Copia de ISO 207001 Lista chequeo.xlsx

ANEXO A DILIGENCIAR

A.5 Política de Seguridad Aspecto Organizacional

A.6 Seguridad Organizacional Aspecto Organizacional

A.7 Clasificación y Control de Activos Aspecto Organizacional

A.15 Cumplimiento Aspecto Organizacional

A.13 Gestión de Incidentes Aspecto Organizacional

A.11 Control de Acceso Aspecto Técnico

A.8 Seguridad Recurso Humano Aspecto Organizacional

A.9 Seguridad Física y del Entorno Aspecto Físico

Aspecto Técnico

Aspecto Técnico

A.10 Gestión deComunicaciones yOperaciones

A.12 Desarrollo ymantenimiento desistemas

Aspecto TécnicoA.14 Gestión de lacontinuidad delnegocio

CAP. ISO REGISTROS

7.2

9.1 Resultados de supervisión y medición

9.2 Programa de auditoría interna

Registros de capacitación, habilidades, experiencia y calificaciones

9.2 Resultados de las auditorías internas

9.3

10.1 Resultados de acciones correctivas

A12.4.1, A.12.4.3

Resultados de la revisión por parte de la dirección

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

CONTROL A DESARROLLAR

A5. POLITICA DE SEGURIDADBrindar orientación y apoyo a la dirección con respecto a la seguridad deinformación, de acuerdo con los requisitos del negocio y los reglamentos y lasleyes pertinentes.

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION• Gestionar la seguridad de la información dentro de la organización.• Mantener la seguridad de información de la organización y de los servicios de procesamiento de información a los cuales tiene acceso las partes externas

A.7 GESTIÓN DE ACTIVOS• Protección de los activos organizacionales.• Asegurar la protección adecuada de la información

A.15 CUMPLIMIENTO• Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias ocontractuales y de cualquier requisito de seguridad.• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de laorganización.• Maximizar la eficacia de los procesos de auditoria de los sistemas de información yminimizar su interferencia.

A.13 GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN.Asegurar que los eventos y las debilidades de la seguridad de la información asociadoscon los sistemas de información se comunican de forma tal que permiten tomar accionescorrectivas oportunamente

• Controlar el acceso a la información• Asegura el acceso a los usuarios autorizados.• Evitar el acceso de usuarios no autorizados.• Evitar el acceso de usuarios no autorizados a las redes.• Evitar el acceso de usuarios no autorizados a S.O.• Evitar el acceso de usuarios no autorizados a Información en los S.I.• Evitar el acceso de usuarios no autorizados a equipos móviles

A.8 SEGURIDAD RECURSO HUMANO• Asegurar que los usuarios empleados, contratistas y usuarios de terceras partesentiendan sus responsabilidades y son adecuados para los roles para los que se lesconsidera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones.• Concientización y equipar a los empleados, contratistas y usuarios de terceras partespara apoyar el SGSI• Asegurar la salida de los los empleados, contratistas y usuarios de terceras partes.

A.9 SEGURIDAD FÍSICA Y DEL ENTORNO• Evitar el acceso físico no autorizado, el daño e interferencia a las instalaciones y lainformación de la organización.• Evitar pérdida, daño, robo o puesta en peligro de los archivos e interrupción de lasactividades de la organización.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES• Asegurar la operación correcta y segura de los servicios de procesamiento de lainformación.• Implementar y mantener un grado adecuado de seguridad de la información y de laprestación del servicio de conformidad con los ANS por terceras partes.• Minimizar el riesgo de fallas de los sistemas.• Proteger la integridad del software y de la información.• Mantener la integridad y disponibilidad de información y de los servicios de procesamientode• información.• Asegurar la protección de información en las redes y protección de la infraestructura desoporte.• Evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y lainterrupción en las actividades del negocio.• Mantener la seguridad de la información y del software que se intercambian dentro de laorganización y con cualquier entidad externa.• Garantizar la seguridad de los servicios de comercio electrónico, y su utilización segura.• Detectar actividades de procesamiento de información no autorizadas.

