^/ ek ek · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq...
TRANSCRIPT
![Page 1: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/1.jpg)
N° #Controles ControlControles
Implementados
Controles para
Tratamiento
Exclusión (S/N)
Justificación
A5 2
A.5.1
A.5.1.1
Política para la seguridad de la información
Se debe definir un conjunto de políticas para la seguridad de la información, aprobada por la dirección, publicada y
comunicada a los empleados y partes externas pertinentes.
1
ASPO05 Politica del Subsistema de Gestión de
Seguridad de la Información, ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Se incluye como parte integral de los requisitos del estándar para el SSI de la entidad. Tiene asociado el numeral 5.2. de la norma de la referencia.
A.5.1.2
Revisión de las políticas para la seguridad de la información
La políticas de seguridad de información se deben revisar a intervalos planificados o si
ocurren cambios significativos, para asegurar su conveniencia, adecuación
y eficacia continúas.
1Resolución 2659 de 2015,
Articulo 2 literal 10SI NO NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad. Tiene asociado el numeral 5.2. de la norma de la referencia.
A6 7A.6.1 5
A.6.1.1
Roles y responsabilidades para la seguridad de la información.
Se deben definir y asignar todas las responsabilidades
de la seguridad de la información.
1ASFT 14 Matriz de roles y
responsabilidadesSI NO NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad. Tiene asociado el numeral 5.3. de la norma de la referencia.
Organización de la seguridad de la informaciónOrganización Interna: Establecer un marco de referencia de gestión
DECLARACIÓN DE APLICABILIDAD DEL SUBSISTEMA DE SEGURIDAD EN LA INFORMACIÓN ISO 27001:2013
Dominio - Control
Política de seguridad de la informaciónBrindar orientación y soporte, por parte de la Dirección, para la
![Page 2: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/2.jpg)
A.6.1.2
Separación de deberes
Los deberes y áreas de responsabilidad en conflícto
se deben separar para reducir las posibilidades de
modificación no autorizada o no intencional, o el uso
indebido de los activos de la organización.
1
Ley 489 de 1998 Incisos 2º y 3º del Artículo 115 y el Decreto
2462 de 2013 modificó la estructura la Superintendencia Nacional de Salud y determinó las funciones que ejercerán las dependencias; Resolución 1110 de 2015 Conformacion Grupos
de Trabajo de OTI
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, se debe contar con este control implementado.
A.6.1.3
Contacto con las autoridadesSe deben mantener contactos
apropiados con las autoridades pertinentes.
1GGGU01 Guía de Contacto con
las Autoridades y Grupos de Interés Especial
SI NO NO
Como principio de seguridad de la información, cumplir con la regulación del Gobierno colombiano, además de contar con entidades externas que prestán servicios de TI, se debe contar con este control implementado.
A.6.1.4
Contacto con grupos de interés especiales
Se debe mantener los contactos apropiados con
grupos de interés especiales, otros foros especializados en seguridad de la información y
asociaciones de
1GGGU01 Guía de Contacto con
las Autoridades y Grupos de Interés Especial
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, se debe contar con este control implementado.
A.6.1.3
Seguridad de la información en la gestión de proyectos
La seguridad de la información se debe tratar en
la gestión de proyectos, independientemente del tipo
de proyecto.
1EPPD02 Formulación,
Ejecución, Seguimiento y Evaluación de Proyectos
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, se debe contar con este control implementado.
A6.2 2
A.6.2.1
Política para dispositivos móviles
Se debe adoptar una política y unas medidas de seguridad de soporte, para la gestión de los riesgos introducidos por el uso de dispositivos móviles.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI SI NO
Como principio de seguridad de la información, cumplir con la regulación del Gobierno colombiano, además de contar con entidades externas que prestán servicios de TI, se debe contar con este control implementado.
Dispositivos móviles y teletrabajo: Garantizar la seguridad del
![Page 3: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/3.jpg)
A.6.2.2
Teletrabajo
Se deben implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en
los lugares en los que se realiza el teletrabajo.
1
ASPO09 Politicas de Tercer nivel del Subsistema de
Seguridad de la Información, Resolución 1165 de 2015
SI NO NO
La Entidad cuenta con esta modalidad de trabajo dando cumplimiento a la Ley 1221 de 2008 Por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones.
A7 6A7.1 2
A.7.1.1
Selección
Las verificaciones de los antecedentes de todos los
candidatos a un empleo. Se deben llevar a cabo d acuerdo con las leyes, reglamentos y
ética pertinentes, y deben ser proporcionales a los
requisitos de negocio, a la clasificación de la información a la que se va a tener acceso
y a los riesgos percibidos.
1
APPD01 Provisión de Empleos, APPD02 Novedades de
Personal, Remuneración y Prestaciones
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, por la naturaleza de su entidad y en particular para los procesos de selección de personal, se debe contar con este control implementado.
A.7.1.2
Términos y condiciones del empleo
Los acuerdos contractuales con empleados y contratistas
deben establecer sus responsabilidades
obligaciones y las de la organización en cuanto a seguridad de información.
1Circular 007 Reserva y Buen
Manejo de la InformaciónSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, por la naturaleza de su entidad y en particular para los procesos de selección de personal, se debe contar con este control implementado.
A.7.2 3
A.7.2.1
Responsabilidades de la dirección
La Dirección debe exigir a todos los empleados y
contratistas la aplicación de la seguridad de la información
de acuerdo con las políticas y procedimientos establecidos
por la organización.
1
Circular 007 Reserva y Buen Manejo de la Información, Juramento de Posesión de
cargo , APFT20 Acta de posesión
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, por la naturaleza de su entidad y en particular para los procesos de selección de personal, se debe contar con este control implementado.
