Nm.

NOMBRE DEL CONTROL

Polticas de seguridad de la informacin

5.1

Directrices establecidas por

la direccin para la seguridad de la
informacin

5.1.1

Polticas para la seguridad de la

informacin

5.1.2

Revisin de las polticas

para seguridad de la informacin

Organizacin de la
seguridad de la informacin
Organizacin interna

6.1

6.1.1

Roles y responsabilidades para la

seguridad de informacin

6.1.2

Separacin de deberes

6.1.3

Contacto con las

autoridades

6.1.4

Contacto con grupos de inters especial

6.1.5

Seguridad de la informacin
en la gestin de proyectos

6.2

Dispositivos mviles y
teletrabajo

6.2.1

Poltica para dispositivos mviles

6.2.2

Teletrabajo

7.1

Seguridad de los recursos

humanos
Antes de asumir el empleo

7.1.1

Seleccin

7.1.2

Trminos y condiciones del empleo

7.2

Durante la ejecucin del empleo

7.2.1

Responsabilidades de la direccin

7.2.2

Toma de conciencia, educacin y

formacin en la seguridad de la
informacin

7.2.3

Proceso disciplinario

7.3

Terminacin o cambio de
empleo

7.3.1

Terminacin o cambio de
responsabilidades de empleo

Gestin de activos

8.1

Responsabilidad por los activos

8.1.1

Inventario de activos

8.1.2

Propiedad de los activos

8.1.3

Uso aceptable de los activos

8.1.4

Devolucin de activos

8.2

Clasificacin de la informacin

8.2.1

Clasificacin de la informacin

8.2.2

Etiquetado de la informacin

8.2.3

Manejo de activos

8.3.1

Gestin de medios removibles

8.3.2

Disposicin de los medios

8.3.3

Transferencia de medios fsicos

Control de acceso

9.1

Requisitos del negocio para

control de acceso

9.1.1

Poltica de control de acceso

9.1.2

Poltica sobre el uso de los servicios de

red

9.2

Gestin de acceso de
usuarios

9.2.1

Registro y cancelacin del registro de

usuarios

9.2.2

Suministro de acceso de usuarios

9.2.3

Gestin de derechos de
acceso privilegiado

9.2.4

Gestin de informacin de autenticacin

secreta de
usuarios

9.2.5

Revisin de los derechos de acceso de

usuarios

9.2.6

Retiro o ajuste de los derechos de

acceso

9.3

Responsabilidades de los
usuarios

9.3.1

Uso de la informacin de autenticacin

secreta

9.4

Control de acceso a sistemas y

aplicaciones

9.4.1

Restriccin de acceso
Informacin

9.4.2

Procedimiento de ingreso seguro

9.4.3

Sistema de gestin de
contraseas

9.4.4

Uso de programas utilitarios privilegiados

9.4.5

Control de acceso a cdigos

fuente de programas

10

Criptografa

10.1

Controles criptogrficos

10.1.1

Poltica sobre el uso de controles

criptogrficos

10.1.2

Gestin de llaves

11

Seguridad fsica y del

entorno

11.1

reas seguras

11.1.1

Permetro de seguridad fsica

11.1.2

Controles fsicos de entrada

11.1.3

Seguridad de oficinas,
recintos e instalaciones

11.1.4

Proteccin contra amenazas externas y

ambientales

11.1.5

Trabajo en reas seguras

11.1.6

reas de despacho y carga

11.2

Equipos

11.2.1

Ubicacin y proteccin de los equipos

11.2.2

Servicios de suministro

11.2.3

Seguridad del cableado

11.2.4

Mantenimiento de equipos

11.2.5

Retiro de activos

11.2.6

Seguridad de equipos y activos fuera de

las instalaciones

11.2.7

Disposicin segura o reutilizacin de

equipos

11.2.8

Equipos de usuario
desatendidos

11.2.9

Poltica de escritorio limpio y pantalla

limpia

12
12.1

12.1.1

Seguridad de las
operaciones

Procedimientos
operacionales y responsabilidades
Procedimientos de operacin
documentados

