informacin
Matriz Inventario de Activos de Informacin, contiene informacin sobre

Custodio, Propietario (dueo) y Responsable.
Procedimiento para el respaldo de informacin de acuerdo a la realidad de

cada Unidad, revisar GUA DE RESPALDO Y RECUPERACIN DE INFORMACIN
SIC-GAM-002-2015
Se deber indicar como se almacenan los activos de informacin y donde se
encuentra, contando con las seguridad de acceso y fsicas.
TTHH debe contar con un registro de la entrega de norma tcnica de

seguridad, adicionalmente debe coordinar y formalizar su socializacin al
personal que ingresa, solicitando al Operador de Seguridad de Informacin de
la UN dicha socializacin.
Registro: Los compromisos firmados deben ser entregados a TTHH, la falta de

firmas debe ser registrada por el responsable de la entrega de norma tcnica
para llevar el control necesario.
TTHH debe almacenar los Compromisos en cada expediente del personal, el

Operador de Seguridad de Informacin deber verificar bajo muestreo que
exista el compromiso de confidencialidad firmado.
En el marco de los contraros o convenios suscritos por CELEC EP, dentro de los
cuales se genere informacin de forma conjunta entre los Servidores de la
Empresa y los Contratistas y si a criterio de CELEC EP es necesario se
efectuar compromisos de confidencialidad. Los cuales estn bajo la
responsabilidad de el administrador del contraro, quien deber adjuntar en el
expediente del contrato o convenio, as tambin el mismos deber enviar una
copia del compromiso al Oficial de Seguridad mediante una Notificacin
formal por correo electrnico adjuntando el compromiso.
Matriz de Inventario de Activos de informacin, socializacin

metodologa, avances.
Tiempo estimado : 6 meses
1.- Matriz de Inventario de Activos de informacin.

2.- Procedimiento para el manejo de informacin.
Matriz de Inventario de Activos de informacin.

Matriz de Inventario de Activos de informacin.

Registro: Los dispositivos extraibles (USB, discos externos) entregados a los

Servidores, por parte de cada Unidad de Negocio debe contar con un registro
o actas de entrega, con lo cual se obliga a informar perdida de los mismos y
conocer si alguna informacin importante para la Corporacin se encuentra
susceptible.
Informe. Se recomienda el bloqueo de puertos USB principalmente para evitar
la fuga de informacin, pero eso ha quedado bajo la responsabilidad de TIC
que analice la implementacin en cada Unidad de Negocio (informe)
que conoce la necesidad de cada rea.
Como se indica anteriormente, solamente los equipos de operacin en las
centrales o los que estn conectados sistemas de informacin que afecten el
ncleo del negocio deben tener puertos usb, sd, etc. con acceso restringido.
El resto de equipos en la Unidad debern tener un mejor control para prevenir
fugas de informacin.
Procedimiento de entrega y recepcin de bienes se deber incluir la

entrega y recepcin de los activos de informacin, el cual deber
contener una autorizacin: emitida por los Jefes inmediatos al rea de TIC
para la asignacin de equipos nuevos no.
Manejo de la salida o cambio de cargo de los Servidores mediante

memorando.
Actas de entrega-recepcin de entrega de activos de informacin, las

mismas que deben ser evaluadas por el Operador de Seguridad de Informacin
y Propietario de activos de informacin, quienes respectivamente debern
almacenarlas .
En el procedimiento de entrega y recepcin de bienes se deber incluir

la entrega recepcin de los activos de informacin, el cual tendr que
contener una notificacin en caso de existir daos en los activos de
informacin entregados.
Verificar si en el procedimiento utilizado por TTHH, existe una notificacin

para la revisin de antecedentes de candidatos a ser servidores de la
Coporacin.
Verificar si el procedimiento utilizado por TTTHH dispone de una notificacin

que reporte de ser el caso anomalias en los antecedentes del personal.
Si no existe un procedimiento establecido con los controles antes descritos

sobre la revisin de antecedentes, debe ser generado.
El rea de TTHH deber solicitar al Operador de Seguridad de Informacin se

realice la socializacin de la NTSI, adems de que TTHH deber socializar los
derechos y responsabilidades del funcionarios. El Operador de Seguridad de
Informacin deber registrar dicha socializacin.
1.- Verificacin de procedimento para la entrega de bienes y documentacin
para la terminacin de un contrato.
2.- Si no existe procedimiento debe ser generado.
3.- Acta de entrega de bienes a cargo por parte de ex Servidor al momento
de su terminacin del contrato.
1.- Talento Humano deber notificar formalmente al Oficial de Seguridad de

Informacin la desvinculacin del personal medianete un memorando, para lo
cual es necesario incoporar esta actividad dentro del procedimiento de
desvinculacin del personal TTHH.
2.- Si no existe el procedimiento es necesario establecer esta actividad
dentro de las acciones que se toman en al rea de TTHH cuando un servidore
se desvincula o terminar su contrato con la Corporacin.
1.- Informe de las seguridades fsicas implementadas en la Unidad de