Seguridad de los recursos humanosAntes de asumir el empleo: Asegurar que los empleados y
Durante la vigencia del empleo: Asegurarse de que los empleados y
![Page 4: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/4.jpg)
A.7.2.2
Toma de conciencia, educación y formación en la seguridad de la
información
Todos los empleados de la organización y en donde sea pertinente, los contratistas
deben recibir la educación y la formación en la toma de conciencia apropiada, y
actualizaciones regulares sobre las políticas y procedimientos de la
organización pertinentes para
1
PLAN INSTITUCIONAL DE FORMACIÓN Y
CAPACITACIÓN, Cronograma de capacitaciones,
sensiblizaciones del SIG 2016
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad, por la naturaleza de su entidad y en particular para los procesos de selección de personal, se debe contar con este control implementado.
A.7.2.3
Proceso disciplinario
Se debe contar con un proceso formal, el cual debe
ser comunicado, para emprender acciones contra los empleados que hayan
cometido una violación a la seguridad de la información.
1
ADPD01 Evaluación de las Novedades Disciplinarias
Ley 734 de 2002, Articulo 34, literal 4, 5, 21, 22, articulo 35 literal 13, 21,titulo v Faltas y
Sanciones, titulo único, el articulo 48 faltas gravisimas,
literal 43, , 47, libro iv Procediminto Disciplinario,
Titulo ix procedimiento ordinario
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.7.3 1
A.7.3.1
Responsabilidades en la terminación
Las responsabilidades y los deberes de seguridad de la
información que permanecen válidos despues de la
terminación o cambio de empleo se deben definir, comunicar al empleado o
contratista y se debe hacer cumplir.
1 APFT53 Paz y Salvo SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.8 Gestión de activos 10A8.1 4
A.8.1.1
Inventario de activos
Se deben identificar los activos asociados con la
información e instalaciones de procesamiento de
información, y se debe elaborar y mantener un
1
GDFT03 Tablas de Retención Documental
ASFT22 Matriz de Valoración de Activos y Analisis de riesgos de
Seguridad de la Información
SI SI NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad de acuerdo con la definición del alcance.
Terminación o cambio de empleo: Proteger los intereses de la
Responsabilidad por los activos: Identificar los activos
![Page 5: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/5.jpg)
A.8.1.2
Propiedad de los activosLos activos mantenidos en el
inventario deben tener un propietario.
1
GDFT03 Tablas de Retención Documental
ASFT22 Matriz de Valoración de Activos y Analisis de riesgos de
Seguridad de la Información
SI SI NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad de acuerdo con la definición del alcance.
A.8.1.3
Uso aceptable de los activos
Se deben identificar, documentar e implementar
las reglas para el uso aceptable de información y de
activos asociados con información e instalaciones
de procesamiento de
1GGGU02 Gestión de Activos de
InformaciónSI SI NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad de acuerdo con la definición del alcance.
A.8.1.4
Devolución de activos
Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo.
1APFT53 Paz y Salvo, ASFT06
Actas de Novedades de Personal
SI SI NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad de acuerdo con la definición del alcance.
A.8.2 3
A.8.2.1
Clasificación de la información
La información se debe clasificar en función de los requisitos legales, valor,
criticidad y suceptibilidad a divulgación o a modificación
no autorizada.
1
GGPD01 Calificación y Etiquetado de la Información
Indice de Informacion Clasificada y Reservada
NO SI NOSe incluye como parte integral de los requisitos del estándar para el SSI en la entidad.
A.8.2.2
Etiquetado de la información
Se debe desarrollar e implementar un conjunto
adecuado de procedimientos para el etiquetado de la
información, de acuerdo al esquema de clasificación de información adoptado por la
organización.
1GGPD01 Calificación y
Etiquetado de la Información GGGU03 Guia de Tratamiento
de la Información
NO SI NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
Clasificación de la información: Asegurar que la información recibe
![Page 6: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/6.jpg)
A.8.2.3
Manejo de activos
Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasificación de información adoptado por el organismo.
1GGGU02 Gestión de Activos de
InformaciónNO SI NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad.
A.8.3 3
A.8.3.1
Gestión de medios removibles
Se deben implementar procedimientos para la
gestión de medios removibles, de acuerdo con el
esquema de clasificación adoptado por la organización.
1GSGU10 Gestión de Medios
RemoviblesSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.8.3.2
Disposición de los medios
Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando
procedimientos formales
1
GGGU03 Guia de Tratamiento de la Información
Programa de Gestion documental
Circular externa 03 de la AGN, numeral 6 literal E
GSGU06 Borrado seguro de la
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.8.3.3
Transferencia de medios fisicos
Los medios que contienen información se deben
proteger contra acceso no autorizado, uso indebido o
corrupción durante el transporte.
1GGGU03 Guia de Tratamiento
de la InformaciónSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9 14A 9.1 2
A.9.1.1
Política de control de acceso
Se debe establecer, documentar y revisar una
política de control de acceso con base en los requisitos del negocio y de la seguridad de
la información.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
Requisito del negocio para el control de acceso: Limitar el acceso a
Control de acceso
Manejo de medios: Evitar la divulgación, la modificación, el retiro o la
![Page 7: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/7.jpg)
A.9.1.2
Acceso a redes y a servicios en red
Solo se debe permitir el acceso de lso usuarios a la red y a los servicios de red
para los que hayan sido autorizados específicamente.