12.1.2

Gestin de cambios

12.1.3

Gestin de capacidad

12.1.4

Separacin de los
ambientes de desarrollo, pruebas y
operacin

12.2

Proteccin contra cdigos maliciosos

12.2.1

Controles contra cdigos maliciosos

12.3
12.3.1

Copias de respaldo
Respaldo de informacin

12.4

Registro y seguimiento

12.4.1

Registro de eventos

12.4.2

Proteccin de la informacin
de registro

12.4.3

Registros del administrador y del

operador

12.4.4

sincronizacin de relojes

12.5
12.5.1

Control de software
operacional
Instalacin de software en sistemas
operativos

12.6

Gestin de la vulnerabilidad
tcnica

12.6.1

Gestin de las vulnerabilidades tcnicas

12.6.2

Restricciones sobre la instalacin de

software

12.7

Consideraciones sobre
auditorias de sistemas de informacin

12.7.1

Informacin controles de auditora de

sistemas

13
13.1

Seguridad de las
comunicaciones

Gestin de la seguridad de
las redes

13.1.1

Controles de redes

13.1.2

Seguridad de los servicios de red

13.1.3

Separacin en las redes

13.2

Transferencia de
informacin

13.2.1

Polticas y procedimientos de
transferencia de informacin

13.2.2

Acuerdos sobre transferencia de

informacin

13.2.3

Mensajera electrnica

13.2.4

Acuerdos de confidencialidad o de no
divulgacin

14
14.1.1

Adquisicin, desarrollo y
mantenimientos de sistemas

Requisitos de seguridad de los sistemas

de informacin

14.1.1

Anlisis y especificacin de requisitos de

seguridad de la informacin

14.1.2

Seguridad de servicios de las

aplicaciones en redes publicas

14.1.3

Proteccin de transacciones de los

servicios de las aplicaciones

14.2

Seguridad en los procesos de desarrollo

y soporte

14.2.1

Poltica de desarrollo seguro

14.2.2

Procedimientos de control de cambios en

sistemas

14.2.3

Revisin tcnica de las

aplicaciones despus de cambios en la
plataforma de operacin

14.2.4

Restricciones en los
cambios a los paquetes de software

14.2.5

Principios de construccin de sistemas

seguros

14.2.6

Ambiente de desarrollo seguro

14.2.7

Desarrollo contratado
externamente

14.2.8

Pruebas de seguridad de sistemas

14.2.9

Prueba de aceptacin de sistemas

14.3

Datos de prueba

14.3.1

Proteccin de datos de prueba

15

Relacin con los proveedores

15.1

Seguridad de la informacin en las

relaciones con los proveedores

15.1.1

Poltica de seguridad de la informacin

para las relaciones con proveedores

15.1.2

Tratamiento de la seguridad dentro de

los acuerdos con proveedores

15.1.3

Cadena de suministro de tecnologa de

informacin y comunicacin

15.2

Gestin de la prestacin de
servicios con los proveedores

15.2.1

Seguimiento y revisin de los servicios

de los proveedores

15.2.2

Gestin de cambios en los servicios de

proveedores

16
16.1

Gestin de incidentes de
seguridad de la informacin
Gestin de incidentes y
mejoras en la seguridad de la
informacin

16.1.1

Responsabilidad y procedimientos

16.1.2

Reporte de eventos de seguridad de la

informacin

16.1.3

Reporte de debilidades de seguridad de

la informacin

16.1.4

Evaluacin de eventos de
seguridad de la informacin y decisiones
sobre ellos

16.1.5

Respuesta a incidentes de
seguridad de la informacin

16.1.6

Aprendizaje obtenido de los incidentes

de seguridad de
la informacin

16.1.7

Recoleccin de evidencia

17

Aspectos de seguridad de la
informacin de la gestin de continuidad de negocio

17.1

17.1.1

Continuidad de seguridad de la
informacin

Planificacin de la continuidad de la
seguridad de la informacin

17.1.2

Implementacin de la continuidad de la
seguridad de la informacin

17.1.3

Verificacin, revisin y
evaluacin de la continuidad de la
seguridad de la informacin

17.2

Redundancias

17.2.1

Disponibilidad de
instalaciones de procesamiento de
informacin.

