% NM

% NM Objetivo de No. Nivel de

ID Dominio y
Control Ctrls Madurez
Ctrls

Aspectos organizativos de la seguridad de la información 11

A6 16,67
Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y operación de la seguridad de la información dentro de la
organización.

A.6.1.1 Compromiso de la dirección con

1 Inicial 20
la seguridad de la información
Organización Interna
A.6.1.2 Coordinación de la seguridad de
1 Inicial 20
la información

A.6.1.3 Asignación de responsabilidades

1 Inicial 20
relativas a la seguridad de la información

A.6.1.4 Proceso de autorización de

recursos para el tratamiento de la 20 1 Inexistente 0
información

A.6.1.5 Acuerdos de confidencialidad

1 Inicial 20

A.6.1.6 Contacto con las autoridades

1 Repetible 40

A.6.1.7 Contacto con grupos de especial

1 Inicial 20
interés
A.6.1.8 Revisión independiente de 1
Inicial 20
seguridad de la información

A.6.2.1 Identificación de los riesgos 1

Inexistente 0
derivados del acceso de terceros

A.6.2.2 Tratamiento de la seguridad en 1

Terceros 13,33 Inicial 20
la relación con los clientes

A.6.2.3 Tratamiento de la seguridad en 1

Inicial 20
contratos con terceros

Seguridad ligada a los recursos humanos 9

A8 42,22
Asegurar que los empleados y contratistas comprenden sus responsabilidades y
son idóneos en los roles para los que se consideran.

A.8.1.1 Funciones y responsabilidades 1 Inicial 20

A.8.1.2 Investigación de antecedentes Antes del empleo

1 Inicial 20
26,67
A.8.1.3 Términos y condiciones de
1 Repetible 40
contratación

A.8.2.1 Responsabilidades de la
1 Definido 60
dirección

A.8.2.2 Concienciación, formación y

Durante el empleo 46,67
capacitación en seguridad de la 1 Inicial 20
información

A.8.2.3 Proceso disciplinario 1 Definido 60

A.8.3.1 Responsabilidades del cese o 1
53,33 Inicial 20
cambio
Cese del empleo o cambio de puesto de trabajo
A.8.3.2 Devolución de activos 1 Gestionado 80

A.8.3.3 Retirada de los derechos de 1

Definido 60
acceso

Gestión de comunicaciones operaciones 32

A10 38,51
Garantizar la documentación, mantenimiento y actualización de los procedimientos
de operación y administración tecnológica.

A.10.1.1 Documentación de los

1 Inicial 20
procedimientos de operación

A.10.1.2 Gestión de cambios 1 Inicial 20

Responsabilidades y procedimientos de operación
26,67
A.10.1.3 Segregación de tareas 1 Inicial 20

A.10.1.4 Separación de los recursos de

1 Inicial 20
desarrollo, prueba y operación

A.10.2.1 Provisión de servicios 1 Inicial 20

A.10.2.2 Supervisión y revisión de los

1 Definido 60
servicios prestados por terceros Gestión de la provisión de servicios por terceros 46,67

A.10.2.3 Gestión del cambio en los

1 Definido 60
servicios prestados por terceros

A.10.3.1 Gestión de capacidades Planificación y aceptación del sistema 20 1 Inicial 20

A.10.3.2 Aceptación del sistema 1 Inicial 20

A.10.4.1 Controles contra el código 1

Protección contra el código malicioso descargable 60 Definido 60
malicioso

A.10.4.2 Controles contra el código 1

Definido 60
descargado en el cliente

A.10.5.1 Copias de seguridad de la 1

Copias de seguridad 80 Gestionado 80
información

A.10.6.1 Controles de red 1 Definido 60

Gestión de la seguridad de las redes 60
A.10.6.2 Seguridad de los servicios de 1
Definido 60
red

A.10.7.1 Gestión de soportes extraíbles 1 Inicial 20

A.10.7.2 Retirada de soportes Manipulación de los soportes 1 Inicial 20

A.10.7.3 Procedimientos de 20 1
Inicial 20
manipulación de la información

A.10.7.4 Seguridad de la documentación 1

Inicial 20
del sistema

A.10.8.1 Políticas y procedimientos de 1

Inicial 20
intercambio de información

A.10.8.2 Acuerdo de intercambio 20 1

Intercambio de información Inicial 20

A.10.8.3 Soporte físicos en transito 1 Inicial 20

A.10.8.4 Mensajería electrónica 1 Inicial 20

A.10.8.5 Sistemas de información 1

Inicial 20
empresariales

A.10.9.1 Comercio electrónico Servicios de comercio electrónico 1 Inicial 20

A.10.9.2 Transacciones en línea 1 No Aplica N/A

N/A
A.10.9.3 Información públicamente 1
Inicial 20
disponible

A.10.10.1 Registros de auditoria 1 Inexistente 0

A.10.10.2 Supervisión del uso del 1

Inicial 20
sistema

A.10.10.3 Protección de la información 1

Inicial 20
de los registros
13,33
A.10.10.4 Registros de administración y 1
Supervisión Inicial 20
operación