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS• Garantizar que la seguridad es parte integral de los sistemas de información.• Evitar errores, pérdida, modificaciones no autorizadas o uso inadecuado deinformación en las aplicaciones• Proteger la confidencialidad, autenticidad e integridad de la información.• Garantizar la seguridad de archivos del sistema.• Mantener la seguridad del software y de la información del sistema de aplicaciones.• Reducir los riesgos resultantes de la explotación de vulnerabilidad técnicas publicadas.

A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIOContrarrestar las interrupciones de las actividades del negocio y proteger sus procesoscríticos contra los efectos de las fallas importantes en los sistemas de información ocontra desastres y aseguramiento de su restauración oportuna.

DESCRIPCIÓN ANEXO A DILIGENCIAR

El departamento de recursos humanos el que generalmente se encarga de llevar estos registros.

La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles. La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles.

El programa de auditoría interna no es más que un plan anual para realizar las auditorías. Este programa debe definir quién realizará las auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc.

Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría (observaciones y medidas correctivas). Este informe debe ser interno tendrá que verificar si todas las medidas correctivas se aplicaron según lo esperado. confeccionado dentro de un par de días luego de realizada la auditoría interna. En algunos casos, el auditor interno tendrá que verificar si todas las medidas correctivas se aplicaron según lo esperado.

Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.

Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos

Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automática o semiautomática como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente.

A.5 Política de Seguridad

A.6 Seguridad Organizacional

A.7 Clasificación y Control de Activos

Proporcionar dirección general y apoyo a la seguridad de la información en concordancia con lso requerimientos comerciales, leyes y regulaciones relevantes

La gerencia debe aprobar un documento de política, que se debe publicar y comunicar a todos los empleados y entidades externas relevantes

El informe de evaluación y tratamiento de riesgos debe ser redactado una vez que se realizó la evaluación y el tratamiento de riesgos, y allí se resumen todos los resultados

A.15 Cumplimiento

A.8 Seguridad

Recurso Humano

A.10 Gestión de

Comunicaciones y

OperacionesA.12 Desarrollo y

La gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las políticas y procedimiento establecidos de la organización

Todos los activos deben estar claramente identificados; se debe elaborar y mantener un inventario de todos los activos importantes

mantenimiento de

sistemas

A.11 Control de Acceso

A.9 Seguridad Física y

del Entorno

A.14 Gestión de la

continuidad del

negocioCONTROL A DESARROLLAR

Aspecto Organizacional

Aspecto Físico

Aspecto Técnico

A.13 Gestión de Incidentes

A

L

T

ADIRECCI

ONANEXO A – ISO 27001




NORMA ISO 27001 - LISTA DE CHEQUEO

CAP. ISO DOCUMENTOS DESCRIPCIÓN Anexo1. Objeto.1.1. Generalidades.

A.5 Política de Seguridad1.2. Aplicación.2. Referencia Normativa.3. Términos y definiciones.4. Sistema de Gestión de la Seguridad de la Información.

4.1. Requisitos Generales.


A.15 Cumplimiento

4.2. Establecimiento y Gestión del SGSI.4.2.1. Establecimiento del SGSI.

ISO/IEC 27001:Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar

sólidamente la no aplicabilidad de los controles no implementados.

Seguridad de la Información en el marco ISO 27000De acuerdo a la Norma ISO 27002, la seguridad de la información se define como la preservación de las siguientes características:

Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software, para garantizar que

se logren los objetivos específicos de seguridad de la organización.

De acuerdo a la Norma ISO 27002, la seguridad de la información se define como la preservación de las siguientes características: Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software, para garantizar que se logren los objetivos específicos de seguridad de la organización.

ISO/IEC 27001:Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles A1no implementados.

Plan de Seguridad del Gestión Sistema de Información

Identificación de los Riesgos

Análisis y evaluación de Riesgos.

Tratamiento de los Riesgos

A5. POLITICA DE SEGURIDADBrindar orientación y apoyo a la dirección con respecto a la seguridad de información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

1- Plan de Seguridad del Gestión Sistema de Información en donde está claramente descritos todos los elementos del DEBE.

2. Actas de comité en donde se tomaron las decisiones que dieron origen a plan. Y firmada por los integrantes.

3. La declaración de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.

• La Organización debe establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documento, en el contexto global de las actividades globales del negocio de la organización y de los riesgos que enfrenta.