18

Cumplimiento

18.1

Cumplimiento de requisitos legales y

contractuales

18.1.1

Identificacin de la legislacin aplicable y

de los requisitos contractuales

18.1.2

Derechos de propiedad intelectual

18.1.3

Proteccin de registros

18.1.4

Privacidad y proteccin de datos

personales

18.1.5

Reglamentacin de
controles criptogrficos

18.2

Revisiones de seguridad de la
informacin

18.2.1

Revisin independiente de la seguridad

de la informacin

18.2.2

Cumplimiento con las polticas y normas

de seguridad

18.2.3

Revisin del cumplimiento tcnico

DESCRIPCIN

a informacin
Objetivo: Brindar orientacin y apoyo por parte de la direccin, para la
seguridad de la informacin de acuerdo con los requisitos del negocio y con las
leyes y reglamentos pertinentes.

Control: Se debera definir un conjunto de polticas para la seguridad de la

informacin, aprobada por la direccin, publicada y comunicada a los
empleados y partes externas pertinentes.
Control: Las polticas para seguridad de la informacin se deberan
revisar a intervalos planificados o si ocurren cambios significativos, para
asegurar su conveniencia, adecuacin y eficacia continuas.

Objetivo: Establecer un marco de referencia de gestin para iniciar y

controlar la implementacin y la operacin de la seguridad de la informacin
dentro de la organizacin.
Control: Se deberan definir y asignar todas las responsabilidades de la
seguridad de la informacin.

Control: Los deberes y reas de responsabilidad en conflicto se

deberan separar para reducir las posibilidades de modificacin no autorizada o
no intencional, o el uso indebido de los activos de la organizacin.

Control: Se deberan mantener los contactos apropiados con las

autoridades pertinentes.
Control: Es conveniente mantener contactos apropiados con grupos de inters
especial u otros foros y asociaciones profesionales
especializadas en seguridad.
Control: La seguridad de la informacin se debera tratar en la gestin
de proyectos, independientemente del tipo de proyecto.

Objetivo: Garantizar la seguridad del teletrabajo y el uso de

dispositivos mviles.

SI APLICA

Control: Se deberan adoptar una poltica y unas medidas de seguridad de

soporte, para gestionar los riesgos introducidos por el uso de dispositivos
mviles.
Control: Se deberan implementar una poltica y unas medidas de
seguridad de soporte, para proteger la informacin a la que se tiene acceso,
que es procesada o almacenada en los lugares en los que se realiza
teletrabajo.

Objetivo: Asegurar que los empleados y contratistas comprenden sus

responsabilidades y son idneos en los roles para los que se consideran.

Control: Las verificaciones de los antecedentes de todos los candidatos a un

empleo se deberan llevar a cabo de acuerdo con las leyes, reglamentos y tica
pertinentes, y deberan ser proporcionales a los requisitos de negocio, a la
clasificacin de la informacin a que se va a tener acceso, y a los riesgos
percibidos.

Control: Los acuerdos contractuales con empleados y contratistas,

deberan establecer sus responsabilidades y las de la organizacin en cuanto a
la seguridad de la informacin.

Objetivo: Asegurarse de que los empleados y contratistas tomen

conciencia de sus responsabilidades de seguridad de la informacin y las
cumplan.
Control: La direccin debera exigir a todos los empleados y contratistas la
aplicacin de la seguridad de la informacin de acuerdo con las polticas y
procedimientos establecidos por la organizacin.