1GSGU05 Acceso a redes y a
servicios en redSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.2 6
A.9.2.1
Registro y cancelación del registro de usuarios
Se debe implementar un proceso formal de registro y
de cancelación de registro de usuarios, para posibilitar la asignación de los derechos
de acceso.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.2.2
Suministro de acceso de usuarios
Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de acceso para
todo tipo de usuarios, para todos los sistemas y servicios.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.2.3
Gestión de derechos de acceso privilegiado
Se debe restringir y controlar la asignación y uso de derechos de acceso
privilegiado.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.2.4
Gestión de información de autenticación secreta de usuarios
La asignación de información de autenticación secreta se debe controlar por medio de
un proceso de gestión formal.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.2.5
Revisión de los derechos de acceso de usuarios
Los propietarios de los activos deben revisar los derechos de
acceso de los usuarios, a intervalos regulares.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
Gestión de acceso de usuarios: Asegurar el acceso de usuarios
![Page 8: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/8.jpg)
A.9.2.6
Retiro o ajuste de los derechos de acceso
Los derechos de acceso de todos los empleados y de
usuarios externos a la información y a las
instalaciones de procesamiento de información se deben retirar al terminar su empleo, contrato o acuerdo, o
sedebn ajustar cuando se
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.3 1
A.9.3.1
Uso de información de autenticación secreta
Se debe exigir a los usuarios que cumplan las practicas
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.4 5
A.9.4.1
Restricciones de acceso a la información
El acceso a la información y a las funciones de los
sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de
acceso.
1GSGU09 Guía de Gestión
Segura de UsuariosSI SI NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.4.2
Procedimiento de ingreso seguro
Cuando lo requiere la política de control de acceso, el
acceso a sistemas y aplicaciones se debe controlar mediante un
proceso de ingreso seguro.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.4.3
Sistema de gestión de contraseñas
Los sistemas de gestión de contraseñas deben ser
interactivos y deben asegurar la calidad de las contraseñas.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
Responsabilidades de los usuarios: Hacer que los usuarios rindan
Control de acceso a sistemas y aplicaciones: Evitar el acceso no
![Page 9: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/9.jpg)
A.9.4.4
Uso de los programas utilitarios privilegiados
Se debe restringir y controlar estrictamente el uso de
programas utilitarios que pueden anular los controles
del sistema y de las aplicaciónes.
1GSGU09 Guía de Gestión
Segura de UsuariosSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.9.4.5
Control de acceso a códigos fuente de programas
Se debe restringir el acceso a los codigos fuente de los
programas.1
GSGU09 Guía de Gestión Segura de Usuarios
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.10 2A.10.1 2
A.10.1.1
Política sobre el uso de controles criptográficos
Se debe desarrollar e implementar una política sobre el uso de controles
criptográficos para la protección de la
información.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI SI NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
A.10.1.2
Gestión de llaves
Se debe desarrollar e implementar una política sobre el uso, protección y
tiempo de vida de las llaves criptográficas,
durante todo su ciclo de vida.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI SI NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
A.11 13A.11.1 6
A.11.1.1
Perímetro de seguridad física.
Se deben definir y usar perímetros de seguridad y
usarlos para proteger áreas que contengan información
confidencial o crítica, e instalaciones de manejo de
información.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad informacion, explicitamente y debido a que las instalaciones de la Entidad contienen informacion sensible, se debe contar con este control implementado.
CriptografíaControles criptográficos: Asegurar el uso apropiado y eficaz de la
Seguridad física y del entornoÁreas seguras: Prevenir el acceso físico no autorizado, el daño y la
![Page 10: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/10.jpg)
A.11.1.2
Controles de acceso físico
Las áreas seguras se deben proteger mediante controles de acceso apropiados para
asegurar que solo se le permita el acceso a personal
autorizado.
1
SGGU01 Guía de Seguridad Física y del Entorno
GSFT01 Ingreso a áreas seguras de Tecnología
SI NO NO
Como principio de seguridad informacion, explicitamente y debido a que las instalaciones de la Entidad contienen informacion sensible, se debe contar con este control implementado.
A.11.1.3
Seguridad de oficinas, recintos e instalaciones
Se debe diseñar y aplicar la seguridad física a oficinas,
recintos e instalaciones.1
SGGU01 Guía de Seguridad Física y del Entorno
SI NO NO
Como principio de seguridad informacion, explicitamente y debido a que las instalaciones de la Entidad contienen informacion sensible, se debe contar con este control implementado.
A.11.1.4
Protección contra amenazas externas y ambientales
Se debe diseñar y aplicar protección física contra
desastres naturales, ataques maliciosos y accidentes.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad informacion, explicitamente y debido a que las instalaciones de la Entidad contienen informacion sensible, se debe contar con este control implementado.
A.11.1.5
Trabajo en áreas segurasSe deben diseñar y aplicar
procedimientos para trabajo en áreas seguras.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad informacion, explicitamente y debido a que las instalaciones de la Entidad contienen informacion sensible, se debe contar con este control implementado.
A.11.1.6
Áreas de despacho y carga
Se deben controlar los puntos de acceso tales como áreas de despacho y de carga y
otros puntos en donde pueden entrar personas no autorizadas, y si es posible, aislarlos de las instalaciones
de procesamiento de información para evitar el
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2 7Equipos: Prevenir la pérdida, daño, robo o compromiso de activos, y la
![Page 11: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/11.jpg)
A.11.2.1
Ubicación y protección de los equipos
Los equipos deben estar ubicados y protegidos para
reducir el riesgos de amenaza y peligros del entorno, y las posibilidades de acceso no
autorizado.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.2
Servicios de suministro
Los equipos se deben proteger contra fallas de
energía y otras interrupciones causadas por fallas en los
servicios de suministro.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.3
Seguridad del Cableado
El cableado de energía eléctrica y de
telecomunicaciones que porta datos o brinda soporte a los servicios de información se
debe proteger contra interceptación, interferencia o
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.4
Mantenimiento de equipos
Los equipos deben mantener correctamente para asegurar
disponibilidad e integridad continuas.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.5
Retiro de activos
Los equipos, información, software no se deben retirar de su sitio sin autorización
previa.
