01 FO-TI-27 Formato Declaracion de Aplicabilidad V - 1.0 - Diligenciado Dic2015

DECL
Se emite la presente declaración de aplicabilidad de controles para el Sistema de Gestión de Seguridad de la Información -
numerales que se relacionan a continuación en el “Detalle de la Declaración de Aplicabilidad”, elaborado con base en las re
La presente declaración de aplicabilidad será revisada conjuntamente con los resultados de cada nuevo proceso de valora
comparación en los procesos de revisión por la dirección del SGSI, en los periodos convenidos para su actualización.
Se firma la presente Declaración de Aplicabilidad,
______________________________________________________________________
ANTONIO ARIAS
JEFE DE INFRAESTRUCTURA INTERNA / OFICIAL DE SEGURIDAD DE LA INFORMACIÓN
A continuación, se presenta el detalle de la Declaración de Aplicabilidad de los controles necesarios para gestionar los riesg
Control
Dominio Subdominio
Actual
A.5. POLITICAS DE LA
SEGURIDAD DE LA
INFORMACION
A.5.1.1
A.5.1. ORIENTACION DE LA DIRECCION PARA LA

GESTION DE LA SEGURIDAD DE LA
INFORMACION
A.5. POLITICAS DE LA
SEGURIDAD DE LA
INFORMACION A.5.1.2
A.6.1.1
A.6.1.2
A.6.1. ORGANIZACIÓN INTERNA
A.6.1.3
A.6. ORGANIZACIÓN
DE LA SEGURIDAD DE
LA INFORMACIÓN
A.6.1.4
A.6.1.5
A.6.2.1
A.6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO
A.6.2.2
A.7.1.1
A.7.1. ANTES DE ASUMIR EL EMPLEO

A.7.1. ANTES DE ASUMIR EL EMPLEO
A.7.1.2
A.7.2.1
A.7. SEGURIDAD DE
LOS RECURSOS
HUMANOS A.7.2. DURANTE LA EJECUCION DEL EMPLEO
A.7.2.2
A.7.2.3
A.7.3. TERMINACION Y CAMBIO DE EMPLEO A.7.3.1
A.8.1.1
A.8.1.2
A.8.1. RESPONSABILIDAD POR LOS ACTIVOS

A.8.1. RESPONSABILIDAD POR LOS ACTIVOS
A.8.1.3
A.8.1.4
A.8.2.1
A.8. GESTION DE
ACTIVOS
A.8.2.2
A.8.2. CLASIFICACION DE LA INFORMACION
A.8.2.3
A.8.3.1
A.8.3. MANEJO DE MEDIOS

A.8.3.2
A.8.3.3
A.9.1.1
A.9.1. REQUISITOS DEL NEGOCIO PARA EL

CONTROL DE ACCESO.
A.9.1. REQUISITOS DEL NEGOCIO PARA EL
CONTROL DE ACCESO.
A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2. GESTIÓN DE ACCESO A USUARIOS.
A.9.2.4
A.9.2.5
A.9. CONTROL DE
ACCESO
A.9.2.6
A.9.3. RESPONSABILIDADES DE LOS USUARIOS. A.9.3.1
A.9.4.1
A.9.4.2
A.9.4.3
A.9.4. CONTROL DE ACCESO A SISTEMAS Y

APLICACIONES. A.9.4.4
A.9.4.5
A.10.1.1
A.10. CRIPTOGRAFIA A.10.1. CONTROLES CRIPTOGRAFICOS
A.10.1.2
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1. AREAS SEGURAS.

A.11.1. AREAS SEGURAS.
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
A.11.2.2
A.11. SEGURIDAD
FÍSICA Y DEL
ENTORNO
A.11.2.3
A.11.2.4
A.11.2. EQUIPOS.
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12.1.1
A.12.1.2
A.12.1. PROCEDIMIENTOS OPERACIONALES Y

RESPONSABILIDADES
A.12.1.3
A.12.1.4
A.12.2. PROTECCION CONTRA CODIGO

A.12.2.1
MALICIOSO
A.12.3. COPIAS DE RESPALDO A.12.3.1

A.12.4.1
A.12.4.2
A.12. SEGURIDAD DE
LAS OPERACIONES
A.12.4.3
A.12.4. REGISTRO Y SEGUIMIENTO
A.12.4.4
A.12.5. CONTROL DE SOFTWARE OPERACIONAL A.12.5.1
A.12.6.1
A.12.6. GESTION DE LA VULNERABILIDAD
TECNICA
A.12.6. GESTION DE LA VULNERABILIDAD
TECNICA
A.12.6.2
A.12.7. CONSIDERACIONES SOBRE AUDITORIAS

A.12.7.1
DE SISTEMAS DE INFORMACION
A.13.1.1
A.13.1 GESTION DE LA SEGURIDAD DE LAS

A.13.1.2
REDES
A.13.1.3
A.13.2.1
A.13. SEGURIDAD DE
LAS
COMUNICACIONES
LAS
COMUNICACIONES
A.13.2.2
A.13.2 TRANSFERENCIA DE INFORMACION
A.13.2.3
A.13.2.4
A.14.1.1
A.14.1.2
A.14.1. REQUISITOS DE SEGURIDAD DE LOS

SISTEMAS DE INFORMACIÓN.
A.14.1. REQUISITOS DE SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN.
A.14.1.3
A.14.2.1
A.14.2.2
A.14.2.3
A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
A.14.2.4
A.14.2.5
A.14.2. SEGURIDAD EN LOS PROCESOS DE
DESARROLLO Y DE SOPORTE.
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3. DATOS DE PRUEBA. A.14.3.1
A.15.1.1
A.15.1. SEGURIDAD DE LA INFORMACIÓN EN LAS A.15.1.2

RELACIONES CON LOS PROVEEDORES.
A.15. RELACIONES
A.15.1.3
CON LOS
PROVEEDORES
A.15.2.1
A.15.2. GESTIÓN DE LA PRESTACIÓN DE LOS

SERVICIOS DE PROVEEDORES.
A.15.2.2
A.16.1.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16. GESTIÓN DE
INCIDENTES DE A.16.1. GESTIÓN DE INCIDENTES Y MEJORAS EN
SEGURIDAD DE LA LA SEGURIDAD DE LA INFORMACIÓN
INFORMACIÓN
A.16.1.5
A.16.1.6
A.16.1.7
A.17,1,1
A.17 ASPECTOS DE A.17,1,2

SEGURIDAD DE LA A.17.1. CONTINUIDAD DE SEGURIDAD DE LA
INFORMACIÓN
INFORMACIÓN DE LA
GESTIÓN DE
CONTINUIDAD DE
NEGOCIO
A.17,1,3
NEGOCIO
A.17.2. REDUNDANCIAS A.17.2.1
A.18.1.1
A.18.1.2
A.18.1. CUMPLIMIENTO DE REQUISITOS

LEGALES Y CONTRACTUALES
A.18.1.3
A.18. CUMPLIMIENTO A.18.1.4
A.18.1.5
A.18.2.1
A.18.2. REVISIONES DE SEGURIDAD DE LA

INFORMACION
A.18.2.2
A.18.2.3
Total control
Total contro
Revisado por: ____________________________________________

DECLARACIÓN DE APLICABILIDAD
GESTIÓN GERENCIAL
n de Seguridad de la Información - SGSI, de componente Serviex. Los controles aplicables para la operación del Sistema de G
dad”, elaborado con base en las recomendaciones de la norma NTC/ISO 27001:2013.
de cada nuevo proceso de valoración de riesgos y/o ante cambios significativos de los elementos de la plataforma tecnológica
enidos para su actualización.
__________ ___________________________________________________
HECTOR OPAZO
INFORMACIÓN CEO
necesarios para gestionar los riesgos que afectan a la Seguridad de la Información, que fueron identificados y valorados en el m
Objetivos de Control Aplica No. Control Justificación
Se adopta este control, puesto

Control: Se debería definir un conjunto de políticas definir un conjunto de políticas
Políticas para la
para la seguridad de la información, aprobada por Seguridad de la Información, ap
seguridad de la SI 1
la dirección, publicada y comunicada a los la Dirección, publicadas y comu
Información
empleados y partes externas pertinentes. los empleados y partes ex
pertinentes.
Control: Las políticas para seguridad de la Se adopta este control, pues

Revisión de las Políticas información se deberían revisar a intervalos políticas se deben revisar a int
para la seguridad de la SI 2 planificados o si ocurren cambios significativos, planificados, o sí ocurren camb
Información para asegurar su conveniencia, adecuación y significativos para asegurar su
eficacia continuas. adecuación y eficacias continua
Roles y
responsabilidades para Control: Se deberían definir y asignar todas las Se adopta este control, puesto
la SI 3 responsabilidades de la seguridad de la definir y asignar todas las respo
Seguridad de la información. de la Seguridad de la Informaci
Información
Se adopta este control, pues

Control: Los deberes y áreas de responsabilidad
deberes y áreas de respons
en conflicto se
conflicto se deben separar, p
Separación de Deberes SI 4 deberían separar para reducir las posibilidades de
posibilidades de modificación n
modificación no autorizada o no intencional, o el
no intencional, o el uso indebid
uso indebido de los activos de la organización.
activos de la organización.
Se adopta este control, pu

Contacto con las Control: Se deberían mantener los contactos
SI 5 deben mantener contactos ap
autoridades apropiados con las autoridades pertinentes.
las autoridades pertinentes.

Control: Es conveniente mantener contactos
deben mantener contactos ap
Contacto con las grupos apropiados con grupos de interés especial u otros
SI 6 los grupos de interés especial,
de interés especial foros y asociaciones profesionales especializadas
asociaciones profesionales esp
en seguridad.
seguridad.
Seguridad de la Control: La seguridad de la información se debería
seguridad de la Información se
Información en la SI 7 tratar en la gestión de proyectos,
la gestión de proyectos, indepe
Gestión de Proyectos independientemente del tipo de proyecto.
del tipo de proyecto.