Control: Todos los empleados de la organizacin, y en donde sea

pertinente, los contratistas, deberan recibir la educacin y la formacin en toma
de conciencia apropiada, y actualizaciones regulares sobre las polticas y
procedimientos pertinentes para su
cargo.

Control: Se debera contar con un proceso disciplinario formal el cual

debera ser comunicado, para emprender acciones contra empleados que
hayan cometido una violacin a la seguridad de la informacin.

Objetivo: Proteger los intereses de la organizacin como parte del

proceso de cambio o terminacin del contrato.
Control: Las responsabilidades y los deberes de seguridad de la informacin
que permanecen validos despus de la terminacin o cambio de contrato se
deberan definir, comunicar al empleado o contratista y se deberan hacer
cumplir.

Objetivo: Identificar los activos organizacionales y definir las responsabilidades

de proteccin apropiadas.
Control: Se deberan identificar los activos asociados con la informacin y las
instalaciones de procesamiento de informacin, y se debera elaborar y
mantener un inventario de estos activos.
Control: Los activos mantenidos en el inventario deberan tener un
propietario.
Control: Se deberan identificar, documentar e implementar reglas
para el uso aceptable de informacin y de activos asociados con informacin e
instalaciones de procesamiento de informacin.

Control: Todos los empleados y usuarios de partes externas deberan

devolver todos los activos de la organizacin que se encuentren a su cargo, al
terminar su empleo, contrato o acuerdo.

Objetivo: Asegurar que la informacin recibe un nivel apropiado de

proteccin, de acuerdo con su importancia para la organizacin.

Control: La informacin se debera clasificar en funcin de los

requisitos legales, valor, criticidad y susceptibilidad a divulgacin o a
modificacin no autorizada.
Control: Se debera desarrollar e implementar un conjunto adecuado
de procedimientos para el etiquetado de la informacin, de acuerdo con el
esquema de clasificacin de informacin adoptado por la organizacin.

Control: Se deberan desarrollar e implementar procedimientos para el

manejo de activos, de acuerdo con el esquema de clasificacin de informacin
adoptado por la organizacin.

Control: Se deberan implementar procedimientos para la gestin de

medios removibles, de acuerdo con el esquema de clasificacin adoptado por la
organizacin.
Control: Se debera disponer en forma segura de los medios cuando
ya no se requieran, utilizando procedimientos formales.

Control: Los medios que contienen informacin se deberan proteger

contra acceso no autorizado, uso indebido o corrupcin durante el transporte.

Objetivo: Limitar el acceso a informacin y a instalaciones de

procesamiento de informacin.
Control: Se debera establecer, documentar y revisar una poltica de control de
acceso con base en los requisitos del negocio y de seguridad de la informacin.

Control: Solo se debera permitir acceso de los usuarios a la red y a

los servicios de red para los que hayan sido autorizados especficamente.

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el

acceso no autorizado a sistemas y servicios.
Control: Se debera implementar un proceso formal de registro y de cancelacin
de registro de usuarios, para posibilitar la asignacin de los derechos de
acceso.
Control: Se debera implementar un proceso de suministro de acceso
formal de usuarios para asignar o revocar los derechos de acceso a todo tipo
de usuarios para todos los sistemas y servicios.

Control: Se debera restringir y controlar la asignacin y uso de

derechos de acceso privilegiado.

Control: La asignacin de la informacin secreta se debera controlar por medio

de un proceso de gestin formal.

Control: Los propietarios de los activos deberan revisar los derechos de acceso
de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de
usuarios externos a la informacin y a las instalaciones de procesamiento de
informacin se deberan retirar al terminar su empleo, contrato o acuerdo, o se
deberan ajustar cuando se hagan cambios.