1SGGU01 Guía de Seguridad
Física y del EntornoSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.6
Seguridad de los equipos fuera de las instalaciones
Se deben aplicar medidas de seguridad a los activos que se
encuentren fuera de las instalaciones de la
organización teniendo en cuenta los diferentes riesgos de trabajar fuera de dichas
1SGGU01 Guía de Seguridad
Física y del EntornoSI SI NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
![Page 12: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/12.jpg)
A.11.2.7
Disposición segura o reutilización de equipos
Se debe verificar todos los elementos del equipo que
contengan medios de almacenamiento para
asegurar que cualquier dato confidencial o software
licenciado haya sido retirado o sobrescrito de forma segura,
antes de su disposición o
1GSGU06 Borrado seguro de la
informaciónSI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.8
Equipos de usuario desatendido
Los usuarios deben asegurarse de que a los
equipos desatendidos se les da protección apropiada.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.11.2.9
Política de escritoria limpio y pantalla limpia
Se debe adoptar una política de escritorio limpio para los
papeles y medios de almacenamiento removibles,
y una política de pantalla limpia en las instalaciones de
procesamiento de
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI SI NO
Como principio de seguridad para el fortalecimiento del control interno en la entidad y por su componente público, se debe contar con este control implementado.
A.12 16A.12.1 4
A.12.1.1
Procedimientos de operación documentados
Los procedimientos de operación se deben documentar y poner a
disposición de todos los usuarios que los necesitan.
1 Base de Conocimiento de TI SI NO NO
Como principio de seguridad de la informacion, explicitamente se debe controlar las operaciones efectuadas, por tanto se debe contar con este control implementado.
A.12.1.2
Gestión de cambios
Se deben controlar los cambios en la organización, en los
procesos de negocio, en las instalaciones y en los sitemas de
procesamiento de información que afectan la seguridad de la
información.
1GSPD02 Gestión de
CambiosSI SI NO
Como principio de seguridad de la informacion, explicitamente se debe controlar las operaciones efectuadas, por tanto se debe contar con este control implementado.
Seguridad de las operacionesProcedimientos operacionales y responsabilidades: Asegurar las
![Page 13: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/13.jpg)
A.12.1.3
Gestión de capacidad
Se debe hacer seguimiento al uso de los recursos, hacer los
ajustes, y hacer proyecciones de los requisitos de capacidad
futura, para asegurar el desempeño requerido del
sistema
1GSGU11 Seguridad en las
OperacionesSI SI NO
Como principio de seguridad de la informacion, explicitamente se debe controlar las operaciones efectuadas, por tanto se debe contar con este control implementado.
A.12.1.4
Separación de los ambientes de desarrollo, pruebas y operación.
Se deben separar los ambientes de desarrollo, de prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al ambiente de
operación.
1GSGU11 Seguridad en las
OperacionesSI SI NO
Como principio de seguridad de la informacion, explicitamente se debe contar con ambientes de desarrollo y prueba de los sistemas de información, por tanto se debe contar con este control implementado.
A.12.2 1
A12.2.1.
Controles contra códigos maliciosos
Se deben implementar controles de detección de prevencion y de recuperación, combinados con la toma de conciencia apropiada de
los usuarios, para proteger contra códigos maliciosos.
1GSGU11 Seguridad en las
OperacionesSI NO NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles contra codigos maliciosos que protejan la infraestructura de la SNS, por tanto se debe contar con este control implementado.
A12.3. 1
A12.3.1.
Respaldo de la Informacion
Se deben hacer copias de respaldo de la información, software e imágenes de los
sistemas, y ponerlas a prueba regularmente de acuerdo con
una politica de copias de respaldo acordadas.
1GSGU07 Copias de
SeguridadSI NO NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles de respaldo de la información para preservar la disponibilidad de la información, por tanto se debe contar con este control implementado.
A12.4. 4
Copias de Respaldo: Proteger contra la perdida de daños
Registro y Seguimiento: Registrar eventos y generar evidencia
Protección contra códigos maliciosos: Asegurarse de que la
![Page 14: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/14.jpg)
A12.4.1.
Registro de eventos
Se deben elaborar, conservar y revisar regularmente los
registros acerca de actividades del usuario,
excepciones fallas y eventos de seguridad de la
informacion.
1GSGU11 Seguridad en las
OperacionesNO SI NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles de registro de eventos que puedan afectar la seguridad de la información, por tanto se debe contar con este control implementado.
A12.4.2.
Protección de la infomación de registro.
Las instalaciones y la información de registro se
deben proteger contra alteración y acceso no
autorizado.
1GSGU11 Seguridad en las
OperacionesSI NO NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles de registro de eventos que puedan afectar la seguridad de la información, por tanto se debe contar con este control implementado.
A12.4.3.
Registros del administrador y del operador
Las actividades del administrador y del operador
del sistema se deben registrar, y los registros se
deben proteger y revisar con regularidad.
1GSGU11 Seguridad en las
OperacionesNO SI NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles de registro de eventos que puedan afectar la seguridad de la información, por tanto se debe contar con este control implementado.
A12.4.4.