Control: Se deberían adoptar una política y unas
adoptar una política y unas me
Política para dispositivos medidas de seguridad de soporte, para gestionar
SI 8 seguridad de soporte, para ges
móviles los riesgos introducidos por el uso de dispositivos
riesgos introducidos por el uso
móviles.
móviles.
Control: Se deberían implementar una política y Se adopta este control, pu

unas medidas de se debe implementar una po
seguridad de soporte, para proteger la información medidas de seguridad de sopo
Teletrabajo SI 9
a la que se tiene acceso, que es procesada o proteger la información a la qu
almacenada en los lugares en los que se realiza acceso, que es procesada
teletrabajo. en los lugares en los que se

Control: Las verificaciones de los antecedentes de verificacionesde los anteceden
todos los candidatos a un empleo se deberían los candidatos a un empleo se
Seguridad de los llevar a cabo de acuerdo con las leyes, a cabo de acuerdo con las ley
Recursos humanos / SI 10 reglamentos y ética pertinentes, y deberían ser reglamentaciones y ética pertin
Selección proporcionales a los requisitos de negocio, a la ser proporcionales a los requisi
clasificación de la información a que se va a tener negocio, a la clasificación de la
acceso, y a los riesgos percibidos. a que se va a tener acceso, y
percibidos.
Control: Los acuerdos contractuales con
acuerdos Contractuales con los
Términos y condiciones empleados y contratistas, deberían establecer sus
SI 11 contratistas deben establecer s
del empleo responsabilidades y las de la organización en
responsabilidades y las de la o
cuanto a la seguridad de la información.
cuanto a la seguridad de la info

Control: La dirección debería exigir a todos los dirección debe
empleados y contratistas la aplicación de la exigir a todos los emplead
Responsabilidades de la
SI 12 seguridad de la información de acuerdo con las contratistas la aplicación de
Dirección
políticas y procedimientos establecidos por la de la información de acuerd
organización. políticas y procedimientos est
la organización.

Control: Todos los empleados de la organización, y
todos los
en donde sea
Toma de Conciencia, empleados de la organización,
pertinente, los contratistas, deberían recibir la
Educación y Formación sea pertinente, los contratistas
SI 13 educación y la formación en toma de conciencia
en la Seguridad de la recibir la educación y formació
apropiada, y actualizaciones regulares sobre las
Información conciencia apropiada, y actuali
políticas y procedimientos pertinentes para su
regulares sobre las políticas y p
cargo.
de la organización pertinentes p
Control: Se debería contar con un proceso Se adopta este control, puesto

disciplinario formal el cual debería ser contar
comunicado, para emprender acciones contra con un proceso formal, el cual d
Proceso Disciplinario SI 14
empleados comunicado, para emprender
que hayan cometido una violación a la seguridad contra empleados que hayan
de la información. violación a la seguridad de la in
Se adopta este control,

Control: Las responsabilidades y los deberes de que las
seguridad de la información que permanecen responsabilidades y los debe
Terminación o cambio de
validos después de la terminación o cambio de Seguridad de la Información qu
responsabilidades de SI 15
contrato se deberían definir, comunicar al permanecen válidos después d
empleo
empleado o contratista y se deberían hacer terminación o cambio de emple
cumplir. definir, comunicar al empleado
se deben hacer cumplir.
Control: Se deberían identificar los activos
deben
asociados con la información y las instalaciones
identificar los activos asociados
Inventario de activos SI 16 de procesamiento de información, y se debería
información e instalaciones de
elaborar y mantener un inventario de estos
de información, y se debe elabo
activos.
mantener un inventario de esto

Control: Los activos mantenidos en el inventario activos
Propiedad de los activos SI 17
deberían tener un propietario. mantenidos en el inventar
tener un propietario.
Control: Se deberían identificar, documentar e deben
implementar reglas identificar, documentar e implem
Uso aceptable de los
SI 18 para el uso aceptable de información y de activos para el uso aceptable de la info
activos
asociados con información e instalaciones de los activos asociados con inform
procesamiento de información. instalaciones de procesamiento
información.
Control: Todos los empleados y usuarios de partes TODOS los
externas deberían empleados y usuarios de parte
Devolución de Activos SI 19 devolver todos los activos de la organización que DEBEN devolver todos los activ
se encuentren a su cargo, al terminar su empleo, organización que se encuentre
contrato o acuerdo. cargo. Al terminar su empl
contrato o acuerdo.
Control: La información se debería clasificar en
información se
Clasificación de la función de los requisitos legales, valor, criticidad y
SI 20 debe clasificar en función de lo
Información susceptibilidad a divulgación o a
legales, valor, criticidad y susce
modificación no autorizada.
divulgación o modificación no a

Control: Se debería desarrollar e implementar un
se debe
conjunto adecuado
desarrollar e implementar un co
Etiquetado y manejo de de procedimientos para el etiquetado de la
SI 21 adecuado de procedimientos p
información información, de acuerdo con el esquema de
etiquetado de la información, d
clasificación de información adoptado por la
el esquema de clasificación de
organización.
adoptado por la organización.

Control: Se deberían desarrollar e implementar deben
procedimientos para el manejo de activos, de desarrollar e implementar proce
Manejo de Activos SI 22
acuerdo con el esquema de clasificación de para el manejo de activos, de a
información adoptado por la organización. esquema de clasificación adop
organización.

Control: Se deberían implementar procedimientos deben
Gestión de Medios para la gestión de medios removibles, de acuerdo implementar procedimientos
SI 23
Removibles con el esquema de clasificación adoptado por la gestión de medios removibles
organización. con el esquema de clasificació
por la organización.
Control: Se debería disponer en forma segura de disponer
Disposición de los
SI 24 los medios cuando ya no se requieran, utilizando en forma segura de los med
Medios
procedimientos formales. ya no se requieran, usando pr
formales.
medios que
Control: Los medios que contienen información se
Transferencia de Medios contienen información, se deb
SI 25 deberían proteger contra acceso no autorizado,
Físicos contra acceso no autorizado,
uso indebido o corrupción durante el transporte.
o corrupción
durante
Se el transporte.
adopta este control, pu
Control: Se debería establecer, documentar y se debe
Política de Control de revisar una política de control de acceso con base establecer, documentar y revisa
SI 26
Acceso en los requisitos del negocio y de seguridad de la de control de acceso con base
información. requisitos del negocio y de seg
información.
Control: Solo se debería permitir acceso de los Se adopta este control, puesto
Acceso a redes y a usuarios a la red y a permitir
SI 27
servicios de red los servicios de red para los que hayan sido acceso de los usuarios a la red
autorizados específicamente. hayan sido autorizados específ

Control: Se debería implementar un proceso se debe
Registro y cancelación formal de registro y de cancelación de registro de implementar un proceso formal
SI 28
del registro de usuarios usuarios, para posibilitar la asignación de los de cancelación de registro de u
derechos de acceso. posibilitar la asignación de los d
acceso.

Control: Se debería implementar un proceso de se debe
suministro de acceso implementar un proceso de sum
Suministro de Acceso a
SI 29 formal de usuarios para asignar o revocar los acceso formal de usuario para
Usuarios
derechos de acceso a todo tipo de usuarios para revocar los derechos de acceso
todos los sistemas y servicios. tipo de usuarios para todos los
servicios.

Gestión de Derechos de Control: Se debería restringir y controlar la
restringir
Acceso SI 30 asignación y uso de
y controlar la asignación y uso
Privilegiado derechos de acceso privilegiado.
de acceso privilegiado.

Gestión de información Control: La asignación de la información secreta asignación de
de autenticación secreta SI 31 se debería controlar por medio de un proceso de información de autenticació
de usuarios gestión formal. se debe controlar por medio d
de gestión formal.
Revisión de los derechos Control: Los propietarios de los activos deberían propietarios de
de Acceso de SI 32 revisar los derechos los activos deben revisar los de
Usuarios de acceso de los usuarios, a intervalos regulares. acceso de los usuarios, a interv
regulares.
Control: Los derechos de acceso de todos los
derechos de
empleados y de usuarios externos a la información
acceso de todos los empleados
y a las instalaciones de
Retiro o ajuste de usuarios externos a la informac
SI 33 procesamiento de información se deberían retirar
derechos de acceso instalaciones de procesamiento
al terminar su empleo, contrato o acuerdo, o se
información se deben retirar al
deberían ajustar cuando se hagan
empleo, contrato o acuerdo, o s
cambios.
ajustar cuando se hagan camb
Control: Se debería exigir a los usuarios que exigir a los
Uso de información de
SI 34 cumplan las prácticas de la organización para el usuarios que cumplan las práct
autenticación secreta
uso de información de autenticación secreta. organización para el uso de info
autenticación secreta.
Control: El acceso a la información y a las
acceso a la
Restricción de Acceso a funciones de los sistemas
SI 35 información y a las funciones d
la Información de las aplicaciones se debería restringir de
de las aplicaciones se debe res
acuerdo con la política de control de acceso.
acuerdo con la política de contr
Control: Cuando lo requiere la política de control
requiere
Procedimiento de de acceso, el acceso a sistemas y aplicaciones se
SI 36 la política de control de acceso
Ingreso Seguro debería controlar mediante un proceso
sistemas y aplicaciones se deb
de ingreso seguro.
mediante un proceso de ingres
Control: Los sistemas de gestión de contraseñas
sistemas de
Sistema de Gestión de deberían ser
SI 37 gestión de contraseñas deben
Contraseñas interactivos y deberían asegurar la calidad de las
y deben asegurar la calidad de
contraseñas.
contraseñas
Control: Se debería restringir y controlar restringir
Uso de programas estrictamente el uso de programas utilitarios que y controlar estrictamente el uso
SI 38
utilitarios privilegiados pudieran tener capacidad de anular el sistema y utilitarios que podrían tener cap
los controles de las aplicaciones. anular el sistema y los controle
aplicaciones.

