Declaración de Aplicabilidad - SOA - FNG

DECLARACIÓN DE APLICABILIDAD (SOA) ISO 27001:2013 Anexo A
Sección Control Descripción del Control Aplica Justificación Desde el Negocio Justificación de la Inclusión
A5 Políticas de la Seguridad de la Información
A.5.1 Orientación de la dirección para la gestión de la seguridad de la información. Aplica Razón para la selección / Justificación Documentos
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del uso de los controles criptográficos
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Dispositivos móviles
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la instalación de software
MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Seguridad de la Información
Contrato con proveedores
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Desarrollo Seguro
MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software
MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Desarrollo
PD-GTE-014 Administración de Cambios
MA-GDO-003 Programa de Gestión Documental- Políticas relacionadas con seguridad de la información
IN-GTE-014 Borrado de Información Equipo de Escritorio
Contrato de Custodia de Medios Magnéticos
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Contacto con Autoridades y grupos de interés
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Puesto de trabajo limpio y pantalla segura
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la seguridad y el uso adecuado de los equipos
propiedad del FNG
PD-GTE-019 Cifrado de la información
Actos Administrativos de Comités de Alta Dirección (CCSCI, Operaciones del SGI, Proyectos, Presidencia, etc.)
Se debe definir un conjunto de políticas para la
En el FNG los Sistemas de Gestión cuenta con directrices
seguridad de la información, aprobada por la
A.5.1.1 Políticas para la seguridad de la información Sí establecidas por la alta dirección que funcionen como base MA-GQU-001 - Manual del Sistema de Gestión Integrado - Roles, responsabilidades y separación de deberes
dirección, publicada y comunicada a los
para la implementación del dichos sistemas
empleados y las partes externas pertinentes.
MA-GHU-007 Manual Específico de Funciones y Competencias Laborales
Reglamento de Garantías
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Inventario de Activos
MA-GDO-003 Programa de Gestión Documental - Clasificación de los activos de información
PD-SAD-002 Administración de activos fijos
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Sobre la salida o ingreso de
los activos fijos tecnológicos y demás equipos de computo del FNG
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Puesto de trabajo limpio y pantalla segura
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del acceso a la información
PD-GTE-006 Administración de usuarios
PD-GTE-018 Gestión de logs
PD-GTE-018 Gestión de logs
PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
MA-GDO-003 Programa de Gestión Documental - Etiquetado de la Información
MA-GQU-004 - Manual de Gestión de Incidentes de Seguridad de la Información
PD-GTE-016 Gestión de Incidentes Cambios y mejoras
PD-GQU-003 - Atención a incidentes de Seguridad de la Información
IN-GTE-002 Sincronización Horario de los Sistemas
MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Pruebas
PD-GTE-007 Instalación de Hardware o Software
Actos Administrativos de conformación del CCSCI, Comité de Operaciones de SGSI, Comité de datos personales
Las políticas para la seguridad de la información
Existe un procedimiento de Revisión por la Dirección que
Revisión de las políticas para la seguridad de se deben revisar a intervalos planificados o si
A.5.1.2 Sí incluye la responsabilidad de validar periódicamente el Actas del CCCI, Comité de Operaciones de SGSI, Comité de datos personales
la información ocurren cambios significativos, para asegurar su
estado de los sistemas de gestión
conveniencia, adecuación y eficacia continuas.
PR- GES-006 Revisión por la Dirección al SGI
A6 Organización de la seguridad de la información

A.6.1 Organización Interna Cumplimiento Documentos
Actos Administrativos de Comités de Alta Dirección (CCSCI, Operaciones del SGI, Proyectos, Presidencia, etc.)
Se deben definir y asignar todas las En el FNG se encuentran conformados diferentes comités
Roles y responsabilidades para la seguridad
A.6.1.1 responsabilidades de la seguridad de la Sí de alta dirección y de operación a los cuales se les deben MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales.
de la información
información. atribuir funciones relacionadas con el SGSI
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Roles, responsabilidades y separación de deberes
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del acceso a la información, - De la utilización de
los recursos de red
MA-GTE-006 Manual para la Administración de usuarios
MA-GQU-001 - Manual del sistema de Gestión Integrado. - Segregación de Funciones
PD-GTE-AUS-006 Administración de Usuarios
Matrices de Roles y Perfiles
Los deberes y áreas de responsabilidad en MA-GTC-001 Manual de Contratación

Por la estructura establecida en la entidad y considerando
conflicto se deben separar para reducir las
que hay actividades criticas que deben ser manejadas por
A.6.1.2 Separación de deberes posibilidades de modificación no autorizada o no Sí PD-GHU-PHU-021 Pagos de Gestión Humana
diferentes niveles jerárquicos la separación de deberes se
intencional, o el uso indebido de los activos de la
hace fundamental como control para mitigar los riesgos
organización. MA-GTC-001 Manual de Contratación
Matriz de Roles y Perfiles SAP y CUD
MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales
PD-GCA-007 Identificación y aplicación de Ingresos
IN-GCA-001 Identificación y Aplicación de Ingresos
PD-GCA-009 Otorgación de Paz y salvos

Se deben mantener contactos apropiados con las El FNG es una entidad del estado y por su naturaleza se
A.6.1.3 Contacto con las autoridades Sí MA-GQU-001 Manual del Sistema de Gestión Integrado - Anexo Contacto con Autoridades y grupos de interés
autoridades pertinentes hace fundamental mantener contactos con las autoridades
Se deben mantener contactos apropiados con

Con el fin de adquirir conocimiento en buenas prácticas o
grupos de interés especial u otros foros y
A.6.1.4 Contacto con grupos de interés especial Sí experiencias que sean de utilidad para minimizar los riesgos MA-GQU-001 Manual del Sistema de Gestión Integrado - Anexo Contacto con Autoridades y grupos de interés
asociaciones profesionales especializadas en
de seguridad de la información.
seguridad.
MA-GTC-001 Manual de Contratación

La seguridad de la información se debe tratar en El plan de acción del FNG funciona mediante proyectos,
Seguridad de la información en la gestión de MA-GES-002 - Manual de Proyectos
A.6.1.5 la gestión de proyectos, independientemente del Sí muchos de los cuales manejan activos de información
proyectos MA-GES-002 - Manual de Proyectos
tipo de proyecto críticos
MA-GES-002 - Manual de Proyectos
A.6.2 Dispositivos Móviles y teletrabajo Cumplimiento Documentos
Se deben adoptar una política y unas medidas de
seguridad de soporte, para gestionar los riesgos Algunos funcionarios de la entidad usan dispositivos
A.6.2.1 Política para dispositivos móviles Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Dispositivos Móviles
introducidos por el uso de los dispositivos móviles para la ejecución de sus labores
móviles.
Se debe implementar una política y unas medidas

de seguridad de soporte, para proteger la
No aplica para el FNG por directriz de la Alta Dirección ya
A.6.2.2 Teletrabajo información a la que se tiene acceso, que es No
que no incorpora el Teletrabajo en su operación.
procesada o almacenada en los lugares en los que
se realiza el teletrabajo.
A7 Seguridad de los Recursos Humanos

A.7.1 Antes de asumir empleo Cumplimiento Documentos
PD-GHU-SVI-024 Selección, Vinculación e Inducción del Personal
PD-GHU-VTO-022 Vinculación de personal por la Temporal y/o Outsourcing.
MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales

