1.

1 Generalidades

Proveedor:

1.2 Alcance del Servicio

(Descripcion)

1.3 Aspectos a evaluar

Descripción del estándar

Documentacion solicitada
& Pregunta
Politica de Seguridad Copia de la politica de Seguridad de
Debe existir una Politica de Seguridad la informacion, con su fecha de
definida y divulgada actualización y evidencia de su
divulgacion

1
Diagrama de Red Adjuntar copia del Diagrama de Red

2
3 Concientización, educación y Evidencia de capacitaciones en
formación en accesos
Controles de seguridad de la
físico Seguridad
Evidencia de
de la Informacion
registro dictadas
de bitacoras de
información acceso a areas restringidas (Data
Se recomienda que las áreas estén Center) y acceso a las instalaciones
Se recomienda
protegidas que todosdelos
por controles entrada de la empresa
empleados
adecuados quede laaseguren
organización y,
el acceso
donde sea relevante, contratistas
4 sólo al personal autorizado. y
usuarios de terceras partes reciban
formación adecuada en
concientización y actualizaciones
regulares en políticas y
procedimientos organizacionales,
relevantes para su función laboral.
 Gestión de cambios Relacion de Cambios a nivel de
Hardware y Software con sus
Se recomienda controlar los cambios respectivas autorizaciones
en los sistemas e instalaciones de
procesamiento de información.

5
Segregación de tareas Funciones y responsabilidades del
personal de tecnologia que
Se recomienda segregar las tareas y administran las aplicaciones e
las áreas de responsabilidad para infraestructura que soportan el
reducir las oportunidades de servico con Claro
modificación no autorizada o no
intencional, o el uso inadecuado de
los activos de la organización.

6
Registros de auditoría Evidencia de los registros de
Auditoria a nivel de sistema operativo
Se recomienda que la grabación de y sistemas de informacion que
registros de auditoría de actividades soportan el servicio con Claro
de usuario, excepciones, y eventos de
seguridad de la información sean
producidos y guardados durante un
período acordado para ayudar en
futuras investigaciones y en la
supervisión del control de acceso.

7
Política de Control de Acceso
Se recomienda establecer,
documentar y revisar una política de
control de acceso, basada en
requisitos de negocio y seguridad
para el acceso.
Evidencia de la ultima revision y
autorizacion de privilegios de cada
usuario que actua en los sistemas de
informacion que soporta el servicio de
Claro
Relación de caracteristicas definidas
para los passwords.

8
Política de escritorio y pantalla limpios Copia de la Politica de escritorio
limpio y resultados de su validacion
Se recomienda adoptar una política
de escritorio limpio para papeles y
medios de almacenamiento
removibles y una política de pantalla
limpia para las instalaciones de
procesamiento de información.

9
Políticas sobre el uso de servicios en Evidencia de Cifrado implementado
red en el almacenamiento o transmision
de informacion de Claro
Se recomienda cifrar (encrypted) toda
transferencia de información
confidencial.
10
Protección de datos de prueba del Politica de Proteccion de datos en
sistema ambientes de pruebas y evidencia de
Datascrambling
Se recomienda que los datos de
prueba sean seleccionados
cuidadosamente, protegidos y
controlados.
11
 Control de vulnerabilidades técnicas Informe de Vulnerabilidades realizado
en el ultimo semestre o año, planes
Se recomienda obtener información de accion y evidencia de su
oportuna sobre las vulnerabilidades cumplimiento
técnicas de los sistemas de
información en uso, evaluarse la
exposición de la organización a tales
vulnerabilidades, y tomar medidas
apropiadas para gestionar el riesgo
asociado.

12
Gestion de incidentes de seguridad Relacion de incidentes de seguridad
de la información incluyendo su analisis, contencion y
remediacio
Se recomienda que existan
mecanismos establecidos para
reporte, analisis, contencion, solución
y validacion de soluciones
13
Continuidad del negocio y evaluación Plan de continuidad del Negocio,
de riesgos DRP

Se recomienda identificar los eventos

que pueden ocasionar interrupciones
en los procesos del negocio junto con
la probabilidad y el impacto de dichas
interrupciones, así como sus
consecuencias para la seguridad de
la información.

