Análisis del cumplimiento de los requisitos de la Norma ISO 27001 - 2013: Sistema de Gestión de seguridad de la información

No Requisitos normativo NTC: ISO 27001 - 2013 Análisis de cumplimiento

0% 25%
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Conocimiento de la organización y de su contexto
Se determinan las cuestiones externas e internas que son pertinentes para su
propósito y que afectan su capacidad para lograr los resultados revistos de su
sistema de gestión de la seguridad de la información?
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
Se determinan las partes interesadas que son pertinentes al sistema de gestión de
la seguridad de la información?
Se determinar los requisitos de estas partes interesadas pertinentes a seguridad de
la información.?
4.3 Determinación del alcance del sistema de gestión de la seguridad de la información
Se determinar los límites y la aplicabilidad del sistema de gestión de la seguridad
de la información para establecer su alcance?
Al determinar el alcance se consideran las cuestiones externas e internas
referidas en el numeral 4.1?
Se consideran los requisitos referidos en el numeral 4.2?
Se consideran las interfaces y dependencias entre las actividades realizadas por
la organización, y las que realizan otras organizaciones?
* Esta disponible como información documentada?
4.4 Sistema de gestión de la seguridad de la información
Se establecen, implementan, mantienen y mejoran continuamente el SGSI, de
acuerdo con los requisitos de esta norma?
5 LIDERAZGO
5.1 Liderazgo y compromiso
La alta dirección de muestra liderazgo y compromiso con respecto al SGSI a través
de:

Asegura que se establezca una política de SGSI, objetivos de seguridad de la

información y su compatibilidad con el direccionamiento estratégico de la
organización?

Asegura de la integración de los requisitos del SGSI con los procesos de la

organización?

Asegura de que los recursos necesarios para el SGSI están disponibles?

Comunica la importancia de una gestión de seguridad de la información eficaz y
de la conformidad con los requisitos del SGSI?
 Asegura que el SGSI logre los objetivos propuestos?

Dirige y apoya a las personas para contribuir a la eficacia del SGSI?

Promueve la mejora continua?
Apoya a otros roles pertinentes de la dirección, para demostrar su liderazgo
aplicado a sus áreas de responsabilidad?
5.2 Política
LA alta dirección establece una política de seguridad de la información que cumpla
con los siguientes requisitos:
Es adecuada al propósito de la organización?
Incluye los objetivos de seguridad de la información o proporciona el marco de
referencia para el establecimiento de los objetivos de seguridad de la
información?
Incluye el compromiso de cumplir los requisitos aplicables relacionados con la
seguridad de la información?

Incluye el compromiso con la mejora continua del SGSI?

La pollita de seguridad establecida:

* Esta disponible como información documentada?

Se comunica dentro de la organización?

Esta disponible para las partes interesadas según sea apropiado

5.3 Roles, responsabilidades y autoridades en la organización

La alta dirección se asegura de que las responsabilidades y autoridades para los

roles pertinentes a la seguridad de la información se asignen y comuniquen?

Se asignan responsabilidades y autoridades para:

Se aseguraren de que el sistema de gestión de la seguridad de la información sea
conforme con los requisitos de esta Norma
Se Informe a la alta dirección sobre el desempeño del sistema de gestión de la
seguridad de la información
6 PLANIFICACIÓN
6.1 Acciones para tratar riesgos y oportunidades
6,1,1 Generalidades
Al planificar el SGSI la organización considera las cuestiones referidas en el numeral
4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determina los
riesgos y oportunidades que es necesario tratar?

Con lo anterior se logra:

Asegurar que el SGSI pueda lograr sus resultados previstos?

 Se previene o reducen los efectos indeseados?

Se logra la mejora continua?

La organización planifica:

Las acciones para tratar los riesgos y oportunidades?

La manera de integrar e implementar esas acciones en sus procesos del SGSI?

La forma de evaluar la eficacia de estas acciones?

6,1,2 Valoración de riesgos de la seguridad de la información

La Organización cuenta con un proceso de gestión de riesgos?
Este proceso establece y mantiene criterios de riesgo de seguridad de la
información para la aceptación de los riesgos?
Este proceso establece y mantiene criterios de riesgo de seguridad de la
información para la valoración de los riesgos?
Se aseguran que las valoraciones repetidas de los riesgos de seguridad de la
información produzcan resultados consistente, validos y comparables?
Se identifican los riesgos de seguridad de la información?
Se aplica un proceso de valoración a los riesgos de seguridad de la información para
identificar los riesgos asociados con la perdida de confidencialidad de información
dentro del alcance del SGSI?
Se aplica un proceso de valoración a los riesgos de seguridad de la información para
identificar los riesgos asociados con la perdida de integridad de información dentro
del alcance del SGSI?
Se aplica un proceso de valoración a los riesgos de seguridad de la información para
identificar los riesgos asociados con la perdida de disponibilidad de información
dentro del alcance del SGSI?
Se identifican los dueños de los riesgos?
Se realiza un análisis a los riesgos identificados?
Se valoran las consecuencias potenciales, que resultaran si se materializaran los
riesgos identificados?
Se valora la probabilidad realista de que ocurran los riesgos identificados?
Se determinan el nivel de cada riesgo?
Se realiza una evaluación a los riesgos de la información?
Se realiza una comparación de los resultados del análisis de los riesgos con los
criterios establecidos?
Los riesgos analizados son priorizados para establecer su tratamiento?
Se conserva la información documentada acerca del proceso de valoración de los
* riesgos de seguridad de la información?
6,1,3 Tratamiento de riesgos de la seguridad de la información
 Se cuenta con un proceso definido y aplicado para el tratamiento de los riesgos de
seguridad de la información?
Las opciones de tratamiento seleccionadas, están basadas en los resultados de la
valoración previa?
Se determinan los controles necesarios para la implementación de las acciones
escogidas para el tratamiento de los riesgos?
Se hace una validación de los controles implementados Vs. El Anexo A de la norma
ISO 27001? (con el fin de que no sean omitidos controles necesarios)
Se cuenta con una declaración de aplicabilidad que contenga los controles
necesarios, inclusiones y exclusiones, junto con su justificación?

