ISO27000_SOA_(02-02-2009)

Sheet1

Declaracin de Aplicabilidad (SOA)Fecha de vigencia:' Frebrero 2009Especificacin (para controles seleccionados y razones para la seleccin del control)RL: Requisitos Legales, OC: Obligaciones Contractuales*, RN/MP: Requisitos de Negocio/Mejores Practicas Adoptadas, RER: Resultado de Evaluacin de RiesgosControles ISO 27001:2005 Controles Actuales Comentario (justificacin para la exclusin)Controles seleccionados y razones de la seleccin Comentario (descripcin de la puesta en prctica)RLOCRN/MPRERClusulaSecControl ObjectiveControlPoltica de Seguridad5.1Poltica de seguridad de la informacin5.1.1Documento de poltica de seguridad de la informacinLa direccin debe aprobar, publicar y comunicar a todos los empleados y a las partes externas pertinentes, un documento con la poltica de seguridad de la informacin.nn5.1.2Revisin de la poltica de seguridad de la informacinSe debe revisar la poltica de seguridad de la informacin a intervalos planificados, o si se producen cambios significativos, para asegurar su conveniencia, suficiencia, y eficacia continuas.nn

Organizacin de la Seguridad de la Informacin6.1Organizacin interna6.1.1Compromiso de la direccin con la seguridad de la informacinLa direccin debe apoyar activamente la seguridad dentro de la organizacin a travs de una orientacin clara, compromiso demostrado, y la asignacin explcita de las responsabilidades de seguridad de la informacin y su reconocimiento.nn6.1.2Coordinacin de la seguridad de la informacinLas actividades referentes a la seguridad de la informacin deben estar coordinadas por representantes de diferentes partes de la organizacin con funciones y roles pertinentes.nn6.1.3Asignacin de responsabilidades sobre seguridad de la informacinSe deben definir claramente todas las responsabilidades de seguridad de la informacin.nn6.1.4Proceso de autorizacin para las instalaciones de procesamiento de informacinSe debe definir e implementar un proceso de autorizacin por parte de la direccin para nuevas instalaciones de procesamiento de informacin.nn6.1.5Acuerdos de confidencialidadSe deben identificar y revisar regularmente los requisitos sobre acuerdos de confidencialidad o no divulgacin que reflejan las necesidades de la organizacin para la proteccin de la informacin.nnn6.1.6Contacto con autoridadesSe deben mantener contactos apropiados con las autoridades relevantes.nn6.1.7Contacto con grupos de inters especialSe deben mantener los contactos apropiados con los grupos de inters especial u otros foros especializados en seguridad, as como asociaciones de rofesionales.nn6.1.8Revisin independiente de la seguridad de la informacinEl enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir, objetivos de control, controles, polticas, procesos y procedimientos para seguridad de la informacin) se debe revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en laimplementacin de la seguridad.nn6.2Partes externas6.2.1Identificacin de los riesgos relacionados con partes externasSe deben identificar los riesgos asociados a la informacin de la organizacin y a las instalaciones de procesamiento de la informacin para los procesos de negocio que involucran partes externas, y deberan implementarse controles apropiados antes de otorgar el acceso.nn6.2.2Tener en cuenta la seguridad cuando se trata con clientesTodos los requisitos de seguridad identificados se deben tratar antes de brindarle a los clientes acceso a activos o informacin de la organizacin.nn6.2.3Tener en cuenta la seguridad en los acuerdos con terceras partesLos acuerdos con terceros que involucren acceso, procesamiento, comunicacin o gestin de la informacin de la organizacin o de las instalaciones de procesamiento de informacin, o el agregado de productos o servicios a las instalaciones de procesamiento de informacin, deben cubrir todos los requisitos de seguridad pertinentes.nn