Negocio.
2.-Operador de Seguridad de Informacin, verificar las seguridades
implementadas (muestreo) descritas en el informe.
Reporte cuatrimestral de las medidas implementadas, en las reas crticas

protegidas.
1.- Informe sobre el manejo de ambientes de procesamiento de informacin

propios y de terceros. Enviar el informe al Oficial de Seguridad
semestralmente.
1.- Documentos de registro de ingreso/salida de personal, equipos de

computo.
2.- Procedimiento del manejo del ingreso de visitas a las instalaciones.
3.- Uso de carnet para visitantes y Servidores (Observacin).
1.- Informe de instalacin, buen funcionamiento de los sistemas de vigilancia

implementados en la Unidad de Negocio.
2.- Se verificr la implementacin con muestreo y observacin en base al
informe proporcionado.
1.- Informe de la seguridad fsica implementada en la Unidad de Negocio.

2.- Se verificr la implementacin con muestreo y observacin en base al
informe proporcionado.
Informe de los derechos de acceso fsico que maneja la Unidad para las reas
crticas, reportarlo cuatrimestralmente al Operador de Seguridad de
Informacin.
computo.
2.- Procedimiento del manejo del ingreso/salidad de Servidores y terceros a
las reas restringidas instalaciones.
1.- Procedimiento del uso de identificacin dentro y fuera de la Corporacin.

2.- Observacin del uso de identificacin de los Servidores.
Informe sobre el uso de sitios alternos para el procesamiento de datos

crticos.
Informe del manejo de mecanismos que controlan los intrusos, en oficinas,
recintos e instalaciones.
Informe(esquema) de las impresoras, identificando su ubicacin.
1.- Informe del manejo de sealamiento utilizado dentro de la Unidad de

Negocio.
2.- Se verificar, bajo muestro y observacin de acuerdo al informe
proporcionado.
1.- Informe del uso de equipamiento auxiliar dentro de la Unidad de Negocio.

proporcionado.
1.-Informe del manejo de material o combustible, en las reas crticas.

proporcionado.
Contratos de mantenimiento que maneja la Unidad de Negocios para

equipamiento auxiliar.
1.- Formalizar documento de actividades permitidas y prohibidas en reas

crticas.
2.- Documento de registro de socializacin realizada, o entrega de
documentacin.
computo.
las reas seguras.
computo.
las reas crticas.
1.- Informe con la identificacin de los reas de despacho, dentro de las
instalaciones de la Unidad de Negocio.
2.- Documento del registro de personal autorizado para el acceso a las
reas de despacho y carga.
1.- Documentos de registro de ingreso/salida de personal.
las reas de despacho y carga.
1.- Documentos de la ubicacin de los servicios auxiliares dentro de las

instalaciones de la Unida de Negocio.
2.- Contratos de mantenimiento de servicios auxiliares.
1.- Informe de las alternativas existentes para el suministro de energa.

2.- Se verificar con observacin y muestreo de acuerdo al informe.
Informe de las alternativas utilizadas para evitar la perdida total de suministro

de energa para los activos crticos.
1.- Informe del esquema del cableado de red implementado dentro de la

Unidad de Negocio.
2.- Informe del esquema de clabelado de red implementado para conexiones
fuera de la Unidad de Negocio.
Documentos del etiquetado utilizado para el cableado dentro y fuera de la
Unidad de Negocio.
Esquema o diagrama del cableado de red implementado para conexiones

internas y remotas en la Unidad de Negocio.
Informe de la manera en la que se encuentran las instalaciones de energa y

telecomunicaciones.
Esquema o diagrama del cableado de red implementado para conexiones

internas y remotas en la Unidad de Negocio. dem 4.8 (pregunta 3)
Contratos de mantenimiento que maneja la Unidad de Negocios para los

centros de datos y centros de operacin y control.
Registros de los mantenimientos (preventivos o correctivos) realizados a los

equipos.
1.- Documentos de la programacin de mantenimientos preventivos.

2.- Documento de registro de los mantenimientos correctivos realizados.
1.- Actas de entrega recepcin de salida equipos fuera de la instalaciones
de la Unidad de Negocio.
2.- Acta de entrega recepcin a terceros de los equipos que han salido de
la Unidad de Negocio por mantenimiento.
1.- Procedimiento para el manejo de los equipos que salen de las

instalaciones de la Unidad Negocio, por mantenimiento correctivo y preventivo.
2.- Check list, de lo realizado en equipos que salen de la instalaciones de la
Unidad de Negocio.
Informe o reporte de las seguridades implementadas (VPN, control de

acceso, criptografia, antivirus) de controles implementados en los equipos.
1.- Informe de los riegos que pueden presentarse en los equipos que salen de
las instalaciones de la UN.
2.- Los riesgos identificados deben ser mitigados, esto con la ayuda de los
controles de seguridad de informacin.
Plizas de los equipos asegurados.
Procedimiento que determinen la interrelacin de sistemas administrados en

la Unidad de Negocio, de acuerdo al sistema de interconectividad con CENACE,
definir esta interrelacin.
1.- Registro de errores ocurridos, con su respectiva solucin.
1.- Documentacin del registro de incidentes, con su respectiva solucin.