Sincronización de Relojes
Los relojes de todos los sistemas de procesamiento de información pertinentes
dentro de una organización o ámbito de seguridad se deben
sincronizar con una única fuente de referencia de
1GSGU11 Seguridad en las
OperacionesSI NO NO
Como principio de seguridad de la informacion, explicitamente se debe contar con la sincronización de relojes en los sistemas de información, por tanto se debe contar con este control implementado.
A12.5. 1Control de Software Operacional: Asegurarse de la integridad de
los sistemas operacionales.
![Page 15: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/15.jpg)
A12.5.1.
Instalación de software en sistemas operativos
Se deben implementar procedimientos para controlar la instalación de software en
sistemas operativos.
1
GSGU04 Prestación del Servicio para la atención de
requerimientos
GSPD04 Gestión de Requerimientos
ASPO09 Politicas de Tercer nivel del Subsistema de
Seguridad de la Información
SI NO NO
Como principio de seguridad de la informacion, se debe contar con controles para la instalacion de software, por tanto se debe contar con este control implementado.
A12.6. 4 ,
A12.6.1.
Gestión de las vulnerabilidades técnicas
Se obtener oportunamente información acerca de las
vulnerabilidades técnicas de los sistemas de información
que se usen; evaluar la exposición de la organización
a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.
1GSGU11 Seguridad en las
OperacionesSI NO NO
Como principio de seguridad de la informacion, se debe contar con controles para la gestión de vulnerabilidades técnicas, por tanto se debe contar con este control implementado.
A12.6.2.
Restricciones sobre la instalación de software.
Se debe establecer e implementar las reglas para la
instalación de software por parte de los usuarios.
1ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad de la informacion, se debe contar con controles para la instalacion de software, por tanto se debe contar con este control implementado.
A12.7. 1
A12.7. 1.
Controles de auditoria de sistemas de información
Los requisitos y actividades de auditoría que involucran la verificación de los sistemas
operativos se deben planificar y acordar cuidadosamente
para minimizar las interrupciones en los
1GSGU11 Seguridad en las
OperacionesSI SI NO
Como principio de seguridad de la informacion, explicitamente se debe contar con controles de auditoría, por tanto se debe contar con este control implementado.
A13. 7A13.1. 3
SEGURIDAD DE LAS COMUNICACIONESGestión de la seguridad de las redes: Asegurar la protección de la
Gestion de las vulnerabilidad técnica: Prevenir el
Consideraciones sobre auditorias de sistemas de infomación:
![Page 16: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/16.jpg)
A.13.1.1.
Controles de redes
Las redes se deben gestionar y controlar para proteger la información en sistemas y
aplicaciones.
1GSGU05 Acceso a redes y
a servicios en redSI NO NO
Como principio de seguridad de la información y para dar un adecuado uso a las redes de información, se debe contar con este control implementado.
A13.1.2.
Seguridad de los servicios de red.
Se deben identificar los mecanismos de seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de red, ya sea que los servicios se presten internamente o se contraten
externamente.
1GSGU05 Acceso a redes y
a servicios en redSI NO NO
Como principio de seguridad de la información y para dar un adecuado uso a las redes de información, se debe contar con este control implementado.
A 13.1.3
.Separación en las redes.
Los grupos de servicios de información, usuarios y
sistemas de información se deben separar de las redes.
1GSGU05 Acceso a redes y
a servicios en redSI NO NO
Como principio de seguridad de la información y para dar un adecuado uso a las redes de información, se debe contar con este control implementado.
A13.2. 4
A13.2.1
Politicas y procedimientos de transferencia de información.
Se debe contar con políticas, procedimietos y controles de transferencia formales para proteger la transferencia de información mediante el uso de todo tipo de isntalaciones
de comunicaciones.
1 ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
A13.2.2.
Acuerdos sobre transferencia de información.
Los acuerdos deben tratar la transferencia segura de
información del negocio entre la organización y las partes
externas.
1GGGU03 Guia de Tratamiento
de la InformaciónSI NO NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
A13.2.3.
Mensajería electrónica
Se debe proteger adecuadamente la
información incluida en la mensajería eletrónica.
1GGGU03 Guia de Tratamiento
de la InformaciónSI NO NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
Transferencia de información: Mantener la seguridad de la
![Page 17: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/17.jpg)
A13.2.4.
Acuerdos de confidencialidad o de no divulgación.
Se deben identificar, revisar regularmente y documentar
los requisitos para los acuerdos de confidencialidad o no divulgación que reflejen
las necesidades de la organización para la
protección de la información.
1 Acuerdo de Confidencialidad y
Reserva de manejo de la Información
SI NO NO
Como principio de seguridad informática, explicitamente y por el intercambio de datos con entidades externas, se debe contar con este control implementado.
A14. 13 A14.1. 3
A14.1.1.
Análisis y especificación de requisitos de seguridad de la
información.
Los requsitos relacionados con seguridad de la
información se deben incluir en los requisitos para nuevos
sistemas de información o para mejoras a los sistemas de información existentes.
1
RSFT03 Requerimientos De Seguridad Para Aplicaciones
RSPD01 Gestión de arquitectura de tecnologías de la
información
SI NO NO
Como principio de seguridad de la información, y especificamente con el desarrollo de sistemas de información en su fase inicial, se debe contar con este control implementado.
A14.1.2.
Seguridad de servicios de las aplicaciones en redes públicas.
La información involucrada en los servicios de las
aplicaciones que pasan sobre redes públicas se debe proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad de la información, y especificamente los sistemas de información que son expuestas a redes públicas, se debe contar con este control implementado.
A14.1.3.