Gestin de Activos7.1Responsabilidad sobre los activos7.1.1Inventario de activosTodos los activos se deben identificar claramente y se debe elaborar y mantener un inventario de todos los activos importantes.nnnn7.1.2Propiedad de los activosToda la informacin y activos asociados con las instalaciones de procesamiento de informacin deben pertenecer a un propietario3, designado por la organizacin.nnn7.1.3Uso aceptable de los activosSe deben identificar, documentar e implementar las reglas para el uso aceptable de informacin y activos asociados con las instalaciones de procesamiento de informacin.nn7.2Clasificacin de la informacin7.2.1Directrices de clasificacinLa informacin se debe clasificarse en trminos de su valor, requisitos legales, sensibilidad y criticidad para la organizacin.nn7.2.2Etiquetado y manejo de la informacinSe debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la informacin de acuerdo al esquema de clasificacin adoptado por la organizacin.nn

Seguridad Ligada a los Recursos Humanos8.1Previo al empleo8.1.1Roles y responsabilidadesLos roles y responsabilidades de seguridad de usuarios empleados, contratistas y de terceras partes se deben definir y documentar de acuerdo con la poltica de seguridad de la informacin de la organizacin.nn8.1.2SeleccinDebe realizarse la verificacin de antecedentes en todos los candidatos al empleo, contratistas, y usuarios de terceras partes de acuerdo con las leyes, regulaciones y normas ticas relevantes y en proporcin a los requisitos del negocio, la clasificacin de la informacin a ser accedida, y los riesgos percibidos.nn8.1.3Trminos y condiciones de la relacin laboralComo parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes deben acordar y firmar los trminos y condiciones de su contrato laboral, el cual debe indicar sus responsabilidades y las de la organizacin en cuanto a seguridad de la informacin.nn8.2Durante el empleo8.2.1Responsabilidades de la direccinLa direccin debe exigir a los empleados, contratistas y usuarios de terceras partes aplicar la seguridad de acuerdo con las polticas y procedimientos stablecidos por la organizacin.n8.2.2Concientizacin, educacin y formacin en seguridad de la informacinTodos los empleados de la organizacin, y en donde sea pertinente, los contratistas y usuarios de terceras partes, deben recibir formacin adecuada en ncientizacin y actualizaciones regulares en polticas y procedimientos organizacionales, relevantes para su funcin laboral.n8.2.3Proceso disciplinarioDebe existir un proceso disciplinario formal para empleados que han perpetrado una violacin a la seguridad.n8.3Finalizacin o cambio de la relacin laboral o empleo8.3.1Responsabilidades en la desvinculacinSe deben definir y asignar claramente las responsabilidades relativas a la desvinculacin o al cambio de relacin laboral.nn8.3.2Devolucin de activosTodos los empleados, contratistas y usuarios de terceras partes deben devolver todos los activos pertenecientes a la organizacin que estn en su poder como consecuencia de la finalizacin de su relacin laboral, contrato o acuerdo. nnn8.3.3Remocin de derechos de accesoLos derechos de acceso de todo empleado, contratista o usuario de terceras partes a informacin e instalaciones de procesamiento de informacin deben ser removidos como consecuencia de la desvinculacin de su empleo, contrato o acuerdo, o ajustado cuando cambia.nnn

