Sobre el Cuestionario

Jefe de Infraestructura
Jefe de Comunicaciones
DBA
Jefe de Unidad de Gestin Informtica
Gestor de Proyecto
Alcances
Misin Institucin
Visin Institucin
Objetivos Estrategicos Institucin

Objetivos de la Unidad

Misin

Visin

Objetivo Estrategico que Persigue

Objetivo Estrategico que apoya el Software

Valores de la Unidad
Empresa

Limitaciones

Comentarios
 Historial de Cambios
Version No. Fecha Descripcin de Cambios

1.00 02.01.2014 Creacin de Plantillas base

1.01 29.12.2012

Version Fecha Tope Plan de Trabajo

1.0 17.01.2014 Inicio de Entrevista con Plantilla Anexo A

mbios
Persona - Empresa

Julio Lamas - Decalink

Autor
 Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmero y porcentaje

Proceso Cumple con la norma y esta documentado

Proceso se lleva a cabo y se debe documentar
Proceso no cumple con la norma y debe ser rediseado
Proceso no est en su lugar / no esta implementado
Proceso no es aplicable

Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y documentado

In Percent

100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

ISO 27001:2005 Controles Apndice-A Implementacin Estado por la Clasificacin en nmero y porcentaje

7; 5% 23; 17%
5; 4%
49; 37%
49; 37%
ISO 27001:2005 Controles Apndice-A Implementacin Estado por la Clasificacin en nmero y porcentaje

7; 5% 23; 17%
5; 4%
49; 37%
49; 37%

Controles documentados e implementados

Controles implementados deben ser doc umentados
Controles implementados no c umplen c on las normas, tiene que redisear
Control no implementado y doc umentado
Controles no aplic ados
y porcentaje Normas ISO 27001:2005 Implementacin - Estado de Clasificacin en nmeros

20

0
0
Proceso Proceso0 se Proceso0 no Proceso 0 no Proceso0 no es
Cumple con la lleva a cabo y cumple con la est en su aplicable
norma y esta se debe norma y debe lugar / no esta
documentado documentar ser rediseado implementado
Compliance percentage

05 y documentado Status :- Implementacin de procesos cumplen con la norma ISO 27001:2005 y documentado

100%

90%

80%

70%

60%
Conf ormidad %
50%
Meta
40%

30%

20%

10%

0%
rm a c i n , d e s a rro llo y m a n t e n im ie n t o

Apendice A - Controles Implementacin - Estado por dominio

en nmero y porcentaje
s d e s e g u rid a d d e in fo rm a c i n

1200%
a s e g u rid a d d e la in fo rm a c i n

1000%
m u n ic a c i n y O p e ra c io n e s
d e lo s re c u rs o s h u m a n o s

800%
e c o n t in u id a d d e l n e g o c io
u rid a d fis ic a y a m b ie n t a l

600%
P o lit ic a d e S e g u rid a d

400%
G e s t i n d e A c t ivo s

C o n t ro l d e A c c e s o

200%
C o n fo rm id a d

Conformidad %
0% Meta
 en nmero y porcentaje

0%
200%
400%
600%
800%
1000%
1200%

P o lit ic a d e S e g u rid a d

O rg a n iz a c i n d e la s e g u rid a d d e la in fo rm a c i n

G e s t i n d e A c t ivo s

L a s e g u rid a d d e lo s re c u rs o s h u m a n o s

L a s e g u rid a d fis ic a y a m b ie n t a l

G e s t i n d e C o m u n ic a c i n y O p e ra c io n e s

C o n t ro l d e A c c e s o

A d q u is ic i n d e s is t e m a s d e in fo rm a c i n , d e s a rro llo y m a n t e n im ie n t

G e s t i n d e in c id e n t e s d e s e g u rid a d d e in fo rm a c i n

G e s t i n d e c o n t in u id a d d e l n e g o c io

C o n fo rm id a d
Apendice A - Controles Implementacin - Estado por dominio

Meta
Conformidad %
cin en nmeros

ceso 0 no Proceso0 no es
en su aplicable
ar / no esta
lementado

001:2005 y documentado

Conf ormidad %
Meta

or dominio
e c o n t in u id a d d e l n e g o c io

C o n fo rm id a d

Conformidad %
Meta
G e s t i n d e c o n t in u id a d d e l n e g o c io

C o n fo rm id a d
or dominio

Meta
Conformidad %
 Etapa Implementacin de la ISO 27001:2005 - Clusulas
Proceso no
Proceso se lleva a
Proceso Cumple con la cumple con la
Referencia cabo y se debe
norma y esta documentado norma y debe ser
documentar
rediseado
ISO Clauses 0 0 0

Situacin de la aplicacin de la norma ISO 27001:2005 - annexure - A Controles

Controles
Controles
implementados
Controles documentados e implementados
Referencia no cumplen con
implementados deben ser
las normas, tiene
documentados
que redisear

Controls 23 5 49

Estado Adecuacin Implementacin ISO 27001 contra Clusulas

ISO Clause Cantidad Conformidad %
4.1 - Requisitos Generales 0 #DIV/0!
4.2 - Establecimiento y gestin del SGSI 0 #DIV/0!
4.3 - Requisitos de documentacin 0 #DIV/0!
5.1 - Compromiso de la direccin 0 #DIV/0!
5.2 - Gestin de Recursos 0 #DIV/0!
6 - Auditoria Interna SGSI 0 #DIV/0!
7.1 - General 0 #DIV/0!
7.2 - Revisiones de Entrada 0 #DIV/0!
7.3 - Revisiones de salida 0 #DIV/0!
8.1 - Mejora continua 0 #DIV/0!
8.2 - Acciones Correctivas 0 #DIV/0!
8.3 - Acciones Preventivas 0 #DIV/0!

Implementacin Estado Adecuacin segn la norma ISO 27001 annexure - A Controles

Descripcin del dominio Cantidad Conformidad %
5 Politica de Seguridad 0 #DIV/0!
6 Organizacin de la seguridad de la informacin 0 #DIV/0!
7 Gestin de Activos 0 #DIV/0!
8 La seguridad de los recursos humanos 0 #DIV/0!
9 La seguridad fisica y ambiental 0 #DIV/0!
10 Gestin de Comunicacin y Operaciones 0 #DIV/0!
11 Control de Acceso 0 #DIV/0!
12 Adquisicin de sistemas de informacin, desarrol 0 #DIV/0!
13 Gestin de incidentes de seguridad de informaci 0 #DIV/0!
14 Gestin de continuidad del negocio 0 #DIV/0!
15 Conformidad 0 #DIV/0!