2.- Reporte de contacto de soporte para solventar incidente, indicar la forma
de comunicarlo.
Registro de reporte de incidentes enviada semestralmente al Oficial de

Seguridad de Informacin.
1.- Procedimientos para reinicio y recuperacin de sistemas corporativos o

propietarios de la Unidad de Negocio.
1.- Informes de auditorias realizadas a sistemas corporativos o de la Unidad

de Negocio.
2.- Documentacin de los hallazgos y recomendaciones de la auditoria.
3.- Documentacin de mejoras realizadas en base a recomendaciones de
auditoria.
Procedimiento para la gestin de cambios en hardware, software y

aplicaciones.
2.- Informe de los accesos a cada activo de informacin.
3.- Definicin de propietario y responsables, a travs del inventario de activos
de informacin.
2.- Informe de los accesos a cada activo de informacin,.
3.- Reporte de los controles aplicados para controlar el acceso a los activos
de informacin.
2.- Informe de los accesos a cada activo de informacin,.
3.- Reporte de los controles aplicados para controlar el acceso a los activos
de informacin, del personal de turnos.
Informe de los controles de actividad implementadas sobre los activos de

informacin considerados como sensibles.
Informe de la separacin de ambientes para capacitacin y produccin de

las aplicaciones o servicios propietarios de la Unidad de Negocio.
Informe de la separacin de ambientes de pruebas separado de los

ambientes de capacitacin y produccin de la Unidad de Negocio.
1.- Procedimiento sobre la instalacin de herramientas de desarrollo.

2.- Informe (perfiles, permisos, autorizaciones) sobre la gestin de accesos a
BDD y redes.
1.- Registros de acceso (logs) a las aplicaciones o herramientas de desarrollo

de software.
2.- Registros de acceso y actividad a aplicaciones internas utilizadas en la
Unidad de Negocio.
1.- Inventario del software instalado en los equipos.
2.- Definir un estandar para la instalacin de software en equipos de la
Unidad de Negocio.
1.- Informe sobre la definicin de prfiles de usuarios para las aplicaciones

corporativas y de uso interno de la Unidad de Negocio. (Catlogo de prfiles
definidos en la Unidad de Negocio).
1.- Informe de los sistemas sensibles o crticos utilizados por las diferente
reas en las Unidades de Negocio, para el desarrollo de sus actividades. El cual
deber ser enviado al
al Oficial de Seguridad, sobre los sistemas encontrados.
1.- Registro de los hallazgos y recomedaciones de auditorias realizados por

terceros.
2.- Informe de mejoras en ejecucin sobre recomendaciones de auditorias.
1.- Proceso de gestin de cambios sobre bienes y servicios entregados por
terceros, para uso interno de la UN.
2.- Proceso de gestin de cambios de los servicios corporativos.
Informe sobre la gestin de capacidad y rendimiento de los recursos de

servicios y sistemas utilizados por la UN.
1.- Proceso de gestin de cambio para la implementacin de nuevos sistemas.

2.- Informe del anlisis realizado de los efectos causado por sistemas o
servicios (corporativos o propios) de la Unidad de Negocio.
1.- Proceso de gestin de cambio para la implementacin de nuevos sistemas.

2.- Informe del anlisis de capacidad y rendimiento minimo para el
funcionamiento de nuevos sistemas o servicios (corporativos o propios) de la
Unidad de Negocio.
1.- Procedimiento de recuperacin para los sistemas y servicios utilizados por

la Unidad de Negocio.
2.- Planes de Contingencia para los sistemas y servicio crticos de la UN.
1.- Registros de la instalacin de antivirus y proteccin contra cdigo

malicioso.
2.- Registro de las actualizaciones realizadas al antivirus, y del control
implementado para evitar cdigo malicioso.
1.- Registro de las actualizaciones de seguridad implementadas en los

equipos y sistemas de procesamiento de informacin.
2.- Documentacin del control de cambios para la implementacin de
actualizaciones.
1.- Reporte de las anomalas presentadas en equipos de procesamiento que

afecten a la integridad, disponibilidad o confidencialidad del procesamiento de
datos. Enviar el reporte al Oficial de Seguridad de Informacin
bimensaulmente para el anlisis y tratamiento respectivo.
Contratos de servicio de internet, antivirus, antimalware, antispam o

herramientas de proteccin para uso interno y externo de la UN.
Informe de separacin lgica de la red, permisos o restricciones para las

conexiones y accesos.
1.- Informe de bloqueo de cdigos mviles no autorizados.

2.- Procedimientos de auditoria de cdigo mvil utilizado en la Unidad de
Negocio.
1.- Informe de uso de controles criptogrficos, utilizado para la
transferencia entre sistemas utilizado en la Unidad de Negocio.
2.- Norma de Controles Criptogrfico, entregada para el uso a nivel
corporativo (documento proporcionado por el OSI y ESI).
1.- Informe de la utilizacin de equipos de seguridad perimetral.

