You are on page 1of 9

% NM

% NM Objetivo de No. Nivel de
ID Dominio y
Control Ctrls Madurez
Ctrls

Aspectos organizativos de la seguridad de la información 11

A6 16,67
Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y operación de la seguridad de la información dentro de la
organización.

A.6.1.1 Compromiso de la dirección con
1 Inicial 20
la seguridad de la información
Organización Interna
A.6.1.2 Coordinación de la seguridad de
1 Inicial 20
la información

A.6.1.3 Asignación de responsabilidades
1 Inicial 20
relativas a la seguridad de la información

A.6.1.4 Proceso de autorización de
recursos para el tratamiento de la 20 1 Inexistente 0
información

A.6.1.5 Acuerdos de confidencialidad
1 Inicial 20

A.6.1.6 Contacto con las autoridades
1 Repetible 40

A.6.1.7 Contacto con grupos de especial
1 Inicial 20
interés

2.1.2 Tratamiento de la seguridad en 1 Terceros 13.1 Funciones y responsabilidades 1 Inicial 20 A.1 Responsabilidades de la 1 Definido 60 dirección A.2.1 Identificación de los riesgos 1 Inexistente 0 derivados del acceso de terceros A.22 Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.1.1.8.8. A.8.A. formación y Durante el empleo 46.2.67 A.8.3 Tratamiento de la seguridad en 1 Inicial 20 contratos con terceros Seguridad ligada a los recursos humanos 9 A8 42.8 Revisión independiente de 1 Inicial 20 seguridad de la información A.6.6.8.2.2 Concienciación.67 capacitación en seguridad de la 1 Inicial 20 información A.2.6.2 Investigación de antecedentes Antes del empleo 1 Inicial 20 26.2.33 Inicial 20 la relación con los clientes A.6.3 Proceso disciplinario 1 Definido 60 .8.1.3 Términos y condiciones de 1 Repetible 40 contratación A.

10.10.1.1 Responsabilidades del cese o 1 53.2 Devolución de activos 1 Gestionado 80 A.1.3 Segregación de tareas 1 Inicial 20 A.33 Inicial 20 cambio Cese del empleo o cambio de puesto de trabajo A.2.1.10.8.1 Provisión de servicios 1 Inicial 20 A.10. A.67 A.2 Gestión de cambios 1 Inicial 20 Responsabilidades y procedimientos de operación 26.3.3 Gestión del cambio en los 1 Definido 60 servicios prestados por terceros A.3.A.10.8.1 Gestión de capacidades Planificación y aceptación del sistema 20 1 Inicial 20 .2.3.67 A.1 Documentación de los 1 Inicial 20 procedimientos de operación A.3 Retirada de los derechos de 1 Definido 60 acceso Gestión de comunicaciones operaciones 32 A10 38.2 Supervisión y revisión de los 1 Definido 60 servicios prestados por terceros Gestión de la provisión de servicios por terceros 46. mantenimiento y actualización de los procedimientos de operación y administración tecnológica.2.51 Garantizar la documentación.10.3.8.1.10. prueba y operación A.10.4 Separación de los recursos de 1 Inicial 20 desarrollo.

4.10.7.2 Acuerdo de intercambio 20 1 Intercambio de información Inicial 20 A.5.10.7.3 Procedimientos de 20 1 Inicial 20 manipulación de la información A.10.10.2 Aceptación del sistema 1 Inicial 20 A.1 Controles de red 1 Definido 60 Gestión de la seguridad de las redes 60 A.10.10.1 Controles contra el código 1 Protección contra el código malicioso descargable 60 Definido 60 malicioso A.2 Controles contra el código 1 Definido 60 descargado en el cliente A.10.3.4 Seguridad de la documentación 1 Inicial 20 del sistema A.2 Retirada de soportes Manipulación de los soportes 1 Inicial 20 A.10.1 Copias de seguridad de la 1 Copias de seguridad 80 Gestionado 80 información A.4.1 Políticas y procedimientos de 1 Inicial 20 intercambio de información A.3 Soporte físicos en transito 1 Inicial 20 .7.7.8.2 Seguridad de los servicios de 1 Definido 60 red A.1 Gestión de soportes extraíbles 1 Inicial 20 A.6.10.10.A.8.8.10.6.10.10.