Controles y Objetivos - ISO 27002:2005 - Tcnicas de Seguridad

Funciones No. de controls Conformidad % Meta
Administracin 16 38% 100.00%
CISO 34 3% 100.00%
Finanzas 3 0% 100.00%
Recursos Humanos 9 44% 100.00%
IT 52 15% 100.00%
S/W 7 57% 100.00%
Alta Direccin 4 0% 100.00%
Empleados 1 0% 100.00%
5 - Clusulas
Proceso no est
en su lugar / no Proceso no
esta es aplicable
implementado
0 0 0

- annexure - A Controles

Control no
Controles no
implementado y
aplicados
documentado

49 7

Meta
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%

Meta
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
El anlisis de brechas: estado de aplicacin de ISO 27001
ISO 27001 Requisito obligatorio para el SGSI Status
clausulas

4 Sistema de Gestin de Seguridad de la Informacin

4.1 Requisitos generales
La organizacin debe establecer, implementar, operar, monitorear,
4.1
revisar, mantener y mejorar un SGSI documentado
4.2 Establecimiento y gestin del SGSI
4.2.1 Establecer el SGSI
4.2.1 (a) Definir el alcance y los lmites del SGSI
4.2.1 (b) Definir una poltica SGSI
4.2.1 (c) Definir el enfoque de evaluacin de riesgos
4.2.1 (d) Identificar los riesgos
4.2.1 (e) Analizar y evaluar los riesgos
4.2.1 (f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Seleccionar los objetivos de control y controles para el tratamiento de
4.2.1 (g)
los riesgos
Obtener la aprobacin de la gestin de los riesgos residuales
4.2.1 (h)
propuestos
Obtener la autorizacin de la gerencia para implementar y operar el
4.2.1 (i)
SGSI
4.2.1 (j) Preparar una Declaracin de aplicabilidad
4.2.2 Implementar el SGSI
4.2.2 (a) Formular un plan de tratamiento de riesgos
Implementar el plan de tratamiento de riesgos con el fin de alcanzar
4.2.2 (b)
los objetivos de control identificados
Implementar controles seleccionados en 4.2.1g para cumplir los
4.2.2 (c)
objetivos de control
Definir la forma de medir la efectividad de los controles o grupos de
controles seleccionados y especificar cmo estas medidas se van a
4.2.2 (d)
utilizar para evaluar la efectividad de los controles para producir
resultados comparables y reproducibles (ver 4.2.3c)
Implementar programas de capacitacin y sensibilizacin (vase
4.2.2 (e)
5.2.2)
4.2.2 (f) Gestione la operacin del SGSI
4.2.2 (g) Administrar los recursos para el SGSI (ver 5.2)
Implementar procedimientos y otros controles capaces de permitir
4.2.2 (h) una rpida deteccin de eventos de seguridad y respuesta a
incidentes de seguridad (vase 4.2.3a)
4.2.3 Supervisar y revisar el SGSI

4.2.3 (a) Ejecutar el seguimiento y revisar los procedimientos y otros controles

4.2.3 (b) Llevar a cabo revisiones peridicas de la eficacia del SGSI
Medir la efectividad de los controles para verificar que se han
4.2.3 (c)
cumplido los requisitos de seguridad.
Revisar las evaluaciones de riesgo a intervalos planificados y revisar
4.2.3 (d) los riesgos residuales y los niveles aceptables de riesgos
identificados

4.2.3 (e) Realizar auditoras de ISMS internas a intervalos planificados (ver 6)

 Realizar Auditoras Internas de ISMS una planificados Intervalos (ver
4.2.3 (f)
6)
Actualizacin de seguridad planea tomar en cuenta los resultados del
4.2.3 (g)
seguimiento y la revisin de las actividades
Grabar acciones y eventos que podran tener un impacto en la
4.2.3 (h)
eficacia o el rendimiento del SGSI (ver 4.3.3)
4.2.4 Mantener y mejorar el SGSI
4.2.4 (a) Implementar las mejoras identificadas en el SGSI.
Tomar las acciones correctivas y preventivas apropiadas de
4.2.4 (b)
conformidad con 8.2 y 8.3
4.2.4 (c) Comunicar las acciones y mejoras a todas las partes interesadas
4.2.4 (d) Asegrese de que las mejoras a alcanzar sus objetivos previstos
4.3 Requisitos de documentacin
4.3.1 Documentacin SGSI Generales
Declaraciones documentadas de la poltica del SGSI (ver 4.2.1b) y
4.3.1 (a)
objetivos
4.3.1 (b) Alcance del SGSI (ver 4.2.1a)
4.3.1 (c) Procedimientos y controles en apoyo del SGSI
4.3.1 (d) Descripcin de la metodologa de evaluacin de riesgos (ver 4.2.1c)
4.3.1 (e) Informe de evaluacin de riesgos (ver 4.2.1c a 4.2.1g)
4.3.1 (f) Plan de tratamiento del riesgo (ver 4.2.2b)
Procedimientos necesitados por la organizacin para asegurarse de
la eficaz planificacin, operacin y control de sus procesos de
4.3.1 (g)
seguridad de la informacin y describir la forma de medir la
efectividad de los controles (ver 4.2.3c)

4.3.1 (h) Los registros requeridos por esta Norma Internacional (vase 4.3.3)
4.3.1 (i) Declaracin de aplicabilidad
4.3.2 Control de los documentos
Los documentos requeridos por el SGSI sern protegidos y
4.3.2 controlados. Debe establecerse un procedimiento documentado para
definir las acciones de gestin necesarias para:
4.3.2 (a) Aprobar documentos adecuacin antes de su emisin
Documentos que sean necesarios Revisar y actualizar y re-aprobar
4.3.2 (b)
los documentos
Asegurarse de que se identifican los cambios y el estado de revisin
4.3.2 (c)
actual de los documentos
Asegrese de que las versiones pertinentes de los documentos
4.3.2 (d)
aplicables estn disponibles en los puntos de uso
Asegrese de que los documentos permanecen legibles y fcilmente
4.3.2 (e)
identificables
Asegrese de que los documentos se encuentran a disposicin de
quienes los necesitan, y de conformidad con los procedimientos
4.3.2 (f)
aplicables a su clasificacin son transferidos, almacenados y
finalmente eliminados

4.3.2 (g) Asegurarse de que se identifican los documentos de origen externo

4.3.2 (h) Asegrese de que se controla la distribucin de documentos
4.3.2 (i) Prevenir el uso no intencionado de documentos obsoletos
Aplicar una identificacin adecuada en los documentos si se
4.3.2 (j)
mantengan por cualquier razn
4.3.3 Control de los registros
 Los registros deben establecerse y mantenerse para proporcionar
4.3.3 evidencia de la conformidad con los requisitos y el funcionamiento
eficaz del SGSI
4.3.3 Los registros deben ser protegidos y controlados.
4.3.3 Protegidos servi Los Registros Deben Y Controlados.
Los registros deben permanecer legibles, fcilmente identificables y
4.3.3
recuperables.
Los controles necesarios para la identificacin, almacenamiento,
4.3.3 proteccin, recuperacin, tiempo de retencin y disposicin de
registros deben ser documentados e implementados.
Deber llevarse un registro de los resultados del proceso, como se
4.3.3 indica en 4.2 y de todas las apariciones de los incidentes de
seguridad significativos relacionados con el SGSI.
5 Responsabilidad de la direccin
5.1 Compromiso de la direccin
Direccin debe proporcionar evidencia de su compromiso con el
5.1 establecimiento, implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora del SGSI por:
5.1 (a) El establecimiento de una poltica de SGSI
5.1 (b) Asegurarse de que se establecen los objetivos y planes del SGSI
Establecer las funciones y responsabilidades de seguridad de la
5.1 (c)
informacin
Comunicar a la organizacin la importancia de satisfacer los objetivos
de seguridad de la informacin y que se ajuste a la poltica de
5.1 (d)
seguridad de la informacin, las atribuciones que la ley y la
necesidad de mejora continua
Proporcionar recursos suficientes para establecer, implementar,
5.1 (e)
operar, monitorear, revisar, mantener y mejorar el SGSI (ver 5.2.1)
Decidir los criterios de aceptacin de riesgos y los niveles aceptables
5.1 (f)
de riesgo
Asegurar que las auditoras internas del SGSI se llevan a cabo (ver
5.1 (g)
6)
5.1 (h) La realizacin de revisiones por la direccin de los SGSI (ver 7)
5.2 Gestin de recursos
5.2.1 Provisin de recursos
La organizacin debe determinar y proporcionar los recursos
5.2.1
necesarios para:
Establecer, implementar, operar, monitorear, revisar, mantener y
5.2.1 (a)
mejorar un SGSI
Asegurar que los procedimientos de seguridad de informacin
5.2.1 (b)
apoyan los requerimientos de negocio
Identificar y abordar los requisitos legales y reglamentarios y las
5.2.1 (c)
obligaciones contractuales de seguridad
Mantener la seguridad adecuada por la correcta aplicacin de todos
5.2.1 (d)
los controles implementados
Llevar a cabo revisiones cuando sea necesario, y para reaccionar
5.2.1 (e)
adecuadamente ante los resultados de estas revisiones
5.2.1 (f) Cuando sea necesario, mejorar la eficacia del SGSI
5.2.2 Formacin, sensibilizacin y competencia
La organizacin debe asegurarse de que todo el personal que se
5.2.2 asignan responsabilidades definidas en el SGSI son competentes
para realizar las tareas requeridas por:
 La determinacin de las competencias necesarias para el personal
5.2.2 (a)
que realiza las labores que afectan el SGSI