2.- Reporte de incidentes en los equipos de seguridad perimetral.
3.- Envio de reporte mensualmente al OSI para el anlisis y tratamiento
respectivo.
1.- Diagrama de la conexin remota y acceso por VPN.

2.- Procedimiento de uso, activacin y desactivacin de conexiones remotas.
Diagrama de red interna y externa de la UN. dem 4.8 (Preguntas 2 y 5)
1.- Documentacin de controles implementados a nivel de redes y

comunicacin interna y externa.
2.- Informe de funcionamiento de controles implementados.
1.- Documentacin de controles de seguridad implementados a nivel de

redes y comunicacin interna y externa de la Unidad de Negocio.
2.- Informe de funcionamiento de controles implementados.
1.- Procedimiento para la gestin del control de acceso a servicios de red

interna y externa de la Unidad de Negocio.
2.- Informe del funcionamiento de controles para el aislamiento de la red

corporativa.
Diagrama de los controles aplicados para delimitar la red corporativa.
1.- Registro de acceso asignados con la solicitud de autorizacin a la

documentacin del sistema.
Registro para el envi o recepcin de mensajera.
Informe del manejo de documentacin enviada y considerada como sensible.
Informe de la implementacin de controles de seguridad (encriptacin)

para el manejo de informacin sensible.
Registros de las amenazas o vulnerabilidades identificadas en los sistemas
corporativos o internos de la Unidad de Negocio.
Informe de los controles implementados para proteger las llamadas

telefnicas de la Unidad de Negocio.
Registro de amenazas o vulnerabilidades identificadas en los sistemasde

comunicacin del negocio de la UN.
1.- Informe de los controles de seguridad implementados para proteger la

informacin de los proyectos de la Unidad de Negocio.
2.- Tomar en cuenta leyes y normas vigentes clasificando informacin de
proyectos como confidencial y sensible. Informacin proporcionada por (OSI y
ESI)
1.- Informe de documentacin utilizada para la activacin, modificacin y

bloqueo de usuario.
2.- Registro o listado de activacin, modificacin y bloqueo de cuentas, de
aplicaciones corporativas o internas de la UN.
Procedimiento del uso de certificados electrnicos en la Unidad de Negocio.
Informe de la implementacin de protocolos seguros, para la transacciones en

linea dentro y fuera de la Unidad de Negocio.
1.- Informe del manejo de informacin clasificada como sensible, dentro y
fuera de la Unidad de Negocio.
2.- Listado de informacin clasificada como sensible dentro de la Unidad de
Negocio.
3.- Procedimiento del manejo de informacin dentro y fuera de la Unidad de
Negocio
Documentacin sobre la implementacin del registro de actividades en las

aplicaciones internas de la Unidad de Negocio.
Documentacin sobre la implementacin del registro de operaciones

privilegiadas en las aplicaciones internas de la Unidad de Negocio.
Documentacin sobre la implementacin del registro intentos fallidos en las

Documentacin sobre la implementacin del uso de alertas o fallas en las

Documentacin de la gestin de cambios en la configuracin o controles
dentro de las aplicaciones internas o externas a la Unidad de Negocio.
Procedimiento sobre el monitoreo realizado del uso a los sistemas o

servicios de procesamiento de datos internos o externos de la Unidad de
Negocio.
Documentacin sobre la implementacin de registro de ingreso y salidad a
las aplicaciones internas de la UN.
Documentacin sobre la implementacin del registro de actividades
realizadas en las aplicaciones internas de la UN.
1.- Documentacin sobre la implementacin de los registros de actividad y
acceso, indicando direccion IP y los protocolos utilizados (Complemento del
punto 5.22 pregunta 1)
1.- Documentacin sobre la implementacin del uso de alarmas para el

control de acceso en las aplicaciones internas y externas de la Unidad de
Negocio (Complemento del punto 5.22 pregunta 1)
1.- Informe de la configuracin utilizada para la sincronizacion de rejoles

(equipos, biometricos, entre otros)en la Unidad de Negocio, dentro del mismo
se deber notificar el correcto funcionamiento de la sincronizacin.
Informe de la implementacin de controles de acceso, a los sistemas,

servicios o aplicaciones internas y externas de la Unidad de Negocio.
1.- Fomularios, utilizados para la creacin de usuarios de aplicaciones o

servicios internos y externo de la Unidad de Negocio.
2.- Procedimiento utilizado para la creacin de usuarios.
1.- Fomularios, utilizados para la creacin de usuarios de aplicaciones o

2.- Procedimiento utilizado para la creacin de usuarios.
Registro de creacin , modificacin o eliminacin de usuarios genricos de
aplicaciones o servicios internos y externo de la Unidad de Negocio.
Formulario utilizado para la creacin de usuarios genricos, de aplicaciones o