14
Pruebas, mantenimiento y Resultados de pruebas la plan de
reevaluación de los planes de continuidad del negocio y al DRP
continuidad del negocio

Se recomienda que los planes de

continuidad del negocio sean
sometidos a pruebas y actualizados
regularmente para asegurar su
actualización y su eficacia.

15
Seguridad en Dispositivos
Se recomienda que las estaciones de
trabajo y dispositivos moviles tengan
los controles de acceso necesarios y
que tengan restricciones de
configuracion que no permitanla fuga
de información
Relacion y evidencia de
implementación de los controles de
acceso implementado en estaciones
de trabajo y dispositivos moviles que
no permitanla fuga de información
(bloqueo USB, restriccion a Internet,
DLP, Antivirus, Cifrado, etc)

16
Seguridad Perimetral Evidencia de la implementación de
controles perimetrales que protegen
la Red.
17
Borrado Seguro de Información Copia de la Politica de Borrado
Seguro
Evidencia de Borrado de Información
de Claro (SI aplica)
18
Gestion de Riesgos Copia de la Politica de Gestion de
Debe existir una Politica de Gestion Riesgos y evidencia del tratamiento
de Riesgo de riesgos que impactan el servico
contratado por Claro.
19
 Clausula de Confidencialidad Evidencia de existencia y firma de la
Todos los empelado deben firmar una clausula de confidencialidad de la
Clausula de Confidencialidad frente a Información
la Información que manejan

20
Politica de proteccion de datos Copia de la Politica de proteccion de
personales datos personales y evidencia de su
Debe existir una politica de proteccion divulgación
de datos personales
21
Actualizacion de Parches Evidencia de actualizacion de
Parches del Sistema Operativo que
corresponda.
22
Hardening Copia de la Linea base de seguridad
Debe existir Lineas Base de definida y evidencia de su
Seguridad del información a nivel de implementación
servidores y estaciones de trabajo

23
Identificación de la legislación Relación de leyes aplicables y
aplicable evidencia de su cumplimiento a
planes de accion encaminados a
Las entidades que contraten bajo la cumplir los requerimientos.
modalidad de outsourcing o
tercerización, a personas naturales o
jurídicas, para la atención parcial o
total de los distintos canales o de los
dispositivos usados en ellos, o que en
desarrollo de su actividad tengan
acceso a información confidencial de
la entidad o de sus clientes, deberán
cumplir, como mínimo, con los
requerimientos 3.2 Tercerización –
Outsourcing, de circular 022.

24
1.4 Aprobaciones

La aprobación indica que se entiende el impacto de las no-conformidades y la responsabilidad de verificar que se cumplan los pl

Nombre
 Evaluación de estándares de segurid

Respuesta del Aliado Detalles Riesgo en SI

(Detalles / Comentarios) & Recomendación
existe politica divulgada

este diagrama se encuentra en proceso

se encuentra la politica de gestion de riesgo divulgada
no-conformidades y la responsabilidad de verificar que se cumplan los planes de acción para minimizar los riesgos.

Rol Forma de aprobación

Gerente de Contrato Correo electrónico (E-Mail)

Contacto / Aliado Gerente General Correo electrónico (E-Mail)

s de seguridad

Fecha de la visita/Diligenciamiento:
x

x
Fecha de solución
(Máximo 60 días)
x
Tratamiento del
Plan de Acción / Tareas Estado de la solución
riesgo x
Aceptar el riesgo (RA) Resuelto

Aceptar el riesgo (RA) En progreso

Aceptar el riesgo (RA) En progreso Se de

Aceptar el riesgo (RA) En progreso

x
Aceptar el riesgo (RA) En progreso

x
Remediar Pendiente

x
Remediar En progreso

x
Remediar En progreso

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

x
Remediar Pendiente

Remediar Pendiente

Remediar Pendiente

Remediar En progreso
Remediar Pendiente

Remediar Pendiente

Remediar Pendiente

Remediar Pendiente

Remediar Pendiente

Fecha de aprobación Firma Evidencia de aprobación

x

x
x
x
 Via Autor.: Estado Sol:

[Seleccione o [Seleccione o

Correo electróPendiente

Impresión fir En progreso

Copia escaneResuelto

Fax
 Área:

[Seleccione opción]

Remediar

Aceptar el riesgo (RA)

Rechazar