Seguridad Fsica y del Ambiente9.1reas seguras9.1.1Permetro de seguridad fsicaSe deben utilizar permetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta o recepcionista) para proteger las reas que contienen informacin e instalaciones de procesamiento de informacin.nControles Extistentesnn9.1.2Controles de acceso fsicoLas reas seguras deben estar protegidas por controles de entrada apropiados que aseguren que slo se permite el acceso a personal autorizado.nControles ExtistentesnnnImplementar el acceso por tarjeta en todos los centros de datos y registros establecidos en control de visitas9.1.3Seguridad de oficinas, despachos e instalacionesSe debe disear y aplicar seguridad fsica a oficinas, despachos e instalaciones.nControles Extistentesnn9.1.4Proteccin contra amenazas externas y del ambienteSe debe disear y aplicar medios de proteccin fsica contra daos por incendio, inundacin, terremoto, explosin, disturbios civiles, y otras formas de desastre natural o artificial.nControles Extistentesn9.1.5El trabajo en las reas segurasSe debe disear y aplicar proteccin fsica y directrices para trabajar en reas seguras.nControles ExtistentesnPoltica Creada9.1.6reas de de acceso pblico, de entrega y de cargaLos puntos de acceso tales como reas de entrega y de cargamento y otros puntos donde las personas no autorizadas puedan acceder a las instalaciones deben controlarse, y si es posible, aislarlos de instalaciones de procesamiento de la informacin para evitar el acceso no autorizado.nControles Extistentesn9.2Seguridad del equipamiento9.2.1Ubicacin y proteccin del equipamientoEl equipamiento debe ubicarse o protegerse para reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado.nControles Extistentesnnn9.2.2Elementos de soporteDebe protegerse el equipamiento contra posibles fallas en el suministro de energa y otras interrupciones causados por fallas en elementos de soporte.nControles Extistentesnn9.2.3Seguridad en el cableadoDebe protegerse contra interceptacin o daos el cableado de energa y de telecomunicaciones que transporta datos o brinda soporte a servicios de informacin.nControles Extistentesnn9.2.4Mantenimiento del equipamientoEl equipamiento debe recibir el mantenimiento correcto para asegurar su permanente disponibilidad e integridad.nControles ExtistentesnnnMecanismo PM formalizado9.2.5Seguridad del equipamiento fuera de las instalaciones de la organizacinDebe asegurarse todo el equipamiento fuera de los locales de la organizacin, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organizacin.nControles Extistentesn9.2.6Seguridad en la reutilizacin o eliminacin de equiposTodos aquel equipamiento que contenga medios de almacenamiento debe revisarse para asegurar que todo los datos sensibles y software licenciado se haya removido o se haya sobreescrito con seguridad antes de su disposicin.nProcedimiento implementado9.2.7Retiro de bienesEl equipamiento, la informacin o el software no deben retirarse del local de la organizacin sin previa autorizacin.nControles Existentes. n