Informe sobre el resgistro de usuarios realizado en primera instancia en el

directorio activo.
1.- Informe que contenga:

-Controles aplicados para la suspencin de sesiones inactivas de las
aplicaciones y servicios crticos.
-Controles aplicados para el bloqueo de cuentas por intentos fallidos de
acceso, aplicaciones o servicios internos y externos
-Controles aplicados para el bloqueo de mensajes de ayuda al ingreso de un
servicio, aplicacin interna de la UN.
-Controles aplicados para la desactivacin de cuentas por inactividad,
aplicaciones o servicios internos y externo de la Unidad de Negocio.
1.- Documentacin sobre el manejo del registro de ingresos a los sistemas y

aplicaciones utilizados por la UN.
2.- Procedimiento del monitoreo realizado a errores de acceso a las
aplicaciones utilizadas por la UN.
Informe sobre la autentificacin utilizada para los sistemas y aplicaciones

utilizadas en la Unidad de Negocio.
1.- Informe que cotenga documentacin de:

-Activacin del cambio de clave obligatorio de las cuentas creadas, en el
primer inicio de sesin, para aplicaciones, sistemas y servicios utilizados
-Desactivacin de la contrasea en blanco para aplicaciones, sistemas y
servicios utilizados por la UN.
-Cambio de contraseas obligatorio cada 6 meses, sistemas y servicios
utilizados por la UN.
-Configuracin de sistemas y servicios utilizados por la UN, para evitar el uso
de contraseas anteriores para los cambios
1.- Informe que cotenga documentacin de:
primer inicio de sesin, para aplicaciones, sistemas y servicios utilizados
-Desactivacin de la contrasea en blanco para aplicaciones, sistemas y
servicios utilizados por la UN.
-Cambio de contraseas obligatorio cada 6 meses, sistemas y servicios
utilizados por la UN.
de contraseas anteriores para los cambios
primer inicio de sesin, para aplicaciones, sistemas y servicios utilizados por la
UN.
de contraseas anteriores para los cambios.
-Configuracin de las claves temporales y su cambio inmediato
-Configuracin de las cuentas despus de 3 intentos fallidos y su bloqueo
temporal de 10 minutos, pudiendose repetir este ltimo solamente 2 veces
(Complemento del punto 6.1 pregunta 7, 8 ,9 ,10)
Solicitud para requerir el desbloqueo de cuenta de usuario de aplicaciones o

sitemas utilizados por la Unidad de Negocio.
1.- Formularios utilizados para la creacin de usuarios de aplicaciones o

servicios internos y externo de la Unidad de Negocio. (Complementa punto 6.1
pregunta 2)
Notificacin (formularios, autorizaciones, pedidos) utilizada para el bloqueo o

eliminacin de usuarios de aplicaciones o servicios internos y externo de la
Unidad de Negocio, al momento de la terminacin de dependencia de un
servidor o tralado administrativo.
Informe de la activacin de bloqueo en equipo informaticos por inactividad, y

desbloqueo con usuario y clave.
Informe sobre los controles implementados para el bloqueo de dispositivos

fuera de horario de trabajo.
Procedimiento sobre la administracin de perfiles de usuario y roles
asignados a a las cuentas de usuario de aplicaciones y servicios utilizados por
Informe de la configuracin utilizada para los equipos, sistemas antes de su

puesta en produccin.
Informe sobre el cambio de contraseas cada 6 meses de los usuario

administradores de sistemas y servicios utilizados por la Unidad de Negocio y
enviarlos semestralmente al Oficial de Seguridad de Informacin.
Registro de Logs sobre los accesos remotos a los sistemas y aplicaciones

utilizados por la Unidad de Negocio.
1.- Complemento del procedimiento requerido en el punto 6.2 pregunta 1.

Formulario de los privilegios asignados a los perfiles de usuario.
Informe de permisos y privilegios asignados a los usuarios para cada activo

de informacin tecnolgico.
Formulario para la solicitud de asignacin, modificacin o eliminacin de

privilegios especiales en las cuentas de usuarios en , sistemas de informacin,
bases de datos, servicios de informacin utilizados por la Unidad de Negocio.
Informe sobre la depuracin de los derechos de acceso asignados a los

usuarios de sistemas de informacin, base de datos y servicios de informacin
Complementario a punto anterior 6.4 pregunta 1
Al punto 6.4 pregunta 1, se deber agregar la informacin para los casos de

cambio organizacional.
1.- Registro de Logs para la verificacin de registros sobre los cambios

efectuados sobre los derechos asignados a los usuarios .
Informe de los servicios de red internos o externos de la Unidad de Negocio.

1.- Complemento punto anterior 6.5 pregunta 1 .
2.- Registro del control de acceso (usuarios, permisos, privilegios) a los
servicios de red internos o externos de la Unidad de Negocio.
1.- Complemento punto anterior 6.5 pregunta 1 .