• El proceso usado para este estándar Internacional esta basado en el modelo PHVA.


A.15 CUMPLIMIENTO• Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.• Maximizar la eficacia de los procesos de auditoria de los sistemas de información y minimizar su interferencia.

Declaraciones documentadas de la política de seguridad y los objetivos de control.

Documento Marco de referencia para fijar los objetivos y establezca un sentido general de dirección y principios para la acción con relación a la seguridad de información; (plan SGSI)

Matriz de riesgos por proceso

4.2.1 Establecer el SGSI.• La Organización debe:

a) Definir el alcance y límites del SGSI en términos de:

- Características del negocio,

- La organización, su ubicación, sus activos y tecnología, e incluir los detalles y justificación de cualquier exclusión del alcance.

b) Definir una política del SGSI en términos de las características del negocio, la organización, su ubicación, sus activos y tecnología .

A.9 Seguridad Física y del Entorno



A.7 GESTIÓN DE ACTIVOS• Protección de los activos organizacionales.• Asegurar la protección adecuada de la información




Relación de Activos

Relación de procesos

Registros de seguimiento de procesos

Matriz de valoración de riesgos.

activos y tecnología .

c) Definir un enfoque organizacional para la valoración del riesgo.1) Identificar la metodología2) Desarrollar criterios para la aceptación de riesgos, e identificar los nivelesde riesgo aceptables.


Acta de aprobación de la dirección de riesgos residuales

g) Seleccionar los objetivos de control y los controles para el tratamiento de losriesgos.h) Obtener una aprobación de la dirección sobre los riesgos residualespropuestos.* Los riesgos en seguridad de la información son riesgos del negocio y sólo ladirección puede tomar decisiones sobre su aceptación o tratamiento.* El riesgo residual es el que queda, aún después de haber aplicado controles.i) Obtener aprobación de la dirección y autorización para implementar y operarel SGSI* Registrosj) Preparar el SOA (Declaración de Aplicabilidad)-Objetivos de control y controles seleccionados-Objetivos de control y controles implementados-Objetivos de control y controles excluidos y justificación de la exclusión.


4.2.2. Implementación y Operación del SGSI.

Plan de tratamiento de riesgos

Registro de control de seguimiento

Procedimientos para dar respuesta oportuna a incidentes

4.2 ESTABLECIMIENTO Y GESTION DEL SGSI4.2.2 Implementación y operación del SGSI

a) Formular plan para tratamiento de riesgos que identifique la acción de gestiónapropiada, los recursos, responsabilidades y prioridades para manejar los riesgos deseguridad de la información;

b) Implementar plan para el tratamiento de riesgos para lograr los objetivos de controlidentificados, que incluye considerar financiación y la asignación de funciones yresponsabilidades;

c) Implementar controles seleccionados 4.2.1 g) para cumplir los objetivos de control;

d) Definir como medir la eficacia de los controles o grupos de controles seleccionados, yespecificar cómo se van a usar estas mediciones con el fin de valorar la eficacia delos controles para producir resultados comparables y reproducibles. Ver 4.2.3 c);

e) Implementar programas de formación y de toma de conciencia. (5.2.2);

f) Gestionar operaciones del SGSI;

g) Gestionar recursos del SGSI

h) Implementar procedimientos y otros controles para detectar y dar respuesta oportuna


4.2.3. Seguimiento y revisión del SGSI.


Actas de seguimiento del programa

Actualización de procesos, si es del caso

4.2.3 Seguimiento y revisión del SGSI La Organización debe:

a) Ejecutar procedimientos de seguimiento y revisión y otros controles para:1) detectar rápidamente errores en los resultados del procesamiento;2) identificar con prontitud los incidentes e intentos de violación de la seguridad, tanto losque tuvieron éxito como los que fracasaron;3) Posibilitar que la dirección determine si las actividades de seguridad delegadas apersonas o implementadas mediante tecnología de la información se están ejecutandoen la forma esperada;4) ayudar a detectar eventos de seguridad, y de esta manera impedir incidentes deseguridad mediante el uso de indicadores, y5) determinar si las acciones tomadas para solucionar un problema de violación a laseguridad fueron eficaces.