Las verificaciones de los antecedentes de todos
los candidatos a un empleo se deben llevar a Reglamento Interno de Trabajo FNG - Condiciones de Admisión y Vinculación.
cabo de acuerdo con las leyes, reglamentaciones
En el FNG existen procedimientos formales de selección de
A.7.1.1 Selección y ética pertinentes y deben ser proporcionales a Sí PD-GHU-SVI-024 Selección, Vinculación e Inducción del Personal
personal
los requisitos de negocio, a la clasificación de la
información a que se va a tener acceso y a los PD-GHU-VTO-022 Vinculación de personal por la Temporal y/o Outsourcing.
riesgos percibidos.
PD-GHU-VTO-022 Vinculación de personal por la Temporal y/o Outsourcing.
Por las características del negocio y considerando que la

Los acuerdos contractuales con empleados y
información es vital para todos los cargos se han definido
contratistas deben establecer sus
A.7.1.2 Términos y condiciones del empleo Sí condiciones contractuales con las responsabilidades sobre FR-GHU-019 Contrato de Trabajo
responsabilidades y las de la organización en
el uso de la información. Esto aunado a las exigencias y
cuanto a la seguridad de la información.
responsabilidades que establece el AGN
A.7.2 Durante la ejecución del empleo Cumplimiento Documentos

MA-GQU-001 - Manual del sistema de Gestión Integrado. - Compromisos de la Dirección del SGI.
La dirección debe exigir a todos los empleados y
En el FNG se encuentran conformados diferentes comités MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática
contratistas la aplicación de la seguridad de la
A.7.2.1 Responsabilidades de la dirección. Sí de alta dirección y de operación a los cuales se les deben
información de acuerdo con las políticas y
atribuir funciones relacionadas con el SGSI MA-GDO-003 Programa de Gestión Documental
procedimientos establecidos por la organización.
MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales.
MA-GQU-001 - Manual del sistema de Gestión Integrado. - Compromisos de la Dirección del SGI.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Gestión de la Seguridad.

Todos los empleados de la organización y en
donde sea pertinente, los contratistas deben MA-GDO-003 Programa de Gestión Documental
Toma de conciencia, educación y formación recibir la educación y la formación en toma de Es necesario para el FNG realizar sensibilizaciones y
A.7.2.2 SI MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales.
en la seguridad de la información. conciencia apropiada, y actualizaciones regulares divulgaciones que permitan la implementación del SGSI
sobre las políticas y procedimientos de la PD-GHU-DEP-023 Evaluación de Desempeño y Desarrollo de Personal
organización pertinentes para su cargo.
PD-GHU-VIR-025 Selección, Vinculación, Inducción y Reinducción del Personal
Plan de Capacitación Anual.
PD-ESP-CDO-006 Control Interno Disciplinario.

Se debe contar con un proceso formal, el cual
debe ser comunicado, para emprender acciones PD-GHU-DEP-023 Evaluación de Desempeño y Desarrollo de Personal
A.7.2.3 Proceso Disciplinario Sí Requisitos legales del FNG
contra empleados que hayan cometido una
PD-GHU-VIR-025 Selección, Vinculación, Inducción y Reinducción del Personal
violación a la seguridad de la información.
Plan de Capacitación Anual
A.7.3 Terminación y cambio de empleo Cumplimiento Documentos
Las responsabilidades y los deberes de seguridad Por las características del negocio y considerando que la
de la información que permanecen validos información es vital para todos los cargos se han definido
Terminación o cambio de responsabilidades FR-GHU-019 Contrato de Trabajo
A.7.3.1 después de la terminación o cambio de empleo se Sí condiciones contractuales con las responsabilidades sobre
de empleo
deben definir, comunicar al empleado o el uso de la información. Esto aunado a las exigencias y
contratista y se deben hacer cumplir responsabilidades que establece el AGN
A.8 Gestión Activos

A.8.1 Responsabilidad por los activos Cumplimiento Documentos
PD-SAD-002 Administración de Activos Fijos

Se deben identificar los activos asociados con
información e instalaciones de procesamiento de Por cumplimiento de requisitos legales el FNG debe Informe detallado de los activos fijos en el que se relacionan faltantes y sobrantes
A.8.1.1 Inventario de activos Sí
información y se debe elaborar y mantener un identificar la información critica.
MA-GQU-001 - Manual del sistema de Gestión Integrado
inventario de estos activos.
MA-GDO-003 Programa de Gestión Documental

Se manejan diferentes tipos de activos los cuales son PD-SAD-002 Administración de Activos Fijos
Los activos mantenidos en el inventario deben
A.8.1.2 Propiedad de los activos Sí responsabilidad de diferentes áreas lo que implica que cada
tener un propietario
activo este asignado a un propietario PD-SAD-002 Administración de Activos Fijos
Informe detallado de los activos fijos en el que se relacionan faltantes y sobrantes

MA-SAD-002 - Manual para el Control de Acceso y Permanencia en las Instalaciones del FNG
Se deben identificar , documentar e implementar PD-SAD-002 Administración de Activos Fijos
reglas para el uso aceptable de información y de El FNG ha definido directrices para el manejo de los activos
A.8.1.3 Uso aceptable de los activos Sí Informe detallado de los activos fijos en el que se relacionan faltantes y sobrantes
activos asociados con información e instalaciones de información con el fin de garantizar su uso adecuado
de procesamiento de información. MA-GQU-001 - Manual del sistema de Gestión Integrado - Manejo de Activos
PD-GDO-CEI-001 Correspondencia Externa e Interna
PD-GDO-CPA-012 Consulta y préstamo de archivos

Todos los empleados y usuarios de partes
externas deben devolver todos los activos de la El FNG ha definido directrices para el manejo de los activos MA-GQU-001 - Manual del sistema de Gestión Integrado - Manejo de Activos
A.8.1.4 Devolución de activos Sí
organización que se encuentren a su cargo, al de información con el fin de garantizar su uso adecuado
terminar su empleo, contrato o acuerdo
A.8.2 Clasificación de la información Cumplimiento Documentos
La información se debe clasificar en función de
MA-GDO-003 Programa de Gestión Documental- Clasificación de los activos de información
los requisitos legales, valor criticidad y
A.8.2.1 Clasificación de la información Sí Por requisitos legales
susceptibilidad a divulgación o a modificación no
autorizado MA-GDO-003 Programa de Gestión Documental - Clasificación de los activos de información
Se debe desarrollar e implementar un conjunto

adecuado de procedimientos para el etiquetado
A.8.2.2 Etiquetado de la información de la información, de acuerdo con el esquema de Sí Por requisitos legales MA-GDO-003 Programa de gestión documental - Etiquetado de la información
clasificación de información adoptado por la
organización.

Se deben desarrollar e implementar
procedimientos para el manejo de activos, de El FNG ha definido directrices para el manejo de los activos MA-GQU-001 - Manual del sistema de Gestión Integrado - Gestión de Activos
A.8.2.3 Manejo de Activos Sí
acuerdo con el esquema de clasificación de de información con el fin de garantizar su uso adecuado
información adoptado por la organización.
A.8.3 Manejo de medios Cumplimiento Documentos
MA-GQU-001 - Manual del sistema de Gestión Integrado - Política puesto de trabajo limpio y pantalla segura
Se deben implementar procedimientos para la
gestión de medios removibles, de acuerdo con el Algunas Áreas/funcionarios de la entidad usan dispositivos
A.8.3.1 Gestión de medios removibles Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - De los medios removibles
esquema de clasificación adoptado por la móviles para la ejecución de sus labores
organización.
MA-GQU-001 - Manual del sistema de Gestión Integrado - Política puesto de trabajo limpio y pantalla segura