Proporcionar formacin o tomar otras acciones (por ejemplo, que

5.2.2 (b)
emplean a personal competente) para satisfacer estas necesidades
5.2.2 (c) Evaluacin de la eficacia de las medidas adoptadas
El mantenimiento de los registros de educacin, formacin,
5.2.2 (d)
habilidades, experiencia y calificaciones (ver 4.3.3)
La organizacin velar por que todo el personal pertinente son
conscientes de la relevancia e importancia de sus actividades de
5.2.2
seguridad de la informacin y de cmo contribuyen al logro de los
objetivos del SGSI.
6 Auditora interna SGSI
La organizacin debe llevar a cabo auditoras de ISMS internas a
6 intervalos planificados para determinar si los objetivos de control,
controles, procesos y procedimientos de su SGSI:
Cumplir con los requisitos de esta norma internacional y la legislacin
6 (a)
pertinente o las normas
6 (b) Cumplir con los requisitos de seguridad de informacin identificados
6 (c) Implantacin y el mantenimiento eficaz
6 (d) Lleve a cabo como se esperaba.
6 Se debe planificar un programa de auditoras
La direccin responsable del rea que est siendo auditada debe
asegurarse de que se toman acciones sin demora injustificada para
eliminar las no conformidades detectadas y sus causas. Las
6
actividades de seguimiento deben incluir la verificacin de las
acciones tomadas y el informe de los resultados de la verificacin
(ver 8).
7 Revisin por la direccin del SGSI
7.1 General
La direccin revisar SGSI de la organizacin a intervalos
7.1 planificados (por lo menos una vez al ao) para asegurarse de su
conveniencia, adecuacin y eficacia
7.2 Revisiones de Entrada
7.2 La entrada a una revisin por la direccin debe incluir:
7.2 (a) Los resultados de las auditoras de SGSI y comentarios
7.2 (b) La retroalimentacin de las partes interesadas
Tcnicas, productos o procedimientos, que podran utilizarse en la
7.2 (c)
organizacin para mejorar el rendimiento y la eficacia SGSI
7.2 (d) Estado de las acciones preventivas y correctivas
Las vulnerabilidades o amenazas que no se abordan adecuadamente
7.2 (e)
en la evaluacin del riesgo conocido
7.2 (f) Los resultados de las mediciones de eficacia
Las acciones de seguimiento de las revisiones por la direccin
7.2 (g)
previas
7.2 (h) Todos los cambios que podran afectar el SGSI
7.2 (i) Recomendaciones para la mejora
7.3 Revisiones de Salida
La salida de la revisin por la direccin deben incluir todas las
7.3
decisiones y acciones relacionadas con lo siguiente:
7.3 (a) Mejora de la eficacia de los SGSI
 Actualizacin de la evaluacin de riesgos y plan de tratamiento de
7.3 (b)
riesgos
Modificacin de los procedimientos y controles de seguridad de la
7.3 (c) informacin que el efecto, si es necesario, para responder a eventos
internos o externos que pueden impactar en el SGSI
7.3 (d) Las necesidades de recursos
7.3 (e) Mejora la forma en que se est midiendo la eficacia de los controles
8 Mejora del SGSI
8.1 Mejora continua
La organizacin debe mejorar continuamente la eficacia del SGSI a
travs del uso de la poltica de seguridad de la informacin, los
8.1 objetivos de seguridad de la informacin, resultados de las
auditoras, el anlisis de los sucesos supervisados, las acciones
correctivas y preventivas y la revisin por la direccin (vase 7).
8.2 La accin correctiva
La organizacin debe tomar acciones para eliminar la causa de no
conformidades con los requisitos del SGSI, a fin de prevenir la
8.2
recurrencia. El procedimiento documentado para acciones correctivas
debe definir los requisitos para:
8.2 (a) La identificacin de las no conformidades
8.2 (b) Determinar las causas de las no conformidades
La evaluacin de la necesidad de adoptar medidas para garantizar
8.2 (c)
que las no conformidades no vuelvan a ocurrir
8.2 (d) La determinacin y aplicacin de las medidas correctoras necesarias
8.2 (e) Resultados de la grabacin de acciones tomadas (vase 4.3.3)
8.2 (f) Revisin de las acciones correctivas tomadas
8.3 La accin preventiva
La organizacin debe determinar acciones para eliminar la causa de
no conformidades potenciales con los requisitos del SGSI a fin de
prevenir su ocurrencia. Las acciones preventivas tomadas deben ser
8.3
apropiadas a los efectos de los problemas potenciales. El
procedimiento documentado para la accin preventiva deber definir
los requisitos para:

8.3 (a) La identificacin de las no conformidades potenciales y sus causas

La evaluacin de la necesidad de actuar para prevenir la ocurrencia
8.3 (b)
de no conformidades
8.3 (c) La determinacin y aplicacin de las medidas preventivas necesarias
8.3 (d) Resultados de la grabacin de acciones tomadas (vase 4.3.3)
8.3 (e) Revisin de las acciones preventivas tomadas
La organizacin debe identificar los riesgos que lo precisen y
8.3 determinar las necesidades de accin preventiva que se centran la
atencin en los riesgos cambiado significativamente

Leyenda
Cantidad Codigos Status
0 D

0 MD

0 RD

0 PNP

0 NA (Not Applicable)

0
Buscar Hallazgos
Significado
 El control se document e implement
El Control se lleva a cabo y el proceso debe ser
documentado para asegurar la repetibilidad del
proceso y mitigar los riesgos.
El control no cumple las normas y debe ser
rediseado para cumplir con las normas

El proceso no est en su lugar / no implementado.

(Control requeridos ni documentado ni
implementado)

El control no es aplicable para la empresa ni para el

negocio
Recomendaciones
Contribution %
#DIV/0!

#DIV/0!

#DIV/0!

#DIV/0!

#DIV/0!
Declaracin de aplicabilidad de la norma ISO / IEC 27001 Anexo A controla a la:
Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

A.5 Politica de Seguridad

Para proporcionar a la direccin de gestin y apoyo a la seguridad de
Informacin Politica de
A5.1 la informacin de acuerdo con los requerimientos del negocio y las
Seguridad
leyes y reglamentos pertinentes.
Un documento de poltica de seguridad de la informacin deber ser
Documento de Politica de
A.5.1.1 aprobado por la administracin, y publicado y comunicado a todos los
segurida de la informacin
empleados y colaboradores externos.
La poltica de seguridad de la informacin ser revisada a intervalos
Review of the information security
A.5.1.2 planificados o si se producen cambios significativos para asegurar su
policy
conveniencia, adecuacin y eficacia.