A.14 Gestión de lacontinuidad delnegocio


Actas de visita de auditoria interna

b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen elcumplimiento de la política y objetivos del SGSI, y la revisión de controles deseguridad) teniendo en cuenta los resultados de las auditorias de seguridad,incidentes, mediciones de la eficacia, sugerencias y retroalimentación de todas laspartes interesadas.c) Medir la eficacia de los controles para verificar que se han cumplido losrequisitos de seguridad.

A.12 Desarrollo ymantenimiento desistemas ( aspectos técnico)

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS• Garantizar que la seguridad es parte integral de los sistemas de información.• Evitar errores, pérdida, modificaciones no autorizadas o uso inadecuado deinformación en las aplicaciones• Proteger la confidencialidad, autenticidad e integridad de la información.• Garantizar la seguridad de archivos del sistema.• Mantener la seguridad del software y de la información del sistema de aplicaciones.• Reducir los riesgos resultantes de la explotación de vulnerabilidad técnicas publicadas.


Informe de evaluación de riesgos y seguimiento de los mismos

d) Revisar la valoraciones de los riesgos a intervalos planificados, y revisar elnivel de riesgo residual y riesgo aceptable identificado, teniendo en cuentalos cambios en:1) la organización,2) la tecnología,3) los objetivos y proceso del negocio,a) las amenazas identificadas,b) la eficacia de los controles implementados, yc) eventos externos, tales como cambios en el entorno legal oreglamentario, en las obligaciones contractuales, y en el clima social

A.10 Gestión deComunicaciones yOperaciones


Planes de seguridad actualizados

Registro de evento que generen impacto en la entidad

e) Realizar auditorias internas del SGSI a intervalos planificados (Ver 6).Nota: las auditorias internas, denominadas algunas veces auditoria de primera parte, lasrealiza la propia organización u otra organización en su nombre, para propósitos internos.f) Emprender una revisión del SGSI, realizada por la dirección, en forma regular paraasegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso delSGSI (Ver 7.1)g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de seguimiento y revisión.h) Registrar acciones y eventos que podrán tener impacto en la eficacia o el desempeño del SGSI (ver 4.3.3).

A.14 Gestión de lacontinuidad delnegocio (Aspecto Técnico)


A.13 Gestión de Incidentes (aspecto organizacional)


4.2.4. Mantenimiento y Mejora del SGSI.

Circular o documento que muestre que se ha comunicado la política o cambiado

4.2 ESTABLECIMIENTO Y GESTIÓN DEL SGSI4.2.4 Mantener y mejorar el SGSILa organización debe, regularmente:a) Implementar las mejoras identificadas en el SGSI;b) Emprender las acciones correctivas y preventivas adecuadas de acuerdocon los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de lasexperiencias de seguridad de otras organizaciones y las de la propiaorganización;c) Comunicar las acciones y mejorar a todas las partes interesadas, con un nivelde detalle apropiado a las circunstancias, y en donde sea pertinente, llegar aacuerdos sobre cómo proceder;d) Asegurar que las mejoras logren los objetivos previstos

A.14 Gestión de lacontinuidad delnegocio (Aspecto Técnico)


4.3. Requisitos de Documentación.

4.3. Requisitos de Documentación.


4.3.1. Generalidades.

4.2.4. Mantenimiento y Mejora del SGSI.

Circular o documento que muestre que se ha comunicado la política o cambiado

4.2 ESTABLECIMIENTO Y GESTIÓN DEL SGSI4.2.4 Mantener y mejorar el SGSILa organización debe, regularmente:a) Implementar las mejoras identificadas en el SGSI;b) Emprender las acciones correctivas y preventivas adecuadas de acuerdocon los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de lasexperiencias de seguridad de otras organizaciones y las de la propiaorganización;c) Comunicar las acciones y mejorar a todas las partes interesadas, con un nivelde detalle apropiado a las circunstancias, y en donde sea pertinente, llegar aacuerdos sobre cómo proceder;d) Asegurar que las mejoras logren los objetivos previstos


A.13 GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN.Asegurar que los eventos y las debilidades de la seguridad de la información asociados con los sistemas de información se comunican de forma tal que permiten tomar accionescorrectivas oportunamente

A.10 Gestión deComunicaciones yOperaciones (Aspecto Técnico)


seguridad de información

Registros de las decisiones de la dirección.