Se debe disponer en forma segura de los medios
Existen procedimientos para disponer de los medios cuando MA-GDO-003 Programa de Gestión Documental
A.8.3.2 Disposición de los medios cuando ya no se requieran, utilizando Sí
ya no se requieran
procedimientos formales. IN-GTE-014 Borrado de Información Equipo de Escritorio
Los medios que contienen información se deben Contrato de Custodia de Medios Magnéticos
A.8.3.3 Transferencia de medios físicos proteger contra acceso no autorizado, uso Sí Por requisitos legales, cumplimiento de la ley de archivo
indebido o corrupción durante el transporte.
MA-GDO-003 Programa de Gestión Documental - Transferencias
A.9 Control de Acceso

A.9.1 Requisitos del negocio para control de acceso Cumplimiento Documentos

Se debe establecer, documentar y revisar una
política de control de acceso con base en los El FNG maneja políticas de control de acceso de acuerdo a
A.9.1.1 Política de control de acceso Sí PD-GDO-CPA-012 Consulta y préstamo de archivos
requisitos del negocio y de seguridad de la las labores de cada una de las dependencias.
información.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del acceso a la información, - De la utilización de
los recursos de red
PD-GTE-AUS-006 Administración de usuarios
Por Requisitos del Negocio MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Utilización de recursos de red
Solo se debe permitir acceso de los usuarios a la
Por operaciones criticas del Negocio
A.9.1.2 Acceso a redes y a servicios de red red y a los servicios de red para los que hayan Sí
Por Actividades de operación tecnológica que hacen parte
sido autorizados específicamente.
del core del negocio. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del acceso a la red
A.9.2 Gestión de Acceso de usuarios Cumplimiento Documentos

MA-GTE-006 Manual para la administración de usuarios
Se debe implementar un proceso formal de MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Control de acceso a Equipos
Registro y cancelación del registro de registro y de cancelación de registro de usuarios, El FNG tiene definidas directrices para registrar y cancelar MA-GQU-001 - Manual del sistema de Gestión Integrado - Control de acceso lógico
A.9.2.1 Sí
usuarios para posibilitar la asignación de los derechos de usuarios cuando corresponda. MA-GTE-006 Manual para la administración de usuarios
acceso. Matrices de Roles y Perfiles
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática- Usuario y clave de red
Se debe implementar un proceso de suministro
de acceso formal de usuarios para asignar o El FNG tiene definidas directrices para registrar y cancelar MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Control de acceso a Equipos
A.9.2.2 Suministro de acceso de usuarios Sí
revocar los derechos de acceso para todo tipo de usuarios cuando corresponda. MA-GQU-001 - Manual del sistema de Gestión Integrado - Control de acceso lógico
usuarios para todos los sistemas y servicios.
Matrices de Roles y Perfiles
Se debe restringir y controlar la asignación y uso. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática- Usuario y clave de red
Gestión de los derechos de acceso con privilegios El FNG tiene definidas directrices para registrar y cancelar
A.9.2.3 Gestión de derechos de acceso privilegiado Sí MA-GTE-006 Manual para la administración de usuarios
especiales: La asignación y uso de derechos de usuarios cuando corresponda.
acceso con privilegios especiales debería ser
restringido y controlado. Crear Instructivo SGD
La asignación de información de autenticación

secreta se debe controlar por medio de un MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática. - Usuario y clave de red
proceso de gestión formal.
El FNG maneja autenticación secreta en varias de sus
Gestión de información de autenticación
A.9.2.4 Gestión de información confidencial de Sí aplicaciones por lo que ha generado directrices para su
secreta de usuarios
autenticación de usuarios: La asignación de gestión
información confidencial para la autenticación
debería ser controlada mediante un proceso de MA-GTE-006 Manual para la administración de usuarios
gestión controlado.
Los propietarios de los activos deben revisar los MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
Revisión de los derechos de acceso de El FNG tiene definidas directrices para registrar y cancelar
A.9.2.5 derechos de acceso de los usuarios, a intervalos Sí
usuarios usuarios cuando corresponda.
regulares. MA-GTE-006 Manual para la administración de usuarios
Los derechos de acceso de todos los empleados y

de los usuarios externos a la información y a las PD-GTE-AUS-006 Administración de usuarios
instalaciones de procesamiento de información se El FNG tiene definidas directrices para registrar y cancelar
A.9.2.6 Retiro o ajuste de los derechos de acceso Sí
deben retirar al terminar su empleo, contrato o usuarios cuando corresponda.
acuerdo, o se deben ajustar cuando se hagan
cambios. MA-GTE-006 Manual para la administración de usuarios
A.9.3 Responsabilidad de los usuarios Cumplimiento Documentos
Se debe exigir a los usuarios que cumplan las El FNG maneja autenticación secreta en varias de sus MA-GTE-006 Manual para la administración de usuarios
Uso de la información de autenticación
A.9.3.1 practicas de la organización para el uso de Sí aplicaciones por lo que ha generado directrices para su
secreta
información de autenticación secreta gestión. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
A.9.4 Control de acceso a sistemas y aplicaciones Cumplimiento Documentos
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática.- De la seguridad y uso adecuado de los equipos
El acceso a la información y a las funciones de los propiedad del FNG.
Por Requisitos del Negocio
A.9.4.1 Restricción de acceso a la información sistemas de las aplicaciones se debe restringir de Sí
acuerdo con la política de control de acceso.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
Cuando lo requiera la política de control de

A.9.4.2 Procedimiento de Ingreso Seguro acceso a sistemas y aplicaciones se debe Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
controlar mediante un proceso de ingreso seguro.
Los sistemas de gestión de contraseñas deben ser El FNG maneja autenticación secreta en varias de sus MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
A.9.4.3 Sistema de gestión de contraseñas interactivos y deben asegurar la calidad de las Sí aplicaciones por lo que ha generado directrices para su
contraseñas gestión. MA-GTE-006 Manual para la administración de usuarios
Se debe restringir y controlar estrictamente el uso

de programas utilitarios que podrían tener
capacidad de anular el sistema y los controles de
las aplicaciones.
El FNG ha cen tralizado la autorización de hacer uso de
A.9.4.4 Uso de programas utilitarios privilegiados Sí programas utilitarios y de instalación de software con el fin MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática. - De la instalación de software.
Uso de herramientas de administración de
de garantizar la seguridad de la información
sistemas: El uso de utilidades software que
podrían ser capaces de anular o evitar controles
en aplicaciones y sistemas deberían estar
restringidos y estrechamente controlados.
Control de acceso a códigos fuente de Se debe restringir el acceso a los códigos fuente El FNG ha definido políticas de restricción de acceso a los
A.9.4.5 Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software
programas de los programas. códigos funete de los programas
A.10 Criptografía
A.10.1 Controles criptográficos Cumplimiento Documentos
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática. - Del uso de los controles criptográficos
Se debe desarrollar e implementar una política El FNG recibe y envía información a traves de diferentes
Política sobre el uso de controles
A.10.1.1 sobre el uso de controles criptográficos para la Sí mecanismos es necesario definir directrices para realizar PD-GTE-CIN-019 Cifrado de información
criptográficos
protección de la información. dichas operaciones
IN-GTE-025 Envío y visualización de correos encriptados
Se debe desarrollar e implementar una política