Se cuenta con un plan de tratamiento los riesgos de seguridad de la información?

Los Dueños de los riesgos han aprobado el plan de tratamiento de seguridad de la

información?
Los Dueños de los riesgos han aceptado los riesgos residuales de seguridad de la
información?
Se conserva la información documentada acerca del proceso de tratamiento de los
* riesgos de seguridad de la información?
Objetivos de seguridad de la información
6.2 y planes para lograrlos
Se cuentan con objetivos de seguridad de la información en las funciones y niveles
pertinentes?
Los objetivos de seguridad de la información son?:
Son coherente con la política de seguridad de la información?
Son medibles?
Se tuvieron en cuenta los requisitos de seguridad de la información los
resultados de la valoración y del tratamiento de los riesgos?
Son comunicados estos objetivos en los niveles pertinentes?
Son actualizados según sea apropiado?
* Se conserva información documentada sobre estos objetivos?
Se determinan los siguientes ítems, al momento de realizar la planificación para
lograr los objetivos de seguridad de la información?
Se define de forma clara lo que se va a hacer?
Se definen los recursos necesarios para lograr los objetivos?
Se definen el o los responsables del cumplimiento de estos objetivos?
Se establece la fecha limite para su cumplimiento (cuando finalizará)?
Se cuenta con metodología del como se evaluaran los resultados?
7 SOPORTE
7.1 Recursos
Se determinan y proporcionan los recursos necesarios para: establecer,
implementar, mantener y mejorar continuamente el SGSI?
7.2 Competencia
 Se determina la competencia necesaria de las personas que realizan, bajo su
control, un trabajo que afecte el desempeño de la seguridad de la información?

Las personas contratadas cuentan con la educación, formación o experiencia

establecidas?
Se toman acciones para adquirir la competencia necesaria y evaluar
la eficacia de las acciones tomadas?
Se conservar la información documentada apropiada, como evidencia de la
* competencia?
7.3 Toma de conciencia
Los colaboradores son consientes de la importancia de la política de seguridad de la
información y toman conciencia de esta?

Los colaboradores son consientes de su efecto y contribución a la eficacia del SGSI?

Los colaboradores son consientes de su contribución a la mejora del desempeño del

SGSI?
Los colaboradores son consientes de las implicaciones de la no conformidad con los
requisitos del SGSI?
7.4 Comunicación
Se determinan las necesidades de comunicación internas y externas del SGSI?
Se cuenta con una metodología para la identificación de la información a
comunicar?
Se define cuando se debe comunicar?
Se define a quienes se debe comunicar?
Se definen el o los responsables de realizar estos comunicados?
Se cuenta con un proceso para llevar a cabo estas comunicaciones?
7.5 Información documentada
7,5,1 Generalidades
El SGSI contiene la información documentada requerida por la Norma ISO 27001 -
2013?
El SGSI contiene la información documentada que se haya determinado que es
necesaria para garantizar la eficacia del SGSI?
La información documentada es acorde al tipo de organización?
7,5,1 Creación y actualización
La información documentada al ser creada y/o actualizada, es identificada y cuenta
con una descripción?

Se cuenta con un formato establecido según el tipo de información documentada?

Se definen los medios de soporte (físico, magnético) para la información

documentada?
7,5,1 Control de la información documentada
La información documentada esta disponible y es adecuada para su uso, donde y
cuando se necesite?
 La información documentada es protegida adecuadamente (por ejemplo, contra
pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad)?

Se aplican los siguientes controles cuando es aplicable?

Distribución, acceso, recuperación y uso
Almacenamiento y preservación, incluida la preservación de la legibilidad
Control de cambios (por ejemplo, control de versión); y
Retención y disposición.
La información documentada de origen necesaria para la planeación y operación
del SGSI es identificada y controlada?
8 OPERACIÓN
8.1 Planificación y control operacional
Se planifican, implementan y controlan los procesos necesarios para cumplir con los
requisitos de seguridad de la información?
Se planifican, implementan y controlan los procesos necesarios para implementar
las acciones para tratar los riesgos y oportunidades?
Se implementan planes para lograr los objetivos de seguridad de la información
establecidos?
Se conserva información documentada como evidencia de que los procesos se han
* ejecutado según lo planificado?
Son controlados los cambios planificados?
Se revisan las consecuencias de los cambios no previstos?
Se toman acciones para mitigar los efectos adversos, cuando sea
necesario?.
Se controlan los procesos contratados externamente?
8.2 Valoración de riesgos de la seguridad de la información

Se llevan a cabo valoraciones de riesgos de la seguridad de la información a

intervalos planificados o cuando se propongan u ocurran cambios significativos?