Organizacin de la seguridad de la informacin

A.6
Para gestionar la seguridad de la informacin dentro de la
A.6.1 Organizacin Interna
organizacin
Gestin apoyar activamente a la seguridad dentro de la organizacin a
Compromiso de la direccin de travs de una direccin clara, demuestra el compromiso, la asignacin
A.6.1.1
seguridad de la informacin explcita, y el reconocimiento de las responsabilidades de seguridad de la
informacin.
Actividades de seguridad de informacin estarn coordinadas por
Coordinacin de la seguridad de
A.6.1.2 representantes de diferentes sectores de la organizacin con un papel
informacin
relevante y funcin de trabajo.
La asignacin de las
Todas las responsabilidades de seguridad de la informacin deben estar
A.6.1.3 responsabilidades de seguridad
claramente definidas.
de la informacin
Proceso de autorizacin para
Un proceso de autorizacin de la administracin para las nuevas
A.6.1.4 instalaciones de procesamiento
instalaciones de procesamiento de informacin se define y se aplica.
de informacin
Requisitos para los acuerdos de confidencialidad o de no divulgacin que
A.6.1.5 Los acuerdos de confidencialidad reflejen las necesidades de la organizacin para la proteccin de la
informacin deben ser identificados y revisados con regularidad.

A.6.1.6 Contacto con las autoridades Se mantendrn los contactos apropiados con las autoridades pertinentes.

Se mantendrn los contactos apropiados con los grupos de inters

Contacto con grupos de interes
A.6.1.7 especial u otros foros de seguridad especializados y asociaciones
especial
profesionales.
El enfoque de la organizacin para la gestin de seguridad de la
informacin y su aplicacin (es decir, los objetivos de control, controles,
Revisiones independientes de la
polticas, procesos y procedimientos para la seguridad de la informacin)
A.6.1.8 policita de seguridad de la
se revisar de forma independiente a intervalos planificados, o cuando se
informacin
producen cambios significativos en la implementacin de seguridad se
producen.
Para mantener la seguridad de la informacin y de las instalaciones
de procesamiento de informacin de la organizacin que se tiene
A6.2 Partes Externas
acceso, procesan, comunican a, o administrados por entidades
externas.
Los riesgos para la informacin y las instalaciones de procesamiento de
Identificacin de los riesgos
informacin de la organizacin de los procesos de negocio relacionados
A.6.2.1 relacionados con los agentes
con las partes externas deben ser identificados y los controles apropiados
externos
implementados antes de conceder el acceso.

Xerox Internal Use Only 344587976.xls Page 33 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Todos los requisitos de seguridad identificados debern dirigirse antes de

Abordar la seguridad cuando se
A.6.2.2 dar a los clientes el acceso a la informacin o de los activos de la
trata de clientes
organizacin.

Acuerdos con terceros relacionados con el acceso, tratamiento, la

Abordar la seguridad en los
A.6.2.3
contratos de terceros
comunicacin o la gestin de la informacin o de las instalaciones de
procesamiento de informacin de la organizacin, o la adicin de productos
o servicios a las instalaciones de procesamiento de informacin se
referirn a todos los requisitos de seguridad pertinentes.

A.7 Gestin de Activos

La responsabilidad de los Para lograr y mantener la proteccin adecuada de los activos de la
A.7.1
activos organizacin.
Todos los activos deben estar claramente identificados y un inventario de
A.7.1.1 Inventarios de Activos
todos los activos importantes establecimiento y el mantenimiento.
Toda la informacin y los activos asociados a las instalaciones de
A.7.1.2 Propiedad de Activos tratamiento de la informacin sern propiedad de una parte designada de
la organizacin.
Normas para el uso aceptable de la informacin y de los activos asociados
A.7.1.3 Uso aceptables de los activos a las instalaciones de procesamiento de informacin debern ser
identificados, documentados e implementados.
Para asegurar que la informacin reciba un nivel adecuado de
A.7.2 clasificacin de la informacin
proteccin.
La informacin se clasificar en funcin de su valor, los requisitos legales,
A.7.2.1 directrices de clasificacin
la sensibilidad y criticidad para la organizacin.

Un conjunto apropiado de procedimientos para el etiquetado de

Etiquetado de la informacin y la
A.7.2.2 informacin y de tramitacin se desarrollar y ejecutar de conformidad
manipulacin
con el sistema de clasificacin adoptado por la organizacin.

La seguridad de los recursos humanos

A.8
Para asegurarse de que los empleados, contratistas y usuarios de
terceras partes entiendan sus responsabilidades, y son adecuados
A.8.1 Antes del Empleo
para las funciones que se consideran para, y para reducir el riesgo de
robo, fraude o mal uso de las instalaciones.

Funciones y responsabilidades de los empleados, contratistas y usuarios

A.8.1.1 Roles y Responsabilidades de terceras partes de proteccin se definen y documentan de conformidad
con la poltica de seguridad de la informacin de la organizacin.

Controles de verificacin de antecedentes de todos los candidatos a

empleo, contratistas y usuarios de terceras partes se llevarn a cabo de
A.8.1.2 Proyeccin conformidad con las leyes, regulaciones y tica, y proporcional a los
requerimientos del negocio, la clasificacin de la informacin que se
acceda, y los riesgos percibidos.
Como parte de su obligacin contractual, los empleados, contratistas y
usuarios de terceras partes se pondrn de acuerdo y firmar los trminos y
Terminos y condiciones del
A.8.1.3 condiciones de su contrato de trabajo, en el que expondr y
empleo
responsabilidades de sus de la organizacin para la seguridad de la
informacin.