Controles seleccionados y los resultados del proceso

Declaraciones documentadas de la política de seguridad y los objetivos de control.

Procedimientos y controles definidos

i) La declaración de

resultados registrados son reproducibles. Es importante estar en capacidadde demostrar la relación entre los controles seleccionados y los resultados del proceso de valoración y tratamiento de riesgos, y seguidamente, con la política y objetivos delSGSI. La documentación debe incluir:a) Declaraciones documentadas de la política de seguridad y los objetivos de control.b) El alcance del SGSIc) Procedimientos y controles que los apoyan el SGSI.d) Una descripción de la metodología para valoración de riesgose) El informe de valoración de riesgosf) El plan de tratamiento de riesgosg) Los procedimientos documentados que necesita la organización para asegurar la


A.9 Seguridad Física y del Entorno


4.3.2. Control de Documentos.

4.3.3. Control de Registros.

5. Responsabilidad de la dirección.

Procedimiento documental

Registro de actualización de manuales y procesos

Política de seguridad de documentos y tiempos re retención

Tablas de retención documental

4.3.2 Control de documentosLos documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecerun procedimiento documentado para definir las acciones de gestión necesarias para:a) Aprobar los documentos en cuanto a su adecuación antes de su publicación;b) Revisar y actualizar los documentos según sea necesario y re-aprobarlos;c) Asegurar que los cambios y el estado de actualización de los documentos esténidentificados;d) Asegurar las versiones mas recientes de los documentos pertinentes estándisponibles en los puntos de uso.e) Asegurar que los documentos permanezcan legibles y fácilmente identificablesf) asegurar que los documentos estén disponibles para quienes los necesiten y que seapliquen los procedimientos pertinentes, de acuerdo con su clasificación, para sutransferencia, almacenamiento y disposición final;g) asegurar que los documentos de origen externo estén identificados;h) asegurar que la distribución de documentos esté controlada;i) impedir el uso no previsto de los documentos obsoletos; yj) Aplicar la identificación adecuada a los documentos obsoletos, si se retienen paracualquier propósito.



Registro de procesos

Registros de incidentes

Actas de toma d decisiones o seguimientos por parte de seguridad y alta dirección

4.3.3 Control de RegistrosSe deben establecer y mantener registros para brindar la evidencia de laconformidad con los requisitos y la operación eficaz del SGSI. Los registros debenestar protegidos y controlados.El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y lasobligaciones contractuales pertinentes.Los registros deben permanecer legibles, fácilmente identificables y recuperables.Los controles necesarios para la identificación, almacenamiento, protección,recuperación, tiempo de retención y disposición de registros se debe documentar eimplementar.Se deben llevar registros del desempeño del proceso, como se esboza en el numeral4.2, y de todos los casos de incidentes de seguridad significativos relacionados con elSGSI.



5.1. Compromiso de la Dirección. A.5 Política de Seguridad

A.15 Cumplimiento

5.2. Gestión de Recursos5.2. Gestión de Recursos

Actas de seguimiento

La declaración de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.

5.1 COMPROMISO DE LA DIRECCIÓNLa dirección debe brindar evidencia de su compromiso con el establecimiento,implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI:a) Mediante el establecimiento de una política del SGSI;b) asegurando que se establezcan los objetivos y planes del SGSIc) Estableciendo funciones y responsabilidades de seguridad de la información;d) Comunicando a la organización la importancia de cumplir los objetivos deseguridad de la información y de la conformidad con la política del SGSI, susresponsabilidades bajo la ley, y la necesidad de la mejora continua.


La dirección debe brindar evidencia de su compromiso con el establecimiento,implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI:e) Brindando los recursos suficientes para establecer, implementar, operar, hacerseguimiento, revisar, mantener y mejorar el SGSI.f) Decidiendo los criterios de aceptación del riesgos, y los niveles de riesgoaceptables;g) Asegurando que se realizan auditorias internas del SGSI;h) Efectuando las revisiones por la dirección, del SGSI.