A.10.10.5 Registro de fallos 1 Inicial 20

A.10.10.6 Sincronización de reloj 1 Inexistente 0

Adquisición, desarrollo y mantenimiento de sistema de información 16

A12 22,33
Garantizar que la seguridad es parte integral de los sistemas de información.
 Requisitos de seguridad de los sistemas de
12.1.1 Análisis y especificación de los información
20 1 Inicial 20
requisitos de seguridad

A.12.2.1 validación de los datos de

1 Inicial 20
entrada

A.12.2.2 Control del procedimiento

1 Inicial 20
interno
Tratamiento correcto de las aplicaciones 20
A.12.2.3 Integridad de los mensajes 1 Inicial 20

A.12.2.4 Validación de los datos de

1 Inicial 20
salida

A.12.3.1 Política de uso de los controles

Controles criptográficos 1 Inicial 20
criptográficos
30
A.12.3.2 Gestión de claves 1 Repetible 40

A.12.4.1 Control del software en

1 Inicial 20
explotación

A.12.4.2 Protección de los datos de

prueba del sistema Seguridad de los archivos de sistema 20 1 Inicial 20

A.12.4.3 Control de acceso al código

1 Inicial 20
fuente de los programas

A.12.5.1 Procedimientos de control de

Seguridad en los procesos de desarrollo y soporte 24 1 Inicial 20
cambios
A.12.5.2 Revisión técnica de las
aplicaciones tras efectuar cambios en el 1 Repetible 40
sistema operativo

A.12.5.3 Restricciones a los cambios en

1 Inicial 20
los paquetes de software

A.12.5.4Fugas de información 1 Inicial 20

A.12.5.5 Internalización del desarrollo de

1 Inicial 20
software

A.12.6.1 Control de las vulnerabilidades

Gestión de la vulnerabilidad técnica 20 1 Inicial 20
técnicas

Gestión de la continuidad del negocio 5

A14 20
Contrarrestar las interrupciones en las actividades de negó cio y proteger sus
procesos críticos contra desastres y fallas mayores en los sistemas de información,
así Como de sus efectos. Asegurando su restablecimiento oportuno
14.1.1 Inclusión de la seguridad de la
información en el proceso de gestión de 1 Inicial 20
la continuidad del negocio
Aspectos de seguridad de la información en la
20
14.1.2 Continuidad del negocio y gestión de la continuidad del negocio
1 Inicial 20
evaluación de riesgos

14.1.3 Desarrollo e implantación de 1 Inicial 20

planes de continuidad que incluyan la
seguridad de la información

14.1.4 Marco de referencia para la

1 Inicial 20
planificación de la cont. Del negocio

14.1.5 Pruebas, mantenimiento y

1 Inicial 20
reevaluación de planes de continuidad

Cumplimiento 10

Evitar el incumplimiento de las obligaciones

A15 20
legales, estatutarias, de reglamentación o
contractuales relacionadas con seguridad de la
información y de cualquier requisito de seguridad.

A.15.1.1 Identificación de la legislación aplicable 1 Inicial 20

A.15.1.2 Derechos de propiedad intelectual (DPI) 1 Inicial 20

A.15.1.3 Protección de los documentos de la organización Cumplimiento de los 1 Repetible 40

30
requisitos legales
A.15.1.4 Protección de datos y privacidad de la información de
1 Definido 60
carácter personal

A.15.1.5 Prevención del uso indebido de recursos de tratamiento 1

Inicial 20
de la información

A.15.1.6 Regulación de los controles criptográficos 1

Inicial 20

A.15.2.1 Cumplimiento de las políticas y normas de seguridad Cumplimiento de las 1 Inicial 20

políticas normas de
20
A.15.2.2 Comprobación del cumplimiento técnico seguridad y 1
Inicial 20
cumplimiento técnico

A.15.3.1 Controles de auditoria de los sistemas de información 1 Inexistente 0

Consideraciones sobre las
auditorias de los sistemas 10
A.15.3.2 Protección de las herramientas de auditoria de los 1
de información Inicial 20
sistemas d información