2.- Incluir en el informe documentacin de los prfiles y roles definidos para
le uso de los servicios de red internos o externos de la Unidad de Negocio.
Documentacin de la configuracin de los controles aplicados a los equipos

de red para evitar el acceso no autorizado.
Diagrama de la ubicacion de los equipo de red internos o externos de la

Unidad de Negocio.( Complemento del domini 4. Seguridad fsica y del
entorno, sub tem 4.8 Seguridad del Cableado Estructurado).
Plizas de los equipos de red internos y externos utilizado por la Unidad de

Negocio.
1.- Informe de los controles implementados para restringir el acceso a los

equipos de red y funcionamiento de los controles implementados.
Informe para el habilitacin y deshabilitcin de puertos en los equipos de

red.
Documentacin de la segmentacin de la red interna de la UN
1.- Complemento del punto anterior

2.- Esquema o diagrama de red con la segregacin de red.
Documentacin de la configuracin de listas de accesos en la red interna o

externa de la Unidad de Negocio.
Informe de la implementacion de politicas de control de acceso a los

enrutamientos de red.
Documentacin de la configuracin del uso y configuracin de gateway
internos o externos en la UN.
Informe de los controles aplicados para controlar las conexiones a redes

compartidas.
Informe de controles implementados para el registro de actividad en sistemas

y aplicaciones utilizadas por la Unidad de Negocio.
Documentacin de los accesos configurados entre las aplicaciones que utiliza

Documentacin de la aplicacin de protecciones de la informacin (cifrado)en

los equipos informticos de la Unidad de Negocio.
Procedimiento para el manejo de la gestin de acceso para los programas

utilitarios utilizados por la Unidad de Negocio.
Procedimiento para autorizacin de uso de programas utilitarios
1.- Complemento punto anterior 6.8 pregunta 5.

2.- Registro de programas utilitarios utilizados en la Unidad de Negocio.
Procedimientos para el uso, instalacin y desintalacin de programas

utilitarios utilizados por la UN.
2.- Formulario para el uso, instalacin y desintalacin de programas utilitarios
Informe sobre el uso medios criptograficos.
Informe del cumplimientos de requerimientos de seguridad en los equipo de

aplicaciones o sistemas crticos.
Informe de vulnerabilidad o amenazas identificadas del uso de entornos
compartidos en la Unidad de Negocio.
1.- Informe de los aplaciones sensibles utilizadas por la Unidad de Negocio.

Registro de recursos compartidos por aplicaciones sensibles.
1.- Procedimiento para el uso de equipos mviles e informaticos.

2.- Documentacin de la configuracin de controles de seguridad
implementados para el uso de equipo mviles e informticos.
Procedimiento para el respaldo de informacin de acuerdo a la realidad de

cada Unidad, revisar GUA DE RESPALDO Y RECUPERACIN DE INFORMACIN
SIC-GAM-002-2015
Documentacin de la aplicacin de protecciones de la informacin

(cifrado)en los equipos informticos de la UN.
1.- Documentacin sobre el uso de equipos informticos.
2.- Documentacin de los controles de seguridad aplicados en los equipos
informticos.
Documentacin de los controles de seguridad aplicados en los equipos
informticos.
Formulario en el cual se solicite el acceso remoto a los sistemas y

aplicaciones utilizados por la Unidad de Negocio.
1.- Procedimiento de uso, activacin y desactivacin de conexiones remotas.

2.- Bitcora o registro de accesos remotos autorizados, enviado
mensualmente al Oficial de Seguridad de Informacin.
Documentacin sobre la configuracin e implementacin de polticas de

seguridad en antivirus y firewall.
Memorando para la adquisicin de un nuevoe servicio de procesamiento de

datos adjuntando.
Informe tcnico de evaluacin de compatibilidad del nuevo servicio.
Informe de Cumplimiento requerimientos de seguridad apoyados por el OSI y

su ESI.
1.- Manuales tcnicos y de uso de los sistemas de informacin y servicios de

informacin.
2.- Diseos de los sistemas de informacin
3.- Registros de actualizaciones realizadas a los manuales tcnicos y de uso
de los sistemas de informacin y servicios de informacin.
Informe de cumplimiento requerimientos de seguridad, en funcin a una lista
de control propocionada por el Oficial de Seguridad de Informacin.
Procedimiento para el tratamiento que debe darse a procesos de

emergencia.
Autorizacin de la mxima autoridad
Garantas de soporte, mantenimiento y actualizaciones realizado a los

sistemas de informacin.
Registro de pruebas previa puesta en produccin
Informe de los controles criptogrficos implementados.

