Академический Документы
Профессиональный Документы
Культура Документы
Sección Control Descripción del Control Aplica Justificación Desde el Negocio Justificación de la Inclusión
A.5.1 Orientación de la dirección para la gestión de la seguridad de la información. Aplica Razón para la selección / Justificación Documentos
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del uso de los controles criptográficos
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Contacto con Autoridades y grupos de interés
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Puesto de trabajo limpio y pantalla segura
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la seguridad y el uso adecuado de los equipos
propiedad del FNG
Actos Administrativos de Comités de Alta Dirección (CCSCI, Operaciones del SGI, Proyectos, Presidencia, etc.)
Se debe definir un conjunto de políticas para la
En el FNG los Sistemas de Gestión cuenta con directrices
seguridad de la información, aprobada por la
A.5.1.1 Políticas para la seguridad de la información Sí establecidas por la alta dirección que funcionen como base MA-GQU-001 - Manual del Sistema de Gestión Integrado - Roles, responsabilidades y separación de deberes
dirección, publicada y comunicada a los
para la implementación del dichos sistemas
empleados y las partes externas pertinentes.
MA-GHU-007 Manual Específico de Funciones y Competencias Laborales
Reglamento de Garantías
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Sobre la salida o ingreso de
los activos fijos tecnológicos y demás equipos de computo del FNG
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Puesto de trabajo limpio y pantalla segura
Actos Administrativos de conformación del CCSCI, Comité de Operaciones de SGSI, Comité de datos personales
Las políticas para la seguridad de la información
Existe un procedimiento de Revisión por la Dirección que
Revisión de las políticas para la seguridad de se deben revisar a intervalos planificados o si
A.5.1.2 Sí incluye la responsabilidad de validar periódicamente el Actas del CCCI, Comité de Operaciones de SGSI, Comité de datos personales
la información ocurren cambios significativos, para asegurar su
estado de los sistemas de gestión
conveniencia, adecuación y eficacia continuas.
PR- GES-006 Revisión por la Dirección al SGI
Actos Administrativos de Comités de Alta Dirección (CCSCI, Operaciones del SGI, Proyectos, Presidencia, etc.)
Se deben definir y asignar todas las En el FNG se encuentran conformados diferentes comités
Roles y responsabilidades para la seguridad
A.6.1.1 responsabilidades de la seguridad de la Sí de alta dirección y de operación a los cuales se les deben MA-GHU-007 Manual Especifico de Funciones y Competencias Laborales.
de la información
información. atribuir funciones relacionadas con el SGSI
MA-GQU-001 - Manual del Sistema de Gestión Integrado - Roles, responsabilidades y separación de deberes
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del acceso a la información, - De la utilización de
los recursos de red
MA-GQU-001 - Manual del sistema de Gestión Integrado. - Compromisos de la Dirección del SGI.
Las responsabilidades y los deberes de seguridad Por las características del negocio y considerando que la
de la información que permanecen validos información es vital para todos los cargos se han definido
Terminación o cambio de responsabilidades FR-GHU-019 Contrato de Trabajo
A.7.3.1 después de la terminación o cambio de empleo se Sí condiciones contractuales con las responsabilidades sobre
de empleo
deben definir, comunicar al empleado o el uso de la información. Esto aunado a las exigencias y
contratista y se deben hacer cumplir responsabilidades que establece el AGN
MA-GQU-001 - Manual del sistema de Gestión Integrado - Política puesto de trabajo limpio y pantalla segura
Se deben implementar procedimientos para la
gestión de medios removibles, de acuerdo con el Algunas Áreas/funcionarios de la entidad usan dispositivos
A.8.3.1 Gestión de medios removibles Sí MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - De los medios removibles
esquema de clasificación adoptado por la móviles para la ejecución de sus labores
organización.
MA-GQU-001 - Manual del sistema de Gestión Integrado - Política puesto de trabajo limpio y pantalla segura
Los medios que contienen información se deben Contrato de Custodia de Medios Magnéticos
A.8.3.3 Transferencia de medios físicos proteger contra acceso no autorizado, uso Sí Por requisitos legales, cumplimiento de la ley de archivo
indebido o corrupción durante el transporte.