El FNG recibe y envía información a traves de diferentes
sobre el uso , protección y tiempo de vida de las
A.10.1.2 Gestión de llaves Si mecanismos es necesario definir directrices para realizar MA-GTE-010 - Manual de Gestión tecnologica y seguridad informática. -
llaves criptográficas, durante todo su ciclo de
dichas operaciones
vida.
A.11 Seguridad Física y del Entrono
A.11.1 Áreas Seguras Cumplimiento Documentos
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Personal autorizado para el
Se deben definir y usar perímetros de seguridad y acceso a la Boveda de Seguridad
usuarios para proteger áreas que contengan
A.11.1.1 Perímetro de seguridad física Sí El FNG ha delimitado sus perímetros de seguridad MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
información confidencial o critica, e instalaciones
de manejo de información.
MA-GPO-001 Manual de Operaciones de Tesoreria - Medios de comunicación y equipos de computo
MA-GDO-003 Programa de gestion documental - Responsabilidades personal de archivo
acceso a la Boveda de Seguridad
Las áreas seguras se deben proteger mediante
El FNG cuenta con diferentes controles de acceso físicos y
A.11.1.2 Controles de acceso físicos controles de acceso apropiados para asegurar que Sí MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Acceso a áreas restringidas
los ha establecido de manea formal.
solo se permite el acceso a personal autorizado.
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
acceso a la Boveda de Seguridad
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Acceso a áreas restringidas
Seguridad de oficinas, recintos e Se debe diseñar y aplicar seguridad física a El FNG cuenta con diferentes controles de acceso físicos y
A.11.1.3 Sí
instalaciones oficinas, recintos e instalaciones. los ha establecido de manea formal.
PD-GTE-009 - Mantenimiento de Equipos

El FNG cuenta con planes de emergencia, pólizas de seguro PD-GTE-009 - Mantenimiento de Equipos
Se debe diseñar y aplicar protección física contra
Protección contra amenazas externas y y otros controles para garantizar su protección contra
A.11.1.4 desastres naturales, ataques maliciosos o Sí PD-GTE-009 - Mantenimiento de Equipos
ambientales amenazas externas, algunas derivadas de la ubicación física
accidentes
de la entidad. Pólizas
Plan de continuidad de Negocio
MA-GQU-001 - Manual del sistema de Gestion Integrado - Seguridad Fisica

Se deben diseñar y aplicar procedimientos para El FNG cuenta con áreas seguras
A.11.1.5 Trabajo en áreas seguras Sí MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
trabajo en áreas seguras
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática
Se deben controlar los puntos de acceso tales MA-GQU-001 - Manual del sistema de Gestion Integrado - Control de acceso, Seguridad Fisica y del entorno
como áreas de despacho y de carga y otros
puntos en donde pueden entrar personas no El FNG cuenta con áreas de despacho de correspondencia
A.11.1.6 Áreas de despacho y carga Sí MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
autorizadas, y si es posible aislarlos de las donde pueden entrar personas ajenas al negocio
instalaciones de procesamiento de información
para evitar acceso no autorizado. MA-GTE-010- Manual de Gestión tecnológica y seguridad informática - De los equipos de misión crítica
A.11.2 Equipos Cumplimiento Documentos

MA-GTE-010- Manual de Gestión tecnológica y seguridad informática - de los aspectos generales de instalación y
ubicación de equipos de computo

Los equipos deben estar ubicados y protegidos
para reducir los riesgos de amenazas y peligros El FNG define de maenra cuidadosa donde se ubicaran los
A.11.2.1 Ubicación y protección de los equipos Sí PD-GTE-009 - Mantenimiento de Equipos
del entorno y las posibilidades de acceso no equipos que se requieren para la operación
autorizado
Los equipos se deben proteger contra fallas de Por Requisitos del Negocio MA-GRI-003 Manual del plan de continuidad del negocio.
A.11.2.2 Servicios de suministro energía y otras interrupciones causadas por fallas Sí Por operaciones criticas del Negocio
en los servicios de suministro
PL-GHU-001 Plan de emergencias
El cableado de energía eléctrica y de

telecomunicaciones que porta datos o brinda Por Requisitos del Negocio
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
A.11.2.3 Seguridad del cableado soporte a los servicios de información se debe Si Por operaciones criticas del Negocio
proteger contra interceptación, interferencia o
daño
El FNG requiere que los equipos esten siempre en PD-GTE-009 - Mantenimiento de Equipos
Lo equipos se deben mantener correctamente
condiciones óptimas para poder cumplir con las actividades PD-SAD-002 - Administración de Activos Fijos
A.11.2.4 Mantenimiento de equipos para asegurar su disponibilidad e integridad Si
del negocio Contrato de Garantía de infraestructura
continuas.
Plan de Mantenimiento
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del retiro de equipos de las instalaciones del FNG
Los equipos información o software no se deben El FNG ha centralizado la autorización de retirar activos
A.11.2.5 Retiro de activos Si
retirar de su sitio sin autorización previa fisicos o tecnológicos de su sitio
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
Se deben aplicar medidas de seguridad a los

activos que se encuentran fuera de las En el FNG hay actividades que requieren que los
Seguridad de equipos y activos fuera de las
A.11.2.6 instalaciones de la organización, teniendo en Sí funcionarios saquen los equipos y activos de las MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Equipos móviles
instalaciones
cuenta los diferentes riesgos de trabajar fuera de instalaciones
dichas instalaciones.
Se deben verificar todos los elementos de
IN-GTE-014 Borrado de Información Equipo de Escritorio
equipos que contengan medios de
almacenamiento para asegurar que cualquier Existen procedimientos para disponer de los medios cuando
A.11.2.7 Disposición segura o reutilización de equipos Sí
dato confidencial o software licenciado haya sido se reusen o ya no se requieran
retirado o sobrescrito en forma segura antes de
su disposición o reusó. Contrato de Custodia de Medios Magneticos
Los usuarios deben asegurarse de que a los

Por las condiciones de trabajo se pueden presentar
A.11.2.8 Equipos de usuario desatendido equipos desatendidos se les da protección Si MA-GQU-001 - Manual del sistema de Gestion Integrado - Politica Puesto de Trabajo Limpio y Pantalla Segura.
momentos en que los equipos estén desatendidos.
apropiada.
Se debe adoptar una política de escritorio limpio

para los papeles y medios de almacenamiento
A.11.2.9 Política de escritorio limpio y pantalla limpia Sí Por operaciones criticas del Negocio MA-GQU-001 - Manual del sistema de Gestion Integrado - Politica Puesto de Trabajo Limpio y Pantalla Segura.
removibles y una política de pantalla limpia en las
instalaciones de procesamiento de información.
A.12 SEGURIDAD DE LAS OPERACIONES

A.12.1 Procedimientos operaciones y responsabilidades Cumplimiento Documentos
El FNG ha documentado todos los procedimientos de PD-GDO-ECD-005 Elaboración y control de documentos
Los procedimientos de operación se deben
operación para la seguridad de la información y los ha
A.12.1.1 Procedimientos de operación documentados documentar y poner a disposición de todos los Si
dispuesto para su consulta en la intra e internet de la Registros y documentación del SGI en ISOLUCION.
usuarios que los necesitan
entidad
Se deben controlar los cambios en la PD-GTE-014 Administración de Cambio

organización, en los procesos de negocio, en las Por Requisitos del Negocio
A.12.1.2 Gestión de cambios instalaciones y en los sistemas de procesamiento Si Por operaciones criticas del Negocio MA-GQU-001 Manual del sistema de Gestion Integrado - Gestión de Cambios
de información que afectan la seguridad de la
información. MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software
MA-GQU-001 Manual del sistema de Gestion Integrado - Gestión de la capacidad / Strecth Factor
Se debe hacer seguimiento al uso de recursos,

MA-GTE-010 Manual de Gestión tecnologica y seguridad informática - Adquisición de Hardware y Software
hacer los ajustes y hacer proyecciones de los Debido a que el core del negocio depende de la capacidad
A.12.1.3 Gestión de capacidad Si
requisitos de capacidad futura, para asegurar el que asegure el desempeño de los sistemas
desempeño requerido del sistema PETI
Contrato de Garantía de infraestructura
Se deben separar los ambientes de desarrollo, PD-GTE-014 Administración de Cambio