Gestin de Comunicaciones y Operaciones10.1Procedimientos operacionales y responsabilidades10.1.1Procedimientos documentados de operacinLos procedimientos de operacin deben documentarse, mantenerse y ponerse a disposicin de todos los usuarios que los necesiten.10.1.2Gestin de cambiosDeben controlarse los cambios en los sistemas e instalaciones de procesamiento de informacin.10.1.3Segregacin de tareasDeben segregarse las tareas y las reas de responsabilidad para reducir las oportunidades de modificacin no autorizada o no intencional, o el uso inadecuado de los activos de la organizacin.10.1.4Separacin de los recursos para desarrollo, prueba y produccinLos recursos para desarrollo, prueba y produccin deben separarse para reducir los riesgos de acceso no autorizado o los cambios al sistema operacional.10.2Gestin de la entrega del servicio por terceras partes 10.2.1Entrega del servicioDeben asegurarse que los controles de seguridad, las definiciones del servicio y los niveles de entrega incluidos en el acuerdo de entrega del servicio por terceras partes son implementados, operados, y mantenidos por las terceras partes.10.2.2Supervisin y revisin de los servicios por terceras partesDeben supervisarse y revisarse regularmente los servicios, informes y registros proporcionados por las terceras partes, y deben realizarse regularmente auditoras. 10.2.3Gestin de cambios en los servicios de terceras partesLos cambios a la prestacin de los servicios, incluyendo mantenimiento y mejora de las polticas existentes de la seguridad de la informacin, procedimientos y controles, deben gestionarse tomando en cuenta la importancia de los sistemas y procesos de negocio que impliquen una nueva valoracin de riesgos.10.3Planificacin y aceptacin del sistema10.3.1Gestin de la capacidadDebe supervisarse y adaptarse el uso de recursos, as como proyecciones de los futuros requisitos de capacidad para asegurar el desempeo requerido del sistema.10.3.2Aceptacin del sistemaSe deben establecer criterios de aceptacin para sistemas de informacin nuevos, actualizaciones y nuevas versiones, y se deben llevar a cabo las pruebas adecuados del sistema, durante el desarrollo y antes de su aceptacin.10.4Proteccin contra cdigo malicioso y cdigo mvil10.4.1Controles contra cdigo maliciosoDeben implantarse controles de deteccin, prevencin y recuperacin para protegerse contra cdigos maliciosos, junto a procedimientos adecuados para concientizar a los usuarios. 10.4.2Controles contra cdigo mvilDonde el uso de cdigo mvil est autorizado, la configuracin debe asegurar que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad definida, y debe evitarse la ejecucin de cdigo mvil no autorizado.10.5Respaldo10.5.1Respaldo de la informacinDeben hacerse regularmente copias de seguridad de la informacin y del software y probarse regularmente acorde con la poltica de respaldo.10.6Gestin de la seguridad de red10.6.1Controles de redLas redes deben gestionarse y controlarse adecuadamente, para protegerlas contra amenazas, y mantener la seguridad de los sistemas, incluyendo la informacin en trnsito.10.6.2Seguridad de los servicios deredLas caractersticas de la seguridad, los niveles del servicio, y los requisitos de la gestin de todos los servicios de red se deben identificar e incluir en cualquier acuerdo de servicios de red.10.7Manejo de los medios10.7.1Gestin de los medios removiblesDebe haber implementados procedimientos para la gestin de los medios removibles.10.7.2Eliminacin de los mediosDeben eliminarse los medios de forma segura y sin peligro cuando no se necesiten ms, usando procedimientos formales.10.7.3Procedimientos para el manejo de la informacinDeben establecerse procedimientos de utilizacin y almacenamiento de la informacin para protegerla de su mal uso o divulgacin no autorizada.10.7.4Seguridad de la documentacinde sistemasLa documentacin de sistemas debe protegerse contra el acceso no autorizado.10.8Intercambio de informacin10.8.1Polticas y procedimientos para intercambio de informacinDeben implementarse polticas formales de intercambio, procedimientos y controles para proteger el intercambio de informacin por medio del uso de cualquier tipo de recurso de comunicacin.10.8.2Acuerdos de intercambioSe deben establecer acuerdos para el intercambio de informacin y de software entre la organizacin y partes externas.10.8.3Medios fsicos en trnsitoLos medios que contienen informacin se deben proteger contra acceso no autorizado, uso inadecuado o corrupcin durante el transporte ms all de los lmites fsicos de la organizacin.10.8.4Mensajera electrnica.La informacin involucrada en la mensajera electrnica se debe proteger apropiadamente.10.8.5Sistemas de informacin denegocioSe deben desarrollar e implementar polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin de negocio.10.9Servicios de comercio electrnico10.9.1Comercio electrnicoLa informacin involucrada en el comercio electrnico sobre redes pblicas debe ser protegida ante actividades fraudulentas, disputas contractuales, y su divulgacin o modificacin no autorizada.10.9.2Transacciones en lneaLa informacin implicada en transacciones en lnea debe protegerse para prevenir la transmisin incompleta, la omisin de envo, la alteracin no autorizada del mensaje, la divulgacin no autorizada, la duplicacin o repeticin no autorizada del mensaje.10.9.3Informacin accesible pblicamenteDebe protegerse la integridad de la informacin de un sistema accesible pblicamente, para prevenir la modificacin no autorizada.10.1Seguimiento10.10.1Registros de auditoraSe deben elaborar registros de auditora para las actividades de los usuarios, excepciones y eventos de seguridad de la informacin, y se deben mantener durante un perodo acordado para ayudar a futuras investigaciones y en la supervisin del control de acceso.n10.10.2Supervisin del uso de sistemasSe deben establecer procedimientos para hacer el seguimiento al uso de las instalaciones de procesamiento de la informacin, y se deben revisar regularmente los resultados de las actividades de seguimiento.10.10.3Proteccin de la informacin de registros (logs)Los medios de registro y la informacin de registro se deben proteger contra alteracin y acceso no autorizado.10.10.4Registros del administrador y el operadorLas actividades del operador y del administrador del sistema se deben registrar.10.10.5Registro de fallasLas fallas se deben registrar, analizar y se deben tomar las acciones apropiadas.n10.10.6Sincronizacin de relojesLos relojes de todos los sistemas de procesamiento de informacin pertinente dentro de una organizacin o dominio de seguridad deben estar sincronizados con una fuente de horario confiable acordada.