MA-GDO-003 Programa de Gestión Documental - Transferencias
MA-SAD-002 - Manual para el Control de Acceso y Permanencia en las Instalaciones del FNG
Por Requisitos del Negocio MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Utilización de recursos de red
Solo se debe permitir acceso de los usuarios a la
Por operaciones criticas del Negocio
A.9.1.2 Acceso a redes y a servicios de red red y a los servicios de red para los que hayan Sí
Por Actividades de operación tecnológica que hacen parte
sido autorizados específicamente.
del core del negocio. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del acceso a la red
Se debe restringir y controlar la asignación y uso. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática- Usuario y clave de red
Gestión de los derechos de acceso con privilegios El FNG tiene definidas directrices para registrar y cancelar
A.9.2.3 Gestión de derechos de acceso privilegiado Sí MA-GTE-006 Manual para la administración de usuarios
especiales: La asignación y uso de derechos de usuarios cuando corresponda.
acceso con privilegios especiales debería ser
restringido y controlado. Crear Instructivo SGD
Los propietarios de los activos deben revisar los MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
Revisión de los derechos de acceso de El FNG tiene definidas directrices para registrar y cancelar
A.9.2.5 derechos de acceso de los usuarios, a intervalos Sí
usuarios usuarios cuando corresponda.
regulares. MA-GTE-006 Manual para la administración de usuarios
Se debe exigir a los usuarios que cumplan las El FNG maneja autenticación secreta en varias de sus MA-GTE-006 Manual para la administración de usuarios
Uso de la información de autenticación
A.9.3.1 practicas de la organización para el uso de Sí aplicaciones por lo que ha generado directrices para su
secreta
información de autenticación secreta gestión. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
A.9.4 Control de acceso a sistemas y aplicaciones Cumplimiento Documentos
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática.- De la seguridad y uso adecuado de los equipos
El acceso a la información y a las funciones de los propiedad del FNG.
Por Requisitos del Negocio
A.9.4.1 Restricción de acceso a la información sistemas de las aplicaciones se debe restringir de Sí
acuerdo con la política de control de acceso.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
Los sistemas de gestión de contraseñas deben ser El FNG maneja autenticación secreta en varias de sus MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Usuario y Clave de red
A.9.4.3 Sistema de gestión de contraseñas interactivos y deben asegurar la calidad de las Sí aplicaciones por lo que ha generado directrices para su
contraseñas gestión. MA-GTE-006 Manual para la administración de usuarios
Control de acceso a códigos fuente de Se debe restringir el acceso a los códigos fuente El FNG ha definido políticas de restricción de acceso a los
A.9.4.5 Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software
programas de los programas. códigos funete de los programas
A.10 Criptografía
A.10.1 Controles criptográficos Cumplimiento Documentos
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática. - Del uso de los controles criptográficos
Se debe desarrollar e implementar una política El FNG recibe y envía información a traves de diferentes
Política sobre el uso de controles
A.10.1.1 sobre el uso de controles criptográficos para la Sí mecanismos es necesario definir directrices para realizar PD-GTE-CIN-019 Cifrado de información
criptográficos
protección de la información. dichas operaciones
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Personal autorizado para el
acceso a la Boveda de Seguridad
Las áreas seguras se deben proteger mediante
El FNG cuenta con diferentes controles de acceso físicos y
A.11.1.2 Controles de acceso físicos controles de acceso apropiados para asegurar que Sí MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Acceso a áreas restringidas
los ha establecido de manea formal.
solo se permite el acceso a personal autorizado.
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Personal autorizado para el
acceso a la Boveda de Seguridad
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Acceso a áreas restringidas
Seguridad de oficinas, recintos e Se debe diseñar y aplicar seguridad física a El FNG cuenta con diferentes controles de acceso físicos y
A.11.1.3 Sí
instalaciones oficinas, recintos e instalaciones. los ha establecido de manea formal.
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG - Políticas Generales
Se deben controlar los puntos de acceso tales MA-GQU-001 - Manual del sistema de Gestion Integrado - Control de acceso, Seguridad Fisica y del entorno
como áreas de despacho y de carga y otros
puntos en donde pueden entrar personas no El FNG cuenta con áreas de despacho de correspondencia
A.11.1.6 Áreas de despacho y carga Sí MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
autorizadas, y si es posible aislarlos de las donde pueden entrar personas ajenas al negocio
instalaciones de procesamiento de información
para evitar acceso no autorizado. MA-GTE-010- Manual de Gestión tecnológica y seguridad informática - De los equipos de misión crítica
Los equipos se deben proteger contra fallas de Por Requisitos del Negocio MA-GRI-003 Manual del plan de continuidad del negocio.