Separación de los ambientes de desarrollo, prueba y operación, para reducir los riesgos de En el FNG se gestionan actividades asociadas a desarrollo.
A.12.1.4 Si MA-GQU-001 Manual del sistema de Gestion Integrado - Desarrollo seguro
pruebas y operación acceso o cambios no autorizados al ambiente de
operación.
MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software
A.12.2 Protección contra códigos maliciosos Cumplimiento Documentos
Se deben implementar controles de detección, de Por Requisitos del Negocio PD-GTE-ASE-005 Administración de seguridad
prevención y de recuperación, combinados con la Por operaciones criticas del Negocio
A.12.2.1 Controles contra códigos maliciosos Si
toma de conciencia apropiada de los usuarios, Por Actividades de operación tecnologica que hacen parte
para proteger contra códigos maliciosos. del core del negocio. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática -De los Servicios Tecnologicos.
A.12.3 Copias de Respaldo Cumplimiento Documentos
PD-GTE-RRI-010 Respaldo y Recuperación de la información

Se deben hacer copias de respaldo de la Por Requisitos del Negocio
información, software e imágenes de los sistemas Por operaciones criticas del Negocio
A.12.3.1 Respaldo de la información Si MA-GQU-001 - Manual del sistema de Gestion Integrado - Copias de Respaldo
y ponerlas a prueba regularmente de acuerdo con Por Actividades de operación tecnologica que hacen parte
una política de copias de respaldo acordadas. del core del negocio.
IN-GTE-011 Validar copias de respaldo
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del almacenamiento y respaldo de la información
A.12.4 Registro y seguimiento Cumplimiento Documentos
Se deben elaborar, conservar y revisar

regularmente los registros acerca de actividades El FNG garantiza la trazabiliad de las operaciones realizadas
A.12.4.1 Registro de eventos Sí PD-GTE-GDL-018 Gestión de Logs
del usuario, excepciones, fallas y eventos de en las aplicaciones fisicas
seguridad de la información.
MA-GQU-001 - Manual del sistema de Gestion Integrado - Registro y Seguimiento.

Las instalaciones y la información de registro se Plataforma SPLUNK
El FNG garantiza la trazabiliad de las operaciones realizadas
A.12.4.2 Protección de la información de registro deben proteger contra alteración y acceso no Sí
en las aplicaciones fisicas
autorizado. MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
MA-GRI-004 Manual de la bases de datos del SARG
PD-GTE-GDL-018 Gestión de Logs

Las actividades del administrador y del operador
A.12.4.3 Registros del administrador y del operador del sistema se deben registrar y los registros se Sí Módulo FI Contabilidad y TR de Tesorería
deben proteger y revisar con regularidad.
MA-GTE-010 Manual de Gestión Tecnológica y seguridad informática - Registros (log) del administrador y del Operador
Los relojes de todos los sistemas de

procesamiento de información pertinentes MA-GQU-001 - Manual del sistema de Gestion Integrado Capt. 16.7.7- Registro de Eventos y Seguimiento.
A.12.4.4 Sincronización de relojes dentro de una organización o ámbito de Sí
seguridad se deben sincronizar con una única
IN-GTE-002 Sincronización Horario de los Sistemas
fuente de referencia de tiempo.
A.12.5 Control de software operacional Cumplimiento Documentos
Se deben implementar procedimientos para El FNG ha centralizado la autorización de hacer uso de MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Políticas de software
Instalación de software en sistemas
A.12.5.1 controlar la instalación de software en sistemas Si programas utilitarios y de instalación de software con el fin
operativos
operativos. de garantizar la seguridad de la información
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Políticas de software
A.12.6 Gestión de la vulnerabilidad técnica Cumplimiento Documentos
Se debe oportunamente información acerca de PDE-GTE-ASE-005 Administracion de seguridad

las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de Debido a que el core del negocio depende de la capacidad
A.12.6.1 Gestión de las vulnerabilidades técnicas Si PDE-GTE-ASE-005 Administracion de seguridad
la organización a estas vulnerabilidades, y tomar que asegure el desempeño de los sistemas
las medidas apropiadas para tratar el riesgo
asociado. PDE-GTE-ASE-005 Administracion de seguridad
Se debe establecer e implementar las reglas para El FNG ha centralizado la autorización de hacer uso de MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Politicas de Software
Restricciones sobre la instalación de
A.12.6.2 la instalación de software por parte de los Si programas utilitarios y de instalación de software con el fin
software
usuarios. de garantizar la seguridad de la información PD-GTE-ISP-013 Instalación de Service Pack
A.12.7 Consideraciones sobre autoridades de sistemas de información Cumplimiento Documentos
Los requisitos y actividades de auditoria que PD-ESP-002 - Auditorias de Gestión al Sistema de Control Interno.
involucran la verificación de los sistemas El FNG debe cumplir los requisitos de auditoria exigidos
Controles de auditorias de sistemas de
A.12.7 operativos se deben planificar y acordar Si para las auditorias de gestión y las auditorias internas a
información
cuidadosamente para minimizar las sistemas de gestión
interrupciones en los procesos del negocio. Informe de auditoría de certificación
A.13 Seguridad de las Comunicaciones

A.13.1 Gestión de la seguridad de las redes Cumplimiento Documentos
PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
Las redes se deben gestionar y controlar para Por Requisitos del Negocio
A.13.1.1 Controles de redes proteger la información en sistemas y Sí Por operaciones criticas del Negocio MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática, - Del acceso a la Red, - De la segregación de la
aplicaciones red, - De la utilización de los recursos de Red
Se deben identificar los mecanismos de PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
seguridad, los niveles de servicio y los requisitos
de gestión de todos los servicios de red, e
A.13.1.2 Seguridad de los servicios de red Sí Por operaciones criticas del Negocio Contrato de Garantía de infraestructura
incluirlos en los acuerdos de servicio de red, ya
sea que los servicios se presenten internamente o
se contraten externamente. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Registro de eventos
Los grupos de servicios de información, usuarios y Por Requisitos del Negocio PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
A.13.1.3 Separación en las redes sistemas de información se deben separar en las Sí Por operaciones criticas del Negocio
redes. MA-GTE-010 - Manual de Gestión Tecnológica y seguridad informática - De la segregación de la red
A.13.2 Transferencia de información Cumplimiento Documentos
Se debe contar con políticas, procedimientos y

Políticas y procedimientos de transferencia controles de transferencia formales para proteger El FNG realiza operaciones de transferencia de infomración
A13.2.1 Sí Reglamento de Garantías - Protocolo de comunicaciones
de información la transferencia de información mediante el uso con sus usuarios
de todo tipo de instalaciones de comunicaciones.
Los acuerdos deben tratar la transferencia segura

Acuerdos sobre transferencia de El FNG realiza operaciones de transferencia de infomración
A13.2.2 de información del negocio entre la organización Sí Reglamento de Garantías
información. con sus usuarios
y las partes externas.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática- Del uso de los controles criptográficos, - Cuenta
Se debe proteger adecuadamente la información de Correo
A13.2.3 Mensajería electrónica Sí El FNG utiliza mensajería electrónica
incluida en la mensajería electrónica.
IN-GTE-025 Envío y visualización de correos encriptados
Se deben identificar, revisar regularmente y Por las catacterísticas del negocio y considerando que la MA-GCT -01 - Manual de Contratación - Clausulas Generales de los contratos
documentar los requisitos para los acuerdos de información es vital para todos los cargos se han definido
Acuerdos de confidencialidad o de no
A13.2.4 confidencialidad o no divulgación que reflejen las Sí condiciones contractuales con las responsabilidades sobre FR-GHU-019 Contrato de Trabajo
divulgación
necesidades de la organización para la protección el uso de la información. Esto aunado a las exigencias y
de la información. responsabilidades que establece el AGN
Reglamento interno de trabajo
A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.14.1 Requisitos de seguridad de los sistemas de información Cumplimiento Documentos
MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software - Seguridad de la Información