Control de Acceso11.1Requisitos de negocio para el control del acceso11.1.1Poltica de control de accesoSe debe establecer, documentar y revisar una poltica de control de acceso con base en los requisitos de acceso del negocio y de seguridad.11.2Gestin del acceso de usuarios11.2.1Registro de usuariosDebe existir un procedimiento formal de registro y cancelacin de registro para otorgar y revocar los accesos a todos los servicios y sistemas de informacin.n11.2.2Gestin de privilegiosSe debe restringir y controlar la asignacin y uso de privilegios.n11.2.3Gestin de contraseas del usuarioLa asignacin de contraseas se debe controlar mediante un proceso de gestin formal.n11.2.4Revisin de los derechos de acceso de los usuariosLa direccin debe establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.11.3Responsabilidades del usuario11.3.1Uso de contraseasSe debe exigir a los usuarios el cumplimiento de buenas prcticas de seguridad en la seleccin y uso de las contraseas.n11.3.2Equipo de usuario desatendidoLos usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada.11.3.3Poltica de escritorio y pantalla limpiosSe debe adoptar una poltica de escritorio limpio para papeles y medios de almacenamiento removibles y una poltica de pantalla limpia para las instalaciones de procesamiento de informacin.11.4Control de acceso a redes11.4.1Polticas sobre el uso de servicios en redLos usuarios slo deben tener acceso directo a los servicios para los que han sido autorizados especficamente.11.4.2Autenticacin de usuarios para conexiones externasSe deben usar mtodos de autenticacin apropiados para controlar el acceso de usuarios remotos.11.4.3Identificacin de equipamiento en la redLa identificacin automtica del equipamiento debe ser considerada como medio de autenticar conexiones desde equipos y ubicaciones especficas.n11.4.4Proteccin de puertos de diagnstico y configuracin remotosEl acceso fsico y lgico a los puertos de diagnstico y configuracin se debe controlar.11.4.5Separacin en redesLos grupos de servicios de informacin, usuarios y sistemas de informacin se deben separar en redes.11.4.6Control de conexin de redPara redes compartidas, especialmente las que se extienden a travs de los lmites de la organizacin, la capacidad de conexin de los usuarios a la red debe estar restringida, en lnea con la poltica de control de acceso y los requisitos de las aplicaciones del negocio (vase el apartado 11.1).11.4.7Control de enrutamiento de redSe deben implementar controles de enrutamiento para las redes, para asegurar que las conexiones entre computadores y los flujos de informacin no ncumplan la poltica de control de acceso de las aplicaciones del negocio.11.5Control de acceso al sistema operativo11.5.1Procedimientos de conexin (log-on) segurosEl acceso a los sistemas operativos se debe controlar mediante un proceso de conexin (log-on) seguro 11.5.2Identificacin y autenticacin de usuariosTodos los usuarios deben tener un identificador nico (ID del usuario) para su uso personal y exclusivo. Se debe escoger una tcnica de autenticacin adecuada para comprobar la identidad declarada de un usuario.11.5.3Sistema de gestin de contraseasLos sistemas de gestin de contraseas deben ser interactivos y deben asegurar contraseas de calidad.11.5.4Uso de utilitarios (utilities) del sistemaEl uso de programas utilitarios que pueden estar en capacidad de anular el sistema y los controles de aplicacin se debe restringir y controlar estrictamente.11.5.5Desconexin automtica de sesionesLas sesiones inactivas se deben apagar despus de un perodo de inactividad definido.11.5.6Limitacin del tiempo de conexinSe deben aplicar restricciones en los tiempos de conexin, para brindar seguridad adicional en aplicaciones de alto riesgo.11.6Control de acceso a la informacin y a las aplicaciones11.6.1Restriccin de acceso a la informacinEl acceso a la informacin y a las funciones del sistema de aplicaciones por parte de los usuarios se debe restringir de acuerdo con la poltica de control de acceso definida.11.6.2Aislamiento de sistemas sensiblesLos sistemas sensibles deben tener entornos informticos dedicados (aislados).11.7Informtica mvil y trabajo remoto11.7.1Informtica y comunicaciones mvilesSe debe adoptar una poltica formal, y medidas de seguridad apropiadas para la proteccin contra los riesgos debidos al uso de recursos de informtica y comunicaciones mviles.11.7.2Trabajo remotoSe debe desarrollar e implementar una poltica, y procedimientos y planes operacionales para actividades de trabajo remoto.