Se conserva información documentada de los resultados de las

* valoraciones de riesgos de la seguridad de la información?
8.3 Tratamiento de riesgos de la seguridad de la información
Se implementan planes para el tratamiento de los riesgos de la seguridad de la
información?
Se conserva información documentada de los resultados del tratamiento de los
riesgos de seguridad de la información?
9 EVALUACIÓN DEL DESEMPEÑO
9.1 Seguimiento, medición, análisis y evaluación

Se evalúa el desempeño de la seguridad de la información y la eficacia del SGSI?

Se determinan a que es necesario realizar seguimiento, que es necesario medir,

incluidos los procesos y controles de la seguridad de la información?
 Se cuentan con métodos de seguimiento, medición, análisis y evaluación, según sea
aplicable, para asegurar resultados válidos?
Los métodos establecidos producen resultados comparables y reproducibles?

Se tienen establecidos los periodos para llevar a cabo el seguimiento y la medición?

Se tiene definido quién debe llevar a cabo el seguimiento y la medición?

Se establece cuándo se deben analizar y evaluar los resultados del seguimiento y de
la medición?
Se tiene definido quién debe analizar y evaluar estos resultados?
Se conserva información documentada apropiada como evidencia de los resultados
* de monitoreo y de la medición?
9.2 Auditoría interna
Se realizan auditorias internas al SGSI a intervalos planificados?
Las auditorias realizadas validan la conformidad con los requisitos propios de la
organización para el SGSI?

Las auditorias evalúan la conformidad con los requisitos de la ISO 27001 - 2013?

Se verifica que el SGSI, esté implementado y mantenido eficazmente?

Se planifican, establecen, implementan y mantienen uno o varios programas de
auditoria?
Estos programas de auditoria incluyen: Frecuencia, métodos, responsabilidades,
requisitos de planificación y elaboración de informes?
El programa de auditoria considera la importancia de los procesos involucrados y
los resultados de auditorias previas?
Se definen previamente los criterios y el alcance de cada auditoria?
Los auditores seleccionados son ajenos al proceso a auditar?
Los resultados de las auditorias son informados a la dirección pertinente?
Se conserva información documentada como evidencia de la implementación del
* programa de auditorias y los resultados de esta?
9.3 Revisión por la dirección
La alta dirección realiza revisiones al SGSI a intervalos planificados?
A través de estas revisiones la alta dirección se asegura de su conveniencia,
adecuación eficacia continuas?
La revisión por la dirección incluye lo siguiente:
El estado de las acciones, derivadas de las revisiones previas?
Cambio en cuestiones internas y externas que afecten el SGSI?
Retroalimentaciones sobre el desempeño de la seguridad de la información incluido
lo siguiente?
Retroalimentación sobre el estado y gestión de las no conformidades y acciones
correctivas?
Retroalimentación sobre los seguimientos y resultados de las mediciones?
 El resultado de las auditorias realizadas?
El cumplimiento de los objetivos de la seguridad de la información?
Se incluye en el informe la retroalimentación proporcionada por las partes
interesadas?
Se incluyen los resultados de la valoración de riesgos y el estado del plan de
tratamiento de riesgos?

Se incluyen consideraciones sobre oportunidades de mejora?

Los resultados de las revisiones incluye las decisiones relacionadas con las
oportunidades de mejora y necesidades de cambio del SGSI?
Se conserva información documentada como evidencia de los resultados de las
revisiones por la dirección?
10 MEJORA
10.1 No conformidades y acciones correctivas
Se cuenta con una metodología establecida para el tratamiento de no
conformidades?
Se reacciona ante una no conformidad, según se aplicable?
Se toman las acciones pertinentes para controlarla y corregirla?
Se hace frente a las consecuencias?
Se evalúan la necesidad de las acciones para eliminar las causas de las no
conformidades, a través de?
Una revisión de la no conformidad
Determinar las causas de la no conformidad
Determinar si existen no conformidades similares, o que potencialmente
pudieran ocurrir
Se implementan las acciones necesarias?
Se realiza revisión de la eficacia de las acciones correctivas tomadas?
De ser necesario se realizan los cambios en el SGSI?
Las acciones correctivas son apropiadas a los efectos de las no conformidades
encontradas?
Se conserva información documentada como evidencia de la naturaleza de las no
* conformidades y cualquier acción posterior?
Se conserva información documentada de los resultados de la gestión de las acción
* correctiva?
10.2 Mejora continua
Se mejora continuamente la conveniencia adecuación y eficacia del SGSI?
eguridad de la información

Análisis de cumplimiento RECOMENDACIONES

50% 75% 100%
 ANEXO A
(Normativo)

OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA

Los objetivos de control y controles enumerados en la Tabla A.1 se obtienen directamente de la ISO/IEC
27002:2013[1], numerales 5 a 18 y están alineados con ella, y se deben usar en contexto con el numeral 6.1.3.

Tabla A.1. Objetivos de control y controles

A.

A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN

A.5.1 Orientación de la dirección para la gestión de la seguridad de la información
Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo
con los requisitos del negocio y con las leyes y reglamentos pertinentes.

Control
Políticas para la seguridad de Se debe definir un conjunto de políticas para la seguridad de la
A.5.1.1 la información información, aprobada por la dirección, publicada y comunicada a
los empleados y a las partes externas pertinentes.

Control
Revisión de las políticas para Las políticas para la seguridad de la información se deben revisar a
A.5.1.2 la seguridad de la información intervalos planificados, o si ocurren cambios significativos, para
asegurar su conveniencia, adecuación y eficacia continúas.