Los requisitos relacionados con seguridad de la
Análisis especificación de requisitos de información se deben incluir en los requisitos
A.14.1.1 Sí Por operaciones criticas del Negocio PD-GTE-ADC-014 Administracion de cambios
seguridad de la información. para nuevos sistemas de información o para
mejoras a los sistemas de información existentes.
MA-GQU-001 - Manual del sistema de Gestion Integrado - Desarrollo Seguro
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática. - Del uso de los controles criptográficos
La información involucrada en los servicios de las
aplicaciones que pasan sobre redes publicas se Por Requisitos del Negocio PD-GTE- 005 Procedimiento Administración de seguridad
Seguridad de servicios de las aplicaciones en
A.14.1.2 debe proteger de actividades fraudulentas, Sí Por operaciones criticas del Negocio
redes publicas.
disputas contractuales y divulgación y PD-GTE- 005 Procedimiento Administración de seguridad
modificación no autorizadas.
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la seguridad de los servicios tecnológicos
la información involucrada en las transacciones

de los servicios de las aplicaciones se debe
proteger para evitar la transmisión incompleta, el Por Requisitos del Negocio
Protección de transacciones de los servicios
A.14.1.3 enrutamiento errado, la alteración no autorizada Sí Por operaciones criticas del Negocio Reglamento de Garantías - Protocolo de comunicaciones
de las aplicaciones
de mensajes, la divulgación no autorizada y la
duplicación o reproducción de mensajes no
autorizada.
A.14.2 Seguridad en los procesos de desarrollo y de soporte Cumplimiento Documentos

Se deben establecer y aplicar reglas para el MA-GQU-001 - Manual del sistema de Gestion Integrado - Desarrollo Seguro
En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.1 Política de desarrollo seguro desarrollo de software y de sistemas, a los Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software.
desarrollos dentro de la organización
PD-GTE-016 Gestión de incidentes, cambios y mejoras
Los cambios a los sistemas dentro del ciclo de PD-GTE-016 Gestión de incidentes, cambios y mejoras
Procedimientos de control de cambios en vida de desarrollo se deben controlar mediante el En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.2 Sí
sistemas uso de procedimientos formales de control de
MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software - Elaboración de la historia de usuario o especificación
cambios.
funcional
MA-GQU-001 - Manual del sistema de Gestion Integrado - Desarrollo Seguro

Cuando se cambian las plataformas de operación,
se deben revisar las aplicaciones criticas del
Revisión técnica de las aplicaciones después En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.3 negocio, y someter a prueba para asegurar que no Sí PD-GTE-016 Gestión de incidentes, cambios y mejoras
de cambios en la plataforma de operación.
haya impacto adverso en las operaciones o
seguridad de la organización.
MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software - Pruebas
Se deben desalentar las modificaciones a los MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Gestión de Cambios
Restricciones en los cambios a los paquetes paquetes de software los cuales se deben limitar En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.4 Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software
de software a los cambios necesarios y todos los cambios se
deben controlar estrictamente.
PD-GTE-ADC-014 Administración de Cambios
Se deben establecer , documentar y mantener

Principios de construcción de los sistemas principios para la construcción de sistemas En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.5 Sí MA-GQU-001 - Manual del sistema de Gestion Integrado - Desarrollo Seguro
seguros seguros y aplicarlos a cualquier actividad de
implementación de sistemas de información.
MA-GQU-001 - Manual del sistema de Gestion Integrado- Desarrollo Seguro

Las organizaciones deben establecer y proteger MA-GQU-001 - Manual del sistema de Gestion Integrado- Desarrollo Seguro
adecuadamente los ambientes de desarrollo
En el FNG se gestionan actividades asociadas a desarrollo. MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software - Pruebas
A.14.2.6 Ambiente de desarrollo seguro seguros para las actividades de desarrollo e Sí
integración de sistemas que comprendan todo el MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software
ciclo de vida de desarrollo de sistemas. MA-GQU-001 - Manual del sistema de Gestion Integrado - Desarrollo Seguro
PD-GTE-014 Administración de Cambios
PD-GCT-ECT-018 Ejecución de Contratos
La organización debe supervisar y hacer
En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.7 Desarrollo contratado externamente seguimiento de la actividad de desarrollo de Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Gestión de Proveedores
sistemas contratados externamente.
MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software - Desarrollo externo de software
MA-GQU-001 - Manual del sistema de Gestion Integrado- Desarrollo Seguro
Durante el desarrollo se deben llevar a cabo En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.8 Pruebas de seguridad de sistemas Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software - Pruebas
pruebas de funcionalidad de seguridad.
PD-GTE-ICM-016 Gestion de incidentes cambios y mejoras.
Para los sistemas de información nuevos, PD-GTE-ICM-016 Gestion de incidentes cambios y mejoras.
actualizaciones y nuevas versiones, se deben En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.9 Prueba de aceptación de sistemas Sí
establecer programas de prueba para aceptación
y criterios de aceptación relacionados. Reglamento de Garantías
A.14.3 Datos de prueba Cumplimiento Documentos
Los datos de prueba se deben seleccionar, En el FNG se gestionan actividades asociadas a desarrollo.
A.14.3.1 Protección de datos de prueba Sí MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software
proteger y controlar cuidadosamente.
A.15 Relaciones con los proveedores

A.15.1 Seguridad de la información en las relaciones con los proveedores Cumplimiento Documentos
MA-GTC-001 - Manual de Contratación
Los requisitos de seguridad de la información MA-GTC-001 - Manual de Contratación
Política de seguridad de la información para para mitigar los riesgos asociados con el acceso El FNG mantiene relaciones contractuales con proveedores MA-GTC-001 - Manual de Contratación
A.15.1.1 Sí
las relaciones con proveedores de proveedores a los activos de la organización se que tienen acceso a los activos de la organización Pólizas
deben acordar con estos y se deben documentar.
PD-GCT-ECT-018 Ejecución de Contratos
PD-GCT-ECT-018 Ejecucción de Contratos
Se deben establecer y acordar todos los MA-GTC-001 - Manual de Contratación
requisitos de seguridad de la información Pólizas
El FNG mantiene relaciones contractuales con proveedores
Tratamiento de la seguridad dentro de los pertinentes con cada proveedor que pueda tener
A.15.1.2 Sí que tienen acceso a los activos de la organización PD-GCT-ECT-018 Ejecucción de Contratos
acuerdos con proveedores acceso, procesar, almacenar, comunicar o
suministrar componentes de infraestructura de TI PD-GCT-ECT-018 Ejecucción de Contratos
para la información de la organización. Contrato con proveedores
Contrato - Matriz de riesgos de contratación

Los acuerdos con los proveedores deben incluir
requisitos para tratar los riesgos de seguridad de MA-GTE-003 Metodología Ciclo de Vida del desarrollo de software - Seguridad de la información
Cadena de suministro de tecnología de El FNG mantiene relaciones contractuales con proveedores
A.15.1.3 la información asociados con la cadena de Sí
información y comunicación que tienen acceso a los activos de la organización
suministro de productos y servicios de tecnología MA-SJU-001 Manual de políticas para el tratamiento de datos personales del FNG
de información y comunicación.
Contrato - Matriz de riesgos de contratación
A.15.2 Gestión de la prestación de servicios de proveedores Cumplimiento Documentos
Las organizaciones deben hacer seguimiento, El FNG mantiene relaciones contractuales con proveedores
Seguimiento y revisión de los servicios de los
A.15.2.1 revisar y auditar con regularidad la prestación de Sí que tienen acceso a los activos de la organización PD-GCT-ECT-018 Ejecucción de Contratos
proveedores
servicios de los proveedores.
Se deben gestionar los cambios en el suministro MA-GTC-001 - Manual de Contratación

de servicios por parte de los proveedores,
incluido el mantenimiento y la mejora de las
El FNG mantiene relaciones contractuales con proveedores
Gestión de cambios en los servicios de los políticas, procedimientos y controles de
A.15.2.2 Sí que tienen acceso a los activos de la organización PD-GCT-ECT-018 Ejecucción de Contratos
proveedores seguridad de la información existentes, teniendo
en cuenta la criticidad de la información, sistemas
y procesos del negocio involucrados y la
reevaluación de los riesgos. MA-GTC-001 - Manual de Contratación
A.16 Gestión de incidentes de seguridad de la información.