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin12.1Requisitos de seguridad de los sistemas de informacin12.1.1Anlisis y especificacin de requisitos de seguridadLas declaraciones de los requisitos del negocio para nuevos sistemas de informacin, o las mejoras a los existentes, deben especificar los requisitos para controles de seguridad.12.2Procesamiento correcto en las aplicaciones12.2.1Validacin de los datos de entradaLos datos de entrada a las aplicaciones se deben validar para asegurar que son correctos y apropiados.12.2.2Control de procesamiento internoSe deben incorporar en las aplicaciones revisiones de validacin para detectar cualquier corrupcin de la informacin debida a errores de procesamiento o actos deliberados.12.2.3Integridad de los mensajesSe deben identificar los requisitos para asegurar la autenticacin y proteger la integridad de los mensajes en las aplicaciones, y se deben identificar e implementar controles apropiados.12.2.4Validacin de los datos de salidaLa salida de datos de una aplicacin se debe validar para asegurar que el procesamiento de la informacin almacenada es correcto y apropiado para las circunstancias.12.3Controles criptogrficos12.3.1Poltica sobre el uso de controles criptogrficosSe debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin.12.3.2Gestin de llavesSe debe implementar un sistema de gestin de llaves para apoyar el uso de las tcnicas criptogrficas por parte de la organizacin.12.4Seguridad de los archivos del sistema12.4.1Control del software en produccinSe deben implementar procedimientos para controlar la instalacin del software sobre sistemas en produccin.12.4.2Proteccin de los datos de prueba del sistemaLos datos de prueba se deben seleccionar, proteger y controlar cuidadosamente.12.4.3Control de acceso al cdigo fuente de los programasSe debe restringir el acceso al cdigo fuente de los programas.12.5Seguridad en los procesos de desarrollo y soporte12.5.1Procedimientos de control de cambiosLa implementacin de los cambios se debe controlar estrictamente mediante el uso de procedimientos formales de control de cambios.12.5.2Revisin tcnica de las aplicaciones despus de cambios en el sistema operativoCuando los sistemas operativos cambian, las aplicaciones crticas del negocio se deben revisar y poner a prueba para asegurar que no hay impacto adverso en las operaciones o en la seguridad de la organizacin.12.5.3Restricciones en los cambios a los paquetes de softwareSe debe desalentar la realizacin de modificaciones a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los cambios se deben controlar estrictamente.12.5.4Fuga de informacinSe deben impedir las oportunidades para fuga de informacin.12.5.5Desarrollo externo de softwareEl desarrollo de software contratado externamente debe ser supervisado y la organizacin debe hacer seguimiento de esto.12.6Gestin de la vulnerabilidad tcnica12.6.1Control de vulnerabilidades tcnicasSe debe obtener informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas de informacin usados, se debe evaluar la exposicin de la organizacin a estas vulnerabilidades, y se deben tomar las medidas apropiadas tomadas para abordar el riesgo asociado.

Gestin de incidentes de Seguridad de la Informacin13.1Reporte de eventos y debilidades de seguridad de la informacin13.1.1Reporte de eventos de seguridad de la informacinLos eventos de seguridad de la informacin se deben reportar a travs de los canales de gestin apropiados, lo ms rpidamente posible.13.1.2Reporte de las debilidades de seguridadTodos los empleados, contratistas y usuarios por tercera parte, de sistemas y servicios de informacin, deben observar y reportar cualquier debilidad en la seguridad de sistemas o servicios, observada o que se sospeche.13.2Gestin de incidentes y mejoras en la seguridad de la informacin13.2.1Responsabilidades y procedimientosSe deben establecer responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y metdica a los incidentes de seguridad de la informacin.13.2.2Aprendiendo de los incidentes de seguridad de la informacinSe deben implementar mecanismos para posibilitar que los tipos, volmenes y costos de los incidentes de seguridad de la informacin sean cuantificados y se les haga seguimiento.13.2.3Recoleccin de evidenciaEn donde una accin de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin involucra acciones legales (ya sea civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para evidencia establecidas en la jurisdiccin pertinente.