2 Supervisión del uso del 1 Inicial 20 sistema A.4 Mensajería electrónica 1 Inicial 20 A.6 Sincronización de reloj 1 Inexistente 0 Adquisición.33 A.10. desarrollo y mantenimiento de sistema de información 16 A12 22.1 Comercio electrónico Servicios de comercio electrónico 1 Inicial 20 A.10.10.9.10.10.10.10.8.10.9.10.10.10.3 Protección de la información 1 Inicial 20 de los registros 13.5 Registro de fallos 1 Inicial 20 A.9.33 Garantizar que la seguridad es parte integral de los sistemas de información.10.10.10.10.10.5 Sistemas de información 1 Inicial 20 empresariales A.10. .8.A.1 Registros de auditoria 1 Inexistente 0 A.4 Registros de administración y 1 Supervisión Inicial 20 operación A.3 Información públicamente 1 Inicial 20 disponible A.2 Transacciones en línea 1 No Aplica N/A N/A A.

12.2.2 Protección de los datos de prueba del sistema Seguridad de los archivos de sistema 20 1 Inicial 20 A. Requisitos de seguridad de los sistemas de 12.12.12.2.2.12.2 Control del procedimiento 1 Inicial 20 interno Tratamiento correcto de las aplicaciones 20 A.4.1 Política de uso de los controles Controles criptográficos 1 Inicial 20 criptográficos 30 A.1.12.4.3 Control de acceso al código 1 Inicial 20 fuente de los programas A.4 Validación de los datos de 1 Inicial 20 salida A.1 Procedimientos de control de Seguridad en los procesos de desarrollo y soporte 24 1 Inicial 20 cambios .2 Gestión de claves 1 Repetible 40 A.12.4.12.3.2.12.5.1 Análisis y especificación de los información 20 1 Inicial 20 requisitos de seguridad A.12.1 Control del software en 1 Inicial 20 explotación A.3 Integridad de los mensajes 1 Inicial 20 A.1 validación de los datos de 1 Inicial 20 entrada A.3.12.

1 Control de las vulnerabilidades Gestión de la vulnerabilidad técnica 20 1 Inicial 20 técnicas Gestión de la continuidad del negocio 5 A14 20 Contrarrestar las interrupciones en las actividades de negó cio y proteger sus procesos críticos contra desastres y fallas mayores en los sistemas de información.4Fugas de información 1 Inicial 20 A. Asegurando su restablecimiento oportuno 14.12.12.1.5 Internalización del desarrollo de 1 Inicial 20 software A.12.1 Inclusión de la seguridad de la información en el proceso de gestión de 1 Inicial 20 la continuidad del negocio Aspectos de seguridad de la información en la 20 14.6.12.5.1.2 Revisión técnica de las aplicaciones tras efectuar cambios en el 1 Repetible 40 sistema operativo A.5. así Como de sus efectos.2 Continuidad del negocio y gestión de la continuidad del negocio 1 Inicial 20 evaluación de riesgos 14.3 Desarrollo e implantación de 1 Inicial 20 planes de continuidad que incluyan la .12.5.5.1.3 Restricciones a los cambios en 1 Inicial 20 los paquetes de software A.A.

5 Prevención del uso indebido de recursos de tratamiento 1 Inicial 20 .4 Protección de datos y privacidad de la información de 1 Definido 60 carácter personal A.1. mantenimiento y 1 Inicial 20 reevaluación de planes de continuidad Cumplimiento 10 Evitar el incumplimiento de las obligaciones A15 20 legales.5 Pruebas.1 Identificación de la legislación aplicable 1 Inicial 20 A. Del negocio 14.4 Marco de referencia para la 1 Inicial 20 planificación de la cont.1. de reglamentación o contractuales relacionadas con seguridad de la información y de cualquier requisito de seguridad.3 Protección de los documentos de la organización Cumplimiento de los 1 Repetible 40 30 requisitos legales A.1.1. A.1.1.15.15.15. estatutarias.15.15.seguridad de la información 14.1.2 Derechos de propiedad intelectual (DPI) 1 Inicial 20 A.

2 Protección de las herramientas de auditoria de los 1 de información Inicial 20 sistemas d información .1 Controles de auditoria de los sistemas de información 1 Inexistente 0 Consideraciones sobre las auditorias de los sistemas 10 A.2.2.15.1.15.15.15.6 Regulación de los controles criptográficos 1 Inicial 20 A.1 Cumplimiento de las políticas y normas de seguridad Cumplimiento de las 1 Inicial 20 políticas normas de 20 A.de la información A.3.15.2 Comprobación del cumplimiento técnico seguridad y 1 Inicial 20 cumplimiento técnico A.3.