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1 Organización interna
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y la operación de
la seguridad de la información dentro de la organización.
Roles y responsabilidades Control
A.6.1.1 para la seguridad de la Se deben definir y asignar todas las responsabilidades de la
información seguridad de la información.

Control
Los deberes y áreas de responsabilidad en conflicto se deben
A.6.1.2 Separación de deberes separar para reducir las posibilidades de modificación no
autorizada o no intencional, o el uso indebido de los activos de la
organización.

Control
A.6.1.3 Contacto con las autoridades Se deben mantener contactos apropiados con las autoridades
pertinentes.

Control
A.6.1.4 Contacto con grupos de Se deben mantener contactos apropiados con grupos de interés
interés especial especial u otros foros y asociaciones profesionales especializadas
en seguridad.

Seguridad de la información
A.6.1.5
en la gestión de proyectos
A.6.2 Dispositivos móviles y teletrabajo
Control
La seguridad de la información se debe tratar en la gestión de
proyectos, independientemente del tipo de proyecto.
Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
Control
Política para dispositivos Se deben adoptar una política y unas medidas de seguridad de
A.6.2.1 móviles soporte, para gestionar los riesgos introducidos por el uso de
dispositivos móviles.

Control
Se deben implementar una política y unas medidas de seguridad
A.6.2.2 Teletrabajo de soporte, para proteger la información a la que se tiene acceso,
que es procesada o almacenada en los lugares en los que se realiza
teletrabajo.

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS

A.7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles
para los que se consideran.

Control
Las verificaciones de los antecedentes de todos los candidatos a
un empleo se deben llevar a cabo de acuerdo con las leyes,
A.7.1.1 Selección reglamentaciones y ética pertinentes, y deben ser proporcionales
a los requisitos de negocio, a la clasificación de la información a
que se va a tener acceso, y a los riesgos percibidos.

Control
Términos y condiciones del Los acuerdos contractuales con empleados y contratistas deben
A.7.1.2 empleo establecer sus responsabilidades y las de la organización en cuanto
a la seguridad de la información.
A.7.2 Durante la ejecución del empleo
Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad
de la información y las cumplan.

Control
Responsabilidades de la La dirección debe exigir a todos los empleados y contratistas la
A.7.2.1 dirección aplicación de la seguridad de la información de acuerdo con las
políticas y procedimientos establecidos por la organización.

Control
Toma de conciencia, educación y Todos los empleados de la organización, y en donde sea
pertinente, los contratistas, deben recibir la educación y la
A.7.2.2 formación en la formación en toma de conciencia apropiada, y actualizaciones
seguridad de la información regulares sobre las políticas y procedimientos de la organización
pertinentes para su cargo.

Control
Se debe contar con un proceso formal, el cual debe ser
A.7.2.3 Proceso disciplinario comunicado, para emprender acciones contra empleados que
hayan cometido una violación a la seguridad de la información.

A.7.3 Terminación y cambio de empleo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo.

Terminación o cambio de
A.7.3.1
responsabilidades de empleo
Control
Las responsabilidades y los deberes de seguridad de la
información que permanecen válidos después de la terminación o
cambio de empleo se deben definir, comunicar al empleado o
contratista y se deben hacer cumplir.

A.8 GESTIÓN DE ACTIVOS

A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección apropiadas
Control
Se deben identificar los activos asociados con información e
A.8.1.1 Inventario de activos instalaciones de procesamiento de información, y se debe elaborar
y mantener un inventario de estos activos.

Control
A.8.1.2 Propiedad de los activos Los activos mantenidos en el inventario deben tener un
propietario.

Control
Se deben identificar, documentar e implementar reglas para el uso
A.8.1.3 Uso aceptable de los activos aceptable de información y de activos asociados con información e
instalaciones de procesamiento de información.

Control
Todos los empleados y usuarios de partes externas deben devolver
A.8.1.4 Devolución de activos todos los activos de la organización que se encuentren a su cargo,
al terminar su empleo, contrato o acuerdo.

A.8.2 Clasificación de la información

Objetivo: Asegurar que la información recibe un nivel apropiado de protección, de acuerdo con su importancia
para
la organización.
Control
La información se debe clasificar en función de los requisitos
A.8.2.1 Clasificación de la información legales, valor, criticidad y susceptibilidad a divulgación o a
modificación no autorizada.

Control
Se debe desarrollar e implementar un conjunto adecuado de
A.8.2.2 Etiquetado de la información procedimientos para el etiquetado de la información, de acuerdo
con el esquema de clasificación de información adoptado por la
organización

Control
Se deben desarrollar e implementar procedimientos para el
A.8.2.3 Manejo de activos manejo de activos, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
A.8.3 Manejo de medios
Objetivo: Evitar la divulgación, la modificación, el retiro o la destrucción no autorizados de información
almacenada
en los medios.
Control
Se deben implementar procedimientos para la gestión de medios
A.8.3.1 Gestión de medios removibles removibles, de acuerdo con el esquema de clasificación adoptado
por la organización.
 Control
A.8.3.2 Disposición de los medios Se debe disponer en forma segura de los medios cuando ya no se
requieran, utilizando procedimientos formales.