A.11.2.2 Servicios de suministro energía y otras interrupciones causadas por fallas Sí Por operaciones criticas del Negocio
en los servicios de suministro
PL-GHU-001 Plan de emergencias
El FNG requiere que los equipos esten siempre en PD-GTE-009 - Mantenimiento de Equipos
Lo equipos se deben mantener correctamente
condiciones óptimas para poder cumplir con las actividades PD-SAD-002 - Administración de Activos Fijos
A.11.2.4 Mantenimiento de equipos para asegurar su disponibilidad e integridad Si
del negocio Contrato de Garantía de infraestructura
continuas.
Plan de Mantenimiento
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - Del retiro de equipos de las instalaciones del FNG
Los equipos información o software no se deben El FNG ha centralizado la autorización de retirar activos
A.11.2.5 Retiro de activos Si
retirar de su sitio sin autorización previa fisicos o tecnológicos de su sitio
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG.
MA-GQU-001 Manual del sistema de Gestion Integrado - Gestión de la capacidad / Strecth Factor
Se deben implementar controles de detección, de Por Requisitos del Negocio PD-GTE-ASE-005 Administración de seguridad
prevención y de recuperación, combinados con la Por operaciones criticas del Negocio
A.12.2.1 Controles contra códigos maliciosos Si
toma de conciencia apropiada de los usuarios, Por Actividades de operación tecnologica que hacen parte
para proteger contra códigos maliciosos. del core del negocio. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática -De los Servicios Tecnologicos.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Del almacenamiento y respaldo de la información
A.12.4 Registro y seguimiento Cumplimiento Documentos
MA-GTE-010 Manual de Gestión Tecnológica y seguridad informática - Registros (log) del administrador y del Operador
Se deben implementar procedimientos para El FNG ha centralizado la autorización de hacer uso de MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Políticas de software
Instalación de software en sistemas
A.12.5.1 controlar la instalación de software en sistemas Si programas utilitarios y de instalación de software con el fin
operativos
operativos. de garantizar la seguridad de la información
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Políticas de software
Se debe establecer e implementar las reglas para El FNG ha centralizado la autorización de hacer uso de MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Politicas de Software
Restricciones sobre la instalación de
A.12.6.2 la instalación de software por parte de los Si programas utilitarios y de instalación de software con el fin
software
usuarios. de garantizar la seguridad de la información PD-GTE-ISP-013 Instalación de Service Pack
Los requisitos y actividades de auditoria que PD-ESP-002 - Auditorias de Gestión al Sistema de Control Interno.
involucran la verificación de los sistemas El FNG debe cumplir los requisitos de auditoria exigidos
Controles de auditorias de sistemas de
A.12.7 operativos se deben planificar y acordar Si para las auditorias de gestión y las auditorias internas a
información
cuidadosamente para minimizar las sistemas de gestión
interrupciones en los procesos del negocio. Informe de auditoría de certificación
Se deben identificar los mecanismos de PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
seguridad, los niveles de servicio y los requisitos
Por Requisitos del Negocio
de gestión de todos los servicios de red, e
A.13.1.2 Seguridad de los servicios de red Sí Por operaciones criticas del Negocio Contrato de Garantía de infraestructura
incluirlos en los acuerdos de servicio de red, ya
sea que los servicios se presenten internamente o
se contraten externamente. MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Registro de eventos
Los grupos de servicios de información, usuarios y Por Requisitos del Negocio PD-GTE-008 Procedimiento de Administración de la Infraestructura de redes y comunicaciones
A.13.1.3 Separación en las redes sistemas de información se deben separar en las Sí Por operaciones criticas del Negocio
redes. MA-GTE-010 - Manual de Gestión Tecnológica y seguridad informática - De la segregación de la red
A.13.2 Transferencia de información Cumplimiento Documentos
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática- Del uso de los controles criptográficos, - Cuenta
Se debe proteger adecuadamente la información de Correo
A13.2.3 Mensajería electrónica Sí El FNG utiliza mensajería electrónica
incluida en la mensajería electrónica.
IN-GTE-025 Envío y visualización de correos encriptados
Se deben identificar, revisar regularmente y Por las catacterísticas del negocio y considerando que la MA-GCT -01 - Manual de Contratación - Clausulas Generales de los contratos
documentar los requisitos para los acuerdos de información es vital para todos los cargos se han definido
Acuerdos de confidencialidad o de no
A13.2.4 confidencialidad o no divulgación que reflejen las Sí condiciones contractuales con las responsabilidades sobre FR-GHU-019 Contrato de Trabajo
divulgación
necesidades de la organización para la protección el uso de la información. Esto aunado a las exigencias y
de la información. responsabilidades que establece el AGN
Reglamento interno de trabajo
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática. - Del uso de los controles criptográficos
La información involucrada en los servicios de las
aplicaciones que pasan sobre redes publicas se Por Requisitos del Negocio PD-GTE- 005 Procedimiento Administración de seguridad
Seguridad de servicios de las aplicaciones en
A.14.1.2 debe proteger de actividades fraudulentas, Sí Por operaciones criticas del Negocio
redes publicas.
disputas contractuales y divulgación y PD-GTE- 005 Procedimiento Administración de seguridad
modificación no autorizadas.