Control de Acceso a Control: Se debería restringir el acceso a los
restringir
Códigos Fuente de SI 39 códigos fuente de los
el acceso a los códigos fuente
Programas programas.
programas.

se debe
Control: Se debería desarrollar e implementar una
Política sobre el uso de desarrollar e implementar una p
SI 40 política sobre el uso de controles criptográficos
controles criptográficos el uso de controles criptográfic
para la protección de la información.
protección de la
información.
Control: Se debería desarrollar e implementar una se debe
política sobre el desarrollar e implementar una p
Gestión de Llaves SI 41
uso, protección y tiempo de vida de las llaves el uso, protección y tiempo de
criptográficas durante todo su ciclo de vida. llaves criptográficas durante tod
vida.
Control: Se deberían definir y usar perímetros de definir y
Perímetro de seguridad seguridad, y usarlos para proteger áreas que usar perímetros de seguridad, y
SI 42
física contengan información sensible o critica, e proteger áreas que contenga
instalaciones de manejo de información. información confidencial o cr
instalaciones de manejo de info
Control: Las áreas seguras se deberían proteger
seguras
Controles de acceso mediante controles de entrada apropiados para
SI 43 se deben proteger mediante co
físico asegurar que solamente se permite el
acceso apropiados para aseg
acceso a personal autorizado.
se permite el acceso a person
Control: Se debería diseñar y aplicar seguridad
Seguridad de oficinas, diseñar y
SI 44 física a oficinas,
recintos e instalaciones aplicar seguridad física a
recintos e instalaciones.
recintos e instalaciones.
Control: Se debería diseñar y aplicar protección Se adopta este control, puesto
Protección contra
física contra diseñar y
amenazas externas y SI 45
desastres naturales, ataques maliciosos o aplicar protección física contr
ambientales
accidentes. naturales, ataques maliciosos o
Trabajo en áreas Control: Se deberían diseñar y aplicar diseñar y
SI 46
seguras procedimientos para trabajo en áreas seguras. aplicar procedimientos para tra
seguras.
Control: Se deberían controlar los puntos de
controlar
acceso tales como áreas
puntos de acceso tales como á
de despacho y de carga, y otros puntos en donde
Áreas de despacho y despacho y de carga y otros pu
SI 47 pueden entrar personas no autorizadas, y si es
carga pueden entrar personas no aut
posible, aislarlos de las instalaciones de
es posible, aislarlos de las insta
procesamiento de información para evitar el
procesamiento de información
acceso no autorizado.
Control: Los equipos deberían estar ubicados y Se adopta este control, puesto
protegidos para equipos deben
Ubicación y protección
SI 48 reducir los riesgos de amenazas y peligros del estar ubicados y protegidos par
de los equipos
entorno, y las oportunidades para acceso no riesgos de amenazas y peligros
autorizado. las
Se posibilidades de acceso
adopta este control, no
puest
Control: Los equipos se deberían proteger contra equipos se
fallas de energía y otras interrupciones causadas deben proteger contra fallas
Servicios de suministro SI 49
por fallas en los servicios de y otras interrupciones causada
suministro. los servicios de
suministro.

Control: El cableado de potencia y de
cableado de
telecomunicaciones que porta
energía eléctrica y de telecomu
Seguridad del cableado SI 50 datos o soporta servicios de información debería
que porta datos o brinda soport
estar protegido contra interceptación, interferencia
servicios de información se deb
o daño.
contra interceptación, interferen

Control: Los equipos se deberían mantener equipos se
Mantenimiento de los
SI 51 correctamente para deben mantener correctamen
equipos
asegurar su disponibilidad e integridad continuas. asegurar su disponibilidad e in
continuas.

Control: Los equipos, información o software no se equipos,
Retiro de Activos SI 52
deberían retirar de su sitio sin autorización previa. información o software no se de
su sitio sin autorización previa.
Control: Se deberían aplicar medidas de seguridad aplicar
Seguridad de los equipos a los activos quese encuentran fuera de las medidas se seguridad a los act
y activos fuera de las SI 53 instalaciones de la organización, teniendo en encuentran fuera de las instala
instalaciones cuenta los diferentes riesgos de trabajar fuera de organización, teniendo en cuen
dichas instalaciones. diferentes riesgos de trabajar fu
instalaciones.
Control: Se deberían verificar todos los elementos verificar
de equipos que contengan medios de todos los elementos de eq
Disposición Segura o almacenamiento, para asegurar que cualquier dato contengan medios de almacena
SI 54
Reutilización de equipos sensible o software con licencia haya sido retirado asegurar que cualquier datos
o sobrescrito en forma segura antes de su software licenciado haya sido
disposición o reutilización. sobrescrito en forma segura a
disposición o reúso.
Control: Los usuarios deberían asegurarse de que
Equipos de Usuario usuarios deben
SI 55 a los equipos desatendidos se les dé protección
Desatendido asegurarse de que a los equipo
apropiada.
desatendidos se les da protecc
Control: Se debería adoptar una política de adoptar
escritorio limpio para los papeles y medios de una política de escritorio limp
Política de Escritorio
SI 56 almacenamiento removibles, y una política de papeles y medios de almacena
Limpio y pantalla limpia
pantalla limpia en las instalaciones de removibles, y una política de pa
procesamiento de información. en las instalaciones de procesa
información.
Se adopta este control,
Procedimientos de Control: Los procedimientos de operación se que Los
Operación SI 57 deberían documentar y poner a disposición de procedimientos de operación se
Documentados todos los usuarios que los necesiten. documentar y poner a disposici
los usuarios que los necesitan.
Control: Se deberían controlar los cambios en la controlar
organización, en los procesos de negocio, en las los cambios en la organizació
Gestión de Cambios SI 58 instalaciones y en los sistemas de procesamiento procesos de negocio, en las ins
de información que afectan la seguridad de la en los sistemas de procesamie
información. información que afectan la segu
información.
Control: Para asegurar el desempeño requerido
debe hacer
del sistema se debería hacer seguimiento al uso
seguimiento al uso de los recur
Gestión de Capacidad SI 59 de los recursos, hacer los ajustes, y hacer
ajustes y hacer proyecciones d
proyecciones de los requisitos sobre la capacidad
de capacidad futura, para ase
futura.
desempeño requerido del
Separación de las Control: Se deberían separar los ambientes de separar
instalaciones de desarrollo, prueba y operación, para reducir los los ambientes de desarrollo,
SI 60
desarrollo, ensayo y riesgos de acceso o cambios no autorizados al operación
operación ambiente de operación. (producción), para reducir los
acceso o
Control: Se deberían implementar controles de deben
detección, de prevención y de recuperación, implementar controles de detec
Controles contra códigos
SI 61 combinados con la toma de conciencia apropiada prevención y de recuperación,
maliciosos
de los usuarios, para proteger contra códigos con la toma de conciencia apro
maliciosos. usuarios, para proteger contra
maliciosos.

Control: Se deberían hacer copias de respaldo de hacer
la información, del software e imágenes de los copias de respaldo de la inform
Respaldo de la
SI 62 sistemas, y ponerlas a prueba regularmente de software e imágenes de los sis
Información
acuerdo con una política de copias de respaldo ponerlas a prueba regularment
aceptada. con una política de copias de re
acordadas.
Control: Se deberían elaborar, conservar y revisar elaborar,
regularmente los registros acerca de actividades conservar y revisar regularmen
Registro de Eventos SI 63
del usuario, excepciones, fallas y eventos de acerca de actividades del usua
seguridad de la información. excepciones, fallas y eventos d
la información.

Control: Las instalaciones y la información de
Protección de la instalaciones y
SI 64 registro se deberían proteger contra alteración y
información del registro la información de registro se de
contra la alteración y acceso no

Control: Las actividades del administrador y del
Registros del actividades del
operador del sistema
Administrador y del SI 65 administrador y del operador
se deberían registrar, y los registros se deberían
Operador se deben registrar, los registros
proteger y revisar con regularidad.
proteger y revisar con regularid

Control: Los relojes de todos los sistemas de
relojes de
procesamiento de
todos los sistemas de procesam
Sincronización de información pertinentes dentro de una
SI 66 información pertinentes dentro
Relojes organización o ámbito de seguridad se deberían
organización o ámbito de segur
sincronizar con una única fuente de referencia de
sincronizar con una única fuent
tiempo.
referencia de tiempo.

Instalación de Software Control: Se deberían implementar procedimientos deben
en Sistemas SI 67 para controlar la instalación de software en implementar procedimientos
Operativos sistemas operativos. controlar la instalación de sof
sistemas operativos.

Control: Se debería obtener oportunamente obtener
información acerca de las vulnerabilidades oportunamente información ace
Gestión de las
técnicas de los sistemas de información que se vulnerabilidades técnicas de los
Vulnerabilidades SI 68
usen; evaluar la exposición de la organización a información que se usen; evalu
Técnicas
estas vulnerabilidades, y tomar las medidas exposición de la organización a
apropiadas para tratar el riesgo asociado. vulnerabilidades, y tomar las m
apropiadas para tratar el riesgo
Restricciones sobre la Control: Se deberían establecer e implementar las deben
instalación de SI 69 reglas para la instalación de software por parte de establecer e implementar las re
Software los usuarios. instalación de software por part
usuarios.