Xerox Internal Use Only 344587976.xls Page 34 of 58

Anexo A de referencia Ttulo de control
A.8.2 Durante el empleo
A.8.2.1 Gestion de responsabilidades
Concienciacin sobre la
A.8.2.2 seguridad de la informacin, la
educacin y la formacin
A.8.2.3 Proceso Diciplinario
Para asegurarse de que los empleados, contratistas y usuarios de
A.8.3 El termino o cambio de empleo terceras partes salen de una organizacin o el cambio de empleo de
una manera ordenada.
Las responsabilidades para la realizacin de la terminacin del empleo o
A.8.3.1 Termino de responsabilidades
Todos los empleados, contratistas y usuarios de terceras partes debern
A.8.3.2 Retorno de los activos devolver todos los activos de la organizacin en su poder a la terminacin
Eliminacion de los derechos de
A.8.3.3
acceso
La seguridad fisica y ambiental
A.9
A9.1 Areas Seguras
A9.1.1 Permetro de seguridad fsica
A9.1.2 Controles de entradas fisicas
Asegurar oficinas, salas e
A9.1.3
instalaciones
La proteccin contra amenazas
A9.1.4
externas y ambientales
A9.1.5 Trabajar en zonas seguras
Zonas de acceso pblico, de
A9.1.6
entrega y de carga
Xerox Internal Use Only
Descripcin del control Funcin Status Buscar Hallazgos
Para asegurar que todos los empleados, contratistas y usuarios de
terceras partes son conscientes de la informacin amenazas y
preocupaciones, sus responsabilidades y obligaciones de seguridad,
y estn equipados para apoyar la poltica de seguridad de la
organizacin en el curso de su trabajo normal, y para reducir el riesgo
de error humano.
Administracin exigir a los empleados, contratistas y usuarios de terceras
partes para aplicar la seguridad de conformidad con las polticas y
procedimientos de la organizacin establecidas
Todos los empleados de la organizacin y, en su caso, los contratistas y
usuarios de terceras partes, debern recibir una capacitacin adecuada
sensibilizacin y actualizaciones regulares en las polticas y procedimientos
de la organizacin, que sea relevante para su funcin de trabajo.
Habr un proceso disciplinario formal para los empleados que han
cometido una infraccin de seguridad.
cambio de empleo, debern estar claramente definidas y asignadas.
de su empleo, contrato o acuerdo..
Los derechos de acceso de todos los empleados, contratistas y usuarios
de terceras partes a las instalaciones de procesamiento de la informacin y
de la informacin del reglamento ser eliminado despus de la terminacin
de su empleo, contrato o acuerdo, o se ajustan al cambio.
Para prevenir el acceso no autorizado fsico, daos e interferencia a
las instalaciones y la informacin de la organizacin.
Permetros de proteccin se utilizarn (barreras tales como paredes,
puertas de entrada de la tarjeta controlada o mostradores de recepcin
tripulados) para proteger reas que contienen las instalaciones de
procesamiento de la informacin y de la informacin.
Las reas seguras quedar protegido por entrada apropiada controles para
asegurarse de que se les permite el acceso slo el personal autorizado ..
La seguridad fsica de las oficinas, habitaciones e instalaciones, se dise
y aplic
La proteccin fsica contra daos por incendio, inundacin, terremoto,
explosin, disturbios civiles, y otros tipos de catstrofes naturales o de
origen humano debe ser diseado y aplicado.
Proteccin fsica y pautas para el trabajo en las reas de seguridad deben
ser diseadas y aplicadas.
Los puntos de acceso, tales como las zonas de entrega y de carga y otros
puntos en los que las personas no autorizadas puedan entrar los locales se
debern controlar y, si es posible, aislada de las instalaciones de
procesamiento de informacin para evitar el acceso no autorizado.
344587976.xls Page 35 of 58
Anexo A de referencia Ttulo de control
Para evitar la prdida, dao, robo o el compromiso de los activos y la
A9.2 Seguridad de los equipos
interrupcin de las actividades de la organizacin.
El equipo deber estar situado o protegido para reducir los riesgos de las
Emplazamiento y Proteccin del
A9.2.1
equipo
A9.2.2 Apoyo a los servicios pblicos
A9.2.3 seguridad del cableado
A9.2.4 El mantenimiento del equipo
Seguridad de los equipos fuera
A9.2.5
de las instalaciones
La eliminacin segura o
A9.2.6
de re-uso de equipos
A9.2.7 Eliminacin de los equipos
Gestin de Comunicacin y Operaciones
A10
Procedimientos y
A10.1 responsabilidades
operacionales
Procedimientos operacionales,
A10.1.1
adecuadamente documentados
A10.1.2 Gestin del Cambio
A10.1.3 La segregacin de funciones
Separacin de desarrollo, prueba
A10.1.4
e instalaciones operacionales
Gestin de entrega de
A10.2
servicios de terceros
A10.2.1 Servicio de entrega
El seguimiento y la revisin de los
A10.2.2
servicios de terceros
Gestin de cambios en los
A10.2.3
servicios de terceros
Xerox Internal Use Only
Descripcin del control Funcin Status Buscar Hallazgos
amenazas y peligros ambientales, y las oportunidades para el acceso no
autorizado.
El equipo deber estar protegida contra fallas de energa y otras
interrupciones causadas por fallas en el apoyo a los servicios pblicos.
Energa y telecomunicaciones cableado que transporta datos o el apoyo a
los servicios de informacin deben estar protegidos contra la interceptacin
o dao.
El equipo debe mantenerse correctamente para permitir su continua
disponibilidad e integridad.
Seguridad se aplicar a los equipos fuera de las instalaciones, teniendo en
cuenta los diferentes riesgos de trabajar fuera de los locales de la
organizacin.
Todos los elementos del equipo que contiene los medios de
almacenamiento debern ser evaluados para verificar que los datos
sensibles y el software con licencia se ha eliminado o sobrescrito de forma
segura antes de su eliminacin.
Equipo, la informacin o el software no se tomarn fuera del sitio sin la
previa autorizacin.
To ensure the correct and secure operation of information processing
facilities.
Los procedimientos de operacin debern ser documentados, mantenidos
y puestos a disposicin de todos los usuarios que los necesitan.
Los cambios en las instalaciones y los sistemas de procesamiento de
informacin deben controlarse.
Deberes y reas de responsabilidad deben estar separados para reducir
las oportunidades de modificacin o mal uso de los activos de la
organizacin no autorizado o involuntario.
Estarn separadas de desarrollo, prueba e instalaciones operacionales
para reducir el riesgo de acceso no autorizado o alteraciones en el sistema
operativo.
Para implementar y mantener el nivel adecuado de seguridad de la
informacin y la prestacin de servicios en lnea con los acuerdos de
prestacin de servicios de terceros.
Se velar por que los controles de seguridad, las definiciones de servicio, y
los niveles de envo incluidos en el tercer acuerdo de prestacin de
servicios del partido se implementan, operado y mantenido por el tercero.
Los servicios, los informes y los registros proporcionados por el tercero
debern ser controlados regularmente y revisados, y las auditoras se
llevarn a cabo con regularidad.
os cambios en la prestacin de servicios, incluido el mantenimiento y la
mejora de las actuales polticas de seguridad de informacin,
procedimientos y controles, se gestionarn, teniendo en cuenta la criticidad
de los sistemas y procesos que intervienen empresas y re-evaluacin de
los riesgos.
344587976.xls Page 36 of 58
Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Planificacin y aceptacin del

A10.3 Para minimizar el riesgo de fallo de los sistemas.
sistema
El uso de los recursos deber ser monitoreada, afinado, y proyecciones de
A10.3.1 gestin de la capacidad las futuras necesidades de capacidad para asegurar el rendimiento del
sistema requerido.
Los criterios de aceptacin para los nuevos sistemas de informacin,
actualizaciones y nuevas versiones sern establecidos y las pruebas
A10.3.2 la aceptacin del sistema
adecuadas del sistema) llevaron a cabo durante el desarrollo y antes de la
aceptacin.
Proteccin contra cdigo
A10.4 Para proteger la integridad del software y la informacin.
malicioso y mvil
Se llevarn a cabo la deteccin, prevencin y recuperacin controles de
A10.4.1 Controles contra cdigo malicioso proteccin contra cdigo malicioso y los procedimientos apropiados de
sensibilizacin usuario.
Cuando se autorice el uso de cdigo mvil, la configuracin deber
garantizar que el cdigo mvil autorizado opera de acuerdo con una
A10.4.2 Controles contra cdigos mviles
poltica de seguridad claramente definido, y el cdigo mvil no autorizado
puede ser impedido de ejecutar.
Para mantener la integridad y la disponibilidad de instalaciones de
A10.5 Back-up
procesamiento de la informacin y de la informacin.
Copias de respaldo de la informacin y software sern tomadas y
Informacin
A10.5.1 analizadas con regularidad de acuerdo con la poltica de copia de
back-up
seguridad acordado.
Gestin de la seguridad de la Para garantizar la proteccin de la informacin en las redes y la
A10.6
red proteccin de la infraestructura de apoyo.