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de

su informacin de autenticacin.
Control: Se debera exigir a los usuarios que cumplan las prcticas de la
organizacin para el uso de informacin de autenticacin secreta.
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

Control: El acceso a la informacin y a las funciones de los sistemas

de las aplicaciones se debera restringir de acuerdo con la poltica de control de
acceso.
Control: Cuando lo requiere la poltica de control de acceso, el acceso
a sistemas y aplicaciones se debera controlar mediante un proceso de ingreso
seguro.
Control: Los sistemas de gestin de contraseas deberan ser
interactivos y deberan asegurar la calidad de las contraseas.

Control: Se debera restringir y controlar estrictamente el uso de programas

utilitarios que pudieran tener capacidad de anular el sistema y los controles de
las aplicaciones.
Control: Se debera restringir el acceso a los cdigos fuente de los
programas.

Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para

proteger la confidencialidad, la autenticidad y/o la integridad de la informacin.

Control: Se debera desarrollar e implementar una poltica sobre el uso de

controles criptogrficos para la proteccin de la informacin.
Control: Se debera desarrollar e implementar una poltica sobre el
uso, proteccin y tiempo de vida de las llaves criptogrficas durante todo su
ciclo de vida.

Objetivo: Prevenir el acceso fsico no autorizado, el dao y la

interferencia a la informacin y a las instalaciones de procesamiento de
informacin de la organizacin.
Control: Se deberan definir y usar permetros de seguridad, y usarlos para
proteger reas que contengan informacin sensible o critica, e instalaciones de
manejo de informacin.
Control: Las reas seguras se deberan proteger mediante controles
de entrada apropiados para asegurar que solamente se permite el acceso a
personal autorizado.
Control: Se debera disear y aplicar seguridad fsica a oficinas,
recintos e instalaciones.
Control: Se debera disear y aplicar proteccin fsica contra desastres
naturales, ataques maliciosos o accidentes.
Control: Se deberan disear y aplicar procedimientos para trabajo en
reas seguras.
Control: Se deberan controlar los puntos de acceso tales como reas
de despacho y de carga, y otros puntos en donde pueden entrar personas no
autorizadas, y si es posible, aislarlos de las instalaciones de procesamiento de
informacin para evitar el acceso no autorizado.

Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y la

interrupcin de las operaciones de la organizacin.

Control: Los equipos deberan estar ubicados y protegidos para

reducir los riesgos de amenazas y peligros del entorno, y las oportunidades
para acceso no autorizado.

Control: Los equipos se deberan proteger contra fallas de energa y

otras interrupciones causadas por fallas en los servicios de suministro.

Control: El cableado de potencia y de telecomunicaciones que porta

datos o soporta servicios de informacin debera estar protegido contra
interceptacin, interferencia o dao.

Control: Los equipos se deberan mantener correctamente para asegurar su

disponibilidad e integridad continuas.
Control: Los equipos, informacin o software no se deberan retirar de
su sitio sin autorizacin previa.
Control: Se deberan aplicar medidas de seguridad a los activos que
se encuentran fuera de las instalaciones de la organizacin, teniendo en cuenta
los diferentes riesgos de trabajar fuera de dichas instalaciones.

Control: Se deberan verificar todos los elementos de equipos que

contengan medios de almacenamiento, para asegurar que cualquier dato
sensible o software con licencia haya sido retirado o sobrescrito en forma
segura antes de su disposicin o reutilizacin.

Control: Los usuarios deberan asegurarse de que a los equipos

desatendidos se les d proteccin apropiada.
Control: Se debera adoptar una poltica de escritorio limpio para los papeles y
medios de almacenamiento removibles, y una poltica de
pantalla limpia en las instalaciones de procesamiento de informacin.

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de

procesamiento de informacin.
Control: Los procedimientos de operacin se deberan documentar y poner a
disposicin de todos los usuarios que los necesiten.

Control: Se deberan controlar los cambios en la organizacin, en los

procesos de negocio, en las instalaciones y en los sistemas de procesamiento
de informacin que afectan la seguridad de la informacin.

Control: Para asegurar el desempeo requerido del sistema se

debera hacer seguimiento al uso de los recursos, hacer los ajustes, y hacer
proyecciones de los requisitos sobre la capacidad futura.