Control: Los requisitos y actividades de auditoría requisitos y
Controles de auditorias que involucran la verificación de los sistemas actividades de auditoría que inv
de sistemas de SI 70 operativos se deberían planificar y acordar verificación de los sistemas o
información cuidadosamente para minimizar las interrupciones deben planificar y acordar cuid
en los procesos del negocio. para minimizar las interrupcione
procesos de negocio.

Control: Las redes se deberían gestionar y
se deben
Controles de Redes SI 71 controlar para proteger la información en sistemas
gestionar y controlar para prote
y aplicaciones.
información en sistemas y aplic

Control: Se deberían identificar los mecanismos de
deben
seguridad, los
identificar los mecanismos de s
niveles de servicio y los requisitos de gestión de
Seguridad en los niveles de servicio y los requis
SI 72 todos los servicios de red, e incluirlos en los
servicios de red gestión de todos los servicios d
acuerdos de servicios de red, ya sea que los
incluirlos en los acuerdos de
servicios se presten internamente o se contraten
red, ya sea que los servicios s
externamente.
internamente o se contraten.

Control: Los grupos de servicios de información, grupos de
Separación en las Redes SI 73 usuarios y sistemas servicios de información, us
de información se deberían separar en las redes. sistemas de información se de
en las redes.

Control: Se debería contar con políticas, contar
Políticas y
procedimientos y controles con políticas, procedimientos y
procedimientos de
SI 74 de transferencia formales para proteger la transferencia formales para pro
transferencia de
transferencia de información mediante el uso de transferencia de información m
información
todo tipo de instalaciones de comunicación. de todo tipo de instalaciones de
comunicaciones.
Control: Los acuerdos deberían tener en cuenta la
Acuerdos sobre acuerdos
transferencia
transferencia de SI 75 deben tratar la transferencia se
segura de información del negocio entre la
Información información del negocio entr
organización y las partes externas.
organización y las partes ex

Control: Se debería proteger adecuadamente la
proteger
Mensajería Electrónica SI 76 información incluida
adecuadamente la informac
en la mensajería electrónica.
en la mensajería electrónica.

Control: Se deberían identificar, revisar
se debe
Acuerdos de regularmente y documentar
identificar, revisar y documenta
Confidencialidad o de los requisitos para los acuerdos de
SI 77 para los acuerdos de confidenc
NO confidencialidad o no divulgación que reflejen las
divulgación que reflejen las nec
divulgación necesidades de la organización para la protección
organización para la protección
de la información.
información.

Control: Los requisitos relacionados con seguridad requisitos
Análisis y especificación
de la información se deberían incluir en los relacionados con seguridad d
de requisitos de
SI 78 requisitos para nuevos sistemas de información o información se deben incluir en
Seguridad de la
para mejoras a los sistemas de información para nuevos sistemas de inform
Información
existentes. mejoras de sistemas de informa
existentes.

Control: La información involucrada en los
información
Seguridad en los servicios de aplicaciones
involucrada en los servicios d
servicios de las que pasan sobre redes públicas se debería
SI 79 aplicaciones que pasan por las
aplicaciones en redes proteger de actividades fraudulentas, disputas
públicas se debe proteger de a
públicas contractuales y divulgación y modificación no
fraudulentas, disputas contractu
autorizadas.
divulgación y modificación no a
Control: La información involucrada en las
información
transacciones de los
involucrada en los servicios d
Protección de servicios de las aplicaciones se debería proteger
aplicaciones se debe proteger
transacciones de los para evitar la transmisión incompleta, el
SI 80 transmisión incompleta, el enru
servicios de las enrutamiento errado, la alteración no autorizada
errado, la alteración no autoriz
aplicaciones de mensajes, la divulgación no autorizada, y la
mensajes, la divulgación no au
duplicación o reproducción de mensajes no
duplicación o reproducción de
autorizada.
no autorizada.

Control: Se deberían establecer y aplicar reglas deben
Política de Desarrollo
SI 81 para el desarrollo de software y de sistemas, a los establecer y aplicar reglas para
Seguro
desarrollos que se dan dentro de la organización. de software y de sistemas, a lo
dentro del organización

Control: Los cambios a los sistemas dentro del cambios a los
Procedimiento de Control ciclo de vida de sistemas dentro del ciclo de
SI 82
de Cambios en sistemas desarrollo se deberían controlar mediante el uso desarrollo se deben controlar m
de procedimientos formales de control de cambios. uso de procedimientos formale
cambios.

Control: Cuando se cambian las plataformas de
cuando se
Revisión Técnicas de las operación, se
cambian las plataformas de o
Aplicaciones después de deberían revisar las aplicaciones críticas del
SI 83 deben revisar las aplicaciones
los cambios en la negocio, y ponerlas a prueba para asegurar que
negocio, y someter a pruebas p
plataforma de operación no haya impacto adverso en las operaciones o
que no haya impacto adverso e
seguridad de la organización.
operaciones o seguridad de la
Control: Se deberían desalentar las modificaciones deben
Restricciones en los
a los paquetes de software, que se deben limitar a desalentar las modificaciones a
cambios a los paquetes SI 84
los cambios necesarios, y todos los de software, los cuales se debe
de software
cambios se deberían controlar estrictamente. cambios necesarios, y todos lo
deben controlar estrictamente.

Control: Se deberían establecer, documentar y deben
Principios de mantener principios establecer, documentar y mant
construcción de sistemas SI 85 para la construcción de sistemas seguros, y para la construcción de sistema
seguros aplicarlos a cualquier actividad de implementación aplicarlos a cualquier actividad
de sistemas de información. implementación de sistemas de
información.
Control: Las organizaciones deberían establecer y organizaciones
proteger se deben establecer y proteg
Ambiente de desarrollo adecuadamente los ambientes de desarrollo adecuadamente los ambientes
SI 86
seguro seguros para las tareas de desarrollo e integración seguros para las actividades de
de sistemas que comprendan todo el ciclo de vida integración de sistemas que co
de desarrollo de sistemas. todo el ciclo de vida de desarro
software.

Control: La organización debería supervisar y
organización
Desarrollo contratado hacer seguimiento de la
SI 87 debe supervisar y hacer seguim
externamente actividad de desarrollo de sistemas contratados
actividad de desarrollo de siste
externamente.
contratados externamente.

Control: Durante el desarrollo se deberían llevar a
Pruebas de seguridad de durante el
SI 88 cabo pruebas de
sistemas desarrollo se deben llevar
funcionalidad de la seguridad.
pruebas de funcionalidad
Control: Para los sistemas de información nuevos, sistemas
Pruebas de aceptación actualizaciones y nuevas versiones, se deberían de información nuevos, actualiz
SI 89
de sistemas establecer programas de prueba para nuevas versiones, se deben es
aceptación y criterios de aceptación relacionados. programas de prueba para ace
criterios de aceptación relacion

Protección de datos de Control:Los datos de ensayo se deberían datos de
SI 90
prueba seleccionar, proteger y controlar cuidadosamente. prueba se deben seleccionar,
controlar cuidadosamente.

Control: Los requisitos de seguridad de la
Política de Seguridad de requisitos de
información para mitigar los riesgos asociados con
la Información para las seguridad de la información pa
SI 91 el acceso de proveedores a los activos de la
relaciones con riesgos asociados con el acces
organización se deberían acordar con estos y se
proveedores proveedores a los activos de la
deberían documentar.
se deben acordar y documenta
Control: Se deberían establecer y acordar todos
deben
los requisitos de
Tratamiento de la establecer y acordar todos los r
seguridad de la información pertinentes con cada
Seguridad dentro de los seguridad pertinentes con cada
SI 92 proveedor que pueda tener acceso, procesar,
acuerdos con que pueda tener acceso, proce
almacenar, comunicar o suministrar componentes
proveedores almacenar, comunicar o sumini
de infraestructura de TI para la información de la
componentes de infraestructu
organización.
información de la organización.
Control: Los acuerdos con proveedores deberían
acuerdos con
Cadena de Suministro de incluir requisitos
proveedores deben incluir requ
Tecnología de para tratar los riesgos de seguridad de la
SI 93 tratar los riesgos de seguridad
Información y información asociados con la cadena de
información asociados con la c
Comunicación suministro de productos y servicios de tecnología
suministro de productos o servi
de información y comunicación.
tecnología
Se de lacontrol,
adopta este información yc
puesto
organizaciones
Seguimiento y revisión Control: Las organizaciones deberían hacer
deben hacer seguimiento, r
de los servicios de los SI 94 seguimiento, revisar y auditar con regularidad la
auditar con regularidad la
proveedores prestación de servicios de los proveedores.
de servicios de los
proveedores.
Control: Se deberían gestionar los cambios en el
deben
suministro de
gestionar los cambios en el
servicios por parte de los proveedores, incluido el
servicios por parte de los prove
Gestión de Cambios en mantenimiento y la mejora de las políticas,
incluido el mantenimiento y la m
los Servicios de los SI 95 procedimientos y controles de seguridad de la
políticas, procedimientos y con
Proveedores información existentes , teniendo en cuenta la
seguridad de la información ex
criticidad de la información, sistemas y procesos
teniendo en cuenta la criticida
del negocio involucrados, y la revaloración de los
información, sistemas y proces
riesgos.
involucrados, la reevaluación d
Control: Se deberían establecer las Se adopta este control, puesto que
Gestión de Incidentes / responsabilidades y establecer las responsabilidades y
Responsabilidades y SI 96 procedimientos de gestión para asegurar una de gestión para asegurar una resp
Procedimientos respuesta rápida, eficaz y ordenada a los eficaz y ordenada a los incidentes
incidentes de seguridad de la información. la información.
Control: Los eventos de seguridad de la Se adopta este control, puesto que