A.16.1 Gestión de incidentes y mejoras en la seguridad de la información. Cumplimiento Documentos
Se deben establecer las responsabilidades y

procedimientos de gestión para asegurar una El FNG cumple con directrices de las autoridades
A.16.1.1 Responsabilidades y procedimientos Sí
respuesta rápida, eficaz y ordenada a los relacionadas con el reporte de eventos de riesgo operativo
incidentes de seguridad de la información.
Los eventos de seguridad de la información se

Reporte de eventos de seguridad de la El FNG cumple con directrices de las autoridades
A.16.1.2 deben informar a través de los canales de gestión Sí
información. relacionadas con el reporte de eventos de riesgo operativo
apropiados, tan pronto como sea posible.
Se debe exigir a todos los empleados y

contratistas que usan los servicios y sistemas de
Reporte de debilidades de seguridad de la información de la organización, que observen y El FNG cumple con directrices de las autoridades
A.16.1.3 Sí
información reporten cualquier debilidad de seguridad de la relacionadas con el reporte de eventos de riesgo operativo
información observada o sospechada en los
sistemas o servicios.
MA-GQU-004 - Manual de Gestión de Incidentes de Seguridad de la Información
Los eventos de seguridad de la información se PD-GTE-ICM-016 Gestión de Incidentes, Cambios y Mejoras

Evaluación de eventos de seguridad de la deben evaluar y se debe decidir si se van a El FNG cumple con directrices de las autoridades
A.16.1.4 Sí
información y decisiones sobre ellos clasificar como incidentes de seguridad de la relacionadas con el reporte de eventos de riesgo operativo PD-GQU-003 - Atención a incidentes de Seguridad de la Información
información.
Se debe dar respuesta a los incidentes de

Respuesta a incidentes de seguridad de la El FNG cumple con directrices de las autoridades
A.16.1.5 seguridad de la información de acuerdo con los Sí
información relacionadas con el reporte de eventos de riesgo operativo
procedimientos documentados.
El conocimiento adquirido al analizar y resolver

Aprendizaje obteniendo de los incidentes de incidentes de seguridad de la información se El FNG cumple con directrices de las autoridades
A.16.1.6 Sí
seguridad de la información. debe usar para reducir la posibilidad o el impacto relacionadas con el reporte de eventos de riesgo operativo
de incidentes futuros.
La organización debe definir y aplicar

procedimientos para la identificación, El FNG cumple con directrices de las autoridades
A.16.1.7 Recolección de evidencia Sí
recolección, adquisición y preservación de relacionadas con el reporte de eventos de riesgo operativo
información que pueda servir como evidencia.
A.17 Aspectos de Seguridad de la Información de la Gestión de Continuidad de Negocio
A.17.1 Continuidad de seguridad de la información Cumplimiento Documentos
MA-GRI-003 - Manual del Plan de Continuidad del Negocio
La organización debe determinar sus requisitos
para la seguridad de la información y la
Planificación de la continuidad de la El FNG ha definido un plan de continuida del negocio para
A.17.1.1 continuidad de la gestión de la seguridad de la Si Contrato con Datacenter
seguridad de la información reestablecer la operación critica en situación de crisis
información en situaciones adversas, por ejemplo
durante una crisis o desastre.
PL-GHU-001 - Plan de Emergencias del FN
La organización debe establecer, documentar, MA-GRI-003 - Manual del Plan de Continuidad del Negocio
implementar y mantener procesos,
Implementación de la continuidad de la El FNG ha definido un plan de continuida del negocio para
A.17.1.2 procedimientos y controles para asegurar el nivel Si
seguridad de la información reestablecer la operación critica en situación de crisis
de continuidad requerido para la seguridad de la
información durante una situación adversa. PL-GHU-001 - Plan de Emergencias del FN

La organización debe verificar a intervalos
Verificación, revisión y evaluación de la regulares los controles de continuidad de la
El FNG ha definido un plan de continuida del negocio para
A.17.1.3 continuidad de la seguridad de la seguridad de la información establecidos e Si Contrato con Datacenter
reestablecer la operación critica en situación de crisis
información. implementados con el fin de asegurar que son
validos y eficaces durante situaciones adversas.
A.17.2 Redundancias Cumplimiento Documentos
Las instalaciones de procesamiento de MA-GRI-003 - Manual del Plan de Continuidad del Negocio
Disponibilidad de instalaciones de información se deben implementar con
A.17.2.1 Si Por operaciones criticas del Negocio Estrategias de contingencias tecnologicas.
procesamiento de información redundancia suficiente para cumplir los requisitos
de disponibilidad. BIA
A.18 Cumplimiento
A.18.1 Cumplimiento de requisitos legales y contractuales Cumplimiento Documentos
PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG
Normograma FNG
Todos los requisitos estatutarios, reglamentarios
y contractuales pertinentes y el enfoque de la Circulares normativas y Resoluciones FNG.
Identificación de la legislación aplicable y de organización para cumplirlos se deben identificar
A.18.1.1 Sí Por Requisitos Legales y Contractuales PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG .
los requisitos contractuales y documentar explícitamente, y mantenerlos
actualizados para cada sistema de información y MA-GFI-001 Manual de Políticas contables
para la organización.
PD-SJU-ECJ-003 Emisión de conceptos Jurídicos
PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG .
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Cumplimiento de requerimientos legales para
Se deben implementar procedimientos derechos de autor, privacidad y comercio electrónico
apropiados para asegurar el cumplimiento de los
requisitos legislativos de reglamentación y
A.18.1.2 Derechos de propiedad intelectual Si Por Requisitos Legales y Contractuales MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática Del uso del Software Propiedad de la entidad.
contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de
software patentados.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - De la seguridad de los servicios tecnológicos.
PD-AGA-FAC-004 Facturación
IN-AGA-040 Validaciones proceso de facturación
PD-AGA-FAC-004 Facturación
IN-AGA-040 Validaciones proceso de facturación
MA-SCL-003 Manual de Políticas Casos Excepcionales
PD-AGA-RLA-020 Reclamación, liquidación y aprobación para pago de garantías
IN-AGA-014 Validaciones calidad de datos
PD-GCO-VCC-006 Vinculación y conocimiento de clientes
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG
MA-GHU-007 Manual Específico de Funciones y Competencias Laborales
PD-GFI-ACH-019 Administración de cheques
MA-GFI-003 Manual de Caja y Bancos
PD-GFI-ACH-019 Administración de cheques
Los registros se deben proteger contra perdida, MA-GFI-003 Manual de Caja y Bancos
destrucción, falsificación, acceso no autorizado y FR-GDO-010 Diligencias Subdirección Operaciones de tesoreria
A.18.1.3 Protección de registros liberación no autorizada, de acuerdo con los Sí Por Requisitos Legales y Contractuales MA-GFI-003 Manual de Caja y Bancos
requisitos legislativos de reglamentación MA-GDO-003 Programa Gestión Documental
contractuales y de negocio. PD-GDO-CPA-012 Consulta y préstamo de archivos
PD-GME-CPE-008 Creación de programas especiales
Carta de Instrucciones de los bancos
MA-GPO-001 Manual de Operaciones de Tesoreria - Grabación de Llamadas
PD-GTE-GVL-012 Grabación y verificación de llamadas
MA-GPO-001 Manual de Operaciones de Tesoreria
FR-GPO-009 Acta de arqueo diario Portafolio de Inversiones
FR-GPO-010 Acta de arqueo mensual Portafolio de Inversiones
PD-GRI-SRM-034 Seguimiento y control de riesgo de mercado
PD-SCL-LMD-007 Liquidación de mandatos
MA-SJU-001 Manual de políticas para el tratamiento de datos personales del FNG