Control: Se deberan separar los ambientes de desarrollo, prueba y

operacin, para reducir los riesgos de acceso o cambios no autorizados al
ambiente de operacin.
Objetivo: Asegurarse de que la informacin y las instalaciones de
procesamiento de informacin estn protegidas contra cdigos
maliciosos.
Control: Se deberan implementar controles de deteccin, de prevencin y de
recuperacin, combinados con la toma de conciencia apropiada de los usuarios,
para proteger contra cdigos maliciosos.

Objetivo: Proteger contra la perdida de datos.

Control: Se deberan hacer copias de respaldo de la informacin, del software e
imgenes de los sistemas, y ponerlas a prueba
regularmente de acuerdo con una poltica de copias de respaldo
aceptada.

Objetivo: Registrar eventos y generar evidencia.

Control: Se deberan elaborar, conservar y revisar regularmente los registros
acerca de actividades del usuario, excepciones, fallas y eventos de seguridad
de la informacin.
Control: Las instalaciones y la informacin de registro se deberan
proteger contra alteracin y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema
se deberan registrar, y los registros se deberan proteger y revisar con
regularidad.
Control: Los relojes de todos los sistemas de procesamiento de
informacin pertinentes dentro de una organizacin o mbito de seguridad se
deberan sincronizar con una nica fuente de referencia de tiempo.

Objetivo: Asegurar la integridad de los sistemas operacionales.

Control: Se deberan implementar procedimientos para controlar la instalacin
de software en sistemas operativos.
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades
tcnicas.
Control: Se debera obtener oportunamente informacin acerca de las
vulnerabilidades tcnicas de los sistemas de informacin que se usen; evaluar
la exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas
apropiadas para tratar el riesgo asociado.

Control: Se deberan establecer e implementar las reglas para la instalacin de

software por parte de los usuarios.
Objetivo: Minimizar el impacto de las actividades de auditora sobre los
sistemas operacionales.

Control: Los requisitos y actividades de auditora que involucran la verificacin

de los sistemas operativos se deberan planificar y acordar cuidadosamente
para minimizar las interrupciones en los procesos del negocio.

Objetivo: Asegurar la proteccin de la informacin en las redes, y sus

instalaciones de procesamiento de informacin de soporte.

Control: Las redes se deberan gestionar y controlar para proteger la

informacin en sistemas y aplicaciones.
Control: Se deberan identificar los mecanismos de seguridad, los
niveles de servicio y los requisitos de gestin de todos los servicios de red, e
incluirlos en los acuerdos de servicios de red, ya sea que los servicios se
presten internamente o se contraten externamente.

Control: Los grupos de servicios de informacin, usuarios y sistemas

de informacin se deberan separar en las redes.

as

Objetivo: Mantener la seguridad de la informacin transferida dentro

de una organizacin y con cualquier entidad externa.
Control: Se debera contar con polticas, procedimientos y controles
de transferencia formales para proteger la transferencia de informacin
mediante el uso de todo tipo de instalaciones de comunicacin.

Control: Los acuerdos deberan tener en cuenta la transferencia segura de

informacin del negocio entre la organizacin y las partes
externas.
Control: Se debera proteger adecuadamente la informacin incluida
en la mensajera electrnica.
Control: Se deberan identificar, revisar regularmente y documentar
los requisitos para los acuerdos de confidencialidad o no divulgacin que
reflejen las necesidades de la organizacin para la proteccin de la informacin.

Objetivo: Asegurar que la seguridad de la informacin sea una parte

integral de los sistemas de informacin durante todo el ciclo de vida. Esto
incluye tambin los requisitos para sistemas de informacin que prestan
servicios en redes pblicas.

Control: Los requisitos relacionados con seguridad de la informacin se

deberan incluir en los requisitos para nuevos sistemas de informacin o para
mejoras a los sistemas de informacin existentes.