Reporte de Eventos de
información se deberían seguridad de la información se de
Seguridad de la SI 97 través de los canales de gestión ap
informar a través de los canales de gestión
Información pronto como sea posible.
apropiados, tan pronto como sea posible.
Control: Se debería exigir a todos los empleados y Se adopta este control, puesto que
contratistas que a los todos los empleados y contra
Reporte de debilidades usan los servicios y sistemas de información de la servicios y sistemas de informació
de seguridad de la SI 98 organización, que observen e informen cualquier organización, que observen y repo
información debilidad de seguridad de la información debilidad de seguridad de la inform
observada o sospechada en los sistemas o observada o sospechada en los sis
servicios. servicios.
Evaluación de Eventos Control: Los eventos de seguridad de la Se adopta este control, puesto que
de Seguridad de la información se deberían seguridad de la información se de
SI 99 debe decidir si se van a clasificar c
Información y decisiones evaluar y se debería decidir si se van a clasificar
sobre ellos como incidentes de seguridad de la información. de seguridad de la información.
Control: Se debería dar respuesta a los incidentes Se adopta este control, puesto que
Respuesta a incidentes
de seguridad de la respuesta a los incidentes de segu
de seguridad de la SI 100 información de acuerdo con los pr
información de acuerdo con procedimientos
información documentados.
documentados.
Control: El conocimiento adquirido al analizar y Se adopta este control, puesto que
Aprendizaje obtenido de
resolver incidentes de conocimiento adquirido al analizar
los incidentes de incidentes de seguridad de la infor
SI 101 seguridad de la información se debería usar para
seguridad de la usar para reducir la posibilidad o e
reducir la posibilidad o el impacto de incidentes
información incidentes futuros.
futuros.
Control: La organización debería definir y aplicar Se adopta este control, puesto que
debe definir y aplicar procedimien
Recolección de procedimientos para la identificación, recolección, identificación, recolección, adquis
SI 102
Evidencia adquisición y preservación de preservación de información que p
información que pueda servir como evidencia. como evidencia.
Control: La organización debería determinar sus Se adopta este control, puesto que
Planificación de la requisitos para la debe determinar sus requisitos pa
continuidad de la seguridad de la información y la continuidad de la de la información y la continuidad
Seguridad de la SI 103 la seguridad de la información en
gestión de la seguridad de la información en
Información situaciones adversas, por ejemplo, durante una adversas, por ejemplo, durante un
crisis o desastre. desastre.
Control: La organización debería establecer, Se adopta este control, puesto que

documentar, debe establecer, documentar, imp
Implementación de la
implementar y mantener procesos, procedimientos mantener procesos, procedimient
continuidad de la seguridad SI 104
y controles para asegurar el nivel de continuidad para asegurar el nivel de continuid
de la información
requerido para la seguridad de la información para la seguridad de la informació
durante una situación adversa. situación adversa.
Control: La organización debería verificar a Se adopta este control, puesto que

Verificación, revisión y intervalos regulares los debe verificar a intervalos regulare
evaluación de la controles de continuidad de la seguridad de la de continuidad de la seguridad de
continuidad de la seguridad SI 105
información establecidos e implementados, con el establecidos e implementados, co
de la información fin de asegurar que son validos y eficaces durante asegurar que son válidos y eficace
situaciones adversas. situaciones adversas
Disponibilidad de Control: Las instalaciones de procesamiento de
instalaciones de procesamiento
instalaciones de información se deberían implementar con
SI 106 información se deben implemen
procesamiento de redundancia suficiente para cumplir los requisitos
redundancia suficiente para cum
información de disponibilidad.
los requisitos de disponibilidad.
Control: Todos los requisitos estatutarios,
todos los
reglamentarios y
requisitos estatutarios, reglame
Identificación de la contractuales pertinentes, y el enfoque de la
contractuales pertinentes y el e
legislación aplicable y los SI 107 organización para cumplirlos, se deberían
organización para cumplirlos se
requisitos contractuales identificar y documentar explícitamente y
identificar y documentar explíc
mantenerlos actualizados para cada sistema de
mantenerlos actualizados para
información y para la organización.
de información de la
Control: Se deberían implementar procedimientos
deben
apropiados para
implementar procedimientos a
asegurar el cumplimiento de los requisitos
Derechos de propiedad para asegurar el cumplimiento
SI 108 legislativos, de reglamentación y contractuales
intelectual (DPI) requisitos legislativos, de reglam
relacionados con los derechos de propiedad
contractuales relacionados con
intelectual y el uso de productos de software
derechos de propiedad intelec
patentados.
uso de productos de softw
Control: Los registros se deberían proteger contra
registros se
perdida,
deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizado y
Protección de registros SI 109 falsificación, acceso no autoriza
liberación no autorizada, de acuerdo con los
liberación no autorizada, de acu
requisitos legislativos, de reglamentación,
requisitos legislativos, de reglam
contractuales y de negocio.
contractuales y de negocio.

Control: Cuando sea aplicable, se deberían
asegurar
Privacidad y Protección asegurar la privacidad y la
la privacidad y la protección
de información de datos SI 110 protección de la información de datos personales,
información de datos personal
personales como se exige en la legislación y la
exige en la legislación y en la re
reglamentación pertinentes.
pertinentes, cuando sea aplicab
Control: Se deberían usar controles criptográficos,
Reglamentación de deben usar
en cumplimiento de
Controles SI 111 controles criptográficos, en cu
todos los acuerdos, legislación y reglamentación
Criptográficos de todos los acuerdos, le
pertinentes. Se reglamentación
adopta este control, puesto
Control: El enfoque de la organización para la enfoque de la
gestión de la seguridad organización para la gestión de
de la información y su implementación (es decir, de la información y su impleme
Revisión Independiente
los objetivos de control, los controles, las políticas, decir, los objetivos de control,
de la Seguridad de SI 112
los procesos y los procedimientos para seguridad las políticas, los procesos y los
Información
de la información) se deberían revisar procedimientos para la segurid
independientemente a intervalos planificados o información) se deben revisar
cuando ocurran cambios significativos. independientemente a intervalo
Control: Los directores deberían revisar con Se adopta ocurran
o cuando este control, pues
cambios
regularidad el Directores
Cumplimiento con las cumplimiento del procesamiento y procedimientos deben revisar con regularidad e
políticas y normas de SI 113 de información dentro de su área de del procesamiento y procedimie
seguridad responsabilidad, con las políticas y normas de información dentro de su área d
seguridad apropiadas, y cualquier otro requisito de responsabilidad, con las política
seguridad. seguridad
Se adopta apropiadas,
este control,ypuesto
cualqu
Control: Los sistemas de información se deberían
Sistemas de
Revisión del revisar periódicamente para determinar el
SI 114 información se deben revisar
cumplimiento técnico cumplimiento con las políticas y
periódicamente para determina
normas de seguridad de la información.
cumplimiento con las políticas y
Total controles implementados 114
Total controles SIN implementar 0
Fecha de Revisión: Profesional Delegado de la SG: _________

n del Sistema de Gestión de Seguridad de la Información, son los
aforma tecnológica y/o de personal. Esta información, será material de
_________________________________________
TOR OPAZO
CEO
s y valorados en el marco del Sistema degestión de Componente Serviex.
Justificación Declaración de Aplicabilidad
este control, puesto que se debe

conjunto de políticas para la
de la Información, aprobadas por
ón, publicadas y comunicadas a
eados y partes externas
s.
a este control, puesto que las

se deben revisar a intervalos Acta de reunión del Comité SIG, en donde se
os, o sí ocurren cambios evidencia la revisión de las políticas de los
vos para asegurar su conveniencia, Subsistemas y su debida alineación.
n y eficacias continuas.
Documento Responsabilidades ante el SGSI
(en construcción). Este documento pretende
este control, puesto que se deben explicar las exigencias desde y hacia los
signar todas las responsabilidades colaboradores del Instituto, frente a la
uridad de la Información. seguridad de la Información, haciendo un
recorrido, punto a punto de la norma de
referencia NTC-ISO 27001.
a este control, puesto que los

y áreas de responsabilidad en
Documento SERVICIOS TI VS GRUPOS DE
se deben separar, para reducir las
TRABAJO. Es un documento similar a la
des de modificación no autorizada, o
matriz RACI.
onal, o el uso indebido de los
la organización.
a este control, puesto que se

Documento "Guía de contactos con las
antener contactos apropiados con
autoridades y grupos de interés del IDU"
dades pertinentes.

antener contactos apropiados con
Documento "Guía de contactos con las
s de interés especial, o foros, o
autoridades y grupos de interés del IDU"
nes profesionales especializadas en
.
este control, puesto que la
de la Información se debe tratar en Formato Lista de chequeo - Seguridad de la
de proyectos, independientemente Información en los Proyectos
e proyecto.