Se deben asegurar la privacidad y la protección de
Privacidad y protección de información de la información de datos personales, como se Procedimientos de Bienes y servicios
A.18.1.4 Sí Por Requisitos Legales y Contractuales
datos personales exige en la legislación y la reglamentación
MA-SAD-002 Manual para el control e acceso y permanencia en las instalaciones del FNG
pertinentes, cuando sea aplicable.
FR-GHU-071 Documentos de ingreso y autorización Tratamiento de datos personales
FR-GHU-019 Contrato de trabajo
MA-SJU-001 Manual de políticas para el tratamiento de datos personales del FNG

Por operaciones criticas del Negocio
Se deben usar controles criptográficos, en
Por Actividades de operación tecnologica que hacen parte
A.18.1.5 Reglamentación de controles criptográficos cumplimiento de todos los acuerdos, legislación y Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del uso de los controles criptográfico
del core del negocio.
reglamentación pertinentes.
Por Requisitos del Negocio y Alineación con los procesos
del negocio.
A.18.2 Revisiones de seguridad de la información Cumplimiento Documentos
El enfoque de la organización para la gestión de la

seguridad de la información y su implementación MA-GQU-001 - Manual del sistema de Gestion Integrado - Medición Analisis y Mejora.
(es decir los objetivos de control, los controles,
Revisión independiente de la seguridad de la las políticas, los procesos y los procedimientos El FNG cuenta con procesos formales de auditoria a la
A.18.2.1 Sí
información para seguridad de la información) se deben gestión de la entidad
revisar independientemente a intervalos
planificados o cuando ocurran cambios PD-ESP-AIS-001 Auditorías Internas al Sistema de Gestión Integrado
significativos.
MA-GQU-001 - Manual del sistema de Gestion Integrado-Seguridad de la Información

Los directores deben revisar con regularidad el
cumplimiento del procesamiento y MA-ESP-004 Manual de Auditoría
Por direccionamiento estrategico del FNG, Alineación con
Cumplimiento con las políticas y normas de procedimientos de información dentro de su área
A.18.2.2 Sí los Procesos corporativos , lineamientos del gobierno, GEL, MA-ESP-002 Código de Etica de la Oficina de Control Interno
seguridad de responsabilidad, con las políticas y normas de
Conpes 3854-Política Nacional de Seguridad Digital.
seguridad apropiadas y cualquier otro requisito MA-ESP-003 Estatuto de Auditoría Interna de la Oficina de Control Inteno
de seguridad.
PD-ESP-AIS-001 Auditorías Internas al Sistema de Gestión Integrado
PD-GTE-ASE-005 Administración de Seguridad
Los sistema de información se deben revisar PD-ESP-AIS-001 Auditorías Internas al Sistema de Gestión Integrado
Por direccionamiento estratégico del FNG, Alineación con
periódicamente para determinar el cumplimiento
A.18.2.3 Revisión del cumplimiento técnico Sí los Procesos corporativos , lineamientos del gobierno, GEL, Informe de auditoría de certificación
con las políticas y normas de seguridad de la
Conpes 3854-Política Nacional de Seguridad Digital.
información. PD-ESP-AIN-002 Auditorías de Gestión al Sistema de Control Interno
MA-GHU-007 Manual de Funciones

Declaración de Aplicabilidad - SOA - FNG

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Declaración de Aplicabilidad - SOA - FNG

Загружено:

Авторское право:

Доступные форматы

DECLARACIÓN DE APLICABILIDAD (SOA) ISO 27001:2013 Anexo A

A5 Políticas de la Seguridad de la Información

MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Dispositivos móviles

MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la instalación de software

MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Seguridad de la Información

Contrato con proveedores

MA-GQU-001 - Manual del Sistema de Gestión Integrado - Desarrollo Seguro

MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software

MA-GQU-001 - Manual del Sistema de Gestión Integrado - Desarrollo Seguro

MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Desarrollo

PD-GTE-014 Administración de Cambios

MA-GDO-003 Programa de Gestión Documental- Políticas relacionadas con seguridad de la información

MA-GQU-001 - Manual del Sistema de Gestión Integrado - Desarrollo Seguro

IN-GTE-014 Borrado de Información Equipo de Escritorio

Contrato de Custodia de Medios Magnéticos

PD-GTE-019 Cifrado de la información

MA-GQU-001 - Manual del Sistema de Gestión Integrado - Inventario de Activos

MA-GDO-003 Programa de Gestión Documental - Clasificación de los activos de información

PD-SAD-002 Administración de activos fijos

MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del acceso a la información

PD-GTE-006 Administración de usuarios

PD-GTE-018 Gestión de logs

PD-GTE-018 Gestión de logs

PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones

MA-GDO-003 Programa de Gestión Documental - Etiquetado de la Información

MA-GQU-004 - Manual de Gestión de Incidentes de Seguridad de la Información

PD-GTE-016 Gestión de Incidentes Cambios y mejoras

PD-GQU-003 - Atención a incidentes de Seguridad de la Información

IN-GTE-002 Sincronización Horario de los Sistemas

MA-GTE-003 Metodología Ciclo de Vida de Desarrollo de Software - Pruebas

PD-GTE-007 Instalación de Hardware o Software

A6 Organización de la seguridad de la información

MA-GTE-006 Manual para la Administración de usuarios

MA-GQU-001 - Manual del sistema de Gestión Integrado. - Segregación de Funciones

PD-GTE-AUS-006 Administración de Usuarios

Matrices de Roles y Perfiles

Los deberes y áreas de responsabilidad en MA-GTC-001 Manual de Contratación

Matriz de Roles y Perfiles SAP y CUD

MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales

PD-GCA-007 Identificación y aplicación de Ingresos

IN-GCA-001 Identificación y Aplicación de Ingresos

PD-GCA-009 Otorgación de Paz y salvos

Se deben mantener contactos apropiados con

MA-GTC-001 Manual de Contratación

Se debe implementar una política y unas medidas

A7 Seguridad de los Recursos Humanos

PD-GHU-VTO-022 Vinculación de personal por la Temporal y/o Outsourcing.

MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales

PD-GHU-VTO-022 Vinculación de personal por la Temporal y/o Outsourcing.

PD-GHU-SVI-024 Selección, Vinculación e Inducción del Personal

Por las características del negocio y considerando que la

A.7.2 Durante la ejecución del empleo Cumplimiento Documentos

MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Gestión de la Seguridad.

Plan de Capacitación Anual.

PD-ESP-CDO-006 Control Interno Disciplinario.

A.8 Gestión Activos

PD-SAD-002 Administración de Activos Fijos

PD-SAD-002 Administración de Activos Fijos

PD-SAD-002 Administración de Activos Fijos

Informe detallado de los activos fijos en el que se relacionan faltantes y sobrantes

PD-SAD-002 Administración de Activos Fijos

PD-SAD-002 Administración de Activos Fijos

Se debe desarrollar e implementar un conjunto

MA-GDO-003 Programa de Gestión Documental - Clasificación de los activos de información