Protección de transacciones de los servicios de las aplicaciones
La información involucrada en las transacciones de los
servicios de las aplicaciones se debe proteger para evitar la trasmisión incompleta, el
enrutamiento errado, la alteración no autorizada de mensajes, la divulgación no autorizada, y la duplicación o reproducción de mensajes no
autorizada.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad de la información, y especificamente en la protección de los servicios de las aplicaciones, se debe contar con este control implementado.
A14.2. 9
ADQUISICION Y MANTEMIENTO DE SISTEMASRequisitos de seguridad de los sistemas de información: Asegurar
Seguridad en los procesos de desarrollo y de soporte: Asegurar
![Page 18: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/18.jpg)
A14.2.1.
Politica de desarrollo seguro.
Se deben establecer y aplicar reglas para el desarrollo de
software y de sistemas, a los desarrolladores dentro de la
organización.
1ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad de la información, la Entidad debe contar con una política de Desarrollo Seguro clara, por tanto se debe contar con este control implementado.
A14.2.2.
Procedimiento de control de cambios en sistemas.
Los cambios a los sistemas dentro dentro del ciclo de vida
de desarrollo se deben controlar mediante el uso de procedimientos formales de
control de cambios.
1 GSPD02 Gestión de Cambios SI SI NO
Como principio de seguridad de la información, se debe controlar los cambios en los sistemas de información, por tanto se debe contar con este control implementado.
A14.2.3.
Revisión técnica de las aplicaciones después de cambios
en la plataforma de operación.
Cuando se cambian las plataformas de operación, se debn revisar las aplicaciones
críticas del negocio, y someter a prueba para asegurar que no haya
impacta adverso en las operaciones o seguridad de la
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad de la información, se debe controlar los cambios en los sistemas de información, por tanto se debe contar con este control implementado.
A14.2.4.
Restricciones en los cambios a los paquetes de software
Se deben desalentar las modificaciones a los paquetes
de software, los cuales se deben limitar a los cambios
necesarios, y todos los cambios se deben controlar
estrictamente.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad de la información, se debe restringir los cambios en los paquetes de software, por tanto se debe contar con este control implementado.
A14.2.5.
Principios de construccion de los sistemas seguros.
Se deben establecer, documentar y mantener
principios para la construcción de sistemas seguros para las
actividades de desarrollo e integración de sistemas que comprendan todo el ciclo de
vida de desarrollo de
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad informática se debn establecer los principios de construcción de sistemas de información seguros, por tanto se debe contar con este control implementado.
![Page 19: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/19.jpg)
A14.2.6.
Ambiente de desarrollo seguro.
Las organizaciones deben establecer y proteger adecuadamente los
ambientes de desarrollo seguros para las actividades de desarrollo e integración de sistemas de comprendan todo el ciclo de vida de desarrollo
1RSPD02 Gestión de
AplicacionesSI NO NO
Como principio de seguridad informática, se debe contar con ambientes de desarrollo seguro, protegidos adecuadamente para las actividades de desarrollo de los sistemas de información, por tanto se debe contar con este control implementado.
A14.2.7.
Desarrollo contratado externamente
La organización debe supervisar y hacer
seguimiento de la actividad de desarrollo de sistemas
contratados externamente.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad informática, los servicios de desarrollo tercerizados se deben controlar adecuadamente, por tanto se debe contar con este control implementado.
A14.2.8.
Pruebas de seguridad de Sistemas
Durante el desarrollo se deben llevar a cabo pruebas
de funcionalidad de seguridad.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad informática se deben realizar pruebas de seguridad a los sistemas de información durante el desarrollo, por tanto se debe contar con este control implementado.
A.14.2.9.
Prueba de aceptación de Sistemas
Para los Sistemas de información nuevos,
actualizaciones y nuevas versiones, se debn establecer
programas de prueba para aceptación y criterios de aceptación relacionados.
1RSPD02 Gestión de
AplicacionesSI SI NO
Como principio de seguridad informática se deben realizar pruebas de aceptación a los sistemas de información, por tanto se debe contar con este control implementado.
A14.3. 1
A14.3.1.
Protección de datos de prueba.
Los datos de prueba se deben seleccionar, proteger y controlar cuidadosamente.
1RSPD02 Gestión de
AplicacionesNO SI NO
Como principio de seguridad de la información se deben proteger los datos de prueba adecuadamente en los sistemas de información, por tanto se debe contar con este control implementado.
A15. 5A15.1. 3
Datos de prueba: Asegurar la protección de los datos usados para
RELACIONES CON LOS PROVEEDORESSeguridad de la información en las relaciones con los
![Page 20: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/20.jpg)
A15.1.1.
Política de seguridad de la información para las relaciones
con proveedores.
Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso de proveedores a los activos de la organización se deben acordar con éstos y se
deben documentar.
1ASPO09 Politicas de Tercer
nivel del Subsistema de Seguridad de la Información
SI NO NO
Como principio de seguridad de la información, la Entidad debe contar con la Politica de seguridad de la información en la relación con los proveedores a fin de mitigar los riesgos que se puedan presentar durante la prestaciión de los servicios, por tanto se debe contar con este control implementado
A15.1.2.
Tratamiento de la seguridad dentro de los acuerdos con proveedores.
Se deben establecer y acordar todos los requisitos
de seguridad de la información pertinentes con cada proveedor que pueda
tener acceso, procesar, almacenar, comunicar o
suministrar componentes de infraestructura de TI para la
información de la
1Acuerdo de confidencialidad y
reserva de manejo de información
SI NO NO
Como principio de seguridad de la información, la Entidad debe contar con la Politica de seguridad de la información en la relación con los proveedores a fin de mitigar los riesgos que se puedan presentar durante la prestaciión de los servicios, por tanto se debe contar con este control implementado
A15.1.3.