Control
Los medios que contienen información se deben proteger contra
A.8.3.3 Transferencia de medios físicos acceso no autorizado, uso indebido o corrupción durante el
transporte.
A.9 CONTROL DE ACCESO
A.9.1 Requisitos del negocio para control de acceso
Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de información.
Control
Se debe establecer, documentar y revisar una política de control
A.9.1.1 Política de control de acceso de acceso con base en los requisitos del negocio y de seguridad de
la información.

Control
Acceso a redes y a servicios en Solo se debe permitir acceso de los usuarios a la red y a los
A.9.1.2 red servicios de red para los que hayan sido autorizados
específicamente.
A.9.2 Gestión de acceso de usuarios

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.

Control
Registro y cancelación del Se debe implementar un proceso formal de registro y de
A.9.2.1 registro de usuarios cancelación de registro de usuarios, para posibilitar la asignación
de los derechos de acceso.

Control
Suministro de acceso de Se debe implementar un proceso de suministro de acceso formal
A.9.2.2 usuarios de usuarios para asignar o revocar los derechos de acceso para
todo tipo de usuarios para todos los sistemas y servicios.

Control
Gestión de derechos de acceso
A.9.2.3 Se debe restringir y controlar la asignación y uso de derechos de
privilegiado acceso privilegiado.

Gestión de información de Control

A.9.2.4 autenticación secreta de La asignación de información de autenticación secreta se debe
usuarios controlar por medio de un proceso de gestión formal.

Control
Revisión de los derechos de
A.9.2.5 Los propietarios de los activos deben revisar los derechos de
acceso de usuarios acceso de los usuarios, a intervalos regulares.

Control
Los derechos de acceso de todos los empleados y de usuarios
Retiro o ajuste de los derechos
A.9.2.6 externos a la información y a las instalaciones de procesamiento
de acceso de información se deben retirar al terminar su empleo, contrato o
acuerdo, o se deben ajustar cuando se hagan cambios.

A.9.3 Responsabilidades de los usuarios

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación.
 Control
Uso de información de
A.9.3.1 Se debe exigir a los usuarios que cumplan las prácticas de la
autenticación secreta organización para el uso de información de autenticación secreta

A.9.4 Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
Control
Restricción de acceso a la El acceso a la información y a las funciones de los sistemas de las
A.9.4.1 información aplicaciones se debe restringir de acuerdo con la política de
control de acceso.

Control
Procedimiento de ingreso seguro Cuando lo requiere la política de control de acceso, el acceso a
A.9.4.2 sistemas y aplicaciones se debe controlar mediante un proceso de
ingreso seguro.

Control
Sistema de gestión de
A.9.4.3 Los sistemas de gestión de contraseñas deben ser interactivos y
contraseñas deben asegurar la calidad de las contraseñas.

Control
Uso de programas utilitarios Se debe restringir y controlar estrictamente el uso de programas
A.9.4.4 privilegiados utilitarios que odrían tener capacidad de anular el sistema y los
controles de las aplicaciones.

Control de acceso a códigos Control

A.9.4.5 fuente de programas Se debe restringir el acceso a los códigos fuente de los programas.

A.10 CRIPTOGRAFÍA
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o
la
integridad de la información.

Control
Política sobre el uso de
A.10.1.1 Se debe desarrollar e implementar una política sobre el uso de
controles criptográficos controles criptográficos para la protección de la información.

Control
Se debe desarrollar e implementar una política sobre el uso,
A.10.1.2 Gestión de llaves protección y tiempo de vida de las llaves criptográficas, durante
todo su ciclo de vida.
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y a las instalaciones de
procesamiento de información de la organización.

Control
Perímetro de seguridad Se deben definir y usar perímetros de seguridad, y usarlos para
A.11.1.1 física proteger áreas que contengan información confidencial o crítica, e
instalaciones de manejo de información.

Control
Controles de acceso Las áreas seguras se deben proteger mediante controles de acceso
A.11.1.2 físicos apropiados para asegurar que solo se permite el acceso a personal
autorizado.
 Seguridad de oficinas, recintos e Control
A.11.1.3 Se debe diseñar y aplicar seguridad física a oficinas, recintos e
instalaciones instalaciones.

Control
Protección contra amenazas
A.11.1.4 Se debe diseñar y aplicar protección física contra desastres
externas y ambientales naturales, ataques maliciosos o accidentes.

Control
Trabajo en áreas
A.11.1.5 Se deben diseñar y aplicar procedimientos para trabajo en áreas
seguras seguras.

Control
Se deben controlar los puntos de acceso tales como áreas de
Áreas de despacho y despacho y de carga y otros puntos en donde pueden entrar
A.11.1.6 carga personas no autorizadas, y si es posible, aislarlos de las
instalaciones de procesamiento de información para
evitar el acceso no autorizado.

A.11.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la
organización.

Control
Ubicación y protección de Los equipos deben estar ubicados y protegidos para reducir los
A.11.2.1 los equipos riesgos de amenazas y peligros del entorno, y las posibilidades de
acceso no autorizado.

Control
A.11.2.2 Servicios de suministro Los equipos se deben proteger contra fallas de energía y otras
interrupciones causadas por fallas en los servicios de suministro.

Control
El cableado de energía eléctrica y de telecomunicaciones que
A.11.2.3 Seguridad del cableado porta datos o brinda soporte a los servicios de información se
debe proteger contra interceptación, interferencia o daño

Control
A.11.2.4 Mantenimiento de equipos Los equipos se deben mantener correctamente para asegurar su
disponibilidad e integridad continuas.