Redes se gestionarn adecuadamente y controlados, con el fin de

A10.6.1 controles de red protegerse de las amenazas, y para mantener la seguridad de los sistemas
y aplicaciones que utilizan la red, incluyendo la informacin en trnsito.

Las caractersticas de seguridad, niveles de servicio y los requisitos de

gestin de todos los servicios de la red deben ser identificados e incluidos
A10.6.2 Seguridad de los servicios de red
en cualquier acuerdo de servicios de red, si estos servicios se ofrecen en la
empresa o subcontratado.
Para evitar la divulgacin no autorizada, modificacin, eliminacin o
A10.7 manejo del soporte destruccin de bienes, y la interrupcin de las actividades
comerciales.
Deber haber procedimientos establecidos para el manejo de los medios
A10.7.1 Gestin de soportes extrables
extrables.
La eliminacin de los medios de Medios debern ser desechados de forma segura y sin peligro cuando ya
A10.7.2
comunicacin no sea necesario, utilizando procedimientos formales.
Los procedimientos para el manejo y almacenamiento de la informacin se
Informacin del manejo de los
A10.7.3 establecern para proteger esta informacin contra su divulgacin o uso no
procedimientos
autorizado.
Seguridad de la documentacin Documentacin del sistema deben estar protegidos contra el acceso no
A10.7.4
del sistema autorizado.
Para mantener la seguridad de la informacin y software
A10.8 Intercambio de informacin intercambiado dentro de una organizacin y con cualquier entidad
externa.
Polticas formales de cambio, los procedimientos y los controles debern
Las polticas y los procedimientos
A10.8.1 estar en su lugar para proteger el intercambio de informacin mediante el
de intercambio de informacin
uso de todo tipo de instalaciones de comunicacin.
Los acuerdos se establecieron para el intercambio de informacin y
A10.8.2 Los acuerdos de intercambio
software entre la organizacin y las partes externas.

Xerox Internal Use Only 344587976.xls Page 37 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Los medios que contienen informacin deben estar protegidos contra el

A10.8.3 Medios fsicos en trnsito acceso no autorizado, mal uso o corrupcin durante el transporte ms all
de los lmites fsicos de una organizacin.
Informacin involucrado en la mensajera electrnica ser debidamente
A10.8.4 Mensajeria Electronica
preservado.
Las polticas y procedimientos debern ser desarrollados e implementados
Sistemas de informacin de
A10.8.5 para proteger la informacin asociada a la interconexin de los sistemas de
negocios
informacin de negocios.
Servicios de comercio Para garantizar la seguridad de los servicios de comercio electrnico,
A10.9
electrnico y su uso seguro.
Informacin involucrado en el comercio electrnico que pasa a travs de
A10.9.1 Comercio Electronico redes pblicas, sern protegidos de la actividad fraudulenta, disputa de
contrato, y la divulgacin y modificacin no autorizada.
Informacin involucrada en las transacciones en lnea debern estar
protegidos para prevenir la transmisin incompleta, mal enrutamiento,
A10.9.2 Transacciones On-line
alteracin mensaje no autorizado, la divulgacin no autorizada, la
duplicacin de mensajes no autorizada o la reproduccin.
La integridad de la informacin puesta a disposicin de un sistema de
A10.9.3 Informacin pblica acceso pblico debe ser protegido para evitar la modificacin no
autorizada.
Para detectar las actividades de procesamiento de informacin no
A10.10 Monitoreo
autorizados.
Los registros de auditora de grabacin de las actividades del usuario,
excepciones y eventos de seguridad de informacin se producen y se
A10.10.1 Registro de Auditoria
conservarn durante un perodo acordado para ayudar en futuras
investigaciones y la vigilancia del control de acceso.
Procedimientos para el uso de vigilancia de las instalaciones de
A10.10.2 Uso del sistema de monitoreo procesamiento de informacin se establecern y los resultados de las
actividades de seguimiento de revisiones regulares.
Proteccin de los registros de Instalaciones de registro y la informacin de registro se protegern contra
A10.10.3
informacin la manipulacin y acceso no autorizado.
Administracin y operacin de los
A10.10.4 Actividades del administrador del sistema y gestor de la red se registrarn.
registros de informacin
A10.10.5 Fallo de Registros Fallos se registrarn, analizarn y tomarn las medidas correspondientes.

Los relojes de todos los sistemas de procesamiento de informacin

A10.10.6 Sincronizacin de Relojes pertinentes dentro de una organizacin o dominio de seguridad se pueden
sincronizar con una fuente horaria exacta acordado.
A11 Control de Acceso
Requerimiento de negocio de
A11.1 Para controlar el acceso a la informacin.
control de acceso

Se establecer una poltica de control de acceso, documentado y revisado

A11.1.1 Poltica de control de acceso
basado en los requisitos empresariales y de seguridad para el acceso.

Gestin de acceso de los Para garantizar el acceso del usuario autorizado y evitar el acceso no
A11.2
usuarios autorizado a los sistemas de informacin.
Habr un registro de usuario formal y procedimiento de la matrcula en el
A11.2.1 Registro de Usuarios lugar para otorgar y revocar el acceso a todos los sistemas y servicios de
informacin.

A11.2.2 Administracin de Privilegios La asignacin y el uso de los privilegios se limitarn y controlados.

Xerox Internal Use Only 344587976.xls Page 38 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Administracin de Password de La asignacin de contraseas se controla a travs de un proceso de

A11.2.3
Usuarios gestin formal.
Revisin de los derechos de La direccin revisar los derechos de acceso de los usuarios a intervalos
A11.2.4
acceso de usuario regulares utilizando un proceso formal.
Para prevenir el acceso no autorizado de usuarios, y el compromiso o
Responsabilidades de los
A11.3 el robo de las instalaciones de procesamiento de la informacin y de
usuarios
la informacin.
Los usuarios estarn obligados a seguir las buenas prcticas de seguridad
A11.3.1 Utilizacin de Contrasea
en la seleccin y uso de contraseas.
Los usuarios debern asegurarse de que el equipo desatendido tiene la
A11.3.2 Equipo de usuarios desatendido
proteccin adecuada.
Se adoptarn una poltica de escritorio limpio de papeles y soportes de
Poltica de escritorio y pantalla en
A11.3.3 almacenamiento extrables y una poltica de la pantalla clara para las
blanco o despejado
instalaciones de procesamiento de informacin.

A11.4 Control de acceso de red Para prevenir el acceso no autorizado a los servicios en red.

Poltica sobre el uso de los
A11.4.1
servicios de red
Autenticacin de usuario para las
A11.4.2
conexiones externas
Los usuarios slo debern disponer de acceso a los servicios que han sido
especficamente autorizados para su uso.
Mtodos de autenticacin adecuados se utilizan para controlar el acceso
de usuarios remotos.

Identificacin de los equipos en Identificacin automtica de los equipos se considerar como un medio
A11.4.3
las redes para autenticar las conexiones de los lugares y equipos especficos.

Diagnstico remoto y proteccin Se controlar el acceso fsico y lgico a los puertos de diagnstico y
A11.4.4
puerto de configuracin configuracin.

Grupos de servicios de informacin, los usuarios y los sistemas de

A11.4.5 Segregacin en redes
informacin debern estar separados de las redes

Para las redes compartidas, especialmente aquellas que se extienden a

travs de fronteras de la organizacin, la capacidad de los usuarios para
A11.4.6 Control de la conexin de red
conectarse a la red se limitar, en lnea con la poltica y los requisitos de
las aplicaciones de negocio de control de acceso (vase 11.1).