Control: La informacin involucrada en los servicios de aplicaciones

que pasan sobre redes pblicas se debera proteger de actividades
fraudulentas, disputas contractuales y divulgacin y modificacin no
autorizadas.
Control: La informacin involucrada en las transacciones de los
servicios de las aplicaciones se debera proteger para evitar la transmisin
incompleta, el enrutamiento errado, la alteracin no autorizada de mensajes, la
divulgacin no autorizada, y la duplicacin o reproduccin de mensajes no
autorizada.

Objetivo: Asegurar de que la seguridad de la informacin est

diseada e implementada dentro del ciclo de vida de desarrollo de los sistemas
de informacin.
Control: Se deberan establecer y aplicar reglas para el desarrollo de software y
de sistemas, a los desarrollos que se dan dentro de la organizacin.
Control: Los cambios a los sistemas dentro del ciclo de vida de
desarrollo se deberan controlar mediante el uso de procedimientos formales de
control de cambios.
Control: Cuando se cambian las plataformas de operacin, se
deberan revisar las aplicaciones crticas del negocio, y ponerlas a prueba para
asegurar que no haya impacto adverso en las operaciones o seguridad de la
organizacin.

Control: Se deberan desalentar las modificaciones a los paquetes de

software, que se deben limitar a los cambios necesarios, y todos los cambios se
deberan controlar estrictamente.

Control: Se deberan establecer, documentar y mantener principios

para la construccin de sistemas seguros, y aplicarlos a cualquier actividad de
implementacin de sistemas de informacin.

Control: Las organizaciones deberan establecer y proteger

adecuadamente los ambientes de desarrollo seguros para las tareas de
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de
desarrollo de sistemas.

Control: La organizacin debera supervisar y hacer seguimiento de la

actividad de desarrollo de sistemas contratados externamente.

Control: Durante el desarrollo se deberan llevar a cabo pruebas de

funcionalidad de la seguridad.
Control: Para los sistemas de informacin nuevos, actualizaciones y
nuevas versiones, se deberan establecer programas de prueba para
aceptacin y criterios de aceptacin relacionados.

Objetivo: Asegurar la proteccin de los datos usados para pruebas.

Control:Los datos de ensayo se deberan seleccionar, proteger y controlar
cuidadosamente.

res

Objetivo: Asegurar la proteccin de los activos de la organizacin que sean

accesibles a los proveedores.

Control: Los requisitos de seguridad de la informacin para mitigar los

riesgos asociados con el acceso de proveedores a los activos de la
organizacin se deberan acordar con estos y se deberan documentar.

Control: Se deberan establecer y acordar todos los requisitos de seguridad de

la informacin pertinentes con cada proveedor que
pueda tener acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la informacin de la
organizacin.

Control: Los acuerdos con proveedores deberan incluir requisitos

para tratar los riesgos de seguridad de la informacin asociados con la cadena
de suministro de productos y servicios de tecnologa de informacin y
comunicacin.

Objetivo: Mantener el nivel acordado de seguridad de la informacin y

de prestacin del servicio en lnea con los acuerdos con los proveedores.

Las organizaciones deberan hacer seguimiento, revisar y auditar con

regularidad la prestacin de servicios de los proveedores.

Control: Se deberan gestionar los cambios en el suministro de

servicios por parte de los proveedores, incluido el mantenimiento y la mejora de
las polticas, procedimientos y controles de seguridad de la informacin
existentes , teniendo en cuenta la criticidad de la informacin, sistemas y
procesos del negocio involucrados, y la revaloracin de los riesgos.

Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de

incidentes de seguridad de la informacin, incluida la comunicacin sobre
eventos de seguridad y debilidades.

Control: Se deberan establecer las responsabilidades y

procedimientos de gestin para asegurar una respuesta rpida, eficaz y
ordenada a los incidentes de seguridad de la informacin.

