Medidas de seguridad con las que ya cuenta la empresa (APLICADOS) (Referido a 6 controles) Seguridad fsica de las instalaciones

9.1.1. Permetro de seguridad fsica 9.1.2. Controles fsicos de entrada 9.1.3. Seguridad de oficinas, despachos y recursos 9.1.4. Proteccin contra amenazas externas y del entorno 9.1.5. El trabajo en reas seguras 9.1.6. reas aisladas de carga y descarga

(Referido a 1 control) Controles sobre los datos de entrada en las aplicaciones

11.6.1 Restriccin de acceso a la informacin

(Referido a 6 controles) Controles que aseguran a los privilegios de acceso a la informacin y los sistemas
11.5.1 Procedimientos de Conexin de Terminales 11.1.1. Poltica de control de accesos 11.2.4. Revisin de los derechos de acceso de los usuarios 11.4.1. Poltica de uso de los servicios de red 11.4.6. Control de conexin a las redes 11.5.2 Identificacin y autentificacin de usuarios 11.5.3 Sistema de gestin de contraseas

(Referido a 5 controles) Controles que establecen los procedimientos de comunicacin y resolucin de problemas e incidencias
13.1.1.-Comunicacin de eventos en seguridad 13.1.2. Comunicacin de debilidades en seguridad 13.2.1. Identificacin de responsabilidades y procedimientos 13.2.2. Evaluacin de incidentes en seguridad 13.2.3. Recogida de pruebas

(Referido a 1 control) Procedimientos de copias de seguridad

10.5.1 Recuperacin de la informacin

(Referido a 3 controles) Procedimientos de identificacin y autenticacin de usuarios en los sistemas

11.2.1 Registro de usuarios 11.2.2 Gestin de Privilegios 11.2.3 Gestin de contraseas de usuario

(Referido a 2 controles) Proteccin contra virus y malware

10.4.1 Medidas y controles contra software malicioso 10.4.2 Medidas y controles contra cdigo mvil

Implantar las siguientes medidas de seguridad (APLICAR) (Referido a 2 controles) Tener una poltica de seguridad de la informacin y controlar su ciclo de vida
5.1.1 Documento de poltica de seguridad de la informacin 5.1.2 Revisin de la poltica de seguridad de la informacin

(Referido a 1 control) Tener las responsabilidades claramente definidas

6.1.3. Asignacin de responsabilidades

(Referido a 1 control) Insertar clusulas detalladas de seguridad en los contratos con terceros
6.2.3. Tratamiento de la seguridad en contratos con terceros

(Referido a 1 control) Contar con personal especfico para la gestin de la seguridad

8.1.2. Seleccin y poltica de personal

(Referido a 1 control) Entrenar y formar al personal en seguridad

8.2.2. Formacin y capacitacin en seguridad de la informacin

(Referido a 3 controles) Establecer procedimientos para cambios y finalizacin del empleo as como para todas las acciones relacionadas con el cese de un empleado
8.3.1. Cese de responsabilidades 8.3.2. Restitucin de activos 8.3.3. Cancelacin de permisos de acceso

(Referido a 1 control) Controles sobre los datos de salida de las aplicaciones

12.2.4 Validacin de los datos de salida

(Referido a 3 controles) Controles robustos para realizar operaciones remotas

11.2.1 Registro de usuarios 11.2.2 Gestin de Privilegios 11.2.3 Gestin de contraseas de usuario 11.2.4 Revisin de los derechos de acceso de los usuarios

(Referido a 6 controles) Monitorizar y supervisar los sistemas de informacin y aplicar las medidas de seguridad apropiadas sobre las acciones de supervisin/auditora
10.10.1 Registro de Incidencias 10.10.2 Supervisin del uso de los sistemas 10.10.3 Proteccin de los registros de Incidencias 10.10.4 Diarios de Operaciones del Administrador y Operador 10.10.5 Registro de Fallos 10.10.6 Sincronizacin del reloj

(Referido a 1 control) Establecer procedimientos para la gestin/realizacin de cambios

12.5.1.-Procedimientos de control de cambios.

(Referido a 3 controles) Procedimientos de instalacin del software y actualizacin del software y prohibicin de software no autorizado
12.5.3.-Restrincciones en los cambios a los paquetes de software 12.5.4.-Canales encubiertos y cdigo troyano 12.5.5.-Desarrollo externalizado del software

(Referido a 1 control) Procedimientos y autorizacin para adquisicin de recursos

6.1.4. Proceso de Autorizacin de Recursos para el Tratamiento de la Informacin

(Referido a 3 controles) Proteccin, tratamiento y etiquetado de la informacin sensible eliminada, as como de sus soportes
10.7.2 Eliminacin de Soportes 10.7.3 Procedimientos de utilizacin de la informacin 10.7.4 Seguridad de la documentacin de sistemas

(Referido a 1 control) Revisin de la capacidad de los sistemas

10.3.1 Planificacin de capacidades

(Referido a 1 control) Sistemas de alimentacin ininterrumpida

9.2.2. Suministro elctrico

(Referido a 5 controles) Planes de continuidad de negocio

14.1.1.-Proceso de la gestin de continuidad del negocio 14.1.2.-Continuidad del negocio y anlisis de impactos 14.1.3.-Redaccion e implantacin de planes de continuidad 14.1.4.-Marco de planificacin para la continuidad del negocio 14.1.5.-Prueba, mantenimiento y reevaluacin de planes de continuidad