Resolución 34217 de 2015.
na política y unas medidas de
de soporte, para gestionar los
Instructivo de uso adecuado de los dispositivos
roducidos por el uso de dispositivos
de almacenamiento de información (IN-TI-05)
a este control, puesto que

implementar una política y unas
de seguridad de soporte, para
a información a la que se tiene
Libro Blanco de Teletrabajo IDU (GU-TH-01)
que es procesada o almacenada
gares en los que se realiza el
este control, puesto que las

Consideraciones en la definición de las
nesde los antecedentes de todos
requisiciones de personal de planta, o
atos a un empleo se deben llevar
requisitos para contratación de prestación de
e acuerdo con las leyes,
servicios profesionales. (Se debe procurar la
aciones y ética pertinentes, y deben
inclusión de elementos de seguridad de la
cionales a los requisitos del
información en la definición de perfiles de
a la clasificación de la información
cargo. – En revisión con Gestión del Talento
va a tener acceso, y a los riesgos
Humano y Gestión Contractual).
.
Solicitud a Gestión del Talento Humano, para
la inclusión de obligaciones y
Contractuales con los empleados y
responsabilidades específicas frente a la
as deben establecer sus
seguridad de la información, tanto para
bilidades y las de la organización en
servidores de planta como para contratistas de
a seguridad de la información.
apoyo. (En trámite).

debe Documento Responsabilidades ante el SGSI
todos los empleados y (en construcción). Este documento pretende
as la aplicación de la seguridad explicar las exigencias desde y hacia los
formación de acuerdo con las colaboradores del Instituto, frente a la
y procedimientos establecidos por seguridad de la Información, haciendo un
ación. recorrido, punto a punto de la norma de
referencia NTC-ISO 27001.
s de la organización, y en donde
ente, los contratistas, deben Bienvenidas, Inducciones, reinducciones,
educación y formación en toma de Campañas con OAC, Tertulias.
a apropiada, y actualizaciones
sobre las políticas y procedimientos
nización pertinentes para su cargo.
Procedimiento de control disciplinario

este control, puesto que se debe ordinario (PR-007)
oceso formal, el cual debe ser Procedimiento de control disciplinario verbal

do, para emprender acciones (PR-008)
mpleados que hayan cometido una
a la seguridad de la información. Procedimiento de Gestión de Incidentes de
Seguridad de la Información
pta este control, puesto
Suscripción de cláusulas de confidencialidad y
bilidades y los deberes de no divulgación de la información del Instituto,
de la Información que por un periodo de hasta seis (6) meses de la
en válidos después de la desvinculación o terminación del contrato.
ón o cambio de empleo se deben (Solicitud enviada a Gestión del Talento
municar al empleado o contratista y Humano).
hacer cumplir.
Procedimiento Gestión de activos de
a este control, puesto que Se
información (PR-TI-13)
los activos asociados con
Formato Matriz de activos de información (FO-
ón e instalaciones de procesamiento
TI-03)
ación, y se debe elaborar y
un inventario de estos activos.
Inventario publicado en la Intranet
os en el inventario deben
TI-03)
propietario.
Inventario publicado en la Intranet
documentar e implementar reglas Instructivo de Uso adecuado de los recursos

o aceptable de la información y de de
s asociados con información e TI (IN-TI- 06).
nes de procesamiento de
ón.
os
s y usuarios de partes externas Instructivo de Uso adecuado de los recursos
evolver todos los activos de la de
ón que se encuentren a su TI (IN-TI- 06).
terminar su empleo,
acuerdo.
ón se Acta del comité de archivo para la
ficar en función de los requisitos presentación y aprobación de instrumentos
alor, criticidad y susceptibilidad a archivísticos del IDU del 05/Nov/2015
n o modificación no autorizada.
y aprobación de instrumentos archivísticos del

a este control, puesto que IDU del 05/Nov/2015.
r e implementar un conjunto Instrumentos de etiquetado en construcción.

de procedimientos para el Estos controles deben permitir a los
o de la información, de acuerdo con colaboradores marcar e identificar los activos
ma de clasificación de información de información respecto a su accesibilidad,
por la organización. teniendo en cuenta los acuerdos aprobados en
comité de archivo.

r e implementar procedimientos
TI-03)
anejo de activos, de acuerdo con el
de clasificación adoptado por la
Instructivo de Uso adecuado de los recursos
ón.
de
TI (IN-TI- 06)
tar procedimientos para la Instructivo de uso adecuado de los dispositivos

de medios removibles, de acuerdo de almacenamiento de información (IN-TI-05)
quema de clasificación adoptado
anización.
Instructivo borrado seguro de datos y formateo
final de equipos (en construcción). Este
documento describe las actividades
segura de los medios cuando
necesarias para eliminar permanentemente
requieran, usando procedimientos
información
de los medios de almacenamiento.
este control, puesto que Los
ue
información, se deben proteger Instructivo de uso adecuado de los dispositivos
ceso no autorizado, uso indebido de almacenamiento de información (IN-TI-05)
ión
atransporte.
este control, puesto que
r, documentar y revisar una política

de acceso con base en los
del negocio y de seguridad de la
ón.
Procedimiento de Gestión de
telecomunicaciones (PR-TI-23)
Documento de gestión de las
los usuarios a la red para los que telecomunicaciones del instituto (en
o autorizados específicamente. construcción). Este documento centraliza las
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.

Procedimiento Gestionar usuarios tecnológicos
(PR-TI-02)
tar un proceso formal de registro y
Formato Solicitud creación usuarios (FO-TI-11)
ación de registro de usuarios, para
Formato Solicitud desactivación servicios
la asignación de los derechos de
tecnología(FO-TI-01)
tar un proceso de suministro de

rmal de usuario para asignar o
(PR-TI-02)
s derechos de acceso para todo
uarios para todos los sistemas y
Instructivo Revisión de los Derechos de

Acceso de los Usuarios (En construcción).
Pretende que los líderes de los procesos
r la asignación y uso de derechos
institucionales revisen los derechos de acceso
privilegiado.
a los recursos de TI del personal a su cargo.
n de
ón de autenticación secreta
(PR-TI-02)
controlar por medio de un proceso
n formal.
este control, puesto que los Instructivo Revisión de los Derechos de
os de Acceso de los Usuarios (En construcción).
s deben revisar los derechos de Pretende que los líderes de los procesos
los usuarios, a intervalos institucionales revisen los derechos de acceso
a los recursos de TI del personal a su cargo.
este control, puesto que los
de
todos los empleados y de los
(PR-TI-02)
externos a la información y a las
nes de procesamiento de
Formato Solicitud desactivación servicios
ón se deben retirar al terminar su
tecnología(FO-TI-01)
ontrato o acuerdo, o se deben
ando se hagan cambios.
s
que cumplan las prácticas de la
(PR-TI-02)
ón para el uso de información de
ión secreta.
a este control, puesto que el
Instructivo de uso adecuado de las carpetas
la
compartidas (en construcción). Este control
ón y a las funciones de los sistemas
pretende establecer normas para la correcta
caciones se debe restringir de
utilización de los recursos compartidos.
on la política de control de acceso.
este control, puesto que cuando lo
de control de acceso, el acceso a
(PR-TI-02)
y aplicaciones se debe controlar
un proceso de ingreso seguro.
este control, puesto que los Procedimiento Gestionar usuarios tecnológicos
de (PR-TI-02)
e contraseñas deben ser interactivos
segurar la calidad de las Instructivo de administración del directorio
as activo (IN-TI-07)
Instructivo de uso de herramientas de la mesa
de servicios (Control en construcción). Este
r estrictamente el uso de programas
control pretende identificar y delimitar el uso
que podrían tener capacidad de
las herramientas de software especializadas
sistema y los controles de las
para la prestación de soporte informático.
es.
Manual de Gestión de la configuración para

proyectos de tecnologías de información (En
construcción). Pretende establecer y mantener
la integridad sobre los productos que se
obtienen a lo largo de la ejecución del ciclo de
este control, puesto que se debe vida de un proyecto de construcción de
software.
a los códigos fuente de los
s. Instructivo de definición y uso de los
ambientes de trabajo para desarrollo de
software (En construcción). Este documento
pretende formalizar las condiciones de trabajo
y responsabilidades de uso de los diferentes
ambientes de trabajo para la construcción de
r e implementar una política sobre
controles criptográficos para la Instructivo protección de la información digital
n de la (en revisión)
ón.
r e implementar una política sobre
otección y tiempo de vida de las Instructivo protección de la información digital
tográficas durante todo su ciclo de (en revisión)
este control, puesto que se deben
metros de seguridad, y usarlos para Memorando 20155260339143 de Gestión de

reas que contengan Recursos Físicos respecto al SGSI
ón confidencial o crítica, e
nes de manejo de información.
este control, puesto que las áreas Memorando 20155260339143 de Gestión de
Recursos Físicos respecto al SGSI
proteger mediante controles de
ropiados para asegurar que sólo Manual seguridad y vigilancia (MG-RF-03),
e el acceso a personal autorizado. numeral 6.5 Procedimientos de Ingreso.
este control, puesto que Se debe
Memorando 20155260339143 de Gestión de
eguridad física a oficinas, Recursos Físicos respecto al SGSI
e instalaciones.
otección física contra desastres Recursos Físicos respecto al SGSI
ataques maliciosos o accidentes.
ocedimientos para trabajo en áreas Recursos Físicos respecto al SGSI
acceso tales como áreas de

y de carga y otros puntos donde Memorando 20155260339143 de Gestión de
ntrar personas no autorizadas, y si Recursos Físicos respecto al SGSI
, aislarlos de las instalaciones de
iento de información para evitar el
autorizado.
eben Instructivo de Uso adecuado de los recursos
ados y protegidos para reducir los de
e amenazas y peligros del entorno, y TI (IN-TI-06).
aidades de acceso
este control, no autorizado.
puesto que Los
e
oteger contra fallas de energía Memorando 20155260339143 de Gestión de
terrupciones causadas por fallas en Recursos Físicos respecto al SGSI
os de
.
a este control, puesto que el telecomunicaciones (PR-TI-23)
de
éctrica y de telecomunicaciones Documento de gestión de las
datos o brinda soporte a los telecomunicaciones del instituto (en
de información se debe proteger construcción). Este documento centraliza las
erceptación, interferencia o daño. actividades que se realizan para gestionar la
a este control, puesto que los Mantenimiento preventivo y correctivo (PR-

e RF-01)
antener correctamente para
su disponibilidad e integridad Contrato de mantenimiento preventivo y bolsa
de repuestos para equipos de cómputo.
a este control, puesto que Los Memorando 20155260339143 de Gestión de