A.15 CUMPLIMIENTO• Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.• Maximizar la eficacia de los procesos de auditoria de los sistemas de información y minimizar su interferencia.

Historias Laborales al día

Procedimientos de vinculación de recurso humano

Requerimiento de expedientes5.2 GESTION DE RECURSOS5.2.1 Provisión de recursosLa organización debe determinar y suministrar los recursos necesarios para:a) establecer, implementar, operar , hacer seguimiento, revisar, mantener ymejorar un SGSI;b) asegurar que los procedimientos de seguridad de la información brindanapoyo a los requisitos del negocio;c) identificar y atender los requisitos legales y reglamentarios, así como lasobligaciones de seguridad contractuales;d) mantener la seguridad suficiente mediante la aplicación correcta de todos loscontroles implementados;e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente alos resultados de estas revisiones; yf) en donde se requiera, mejorar la eficacia del SGSI.

A.8 Seguridad Recurso Humano

A.8 SEGURIDAD RECURSO HUMANO• Asegurar que los usuarios empleados, contratistas y usuarios de terceras partesentiendan sus responsabilidades y son adecuados para los roles para los que se lesconsidera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones.• Concientización y equipar a los empleados, contratistas y usuarios de terceras partespara apoyar el SGSI• Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.

5.2.1. Provisión de Recursos

6. Auditorías Internas del SGSI

7. Revisión del SGSI por la dirección



Requerimiento de expedientes

La organización debe determinar y suministrar los recursos necesarios para:a) establecer, implementar, operar , hacer seguimiento, revisar, mantener ymejorar un SGSI;b) asegurar que los procedimientos de seguridad de la información brindanapoyo a los requisitos del negocio;c) identificar y atender los requisitos legales y reglamentarios, así como lasobligaciones de seguridad contractuales;d) mantener la seguridad suficiente mediante la aplicación correcta de todos loscontroles implementados;e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente alos resultados de estas revisiones; yf) en donde se requiera, mejorar la eficacia del SGSI.



5.2.2. Formación, toma de conciencia y competencia



Requerimiento de expedientes

5.2 GESTION DE RECURSOS5.2.2 Formación, toma de conciencia y competenciaa) La determinación de las competencias necesarias para el personal que ejecuteel trabajo que afecta el SGSI.b) El suministro de formación o realización de otras acciones por ejemplo: lacontratación de personal competente) para satisfacer estas necesidades.c) La evaluación de la eficacia de las acciones emprendidas, yd) El mantenimiento de registro de educación, formación, habilidades, experienciay calificaciones.



Informe de auditoria interna

Registro de seguimiento de la auditoria interna

La organización debe realizar auditorias internas al SGSI a intervalos planificados, paradeterminar si los objetivos de control, controles, procesos y procedimientos de suSGSI:a) Cumplen los requisitos de esta norma internacional y de la legislación oreglamentaciones pertinentes;b) Cumplen los requisitos identificados de seguridad de la información;c) Están implementados y se mantienen eficazmente, yd) Tienen un desempeño acorde con lo esperado.

A.15 Cumplimiento (Aspecto Organizacional)

A.15 CUMPLIMIENTO• Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias ocontractuales y de cualquier requisito de seguridad.• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de laorganización.• Maximizar la eficacia de los procesos de auditoria de los sistemas de información yminimizar su interferencia.



7.1. Generalidades


7.2. Información para la revisión


7.3. Resultado de la Revisión


8. Mejora del SGSI

1- Plan de Seguridad del Gestión Sistema de Información en donde está claramente descritos todos los elementos del DEBE.

2. Actas de comité en donde se tomaron las decisiones que dieron origen a plan. Y firmada por los integrantes.

3. La declaración de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.

7.1 GENERALIDADESLa Dirección debe revisar el SGSI de la organización a intervalos planificados (por lomenos una vez al año), para asegurar su conveniencia, suficiencia y eficaciacontinuas.Esta revisión debe incluir:• La evaluación de oportunidades para mejorar• y la necesidad de cambios en el SGSI, incluidos* la política de seguridad de la información.* objetivos de la seguridad de la información.Los resultados de la revisión se deben documentar claramente y se deben llevarregistros (Ver 4.3.3).