NO APLICADOS 6 1 Organizacin Interna 6.1.1. Compromiso de la Direccin con la Seguridad de la Informacin 6.1.2. Coordinacin de la Seguridad de la Informacin 6.1.5. Acuerdos de Confidencialidad 6.1.6. Contacto con las Autoridades 6.1.7. Contacto con Grupos de Inters Especial 6.1.8. Revisin Independiente de la Seguridad de la Informacin 6 2 Terceros 6.2.1. Identificacin de los riesgos derivados del acceso de terceros 6.2.2. Tratamiento de la seguridad en la relacin con los clientes 7 1 Responsabilidad sobre los activos 7.1.1. Inventario de Activos 7.1.2. Responsable de los activos 7 1 3 Acuerdos sobre el uso adecuado de los activos 7 2 Clasificacin de la Informacin 7.2.1 Directrices de Clasificacin 7.2.2 Marcado y tratamiento de la informacin 8 1 Seguridad en la definicin del trabajo y los recursos 8.1.1. Inclusin de la seguridad en las responsabilidades laborales 8.1.3. Trminos y condiciones de la relacin laboral 8 2 Seguridad en el desempeo de las funciones del empleo 8.2.1. Supervisin de las obligaciones 8.2.3. Procedimiento disciplinario 8 3 Finalizacin o cambio del puesto de trabajo 10.1 Procedimientos y responsabilidades de operacin 10.1.1 Documentacin de procedimientos operativos 10.1.2 Control de cambios operacionales 10.1.3 Segregacin de Tareas 10.1.4 Separacin de los recursos para desarrollo y produccin 10.2 Supervisin de los servicios contratados a terceros 10.2.1 Presentacin de Servicios 10.2.2 Monitorizacin y revisin de los servicios contratados 10.2.3 Gestin de los cambios en los servicios contratados 10.3 Planificacin y aceptacin del sistema 10.3.2 Aceptacin del sistema 10.6 Gestin de redes 10.6.1 Controles de red 10.6.2 Seguridad en los servicios de red

10.7 Utilizacin y Seguridad de los soportes de informacin 10.7.1 Gestin de soportes extrables 10.8 Intercambio de informacin y software 10.8.1 Polticas y procedimiento de intercambio de informacin 10.8.2 Acuerdos de Intercambio 10.8.3 Soportes fsico en trnsito 10.8.4 Mensajera Electrnica 10.8.5 Sistema de informacin empresarial 10.9 Servicio de Comercio Electrnico 10.9.1 Seguridad en comercio electrnico 10.9.2 Seguridad en transaccin en lnea 10.9.3 Seguridad en Informacin Pblica 11.3 Responsabilidades del usuario 11.3.1 Uso de Contraseas 11.3.2 Equipos informticos de usuario desatendido 11.3.3 Polticas para Escritorios y monitores sin informacin 11.4 Control de acceso en red 11.4.2 Autentificacin de Usuarios para conexiones Externas 11.4.3 Autentificacin de Nodos de la red 11.4.4 Proteccin a puertos de diagnsticos remotos 11.4.5 Segregacin en las Redes 11.4.7 Control de Encaminamiento en la red 11.5 Control de Acceso al Sistema Operativo 11.5.1 Procedimientos de Conexin de Terminales 11.5.4 Uso de los servicios del sistema 11.5.5 Desconexin automtica de terminales 11.5.6 Limitacin del tiempo de conexiones 11.6 Control de acceso a las aplicaciones 11.6.2 Aislamiento de sistemas sensibles 11.7 Informtica mvil y tele trabajo 11.7.1 Informtica mvil 11.7.2 Tele trabajo 12.1 Requisitos de seguridad delos sistemas 12.1.1 Anlisis y especificaciones de los requisitos de seguridad 12.2 Seguridad de las aplicaciones del sistema 12.2.1 Validacin de los datos de entrada 12.2.2 Control del proceso interno 12.2.3 Autenticacin de Mensajes

12.3 Controles criptogrficos 12.3.1 Poltica de uso de los controles criptogrficos 12.3.2 Cifrado 12.4 Seguridad de los ficheros del sistema 12.4.1 Control del software en explotacin 12.4.2 Proteccin de los datos de prueba del sistema 12.4.3 Control de acceso a la librera de programas fuente 12.5.-Seguridad en los procesos de desarrollo y soporte 12.5.2.-Revision tcnica de los cambios del Sistema Operativo. 12.6.-Gestion de las vulnerabilidades tcnicas. 12.6.1.-Control de las vulnerabilidades tcnicas. 15.1.-Conformidad con los requisitos legales 15.1.1.-Identificacion de la legislacin aplicable 15.1.2.-Derechos de propiedad intelectual 15.1.3.-Salvaguarda de los registros de la Organizacin 15.1.4.-Proteccion de datos de carcter personal y de la intimidad de las personas 15.1.5.-Evitar ms uso de los dispositivos de tratamiento de la informacin 15.1.6.-Reglamentacion de los controles de cifrados 15.2.-Revisiones de la poltica y de la conformidad tcnica 15.2.1.-Conformidad con la poltica de seguridad 15.2.2.-Comprobacion de la conformidad tcnica 15.3.- Consideraciones sobre la auditoria de sistemas 15.3.1.-Controles de auditoria de sistemas 15.3.2.-Proteccion de las herramientas de auditoria de sistemas