Recursos Físicos respecto al SGSI
ón o software no se deben retirar de
n autorización previa. Manual seguridad y vigilancia (MG-RF-03)
Manual administración del programa de
seguros para los bienes del IDU (MG-RF-002)
e seguridad a los activos que se
n fuera de las instalaciones de la
Instructivo de Uso adecuado de los
ón, teniendo en cuenta los
dispositivos de almacenamiento de
riesgos de trabajar fuera de dichas
información (IN-TI-05)
nes.
Instructivo borrado seguro de datos y formateo
elementos de equipos que final de equipos (en construcción). Este
n medios de almacenamiento para documento describe las actividades
que cualquier datos confidencial o necesarias para eliminar permanentemente
icenciado haya sido retirado o información
o en forma segura antes de su de los medios de almacenamiento.
n o reúso.
deben Instructivo de administración del directorio
e de que a los equipos activo (IN-TI-07)
dos se les da protección adecuada.
ca de escritorio limpio para los

medios de almacenamiento Resolución 34217 de 2015.
s, y una política de pantalla limpia
alaciones de procesamiento de
ón.
pta este control, puesto
s
entos de operación se deben Intranet IDU - Documentación SIG
ar y poner a disposición de todos
os que los necesitan.
os en la organización, en los
de negocio, en las instalaciones y Procedimiento Gestión de cambios (PR-TI-08)
emas de procesamientos de
ón que afectan la seguridad de la
ón.
er
to al uso de los recursos, hacer los Procedimiento Gestión de capacidad y
hacer proyecciones de los requisitos disponibilidad (PR-TI-16)
dad futura, para asegurar el
ño requerido del Instructivo de definición y uso de los
este control, puesto que se deben ambientes
de trabajo para desarrollo de software (En
ntes de desarrollo, pruebas y construcción). Este documento pretende
formalizar las condiciones de trabajo y
ón), para reducir los riesgos de responsabilidades de uso de los diferentes
software.
a este control, puesto que Se
Software de Antivirus Corporativo.
tar controles de detección, de
Instructivo de uso del antivirus (En
n y de recuperación, combinados
construcción). Con este control se debe
ma de conciencia apropiada de los
enseñar a los usuarios a usar la aplicación del
para proteger contra códigos
antivirus.
s.
Procedimiento Generación de copias de
seguridad (PR-TI-11)
Procedimiento Restauración de copias de

este control, puesto que se deben seguridad (PR-TI-12)
respaldo de la información, Formato Solicitud de restauración de backup

e imágenes de los sistemas, y (FO-TI-185)
a prueba regularmente de acuerdo
olítica de copias de respaldo Formato Solicitud realización de backup (FO-
s. TI-
218)
Formato Bitácora de control de

restauraciones de copias de seguridad (FO-TI-
este control, puesto que se deben Instructivo Revisión de registros automáticos
de la plataforma de TI (en construcción). Este
y revisar regularmente los registros documento permite que se definan aspectos
actividades del usuario, básicos para tener en cuenta en la tarea de
es, fallas y eventos de seguridad de revisar los archivos de registro de eventos, de
ción. los elementos de tecnología.
Instructivo Revisión de registros automáticos

este control, puesto que Las de la plataforma de TI (en construcción). Este
nes y documento permite que se definan aspectos
ción de registro se deben proteger básicos para tener en cuenta en la tarea de
alteración y acceso no autorizado. revisar los archivos de registro de eventos, de
los elementos de tecnología.

s del
documento permite que se definan aspectos
ador y del operador del sistema
básicos para tener en cuenta en la tarea de
registrar, los registros se deben
revisar los archivos de registro de eventos, de
revisar con regularidad.
Instructivo de Sincronización de Relojes para

la plataforma de TI (en construcción).
Mediante este documento se describen las
actividades de configuración y seguimiento a
la distribución
del servicio de fecha y hora (sincronización
e
con la hora legal colombiana) para los
sistemas de procesamiento de
elementos
ón pertinentes dentro de una
de TI administrables.
ón o ámbito de seguridad se deben
r con una única fuente de
de tiempo.
Instructivo de Administración del directorio

a este control, puesto que se activo. (IN-TI-07)
tar procedimientos para Instructivo preparación de un equipo de

la instalación de software en cómputo para usuario final (En construcción).
operativos. Describe los pasos para configurar un equipo
para un usuario final y las restricciones que se
Procedimiento Revisión a la plataforma de

tecnología de información (PR-TI-18)
mente información acerca de las
Implementación de consola centralizada de
dades técnicas de los sistemas de
monitoreo de la plataforma. (Proyecto)
ón que se usen; evaluar la
n de la organización a esas
Revisión externa de las condiciones de la
dades, y tomar las medidas
plataforma (Contrato de Ethical Hacking) -
s para tratar el riesgo asociado.
Proyecto
Instructivo de Administración del Directorio
r e implementar las reglas para la
Activo. (IN-TI-07)
n de software por parte de los

y Auditorías regulares de OCI
s de auditoría que involucran la
n de los sistemas operativos se Instructivo Revisión de registros automáticos
anificar y acordar cuidadosamente de la plataforma de TI (en construcción). Este
mizar las interrupciones en los documento permite que se definan aspectos
de negocio. básicos para tener en cuenta en la tarea de
este control, puesto que las redes
y controlar para proteger la telecomunicaciones del instituto (en
ón en sistemas y aplicaciones. construcción). Este documento centraliza las
a este control, puesto que se Procedimiento de Gestión de

los mecanismos de seguridad, los
servicio y los requisitos de Documento de gestión de las
e todos los servicios de red, e telecomunicaciones del instituto (en
en los acuerdos de servicio de construcción). Este documento centraliza las
ea que los servicios se presten actividades que se realizan para gestionar la
nte o se contraten. conectividad de los usuarios a la red de datos.
e
de información, usuarios y
telecomunicaciones del instituto (en
de información se deben separar
construcción). Este documento centraliza las
es.
Instructivo de Uso adecuado de los
dispositivos de almacenamiento de
as, procedimientos y controles de
información (IN-TI-05)
cia formales para proteger la
cia de información mediante el uso
po de instalaciones de
ciones.
ar la transferencia segura de
ón del negocio entre la
ón y las partes externas.
Instructivo uso del servicio de correo

electrónico institucional (En construcción).
Regular el uso adecuado del servicio del
este control, puesto que se debe correo electrónico institucional por parte de los
usuarios finales.
mente la información incluida
ensajería electrónica. Instructivo de uso de servicios de mensajería
instantánea. (En construcción). Definir la
reglas de uso del servicio de mensajería
instantánea.
Formato Acuerdo de confidencialidad con

terceros (FO-TI-04)
Revisión de obligaciones contractuales para
revisar y documentar los requisitos
que se incluya de oficio una clausula de
cuerdos de confidencialidad o no
confidencialidad.
n que reflejen las necesidades de la
ón para la protección de la
Revisión de las funciones de los servidores en
ón.
donde se incluya una clausula de
confidencialidad.
a este control, puesto que los Procedimiento Gestión de desarrollo de

tecnologías de información (PR-TI-04)
dos con seguridad de la
ón se deben incluir en los requisitos Procedimiento Gestión de sistemas de
os sistemas de información o para información (PR-TI-15)
e sistemas de información
. Formato Solicitud requerimientos aplicaciones
Procedimiento Gestión de desarrollo de

a este control, puesto que la
ón Procedimiento de Gestión de
a en los servicios de las telecomunicaciones (PR-TI-23)
es que pasan por las redes
e debe proteger de actividades Documento de gestión de las
as, disputas contractuales, telecomunicaciones del instituto (en
n y modificación no autorizadas. construcción). Este documento centraliza las
Instructivo de definición y uso de los

a este control, puesto que la y responsabilidades de uso de los diferentes
ón ambientes de trabajo para la construcción de
a en los servicios de las software.
es se debe proteger para evitar la
n incompleta, el enrutamiento Procedimiento de Gestión de
alteración no autorizada de telecomunicaciones (PR-TI-23)
la divulgación no autorizada, y la
n o reproducción de mensajes Documento de gestión de las
ada. telecomunicaciones del instituto (en
Formato Acuerdo de confidencialidad con

terceros (FO-TI-04) y cláusulas en los
contratos.

a este control, puesto que se tecnologías de información (PR-TI-04)
r y aplicar reglas para el desarrollo Instructivo de definición y uso de los

re y de sistemas, a los desarrollos ambientes de trabajo para desarrollo de
organización software (En construcción). Este documento

los
dentro del ciclo de vida de
Procedimiento Gestión de sistemas de
se deben controlar mediante el
ocedimientos formales de control de
Procedimiento Gestión de cambios (PR-TI-08)
se Procedimiento Gestión de desarrollo de
as plataformas de operación, se tecnologías de información (PR-TI-04)
isar las aplicaciones críticas de
someter a pruebas para asegurar Procedimiento Gestión de sistemas de
ya impacto adverso en las información (PR-TI-15)
es o seguridad de la organización.
a este control, puesto que se Procedimiento Gestión de cambios (PR-TI-08)
r las modificaciones a los paquetes ambientes de trabajo para desarrollo de
re, los cuales se deben limitar a los software (En construcción). Este documento
ecesarios, y todos los cambios se pretende formalizar las condiciones de trabajo
ntrolar estrictamente. y responsabilidades de uso de los diferentes
software.