Controles de enrutamiento se aplicarn a las redes para garantizar que las

A11.4.7 Control de Ruta de red conexiones de la computadora y los flujos de informacin no infringen la
poltica de control de acceso de las aplicaciones de negocio.

Control de acceso del sistema

A11.5 Para prevenir el acceso no autorizado a los sistemas operativos.
operativo
El acceso a los sistemas operativos se controla mediante un procedimiento
A11.5.1 Procedimientos de Inicio Seguro
de inicio de sesin seguro.
Todos los usuarios deben tener un identificador nico (ID de usuario) slo
Identificacin y autenticacin de
A11.5.2 para su uso personal, y una tcnica de autenticacin adecuados sern
usuarios
elegidos para corroborar la identidad declarada de un usuario.
Sistema de gestin de Sistemas de gestin de contraseas sern interactivos y se asegurarn de
A11.5.3
contraseas contraseas de calidad.
El uso de programas utilitarios que podran ser capaces de sistema y de
A11.5.4 Uso de las utilidades del sistema aplicacin controles primordiales ser restringido y estrechamente
controlado.
Sesiones inactivas se cerrarn despus de un perodo definido de
A11.5.5 Sesin de tiempo de espera
inactividad.

Xerox Internal Use Only 344587976.xls Page 39 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Las restricciones a los tiempos de conexin se utilizan para proporcionar

A11.5.6 Limitacin de tiempo de conexin
El control de aplicaciones y
A11.6
acceder a informacin
seguridad adicional para aplicaciones de alto riesgo.
Para prevenir el acceso no autorizado a la informacin contenida en
los sistemas de aplicacin.

El acceso a las funciones de informacin y sistemas de aplicaciones por

Restriccin de acceso
A11.6.1 los usuarios y el personal de apoyo se limitar de acuerdo con la poltica
Informacin
de control de acceso definido.

A11.6.2 Aislamiento del sistema Sensible Sistemas sensibles deben tener un (aislado) entorno informtico dedicado.
Computadores Mobiles y Para garantizar la seguridad de la informacin cuando se utilizan las
A11.7
Teletrabajo instalaciones de computacin y teletrabajo mvil.
Una poltica formal deber estar en su lugar, y se adoptar medidas de
Computadores Mobiles y
A11.7.1 seguridad para proteger contra los riesgos del uso de las instalaciones de
comnucaciones
computacin mvil y la comunicacin.
Una poltica, planes y procedimientos operativos deber ser desarrollado e
A11.7.2 Teletrabajo
implementado para las actividades de teletrabajo.

Adquisicin de sistemas de informacin, desarrollo y mantenimiento

A12

Los requisitos de seguridad de Para asegurar que la seguridad es una parte integral de los sistemas
A12.1
los sistemas de informacin de informacin.

Declaraciones de los requerimientos del negocio para los nuevos sistemas

Anlisis de los requisitos de
A12.1.1 de informacin, o mejoras de los sistemas de informacin existentes
seguridad y las especificaciones
especificarn los requisitos para los controles de seguridad.

Procesamiento correcto en Para evitar errores, la prdida, modificacin o mal uso de la

A12.2
aplicaciones informacin en la aplicacin no autorizada.
La entrada de datos a las aplicaciones deber ser validado para
A12.2.1 Validacin de Datos de Entrada
asegurarse de que esta informacin es correcta y apropiada.
Comprobaciones de validacin debern ser incorporados en las
12.2.2 Control del procesamiento interno aplicaciones para detectar cualquier corrupcin de la informacin a travs
de los errores de procesamiento o actos deliberados.
Requisitos para garantizar la autenticidad y la proteccin de la integridad
12.2.3 Integridad de los mensajes del mensaje en las aplicaciones deben ser identificados, y los controles
apropiados identificados e implementados.
La salida de datos desde una aplicacin deber ser validado para
12.2.4 Validacin de datos de salida asegurarse de que el procesamiento de la informacin almacenada es
correcta y adecuada a las circunstancias.
Para proteger la confidencialidad, autenticidad o integridad de la
A12.3 Controles criptogrficos
informacin por medios criptogrficos.
Poltica sobre el uso de controles Una poltica sobre el uso de controles criptogrficos para la proteccin de
A12.3.1
criptogrficos la informacin debe ser desarrollado e implementado
Gestin de claves estar en el lugar para apoyar el uso de la organizacin
12.3.2 Gestin de claves
de las tcnicas criptogrficas.
Seguridad de los archivos del
A12.4 Para garantizar la seguridad de los archivos del sistema
sistema
Habr procedimientos para controlar la instalacin de software en los
A12.4.1 Control del Software Operacional
sistemas operativos
Proteccin de los datos de Los datos de prueba deben seleccionarse cuidadosamente y protegidos y
A12.4.2
prueba del sistema controlados.

Xerox Internal Use Only 344587976.xls Page 40 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Control de acceso al cdigo

A12.4.3 El acceso al cdigo fuente del programa se limitar.
fuente del programa

Seguridad en desarrollo y Para mantener la seguridad de software de sistema de aplicacin y la

A12.5
soporte de procesos informacin.

Procedimientos de control de La implementacin de los cambios se controla mediante el uso de

A12.5.1
cambio procedimientos formales de control de cambios.

Revisin tcnica de aplicaciones Cuando se cambian los sistemas operativos, aplicaciones crticas de
A12.5.2 despus de cambios en el negocio deben ser revisados y probados para asegurar que no hay impacto
sistema operativo negativo en las operaciones de la organizacin o de la seguridad.

Las modificaciones a los paquetes de software se pondrn trabas, otros,

Restricciones en los cambios a
A12.5.3 las modificaciones necesarias, y todos los cambios deben ser
los paquetes de software
estrictamente controlados.
A12.5.4 filtracin de informacin Se impedir Oportunidades para la fuga de informacin.
Desarrollo de software Desarrollo de software externalizado ser supervisado y controlado por la
A12.5.5
externalizado organizacin
Gestin de Vulnerabilidades Para reducir los riesgos derivados de la explotacin de las
A12.6
Tcnica vulnerabilidades tcnicas publicadas.
La informacin oportuna acerca de las vulnerabilidades tcnicas de los
Control de las vulnerabilidades sistemas de informacin que se utilizan se obtienen, la exposicin de la
A12.6.1
tcnicas organizacin a tales vulnerabilidades evaluado y tomado las medidas
adecuadas para hacer frente a los riesgos asociados.

Gestin de incidentes de seguridad de informacin

A13
Para garantizar la seguridad de la informacin de eventos y
Informar sobre los eventos de
debilidades asociadas a los sistemas de informacin se comunican
A13.1 seguridad de informacin y
de una manera que permite acciones correctivas oportunas que
debilidades
deban tomarse.
Informar sobre los eventos de Los eventos de seguridad de informacin se comunicarn a travs de
A13.1.1
seguridad de informacin canales de gestin adecuadas tan pronto como sea posible.
Todos los empleados, contratistas y usuarios de terceras partes de los
Informes debilidades de sistemas y servicios de informacin estarn obligados a observar y reportar
A13.1.2
seguridad cualquier debilidad de seguridad que observen o sospechen en los
sistemas o servicios.
Gestin de incidentes de
Para garantizar un enfoque coherente y eficaz se aplica a la gestin de
A13.2 seguridad de la informacin y
incidentes de seguridad de la informacin.
mejoras
Responsabilidades y procedimientos de manejo debern ser establecidos
Responsabilidades y
A13.2.1 para asegurar una respuesta rpida, eficaz y ordenada a los incidentes de
procedimientos
seguridad de la informacin.
Habr mecanismos que permitan a los tipos, volmenes y costos de los
Aprendiendo de los incidentes de
A13.2.2 incidentes de seguridad de la informacin para ser cuantificados y
seguridad de la informacin
controlados.
Cuando una accin de seguimiento contra una persona u organizacin
despus de un incidente de seguridad de informacin implica una accin
A13.2.3 Acopio de Evidencias jurdica (civil o penal), se percibir la evidencia, conservado, y se present
a cumplir con las reglas para la prueba prevista en la jurisdiccin
correspondiente (s ).