Control
A.11.2.5 Retiro de activos Los equipos, información o software no se deben retirar de su sitio
sin autorización previa.

Seguridad de equipos y activos
A.11.2.6
fuera de las instalaciones
Control
Se deben aplicar medidas de seguridad a los activos que se
encuentran fuera de las instalaciones de la organización, teniendo
en cuenta los diferentes riesgos de trabajar fuera de dichas
instalaciones.

Control
Disposición segura o reutilización Se deben verificar todos los elementos de equipos que contengan
A.11.2.7 medios de almacenamiento para asegurar que cualquier dato
de equipos confidencial o software licenciado haya sido retirado o
sobreescrito en forma segura antes de su disposición o reuso.
 Control
A.11.2.8 Equipos de usuario desatendido Los usuarios deben asegurarse de que a los equipos desatendidos
se les da protección apropiada.

Control
Se debe adoptar una política de escritorio limpio para los papeles
Política de escritorio limpio y
A.11.2.9 y medios de almacenamiento removibles, y una política de
pantalla limpia pantalla limpia en las instalaciones de procesamiento de
información.

A.12 SEGURIDAD DE LAS OPERACIONES

A.12.1 Procedimientos operacionales y responsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información.

Control
Procedimientos de operación
A.12.1.1 Los procedimientos de operación se deben documentar y poner a
documentados disposición de todos los usuarios que los necesitan.

Control
Se deben controlar los cambios en la organización, en los procesos
A.12.1.2 Gestión de cambios de negocio, en las instalaciones y en los sistemas de
procesamiento de información que afectan la seguridad de la
información.

Control
Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y
A.12.1.3 Gestión de capacidad hacer proyecciones de los requisitos de capacidad futura, para
asegurar el desempeño requerido del sistema.

Control
Separación de los ambientes de Se deben separar los ambientes de desarrollo, prueba y operación,
A.12.1.4 desarrollo, pruebas, y operación para reducir los riesgos de acceso o cambios no autorizados al
ambiente de operación.
A.12.2 Protección contra códigos maliciosos
Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas
contra códigos maliciosos.

Control
Controles contra códigos Se deben implementar controles de detección, de prevención y de
A.12.2.1 maliciosos recuperación, combinados con la toma de conciencia apropiada de
los usuarios, para proteger contra códigos maliciosos.

A.12.3 Copias de respaldo

Objetivo: Proteger contra la pérdida de datos.

Control
Se deben hacer copias de respaldo de la información, software e
A.12.3.1 Respaldo de la información imágenes de los sistemas, y ponerlas a prueba regularmente de
acuerdo con una política de copias de respaldo acordadas

A.12.4 Registro y seguimiento

Objetivo: Registrar eventos y generar evidencia.
Control
Se deben elaborar, conservar y revisar regularmente los registros
A.12.4.1 Registro de eventos acerca de actividades del usuario, excepciones, fallas y eventos de
seguridad de la información.
 Protección de la información de Control
A.12.4.2 Las instalaciones y la información de registro se deben proteger
registro contra alteración y acceso no autorizado.

Control
Registros del administrador y del Las actividades del administrador y del operador del sistema se
A.12.4.3 operador deben registrar, y los registros se deben proteger y revisar con
regularidad.

Control
Los relojes de todos los sistemas de procesamiento de información
A.12.4.4 Sincronización de relojes pertinentes dentro de una organización o ámbito de seguridad se
deben sincronizar con una única fuente de referencia de tiempo.

A.12.5 Control de software operacional

Objetivo:
Asegurarse de la integridad de los sistemas operacionales
Control
Instalación de software en
A.12.5.1 Se deben implementar procedimientos para controlar la
sistemas operativos instalación de software en sistemas operativos.
A.12.6 Gestión de la vulnerabilidad técnica
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas.

Control
Se debe obtener oportunamente información acerca de las
Gestión de las vulnerabilidades vulnerabilidades técnicas de los sistemas de información que se
A.12.6.1 técnicas usen; evaluar la exposición de la organización a estas
vulnerabilidades, y tomar las medidas apropiadas para tratar el
riesgo asociado.

Restricciones sobre la instalación Control

A.12.6.2 Se debe establecer e implementar las reglas para la instalación de
de software software por parte de los usuarios.
A.12.7 Consideraciones sobre auditorías de sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría sobre los sistemas operativos.

Controles de auditorías de
A.12.7
sistemas de información
Control
Los requisitos y actividades de auditoría que involucran la
verificación de los sistemas operativos se deben planificar y
acordar cuidadosamente para minimizar las interrupciones en los
procesos del negocio.

A.13 SEGURIDAD DE LAS COMUNICACIONES

A.13.1 Gestión de la seguridad de las redes
Objetivo: Asegurar la protección de la información en las redes, y sus instalaciones de procesamiento de
información
de soporte.
Control
A.13.1.1 Controles de redes Las redes se deben gestionar y controlar para proteger la
información en sistemas y aplicaciones.

Control
Se deben identificar los mecanismos de seguridad, los niveles de
A.13.1.2 Seguridad de los servicios de red servicio y los requisitos de gestión de todos los servicios de red, e
incluirlos en los acuerdos de servicio de red, ya sea que los
servicios se presten internamente o se contraten externamente.
 Control
A.13.1.3 Separación en las redes Los grupos de servicios de información, usuarios y sistemas de
información se deben separar en las redes.
A.13.2 Transferencia de información
Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad
externa.