r, documentar y mantener principios tecnologías de información (PR-TI-04)
nstrucción de sistemas seguros, y
a cualquier actividad de Procedimiento Gestión de sistemas de
tación de sistemas de información (PR-TI-15)
ón.
ones
establecer y proteger
mente los ambientes de desarrollo
ara las actividades de desarrollo e
n de sistemas que comprendan
lo de vida de desarrollo de

a este control, puesto que la
ón Procedimiento Gestión de sistemas de
ervisar y hacer seguimiento de la información (PR-TI-15)
de desarrollo de sistemas
os externamente. Procedimiento Gestión de compras de
productos y o servicios de tecnología de
Instructivo para la realización de pruebas a los

desarrollos (en construcción). Pretende
el
establecer el diseño para la ejecución de
se deben llevar a cabo
pruebas en los aplicativos de software de
de funcionalidad
misión crítica del Instituto.
Instructivo para la realización de pruebas a los
desarrollos (en construcción). Pretende
misión crítica del Instituto.
este control, puesto que para los
Formato Aceptación de aplicaciones
ación nuevos, actualizaciones y desarrolladas (FO-TI-15)
rsiones, se deben establecer
s de prueba para aceptación y Formato Aceptación de pruebas realizadas a
e aceptación relacionados las aplicaciones desarrolladas (FO-TI-16)
Formato Aceptación de manuales para

aplicaciones desarrolladas (FO-TI-17)
Formato Aceptación de código fuente de
Formato Aceptación de pruebas realizadas a

las
a este control, puesto que los aplicaciones desarrolladas (FO-TI-16)
e deben seleccionar, proteger y Instructivo para la realización de pruebas a los

cuidadosamente. desarrollos (en construcción). Pretende
de
de la información para mitigar los
Procedimiento Gestión de compras de
ociados con el acceso de
es a los activos de la organización
acordar y documentar.
r y acordar todos los requisitos de

pertinentes con cada proveedor
a tener acceso, procesar,
r, comunicar o suministrar
ntes de infraestructura de TI para
ón de la organización.
con
es deben incluir requisitos para Procedimiento Gestión de compras de
iesgos de seguridad de la productos y o servicios de tecnología de
ón asociados con la cadena de información (PR-TI-21)
de productos o servicios de
a este
de lacontrol,
información y comunicación
puesto que las
ones
acer seguimiento, revisar y
on regularidad la prestación
cios de los
es.
los cambios en el suministro de

por parte de los proveedores,
mantenimiento y la mejora de las
procedimientos y controles de la
de la información existentes,
Procedimiento Gestión de cambios (PR-TI-08)
en cuenta la criticidad de la
ón, sistemas y procesos del negocio
os, la reevaluación de los riesgos.
las responsabilidades y procedimientos
para asegurar una respuesta rápida, Procedimiento de Gestión de Incidentes de
enada a los incidentes de seguridad de Seguridad de la Información (En publicación)
ión.
este control, puesto que los eventos de

de la información se deben informar a Procedimiento de Gestión de Incidentes de
os canales de gestión apropiados, tan Seguridad de la Información (En publicación)
mo sea posible.
este control, puesto que se debe exigir
los empleados y contratistas que usan
sistemas de información de la
n, que observen y reporten cualquier Procedimiento de Gestión de Incidentes de
e seguridad de la información Seguridad de la Información (En publicación)
o sospechada en los sistemas o
este control, puesto que los eventos de

de la información se deben evaluar y se Procedimiento de Gestión de Incidentes de
ir si se van a clasificar como incidentes Seguridad de la Información (En publicación)
ad de la información.
este control, puesto que se debe dar

a los incidentes de seguridad de la Procedimiento de Gestión de Incidentes de
n de acuerdo con los procedimientos Seguridad de la Información (En publicación)
ados.
este control, puesto que el

nto adquirido al analizar y resolver
de seguridad de la información se debe Procedimiento de Gestión de Incidentes de
educir la posibilidad o el impacto de Seguridad de la Información (En publicación)
futuros.
este control, puesto que la organización

r y aplicar procedimientos para la
ón, recolección, adquisición y Procedimiento de Gestión de Incidentes de
ón de información que pueda servir Seguridad de la Información (En publicación)
encia.

minar sus requisitos para la seguridad
mación y la continuidad de la gestión de Documento Plan de continuidad de negocios para
d de la información en situaciones los servicios de TI (En construcción)
or ejemplo, durante una crisis o

lecer, documentar, implementar y
procesos, procedimientos y controles Documento Plan de continuidad de negocios para
rar el nivel de continuidad requerido los servicios de TI (En construcción)
uridad de la información durante una
dversa.

car a intervalos regulares los controles
dad de la seguridad de la información Documento Plan de continuidad de negocios para
os e implementados, con el fin de los servicios de TI (En construcción).
ue son válidos y eficaces durante
adversas
nes de procesamiento de la Documento Plan de continuidad de
ón se deben implementar con negociopara los servicios de TI (En
cia suficiente para cumplir construcción)
tos de disponibilidad.
estatutarios, reglamentarios y
Formato Actualización y evaluación del
ales pertinentes y el enfoque de la
normograma institucional (FO-GL-02),
ón para cumplirlos se deben
diligenciado
y documentar explícitamente y
os actualizados para cada sistema
ación de la
a este control, puesto que se Procedimiento Gestión de licenciamiento de
SW (PR-TI-14)
tar procedimientos apropiados
urar el cumplimiento de los Formato Cesión derechos patrimoniales (FO-
legislativos, de reglamentación y TI-
ales relacionados con los 02)
de propiedad intelectual y el
productos de software Formato Inventario aplicaciones (FO-TI-25)
Instructivo de revisión de registros automáticos
se
de la plataforma de TI (En construcción). Este
teger contra pérdida, destrucción,
ón, acceso no autorizado y
no autorizada, de acuerdo con los
legislativos, de reglamentación
ales y de negocio.
Política de tratamiento de protección de datos
este control, puesto que Se deben
personales de los titulares IDU - Circular 19 del
26-12-2013
dad y la protección de la
ón de datos personales, como se
Documento Condiciones de uso y políticas de
a legislación y en la reglamentación
privacidad de la pagina web del IDU (DU-TI-
s, cuando sea aplicable.
03)
ar
Instructivo protección de la información digital
criptográficos, en cumplimiento
(en revisión)
los acuerdos, legislación y
este control, puesto que El
entación
e la
ón para la gestión de la seguridad
mación y su implementación (es
objetivos de control, los controles,
as, los procesos y los
Procedimiento Evaluación independiente y
entos para la seguridad de la
auditorías internas (PR-EC-01)
ón) se deben revisar
entemente a intervalos planificados
oa ocurran
cambios
isar con regularidad el cumplimiento

Procedimiento de Seguimiento a la Gestión de
samiento y procedimientos de
TI (en publicación)
ón dentro de su área de
bilidad, con las políticas y normas de
apropiadas,
este control,ypuesto
cualquier
queotro
los
de
Procedimiento de Seguimiento a la Gestión de
ón se deben revisar
TI (en publicación)
mente para determinar el
nto con las políticas y normas
e la SG: ______________________________________________

01 FO-TI-27 Formato Declaracion de Aplicabilidad V - 1.0 - Diligenciado Dic2015

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

01 FO-TI-27 Formato Declaracion de Aplicabilidad V - 1.0 - Diligenciado Dic2015

Загружено:

Авторское право:

Доступные форматы

DECL

Se firma la presente Declaración de Aplicabilidad,

A.5.1. ORIENTACION DE LA DIRECCION PARA LA

A.6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO

A.7.1. ANTES DE ASUMIR EL EMPLEO

A.7.3. TERMINACION Y CAMBIO DE EMPLEO A.7.3.1

A.8.1. RESPONSABILIDAD POR LOS ACTIVOS

A.8.2. CLASIFICACION DE LA INFORMACION

A.8.3. MANEJO DE MEDIOS

A.9.1. REQUISITOS DEL NEGOCIO PARA EL

A.9.2. GESTIÓN DE ACCESO A USUARIOS.

A.9.3. RESPONSABILIDADES DE LOS USUARIOS. A.9.3.1

A.9.4. CONTROL DE ACCESO A SISTEMAS Y

A.10. CRIPTOGRAFIA A.10.1. CONTROLES CRIPTOGRAFICOS

A.11.1. AREAS SEGURAS.

A.12.1. PROCEDIMIENTOS OPERACIONALES Y

A.12.2. PROTECCION CONTRA CODIGO

A.12.3. COPIAS DE RESPALDO A.12.3.1

A.12.5. CONTROL DE SOFTWARE OPERACIONAL A.12.5.1

A.12.7. CONSIDERACIONES SOBRE AUDITORIAS

A.13.1 GESTION DE LA SEGURIDAD DE LAS

A.13.2 TRANSFERENCIA DE INFORMACION

A.14.1. REQUISITOS DE SEGURIDAD DE LOS

A.14.3. DATOS DE PRUEBA. A.14.3.1

A.15.1. SEGURIDAD DE LA INFORMACIÓN EN LAS A.15.1.2

A.15.2. GESTIÓN DE LA PRESTACIÓN DE LOS

A.17 ASPECTOS DE A.17,1,2

A.17.2. REDUNDANCIAS A.17.2.1

A.18.1. CUMPLIMIENTO DE REQUISITOS

A.18. CUMPLIMIENTO A.18.1.4

A.18.2. REVISIONES DE SEGURIDAD DE LA

Revisado por: ____________________________________________

Objetivos de Control Aplica No. Control Justificación

Se adopta este control, puesto

Control: Las políticas para seguridad de la Se adopta este control, pues

Se adopta este control, pues

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, puesto

Control: Se deberían implementar una política y Se adopta este control, pu

Se adopta este control, puesto

Se adopta este control, puesto

Se adopta este control, pu

Control: Se debería contar con un proceso Se adopta este control, puesto

Se adopta este control,

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, pu

Se adopta este control, puesto

Se adopta este control, puesto

Se adopta este control, puesto

Se adopta este control, pu

Se adopta este control, pues

Se adopta este control, pues

Se adopta este control, pues

Se adopta este control, puesto

Se adopta este control, puesto

Se adopta este control, puesto

Se adopta este control, pues

Se adopta este control, pu