Informes de auditoria

seguimientos de no conformidades y/o recomendaciones

Registro de resultados de mediciones

Actas de seguimiento del sistema de alta dirección y grupos de apoyo.

7.2 REVISIÓN DE ENTRADASLas entradas para la revisión por la dirección debe incluir:a) resultados de las auditorias y revisiones del SGSI;b) retroalimentación de las partes interesadas;c) técnicas, productos o procedimientos que se pueden usar en la organización paramejorar el desempeño y eficacia del SGSI;d) estado de las acciones preventivas y correctivas;e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoración previa delos riesgos;f) resultados de las mediciones de la eficacia;g) acciones de seguimiento resultantes de revisiones anteriores por la dirección;h) cualquier cambio que pueda afectar el SGSI; yi) Retroalimentación para mejorar.


Informes de auditoria

seguimientos de no conformidades y/o recomendaciones

Registro de resultados de mediciones

Actas de seguimiento del sistema de alta dirección y grupos de apoyo.

7.3 REVISIÓN DE LAS SALIDASLas resultados de la revisión por la dirección deben incluir cualquier decisión y acción relacionadacon:a) Mejoramiento de la eficacia del SGSI;b) la actualización de la evaluación del tratamiento de riesgo y plan de valoración y tratamientode riesgos;c) la modificación de los procedimientos y controles que afecten la seguridad de lainformación, según sea necesario, para responder a eventos internos o externos que puedentener impacto en el SGSI, incluidos cambios a:1) los requisitos del negocio,2) los requisitos de seguridad,3) los procesos del negocio que afectan los requisitos del negocio existentes,4) los requisitos reglamentarios o legales,5) las obligaciones contractuales; y6) los niveles de riesgo y/o niveles de aceptación de riesgos.d) los recursos necesarios,e) La mejora en que se mide la manera en que se mide la eficacia de los controles.


8.1. Mejora Continua

8.2. Acción Correctiva

8.3. Acción Preventiva

8.1 MEJORA CONTINUALa organización debe mejorar continuamente la eficacia del SGSI mediante el uso:a) De la política de seguridad de la información,b) Los objetivos de la seguridad de la información,c) Los resultados de la auditoria,d) El análisis de los eventos a los que se les ha hecho seguimiento,e) Las acciones correctivas y preventivas yf) La revisión por la Dirección.



8.2 ACCIÓN CORRECTIVALa organización debe emprender acciones para eliminar la causa de noconformidades asociadas con los requisitos del SGSI, con el fin de prevenir queocurran nuevamente.El procedimiento documentado para la acción correctiva debe definir requisitos para:a) Identificar las no conformidades;b) determinar las causas de las no conformidades;c) evaluar la necesidad de acciones que aseguren que las no conformidades novuelvan a ocurrir;d) determinar e implementar las acciones correctivas necesarias;e) registrar los resultados de la acciones tomadas; (Ver 4.3.3); yf) revisar la acción correctiva tomada.



8.3 ACCIÓN PREVENTIVALa organización debe determinar acciones para eliminar la causa de potenciales noconformidades con los requisitos del SGSI y evitar que ocurran. Las accionespreventivas tomadas deben ser apropiadas al impacto de los problemas potenciales.El procedimiento documentado para la acción preventiva debe definir requisitos para:a) Identificar no conformidades potenciales y sus causas;b) evaluar la necesidad de acción para impedir que las no conformidades ocurran;c) Determinar e implementar la acción preventivas necesarias;d) registrar los resultados de la acción tomada (Ver 4.3.3); ye) revisar la acción preventivas tomadas.La organización debe identificar los cambios en los riesgos e identificar requisitos encuanto acciones preventivas, concentrando la atención sobre los riesgos que hancambiado significativamente.La prioridad de las acciones preventivas se debe determinar con base en losresultados de la valoración de los riesgos.Nota: Las acciones preventivas para prevenir no conformidades con frecuencia sonmás rentables que la acción correctiva.