Gestin de continuidad del negocio

A14

Xerox Internal Use Only 344587976.xls Page 41 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Para contrarrestar las interrupciones a las actividades comerciales y

Los aspectos de seguridad de
proteger los procesos crticos de negocio de los efectos de los fallos
A14.1 informacin de la gestin de la
principales de los sistemas de informacin o los desastres y asegurar
continuidad del negocio
su oportuna reanudacin.
Incluyendo seguridad de la Un proceso gestionado se desarrolla y se mantiene la continuidad del
informacin en el proceso de negocio en toda la organizacin que se ocupa de los requisitos de
A14.1.1
gestin de la continuidad del seguridad de la informacin necesaria para la continuidad del negocio de la
negocio organizacin.

Los eventos que pueden causar interrupciones en los procesos de negocio

Continuidad del negocio y
A14.1.2 deben ser identificados, junto con la probabilidad y el impacto de estas
anlisis de riesgos
interrupciones y de sus consecuencias para la seguridad de la informacin.

Desarrollo e implementacin de
planes de continuidad que
A14.1.3
incluyen seguridad de la
informacin
Los planes debern desarrollarse y aplicarse para mantener o restaurar las
operaciones y asegurar la disponibilidad de informacin al nivel requerido y
en las escalas de tiempo requeridas siguientes a la interrupcin o el
fracaso de los procesos crticos de negocio.

Deber mantenerse un nico marco de los planes de continuidad del

Marco de planificacin de la negocio para asegurar que todos los planes son consistentes, para abordar
A14.1.4
continuidad del negocio de manera coherente los requisitos de seguridad de la informacin, y para
identificar las prioridades de prueba y mantenimiento.

Pruebas, mantenimiento y re-

Los planes de continuidad debern ser probados y actualizados
A14.1.5 evaluacin de los planes de
regularmente para asegurarse de que estn al da y efectivo.
continuidad del negocio
A15 Conformidad

El cumplimiento de los Para evitar el rebasamiento de cualquier ley, obligaciones legales,

A15.1
requisitos legales reglamentarias o contractuales, y de los requisitos de seguridad.

Todos los requisitos legales, reglamentarios y contractuales pertinentes y

Identificacin de la legislacin por el enfoque de la organizacin para cumplir con estos requisitos se
A15.1.1
aplicable definirn explcitamente, documentados, y se mantienen al da para cada
sistema de informacin y la organizacin.

Procedimientos apropiados se aplicarn para garantizar el cumplimiento de

Derechos de propiedad requisitos legales, reglamentarios y contractuales sobre el uso de material
A15.1.2
intelectual (DPI) con respecto al cual puede haber derechos de propiedad intelectual y
sobre el uso de productos de software propietario.

Registros importantes estarn protegidos contra prdida, destruccin y

Proteccin de los registros de la
A15.1.3 falsificacin, de acuerdo con los requisitos legales, reglamentarios,
organizacin
contractuales y de negocios.
Proteccin de datos y privacidad se garantizar como se requiere en la
Proteccin de datos y privacidad
A15.1.4 legislacin pertinente, los reglamentos, y, si procede, las clusulas
de la informacin personal
contractuales.
Prevencin del uso indebido de
Los usuarios se decidan a utilizar las instalaciones de procesamiento de
A15.1.5 las instalaciones de
informacin para fines no autorizados.
procesamiento de informacin
Regulacin de los controles Controles criptogrficos sern utilizados en cumplimiento de todos los
A15.1.6
criptogrficos acuerdos, leyes y reglamentos.
El cumplimiento de las
polticas de seguridad y las Para garantizar el cumplimiento de los sistemas con las polticas y
A15.2
normas y el cumplimiento estndares de seguridad de la organizacin
tcnico

Xerox Internal Use Only 344587976.xls Page 42 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

Administradores se asegurarn de que todos los procedimientos de

El cumplimiento de las polticas y seguridad dentro de su rea de responsabilidad se llevan a cabo
A15.2.1
normas de seguridad correctamente para lograr el cumplimiento con las polticas y estndares de
seguridad.
Comprobacin del cumplimiento Los sistemas de informacin deben ser revisados regularmente por el
A15.2.2
tcnico cumplimiento de las normas de aplicacin de la seguridad.
Consideraciones de auditora Para maximizar la eficacia y minimizar la interferencia a / desde el
A15.3
del sistema de informacin proceso de auditora de sistemas de informacin.
Requisitos de auditora y las actividades relacionadas con los controles de
Controles de auditora de los sistemas operativos debern ser planeadas cuidadosamente y
A15.3.1
sistemas de informacin acordaron reducir al mnimo el riesgo de interrupciones en los procesos de
negocio.
Proteccin de las herramientas
El acceso a las herramientas de auditora de sistemas de informacin debe
A15.3.2 de auditora de sistemas de
ser protegido para evitar cualquier posible mal uso o el compromiso.
informacin

Leyenda
Cantidad Codigos Status Significado Contribution %

Xerox Internal Use Only 344587976.xls Page 43 of 58

Anexo A de referencia Ttulo de control Descripcin del control Funcin Status Buscar Hallazgos

0 D El control se document e implement #DIV/0!

El Control se lleva a cabo y el proceso debe ser documentado para
0 MD #DIV/0!
asegurar la repetibilidad del proceso y mitigar los riesgos.
El control no cumple las normas y debe ser rediseado para cumplir con
0 RD #DIV/0!
las normas
El proceso no est en su lugar / no implementado.
0 PNP #DIV/0!
(Control requeridos ni documentado ni implementado)
0 NA (Not Applicable) El control no es aplicable para la empresa ni para el negocio #DIV/0!
0

Xerox Internal Use Only 344587976.xls Page 44 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 45 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 46 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 47 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 48 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 49 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 50 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 51 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 52 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 53 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 54 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 55 of 58

 Recomendaciones

Xerox Internal Use Only 344587976.xls Page 56 of 58

Nota : Los nmeros en esta hoja deben ser llenados en marcha manualmente para reflejar en el r

Cantidad de Status Status

Funciones D PNP RD NA MD Gran Total
Administracion 6 1 8 1 16
CISO 1 19 13 1 34
Finanzas 3 3
Recursos Humanos 4 1 4 9
IT 8 25 16 6 3 58
S/W 4 3 1 8
Alta Direccin 3 1 4
Empleados 1 1
Gran Total 23 49 49 7 5 133

Funciones D PNP RD MD Gran Total Conformidad %

Administracin 6 1 8 1 16 38%
CISO 1 19 13 1 34 3%
Finanzas 3 3 0%
Recursos Humanos 4 1 4 9 44%
IT 8 25 16 3 52 15%
S/W 4 3 7 57%
Alta Direccin 3 1 4 0%
Empleados 1 1 0%

Gran Total 23 49 49 5 126

Conformidad Porcentual % 18% 39% 39% 4% 100%

manualmente para reflejar en el resumen de la hoja / dashboard

NA Net Total

6
1

7 133