Políticas y procedimientos de
A.13.2.1
transferencia de información
Control
Se debe contar con políticas, procedimientos y controles de
transferencia formales para proteger la transferencia de
información mediante el uso de todo tipo de instalaciones de
comunicaciones.

Acuerdos sobre transferencia de Control

A.13.2.2 Los acuerdos deben tratar la transferencia segura de información
información del negocio entre la organización y las partes externas.

Control
A.13.2.3 Mensajería electrónica Se debe proteger adecuadamente la información incluida en la
mensajería electrónica.

Acuerdos de confidencialidad o
A.13.2.4
de no divulgación
Control
Se deben identificar, revisar regularmente y documentar los
requisitos para los acuerdos de confidencialidad o no divulgación
que reflejen las necesidades de la organización para la protección
de la información.

A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.14.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad de la información sea una parte integral de los sistemas de información
durante
todo el ciclo de vida. Esto incluye también los requisitos para sistemas de información que prestan servicios sobre
redes públicas.
Control
Análisis y especificación de Los requisitos relacionados con seguridad de la información se
A.14.1.1 requisitos de seguridad de la deben incluir en los requisitos para nuevos sistemas de
información información o para mejoras a los sistemas de información
existentes.

Seguridad de servicios de las
A.14.1.2
aplicaciones en redes públicas
Control
La información involucrada en los servicios de las aplicaciones que
pasan sobre redes públicas se debe proteger de actividades
fraudulentas, disputas contractuales y divulgación y modificación
no autorizadas.

Protección de transacciones
A.14.1.3 de los servicios de las
aplicaciones
Control
La información involucrada en las transacciones de los servicios de
las aplicaciones se debe proteger para evitar la transmisión
incompleta, el enrutamiento errado, la alteración no autorizada de
mensajes, la divulgación no autorizada, y la duplicación o
reproducción de mensajes
no autorizada.

A.14.2 Seguridad en los procesos de desarrollo y de soporte

Objetivo: Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de
desarrollo de los sistemas de información.
 Control
A.14.2.1 Política de desarrollo seguro Se deben establecer y aplicar reglas para el desarrollo de software
y de sistemas, a los desarrollos dentro de la organización.

Control
Procedimientos de control de Los cambios a los sistemas dentro del ciclo de vida de desarrollo se
A.14.2.2 cambios en sistemas deben controlar mediante el uso de procedimientos formales de
control de cambios.

Control
Revisión técnica de las Cuando se cambian las plataformas de operación, se deben revisar
A.14.2.3 aplicaciones después de cambios las aplicaciones críticas del negocio, y someter a prueba para
en la plataforma de operación asegurar que no haya impacto adverso en las operaciones o
seguridad de la organización.

Control
Restricciones en los cambios a Se deben desalentar las modificaciones a los paquetes de
A.14.2.4 los paquetes de software software, los cuales se deben limitar a los cambios necesarios, y
todos los cambios se deben controlar estrictamente.

Control
Principios de construcción de los Se deben establecer, documentar y mantener principios para la
A.14.2.5 sistemas seguros construcción de sistemas seguros, y aplicarlos a cualquier
actividad de implementación de sistemas de información.

Control
Las organizaciones deben establecer y proteger adecuadamente
A.14.2.6 Ambiente de desarrollo seguro los ambientes de desarrollo seguros para las actividades de
desarrollo e integración de sistemas que comprendan todo el ciclo
de vida de desarrollo de sistemas.

Control
Desarrollo contratado
A.14.2.7 La organización debe supervisar y hacer seguimiento de la
externamente actividad de desarrollo de sistemas contratados externamente.

Control
A.14.2.8 Pruebas de seguridad de sistemasDurante el desarrollo se deben llevar a cabo pruebas de
funcionalidad de la seguridad.

Control
Prueba de aceptación de Para los sistemas de información nuevos, actualizaciones y nuevas
A.14.2.9 sistemas versiones, se deben establecer programas de prueba para
aceptación y criterios de aceptación relacionados.
A.14.3 Datos de prueba
Objetivo: Asegurar la protección de los datos usados para pruebas.
Control
A.14.3.1 Protección de datos de prueba Los datos de prueba se deben seleccionar, proteger y controlar
cuidadosamente.
A.15 RELACIONES CON LOS PROVEEDORES
A.15.1 Seguridad de la información en las relaciones con los proveedores
Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
 Control
Política de seguridad de la Los requisitos de seguridad de la información para mitigar los
A.15.1.1 información para las relaciones riesgos asociados con el acceso de proveedores a los activos de la
con proveedores organización se deben acordar con éstos y se deben documentar.

Tratamiento de la seguridad
A.15.1.2 dentro de los acuerdos con
proveedores
Control
Se deben establecer y acordar todos los requisitos de seguridad de
la información pertinentes con cada proveedor que pueda tener
acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la información de la
organización.

Cadena de suministro de
A.15.1.3 tecnología de información y
comunicación
Control
Los acuerdos con proveedores deben incluir requisitos para tratar
los riesgos de seguridad de la información asociados con la cadena
de suministro de productos y servicios de tecnología de
información y comunicación.

A.15.2 Gestión de la prestación de servicios de proveedores

Objetivo:
Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos
con
los proveedores.
Control
Seguimiento y revisión de los
A.15.2.1 Las organizaciones deben hacer seguimiento, revisar y auditar con
servicios de los proveedores regularidad la prestación de servicios de los proveedores.