Norma ISO27001:2013

Este año 2013 en octubre se realizará el lanzamiento de la norma ISO27001:2013 lacual tiene varios cambios frente a la norma ISO27001:2005, entre ellos resaltamos lossiguientes: Le da mayor énfasis al entendimiento de la organización y el entorno. Importancia de la identificación de las partes interesadas. Es mucho mas orientada a la administración de riesgos de seguridad, nopretende que se describa la metodología ni los criterios. No hace una relación al dueño del activo de información, sino que se orientamas al dueño del riesgo. Es mucho mas evidente la inclusión de los objetivos del SGSI, que en la

anterior versión no estaba tan claramente identificada. Fácil integración con los demás sistemas de gestión.

Se paso de tener en el anexo A; 11 secciones a 14 secciones. Sin embargo

son menos controles, evitando redundancia, paso de 133 a 113Se realizó una reubicación de controles que se verá en el cuadro del archivo anexo: El control de dispositivos móviles y teletrabajo, antes estaba en control deaccesos, ahora es parte de la sección 6.2 Organización de la seguridad de lainformación. La manipulación de los medios de comunicación que antes estaba en Gestiónde comunicaciones y operaciones, ahora es parte de la gestión de activos 8.3. El Control de acceso al sistema operativo, las aplicaciones y el control deacceso a la información, se colocaron en un solo control en el Sistema decontrol de aplicaciones y acceso (9.4). El Control del software operativo, antes era un solo control en Sistema deinformación de la adquisición, desarrollo y mantenimiento, ahora es unacategoría aparte en el numeral 12.5 en la sección de Operaciones deseguridad.

Los temas de Auditoría sistemas de información antes en el dominio deCumplimiento pasaron a la sección 12.7 de Seguridad de operaciones. Los aspectos de acceso a la red ya no están, y algunos de los controles sehan trasladado a la sección 13 de Seguridad en las comunicaciones. Lo que se denominaba Intercambio de información es ahora parte de lasección 13 Seguridad en las comunicaciones. Los aspectos relacionados con comercio electrónico se fusionaron en eldominio 14.1 en Requisitos de seguridad de sistemas de información. Dos categorías de la sección de Gestión de Incidentes se han unido en unasola. 14.2.1 Política de desarrollo seguro – Reglas para el desarrollo de software y

sistemas de información 14.2.5 Los procedimientos del sistema de desarrollo – Principios para laingeniería de sistemas 14.2.6 entorno de desarrollo seguro – establecer y proteger el entorno dedesarrollo 14.2.8 Sistema de pruebas de seguridad – las pruebas de funcionalidad deseguridad 16.1.4 Evaluación y decisión de los eventos de seguridad de información –esto es parte de la gestión de incidentes 17.2.1 Disponibilidad de instalaciones de procesamiento de información –lograr redundancia

Controles que se fueron 6.2.2 Abordar la seguridad al tratar con los clientes 10.4.2 Controles contra código móvil 10.7.3 Procedimientos de manejo de la información 10.7.4 Seguridad de la documentación del sistema 10.8.5 Sistemas de Información Empresarial 10.9.3 Información pública 11.4.2 Autenticación de usuario para conexiones externas 11.4.3 Identificación de los equipos en las redes 11.4.4 remoto puerto de diagnóstico y configuración de protección 11.4.6 Red de control de la conexión 11.4.7 Red de control de encaminamiento 12.2.1 Validación de datos de entrada 12.2.2 Control de procesamiento interno. 12.2.3 Integridad del mensaje. 12.2.4 Salida de validación de datos. 11.5.5 Tiempo de sesión. 11.5.6 Limitación del tiempo de conexión. 11.6.2 Aislamiento de sistemas sensitivos. 12.5.4 Filtración de información. 14.1.2 Continuidad del negocio y evaluación de riesgos. 14.1.3 Desarrollo e implementación de planes de continuidad de negocio. 14.1.4 Continuidad del negocio marco de planificación. 15.1.5 Prevención del uso indebido de las instalaciones de procesamiento deinformación. 15.3.2 Protección de las herramientas de auditoría de sistemas deinformación.

Documents

Copia de ISO 207001 Lista chequeo.xlsx