Cadena de suministro de tecnología de información y
comunicación.
Los acuerdos con proveedores deben incluir requisitos para tratar los
riesgos de seguridad de la información asociados con la
cadena de suministro de productos y servicios de
tecnología de información y comunicación.
1
ASFT24 Criterios de Selección a Proveedores y Productos Críticos para el Sistema
Integrado de Gestión
NO SI NO
Como principio de seguridad de la información, la Entidad debe contar con la Politica de seguridad de la información en la relación con los proveedores a fin de mitigar los riesgos que se puedan presentar durante la prestaciión de los servicios, por tanto se debe contar con este control implementado
A15.2. 2Gestión de la prestación de servicios de proveedores: Mantener
![Page 21: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/21.jpg)
A15.2.1.
Seguimiento y revisión de los servicios de los proveedores.
Las organizaciones deben hacer seguimiento, revisar y
auditar con regularidad la prestación de los servicios de
los proveedores.
1
ASFT24 Criterios de Selección a Proveedores y Productos Críticos para el Sistema
Integrado de Gestión
NO SI NO
Como principio de seguridad de la información, la Entidad debe hacer seguimiento y revisión a los servicios prestados por los proveedores a fin de mitigar los riesgos que se puedan presentar durante la prestaciión de los servicios, por tanto se debe contar con este control implementado
A15.2.2.
Gestión de cambios en los servicios de los proveedores.
Se deben gestionar los cambios en el suministro de
servicios por parte de los proveedores, incluido el
mantenimiento y la mejora de las poíticas, procedimientos y controles de seguridad de la
información existentes, teniendo en cuenta la
criticidad de la información , sistemas y procesos del
negocio involucrados, y la
1
ASFT24 Criterios de Selección a Proveedores y Productos Críticos para el Sistema
Integrado de Gestión
NO SI NO
Como principio de seguridad de la información, la Entidad debe hacer seguimiento a la gestión de los cambios en la revisión a los servicios prestados por los proveedores a fin de mitigar los riesgos que se puedan presentar durante la prestaciión de los servicios, por tanto se debe contar con este control implementado
A16. 7 A16.1. 7
A16.1.1.
Responsabilidades y procedimientos.
Se deben establecer las responsabilidades y
procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad
de la información.
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI NO NO
Como principio de seguridad de la información la Entidad debe gestionar adecuadamente los incidentes de seguridad de la información, por tanto se debe contar con este control implementado.
A16.1.2.
Reporte de eventos de seguridad de la información.
Los eventos de seguridad de la información se deben informar a través de los
canales de gestión apropiados, tan pronto como
sea posible.
1
GSGU08 Gestion de Incidentes de Seguridad de la Informacion
ASPO09 Politicas de Tercer nivel del Subsistema de
Seguridad de la Información
SI NO NO
Como principio de seguridad de la información la Entidad promover el reporte de eventos de seguridad de la información, por tanto se debe contar con este control implementado.
Gestión de incidentes y mejoras en la seguridad de la GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
![Page 22: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/22.jpg)
A16.1.3.
Reporte de debilidades de seguridad de la información
Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas
de información de la organización, que observen y reporten cualquier debilidad
de seguridad de la información observada o
sospechada en los sistemas o
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI NO NO
Como principio de seguridad de la información la Entidad promover el reporte de debilidades de seguridad de la información, por tanto se debe contar con este control implementado.
A16.1.4.
Evaluación de eventos de seguridad de la información y
decisiones sobre ellos.
Los eventos de seguridad de la información se deben
evaluar y se debe decidir si se van a clasificar como
incidentes de seguridad de la información.
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI NO NO
Como principio de seguridad de la información la Entidad debe gestionar adecuadamente los incidentes de seguridad de la información, por tanto se debe contar con este control implementado.
A16.1.5.
Respuesta a incidentes de seguridad de la información.
Se debe dar respuesta a los incidentes de seguridad de la información de acuerdo con
procedimientos documentados.
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI NO NO
Como principio de seguridad de la información la Entidad debe gestionar adecuadamente los incidentes de seguridad de la información, por tanto se debe contar con este control implementado.
A16.1.6.
Aprendizaje obtenido de los incidentes de seguridad de la
información.
El conocimiento adquirido al analizar y resolver incidentes
de seguridad de la información se deb usar para
reducir la posibilidad o el impacto de incidentes futuros.
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI SI NO
Como principio de seguridad de la información la Entidad debe gestionar adecuadamente los incidentes de seguridad de la información, por tanto se debe contar con este control implementado.
A16.1.7.
Recolección de evidencia.
La organización debe definir y aplicar procedimientos para la
identificación, recolección, adquisición y preservación de información que pueda servir
como evidencia.
1GSGU08 Gestion de Incidentes de Seguridad de la Informacion
SI SI NO
Como principio de seguridad de la información la Entidad debe gestionar adecuadamente los incidentes de seguridad de la información, por tanto se debe contar con este control implementado.
A17. 4A17.1. 3
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE Continuidad de seguridad de la informacion: La continuidad de
![Page 23: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/23.jpg)
A17.1.1.
Planificación de la continuidad de la seguridad de la información.
La organización debe determinar sus requisitos para la seguridad de la
información y la continuidad de la gestión de la seguridad
de la información en situaciones adversas, por
ejemplo, durante una crisis o
1GGPD02 Gestión de
Continuidad del NegocioNO SI NO
Como principio de la información se debe planear la continuidad de la seguridad de la información en situaciones adversas, por tanto se debe contar con este control implementado.
A17.1.2.
Implementación de la continuidad de la seguridad de la información.