Documentacin de la configuracin de la generacin de claves temporales de
la creacin de usuarios para los sistemas de informacin.
Documentacin de la configuracin de envis de correos electrnicos para

recibir una nueva clave y cambiarla.
Documentacin de la configuracin de una archivo de claves.
Informe de la implementacion de politicas de controles criptogrficos
Documentacin de la configuracin de gestin de claves para sistemas de

informacin.
Informe de la implementacion de politicas de controles criptogrficos
Documentacin de la configuracin o existenca de certiciados electrnicos.
Procedimiento para la adminsitracin de claves y recuperacin de

informacin cifrada.
Proceso para control de cambios en los sistemas de informacin y

aplicaciones .
Procedimiento para paso a produccin de un sistema de informacin o

aplicaciones que administra la Unidad de Negocio.
Memorando con la designacin de la comisin del control de cambios en los

sistemas de informacin.
1.- Complemento del punto 7.4 pregunta 1

2.- Informe paso de pruebas a produccin
2.- Cronograma de control de cambios de los sistemas de informacin y
aplicaciones.
Notificacin mediante correo electrnico, enviada al personal de los cambios

realizados el tiempo que estar fuera de servicio y cuando ser restablecido el
servicio de informacin.
NA
Reporte de satisfaccin sobre los resultados obtenidos en las pruebas

realizadas al sistema de informacin y aplicaciones.
Registro, sobre las actualizaciones y manuales de los sistemas de informacin

ya aplicaciones al realizarse un cambio en el mismo.
Complementario a punto anterior 6.4 pregunta 9

2.- Informe de impacto sobre la continudiad del servicio al realizarse alg
cambio en el sistema de informacin y aplicaciones.

2.- Informe ante las pruebas realizadas a los sistemas de informacin y
aplicaciones.

2.-Registro de las copias realizadas al software original, sistemas de
informacin a aplicaciones previa ejecucin de cambios.

2.- Registro de actualizaciones realizadas al software, sistemas de
informacin y aplicaciones.

2.-Registro con informacin sobre todos los cambios realizados a los paquetes
de software, sistemas de informacin y aplicaciones.
2.-Registro de los datos copiados del ambiente de produccin al de pruebas.
dem punto 7.5 pregunta 1

2.-Registro de los datos crticos a ser eliminados o modificados del ambiente
de pruenbas.
Memorando con la designacin de un Administrador de programas fuentes.
1.- Complemento del punto 7.4 pregunta 2, forma parte del procedimiento.

2.-Lista de protocolos.
Complemento del punto 7.4 pregunta 2
1.- Autorizacin formal mediante correo electrnico para paso a produccin.


2.- Registro de actualizaciones realizadas al software, sistemas de
informacin y aplicaciones.
Informe de la configuracin del software de control de configuracin para
mantener el software instalado.

2.- Registro del monitore de actividades de soporte realizadas sobre el
ambiente de produccin.
1.- dem 7.6 pregunta 1

2.- Informe de revisin del cdigo fuente de los sistemas de informacin.
1.- Informe de monitoreo del uso de recursos de los sistemas de informacin y

transmisin de datos por la red.
Complemento del punto 7.6 pregunta 10.
Informe sobre los acuerdos de licencias, acuerdos de uso, propiedad de

cdigo y derechos conferidos, acuerdos de custodia de las fuentes de software
o convenios de fideicomiso definidos para los sistemas de informacin. En caso
de no aplicar o no ser adminsitrativa o tcnicamente enviar el informe de
manera formal en ese sentido.
Garantas del cdigo fuente del sistema de informacin.
Procedimiento sobre calidad de los sistemas de informacin, software o

aplicaciones contratadas externamente..
Complemento del punto 7.4 pregunta 12
Formulario para reportar indicentes de seguridad de informacin.
Registro de incidentes reportados de acuerdo a lo solicitado en la NTSI.

Lista de controles para prevenir y eliminar las vulnerabilidades o debilidades
detectadas.
Lista de control o check para supervisar el correcto cumplimiento del plan

de continuidad y recuperacin ante desastres.
Procedimiento para realizar pruebas sobre el plan de contigencia.

2.- Registro de socializacin al plan de contingencia.
Registros de socializacin de los cambios realziados a los sistemas de

informacin y equipos para actualizacin del plan de contingencia.
Matriz de inventario de activos de informacin
Elaborar el Plan de recuperacin de desastres para los activos de

informacin involucrados en los procesos crticos de los servicios informticos
de acuerdo a la matriz de inventario de activos de informacin.
1.- Informe de los riegos que pueden presentarse en los activos de

informacin de los procesos crticos de los procesos crticos de los servicios
informticos.
1.- En funcin a los riesgos determinados, se deber crear un Plan de
recuperacin.
dem punto 9.2 preguntas 6 y 7.
Complemento punto 9.1 preguntas 6 y 7
1.- Acuerdos de nivel de servicio para los procesos crticos de los servicios
informticos.
2.- Complemento punto 9.1 preguntas 6 y 7
Memorando con la designacin de equipos para ejecucin del plan de

recuperacin de desastres. Considerar: Responsable de respuesta a incidentes,
Responsable de Logstica, Responsable de Recuperacin.
Registro de capacitaciones sobre continudiad de servicio, enviar el mismo a

travs de correo electrnico semestralmente al Oficial de Seguridad de
Informacin.
1.- Informe que cotenga las estrategias para:

-Sitios alternos y de almacenamiento externo.
-Duplicacin de registros fsicos y electrnicos.
-Documentacin de la configuracin RAID incorporado en los discos de los
1.- Informe que cotenga las estrategias para:
-Sitios alternos y de almacenamiento externo.
-Duplicacin de registros fsicos y electrnicos.
-Documentacin de la configuracin RAID incorporado en los discos de los
servidores.
-Configuracin en la aplicacin de este control.
-Identificacin de los lugares crticos en los que se cuenta con toma elctrica
de emergencia y doble suministro elctrico.
- Reinicio de actividades
-Contratos suscritos para mantenimiento preventivo y correctivo para los
equipos de contingencia.
-Respaldos realizados a los equipos de contingencia, considerando la Gua de
respaldos proporcionadad por Seguridad de Informacin.
-Pliza de los equipos de contingencia.
-Recuperacin de servicios.
2.- Complemento punto 9.1 preguntas 6 y 7
Registro de actualizacin de procedimientos de contingencia, de acuerdo al

proceso de gestin de cambios.
Informe de resultados al aplicarse un plan de contingencia.
Notificacin (correo electrnico) de la ejecucin de planes de contingencia

en los ltimos tres meses, reportar el particular al Oficial de Seguridad de
Informacin trimestralmente, se hayan ejecutado o no planes de
contingencia.
Lista de requisitos (checklists) para ejecutar procedimientos de

emergencias, respaldo y reanudacin de servicios.
Informe de resultados de las pruebas realizadas al plan de contingencia.
Inventarios de normas legales, estatutarias, reglamentarias y contractuales

para los activos de informacin.
Registros de socializacin del inventario de normas legales, estatutarias,

reglamentarias y contractuales para los activos de informacin.
Certificados de propiedad intelectual, de no contar con los mismos emitir

un informe.
Informe sobre la identiciacin del cdigo fuente del software desarrollado por
personal de la Unidad de Negocio.
Inventario de licencias.
Informe sobre la existencia de software que posea licencia GNU.
Memorando que disponga el uso del software o aplicaciones en la

Corporacin.
Registro de la documentacin y especifiaciones tcnicas de los algoritmos y

programas utilizados para el cifrado y descifrado de archivos criptogrficos,
firmas electrnicas.
Informe de los controles implementados para proteger el acceso a la

informacin personal de los empleados de la Unidad de Negocio.
Informe para controlar el uso inadecuado de servicios de procesamiento de

informacin.

Evidencias

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Evidencias

Caricato da

Copyright:

Formati disponibili

Dominio Sub tem

1.1.6 Responsable de los

2.5 Etiquetado y manejo de la

2.1 Respondabilidades sobre

3.3 Trminos y condiciones

3.5 Devolucin de activos y

4.3 Seguridad de oficinas,

4.4 Trabajo en reas seguras

4.7 Servicios de suministro

4.8 Seguridad del Cableado

4.9 Mantenimiento de los

4.10 Seguridad de los

5.1 Documentacin de los

5.2 Gestin de Cambios

5.4 Separacin de las

5.6 Monitoreo y revisin de

5.8 Gestin de la capacidad

5.9 Aceptacin del Sistema

5.10 Controles contra cdigo

5.11 Controles contra cdigos

5.13 Gestin de Seguridad de

5.14 Control de redes

5.15 Seguridad de los

5.17 Medios fsicos en

5.18 Mensajera electrnica

5.20 Transacciones en lnea

5.21 Informacin disponible

5.22 Registros para auditoras

5.23 Sincronizacin de relojes

6.3 Gestin de privilegios

6.4 Revisin de los derechos

6.6 Separacin en las redes

6.7 Control del enrutamiento

6.8 Restriccin de acceso a

6.9 Aislamiento de sistemas

6.11 Trabajo remoto

7.1 Autorizacin para nuevos

7.3 Uso de controles

7.4 Gestin de cambios

7.6 Control de acceso al

7.8 Desarrollo de software

8.1 Reporte sobre los eventos

9.1 Inclusin de la seguridad

9.2 Continuidad del negocio

9.5 Pruebas, mantenimiento

10.2 Derechos de propiedad

10.3 Proteccion de registros

10.4 Proteccion de los datos y

10.5 Presencion del uso

1. Existe un memorando con la designacin oficial del Operador de

1 . Se ha delegado a un miembro de su equipo como Responsable

2. De qu forma se realizan los respaldos y recuperacin de los

3. Se mantiene en lugares seguros, los equipos, servidores, discos

4. Existe un procedimiento formal para realizar los respaldos y

1 . Cmo notifica al personal que ingresa, sobre el cumplimiento de

2. Existe algn control de los compromisos firmados ?

3. En donde se almacenan los compromisos de confidencialidad?

1. Se ha trabajado con el Equipo de Seguridad para identificar los

2. Existen procedimientos para el manejo, procesamiento,

1. Se ha realizado el inventario de los activos de informacin,

1. Los activos de informacin clasificados, han sido etiquetados

2. Existe un registro de los medios extraibles? Gua de gestin de

1. Previa asignacin y activacin de equipos nuevos o no, se realiza