Control: Los eventos de seguridad de la informacin se deberan

informar a travs de los canales de gestin apropiados, tan pronto como sea
posible.
Control: Se debera exigir a todos los empleados y contratistas que
usan los servicios y sistemas de informacin de la organizacin, que observen e
informen cualquier debilidad de seguridad de la informacin observada o
sospechada en los sistemas o servicios.

Control: Los eventos de seguridad de la informacin se deberan

evaluar y se debera decidir si se van a clasificar como incidentes de seguridad
de la informacin.

Control: Se debera dar respuesta a los incidentes de seguridad de la

informacin de acuerdo con procedimientos documentados.

Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad

de la informacin se debera usar para reducir la posibilidad
o el impacto de incidentes futuros.
Control: La organizacin debera definir y aplicar procedimientos para
la identificacin, recoleccin, adquisicin y preservacin de informacin que
pueda servir como evidencia.

la
de continuidad de negocio

Objetivo: La continuidad de seguridad de la informacin se debera

incluir en los sistemas de gestin de la continuidad de negocio de la
organizacin.
Control: La organizacin debera determinar sus requisitos para la seguridad de
la informacin y la continuidad de la gestin de la seguridad de la informacin
en situaciones adversas, por ejemplo, durante una crisis o desastre.

Control: La organizacin debera establecer, documentar,

implementar y mantener procesos, procedimientos y controles para asegurar el
nivel de continuidad requerido para la seguridad de la informacin durante una
situacin adversa.

Control: La organizacin debera verificar a intervalos regulares los

controles de continuidad de la seguridad de la informacin establecidos e
implementados, con el fin de asegurar que son validos y eficaces durante
situaciones adversas.

Objetivo: Asegurar la disponibilidad de instalaciones de

procesamiento de informacin.
Control: Las instalaciones de procesamiento de informacin se deberan
implementar con redundancia suficiente para cumplir los requisitos de
disponibilidad.

Objetivo: Evitar el incumplimiento de las obligaciones legales,

estatutarias, de reglamentacin o contractuales relacionadas con seguridad de
la informacin, y de cualquier requisito de seguridad.

Control: Todos los requisitos estatutarios, reglamentarios y

contractuales pertinentes, y el enfoque de la organizacin para cumplirlos, se
deberan identificar y documentar explcitamente y mantenerlos actualizados
para cada sistema de informacin y para la organizacin.

Control: Se deberan implementar procedimientos apropiados para asegurar el

cumplimiento de los requisitos legislativos, de
reglamentacin y contractuales relacionados con los derechos de propiedad
intelectual y el uso de productos de software patentados.

Control: Los registros se deberan proteger contra perdida,

destruccin, falsificacin, acceso no autorizado y liberacin no autorizada, de
acuerdo con los requisitos legislativos, de reglamentacin, contractuales y de
negocio.

Control: Cuando sea aplicable, se deberan asegurar la privacidad y la

proteccin de la informacin de datos personales, como se exige en la
legislacin y la reglamentacin pertinentes.

Control: Se deberan usar controles criptogrficos, en cumplimiento de

todos los acuerdos, legislacin y reglamentacin pertinentes.

Objetivo: Asegurar que la seguridad de la informacin se implemente

y opere de acuerdo con las polticas y procedimientos organizacionales.

Control: El enfoque de la organizacin para la gestin de la seguridad

de la informacin y su implementacin (es decir, los objetivos de control, los
controles, las polticas, los procesos y los procedimientos para seguridad de la
informacin) se deberan revisar independientemente a intervalos planificados o
cuando ocurran cambios significativos.

Control: Los directores deberan revisar con regularidad el

cumplimiento del procesamiento y procedimientos de informacin dentro de su
rea de responsabilidad, con las polticas y normas de seguridad apropiadas, y
cualquier otro requisito de seguridad.

Control: Los sistemas de informacin se deberan revisar

peridicamente para determinar el cumplimiento con las polticas y normas de
seguridad de la informacin.

NO APLICA

JUSTIFICACION DE APLICACIN O EXCLUSIN