La organización debe establecer, documentar, implementar y mantener
procesos, procedimientos y controles para asegurar el
nivel de continuidad requerido para la seguridad de la
información durante una
1GGPD02 Gestión de
Continuidad del NegocioNO SI NO
Como principio de la información se debe planear la continuidad de la seguridad de la información en situaciones adversas, por tanto se debe contar con este control implementado.
A17.1.3.
Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.
La organización debe verificar a intervalos regulares los
controles de continuidad de la seguridad de la información
establecidos e implementados, con el fin de asegurar que son válidos y
eficaces durante situaciones
1GGPD02 Gestión de
Continuidad del NegocioNO SI NO
Como principio de la información se debe verificar, revisar y evaluar la continuidad de la seguridad de la información en situaciones adversas, por tanto se debe contar con este control implementado.
A17.2. 1
A17.2.1.
Disponibilidad de instalaciones de procesamiento de información.
Las instalaciones de procesamiento de información
se deben implementar con redundancia suficiente para
cumplir los requisitos de disponibilidad.
1GGPD02 Gestión de
Continuidad del NegocioNO SI NO
Como principio de la información se debe contar con redundancias en las instalaciones de procesamiento de información para tener disponibilidad de la información, por tanto se debe contar con este control implementado.
A18. 8 A18.1. 5Cumplimiento de requisitos legales y contractuales: Evitar el
Redundancias: Asegurar la disponibilidad de instalaciones de
CUMPLIMIENTO
![Page 24: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/24.jpg)
A18.1.1.
Identificación de la legislación aplicable y de los requisitos
contractuales.
Todos los requisitos estaturios, reglamentarios y
contractuales pertinentes y el enfoque de la organización para cumplirlos, se deben identificar y documentar
explícitamente, y mantenerlos actualizados para cada
sistema de información y para
1ASFT03 Normograma del
Sistema Integrado de GestiónSI NO NO
Se debe identificar adecuadamente la legislación aplicable con el SSI para cumplir con regulación vigente gobierno colombiano, por tanto se debe cumplir con este control implementado
A18.1.2.
Derechos de propiedad intelectual.
Se deben implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos
legislativos, de reglamentación y
contractuales relacionados con los derechos de
propiedad intelectual y el uso
1Documento de Contrato -
Obligaciones Generales inciso 4SI NO NO
La Entidad debe promover el cumplimiento a la reglamentación vigente relacionados con propiedad intelectual y el uso de software patentado, por tanto se debe cumplir con este control implementado
A18.1.3.
Protección de registros.
Los registros se deben proteger contra pérdida, destrucción, falsificación, acceso no autorizado y
liberación no autorizada de acuerdo con los requisitos
legislativos, de reglamentación contractuales
1Programa de Gestión
DocumentalSI NO NO
La Entidad debe proteger adecuadamente los registros que se generen durante su gestión, por tanto se debe cumplir con este control implementado
A18.1.4.
Privacidad y Protección de información de datos personales.
Se deben asegurar la privacidad y la protección de
la información de datos personales, como se exige en
la legislación y la reglamentación pertinentes,
cuando sea aplicable.
1 Resolución 656 de 2016 SI NO NO
La Entidad debe promover el cumplimiento a la reglamentación vigente relacionados con privacidad y protección de datos personales, por tanto se debe cumplir con este control implementado
A18.1.5.
Reglamentación de controles criptográficos.
Se deben usar controles criptográficos, en
cumplimiento de todos los acuerdos, legislación y
reglamentación pertinentes.
1
DECRETO 2674 DE 2012CAPÍTULO V
De las obligaciones y responsabilidades en el uso del
SIIF NaciónArtículo 27 literal d.
SI NO NO
Dando cumplimiento a la reglamentación vigente en cuanto al uso de controles criptograficos, la Entidad implementa los controles adecuados pasra esta labor
![Page 25: ^/ EK EK · 3urslhgdg gh orv dfwlyrv /rv dfwlyrv pdqwhqlgrv hq ho lqyhqwdulr ghehq whqhu xq surslhwdulr *')7 7deodv gh 5hwhqflyq 'rfxphqwdo $6)7 0dwul] gh 9dorudflyq gh](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e903c4bf316447eb43c0e16/html5/thumbnails/25.jpg)
A18.2. 3
A18.2.1.
Revisión independiente de la seguridad de la información.
El enfoque de la organización para la gestión de la
seguridad de la información y su implementación ( es decir, los objetivos de control, los controles, las políticas, los
procesos y los procedimientos para seguridad de la
información) se deben revisar independientemente a
intervalos planificados o cuando ocurran cambios
1 Programa anual de auditorías SI NO NO
Se incluye como parte integral de los requisitos del estándar para el SSI en la entidad. Tiene asociado el numeral 9 de la norma de la referencia.
A18.2.2.
Cumplimiento con las políticas y normas de seguridad.
Los directores deben revisar con regularidad el cumplimiento del procesamiento y
procedimientos de información dentro de su área
de responsabilidad, con las políticas y normas de
seguridad apropiadas, y
1 Decreto 2573 de 2014 SI NO NO
Por disposición del Gobierno Nacional, la seguridad de la información debe estar presente en los procesos de la Entidades del Estado.
A18.2.3.
Revisión del cumplimiento técnico
Los sistemas de información se deben revisar
periódicamente para determinar el cumplimiento
con las políticas y normas de seguridad de la información.
1GSGU11 Seguridad en las
OperacionesSI NO NO
Para preservar la seguridad en los sistemas de información, se hacen analisis de vuolnerabilidades a los mismos, de igual manera se revisa que se estan dando cumplimiento a las politicas de seguridad
COFL03
Revisiones de seguridad de la información: Asegurar que la