Gestión de cambios en los
A.15.2.2
servicios de los proveedores
Control
Se deben gestionar los cambios en el suministro de servicios por
parte de los proveedores, incluido el mantenimiento y la mejora
de las políticas, procedimientos y controles de seguridad de la
información existentes, teniendo en cuenta la criticidad de la
información, sistemas y procesos del
negocio involucrados, y la reevaluación de los riesgos.

A.16 Gestión de incidentes de seguridad de la información

A.16.1 Gestión de incidentes y mejoras en la seguridad de la información
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información,
incluida la comunicación sobre eventos de seguridad y debilidades.

Control
Responsabilidades y Se deben establecer las responsabilidades y procedimientos de
A.16.1.1 procedimientos gestión para asegurar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información.

Control
Reporte de eventos de seguridad dLos eventos de seguridad de la información se deben informar a
A.16.1.2 través de los canales de gestión apropiados, tan pronto como sea
posible.

Reporte de debilidades de
A.16.1.3
seguridad de la información
Control
Se debe exigir a todos los empleados y contratistas que usan los
servicios y sistemas de información de la organización, que
observen y reporten cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas o servicios.

Control
Evaluación de eventos de Los eventos de seguridad de la información se deben evaluar y se
A.16.1.4 seguridad de la información y debe decidir si se van a clasificar como incidentes de seguridad de
decisiones sobre ellos. la información.

Control
Respuesta a incidentes de
A.16.1.5 Se debe dar respuesta a los incidentes de seguridad de la
seguridad de la información información de acuerdo con procedimientos documentados.

Control
Aprendizaje obtenido de los El conocimiento adquirido al analizar y resolver incidentes de
A.16.1.6 incidentes de seguridad de la seguridad de la información se debe usar para reducir la
información posibilidad o el impacto de incidentes futuros.

Control
La organización debe definir y aplicar procedimientos para la
A.16.1.7 Recolección de evidencia identificación, recolección, adquisición y preservación de
información que pueda servir como evidencia.
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO
A.17.1 Continuidad de seguridad de la información
Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de la
continuidad
de negocio de la organización.
Control
Planificación de la continuidad La organización debe determinar sus requisitos para la seguridad
A.17.1.1 de la información y la continuidad de la gestión de la seguridad de
de la seguridad de la información la información en situaciones adversas, por ejemplo, durante una
crisis o desastre.

Control
Implementación de la La organización debe establecer, documentar, implementar y
A.17.1.2 continuidad de la seguridad de la mantener procesos, procedimientos y controles para asegurar el
información nivel de continuidad requerido para la seguridad de la información
durante una situación adversa.

Control
Verificación, revisión y La organización debe verificar a intervalos regulares los controles
A.17.1.3 evaluación de la continuidad de de continuidad de la seguridad de la información establecidos e
la seguridad de la información implementados, con el fin de asegurar que son válidos y eficaces
durante situaciones adversas.

A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de información.
Control
Disponibilidad de instalaciones Las instalaciones de procesamiento de información se deben
A.17.2.1 de procesamiento de implementar con redundancia suficiente para cumplir los
información. requisitos de disponibilidad.
A.18 CUMPLIMIENTO
A.18.1 Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales
relacionadas con seguridad de la información y de cualquier requisito de seguridad.

Identificación de la legislación
A.18.1.1 aplicable y de los requisitos
contractuales
Control
Todos los requisitos estatutarios, reglamentarios y contractuales
pertinentes y el enfoque de la organización para cumplirlos, se
deben identificar y documentar explícitamente, y mantenerlos
actualizados para cada sistema de información y para la
organización

Control
Se deben implementar procedimientos apropiados para asegurar
Derechos de propiedad
A.18.1.2 el cumplimiento de los requisitos legislativos, de reglamentación y
intelectual contractuales relacionados con los derechos de propiedad
intelectual y el uso de productos de software patentados.

Control
Los registros se deben proteger contra pérdida, destrucción,
A.18.1.3 Protección de registros falsificación, acceso no autorizado y liberación no autorizada, de
acuerdo con los requisitos legislativos, de reglamentación,
contractuales y de negocio.

Control
Privacidad y protección de Se deben asegurar la privacidad y la protección de la información
A.18.1.4 información de datos personales de datos personales, como se exige en la legislación y la
reglamentación pertinentes, cuando sea aplicable.

Control
Reglamentación de controles
A.18.1.5 Se deben usar controles criptográficos, en cumplimento de todos
criptográficos los acuerdos, legislación y reglamentación pertinentes.

A.18.2 Revisiones de seguridad de la información

Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las políticas y
procedimientos organizacionales

Control
El enfoque de la organización para la gestión de la seguridad de la
Revisión independiente de la información y su implementación (es decir, los objetivos de
A.18.2.1 control, los controles, las políticas, los procesos y los
seguridad de la información procedimientos para seguridad de la información) se deben revisar
independientemente a intervalos planificados o cuando ocurran
cambios significativos.

Control
Los directores deben revisar con regularidad el cumplimiento del
A.18.2.2 Cumplimiento con las políticas y procesamiento y procedimientos de información dentro de su área
de responsabilidad, con las políticas y normas de seguridad
apropiadas, y cualquier otro requisito de seguridad.

Control
Revisión del cumplimiento Los sistemas de información se deben revisar periódicamente para
A.18.2.3 técnico determinar el cumplimiento con las políticas y normas de
seguridad de la información.