Gestin de la Continuidad del Negocio14.1Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio14.1.1Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocioSe debe desarrollar y mantener un proceso gestionado para la continuidad del negocio en toda la organizacin, que aborde los requisitos de seguridad de la informacin necesarios para la continuidad del negocio de la organizacin.14.1.2Continuidad del negocio y evaluacin de riesgosSe deben identificar los eventos que pueden causar interrupciones en los procesos del negocio, junto con la probabilidad e impacto de estas interrupciones y sus consecuencias para la seguridad de la informacin.14.1.3Desarrollo e implementacin de planes de continuidad que incluyen seguridad de la informacinSe deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de informacin al nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falla de los procesos crticos del negocio.14.1.4Estructura para la planificacin de la continuidad del negocioSe debe mantener una sola estructura de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, abordar en forma consistente los requisitos de seguridad de la informacin, e identificar prioridades para ensayo y mantenimiento.14.1.5Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio Los planes de continuidad del negocio se deben poner a prueba y actualizar regularmente para asegurar que estn actualizados y sean eficaces.

Cumplimiento15.1Cumplimiento de los requisitos legales15.1.1Identificacin de la legislacin aplicableTodos los requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la organizacin para cumplirlos, se deben definir y documentar explcitamente, y mantenerlos actualizados para cada sistema de informacin y para la organizacin.n15.1.2Derechos de propiedad intelectual (DPI)Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales sobre el uso de material con respecto al cual puede haber derechos de propiedad intelectual, y sobre el uso de productos de software patentados.n15.1.3Proteccin de los registros de la organizacinLos registros importantes se deben proteger contra prdida, destruccin y falsificacin, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio. 15.1.4Proteccin de los datos yprivacidad de la informacinpersonalSe debe asegurar la proteccin y privacidad de los datos, como se exige en la legislacin, reglamentaciones, y si es aplicable, clusulas contractuales pertinentes.15.1.5Prevencin del uso inadecuado de las instalaciones de procesamiento de la informacinSe debe impedir que los usuarios usen las instalaciones de procesamiento de la informacin para propsitos no autorizados.15.1.6Regulacin de los controles criptogrficosDeben utilizarse controles criptogrficos que cumplan con todos los acuerdos, leyes, y regulaciones relevantes.15.2Cumplimiento de polticas y normas de seguridad y cumplimiento tcnico15.2.1Cumplimiento de las polticas y normas de seguridadLos gerentes deben asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad se realicen correctamente para lograr el cumplimiento de las polticas y normas de seguridad.15.2.2Verificacin del cumplimiento tcnicoSe debe verificar regularmente el cumplimiento de las normas de implementacin de seguridad.15.3Consideraciones de la auditora de sistemas de informacin15.3.1Controles de auditora de sistemas de informacinLos requisitos y las actividades de auditora que involucran verificaciones sobre sistemas operacionales se deben planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones en los procesos del negocio.15.3.2Proteccin de las herramientasde auditora de sistemas de informacinSe debe proteger el acceso a las herramientas de auditora del sistema de informacin, para evitar que se pongan en peligro o que se haga un uso inadecuado de ellas.

*Las obligaciones contractuales se fundan en un acto de voluntad, cuyo objeto es justamente la creacin de un vnculo de obligacin entre un acreedor y un deudor, aunque pueda haber pluralidad de sujetos activos o pasivos en un mismo vnculo obligacional. Por esto mismo, la categora de las obligaciones contractuales corresponde al acto jurdico creador de un vinculo de obligacin.

Sheet2

Sheet3