MA-GTE-010 Manual de Gestión tecnológica y seguridad informática - De la seguridad de los servicios tecnológicos
Los cambios a los sistemas dentro del ciclo de PD-GTE-016 Gestión de incidentes, cambios y mejoras
Procedimientos de control de cambios en vida de desarrollo se deben controlar mediante el En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.2 Sí
sistemas uso de procedimientos formales de control de
MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software - Elaboración de la historia de usuario o especificación
cambios.
funcional
Se deben desalentar las modificaciones a los MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Gestión de Cambios
Restricciones en los cambios a los paquetes paquetes de software los cuales se deben limitar En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.4 Sí MA-GTE-003 - Metodología Ciclo de Vida del Desarrollo de Software
de software a los cambios necesarios y todos los cambios se
deben controlar estrictamente.
PD-GTE-ADC-014 Administración de Cambios
Para los sistemas de información nuevos, PD-GTE-ICM-016 Gestion de incidentes cambios y mejoras.
actualizaciones y nuevas versiones, se deben En el FNG se gestionan actividades asociadas a desarrollo.
A.14.2.9 Prueba de aceptación de sistemas Sí
establecer programas de prueba para aceptación
y criterios de aceptación relacionados. Reglamento de Garantías
Los datos de prueba se deben seleccionar, En el FNG se gestionan actividades asociadas a desarrollo.
A.14.3.1 Protección de datos de prueba Sí MA-GTE-003 Metodología Ciclo de Vida del Desarrollo de Software
proteger y controlar cuidadosamente.
Las organizaciones deben hacer seguimiento, El FNG mantiene relaciones contractuales con proveedores
Seguimiento y revisión de los servicios de los
A.15.2.1 revisar y auditar con regularidad la prestación de Sí que tienen acceso a los activos de la organización PD-GCT-ECT-018 Ejecucción de Contratos
proveedores
servicios de los proveedores.
La organización debe establecer, documentar, MA-GRI-003 - Manual del Plan de Continuidad del Negocio
implementar y mantener procesos,
Implementación de la continuidad de la El FNG ha definido un plan de continuida del negocio para
A.17.1.2 procedimientos y controles para asegurar el nivel Si
seguridad de la información reestablecer la operación critica en situación de crisis
de continuidad requerido para la seguridad de la
información durante una situación adversa. PL-GHU-001 - Plan de Emergencias del FN
Las instalaciones de procesamiento de MA-GRI-003 - Manual del Plan de Continuidad del Negocio
Por Requisitos del Negocio
Disponibilidad de instalaciones de información se deben implementar con
A.17.2.1 Si Por operaciones criticas del Negocio Estrategias de contingencias tecnologicas.
procesamiento de información redundancia suficiente para cumplir los requisitos
de disponibilidad. BIA
A.18 Cumplimiento
A.18.1 Cumplimiento de requisitos legales y contractuales Cumplimiento Documentos
PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG
Normograma FNG
Todos los requisitos estatutarios, reglamentarios
y contractuales pertinentes y el enfoque de la Circulares normativas y Resoluciones FNG.
Identificación de la legislación aplicable y de organización para cumplirlos se deben identificar
A.18.1.1 Sí Por Requisitos Legales y Contractuales PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG .
los requisitos contractuales y documentar explícitamente, y mantenerlos
actualizados para cada sistema de información y MA-GFI-001 Manual de Políticas contables
para la organización.
PD-SJU-ECJ-003 Emisión de conceptos Jurídicos
PD-SJU-RAN-005 Revisión y Actualización de Normas Relacionadas con el Objeto Social del FNG .
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - Cumplimiento de requerimientos legales para
Se deben implementar procedimientos derechos de autor, privacidad y comercio electrónico
apropiados para asegurar el cumplimiento de los
requisitos legislativos de reglamentación y
A.18.1.2 Derechos de propiedad intelectual Si Por Requisitos Legales y Contractuales MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática Del uso del Software Propiedad de la entidad.
contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de
software patentados.
MA-GTE-010 - Manual de Gestión tecnológica y seguridad informática - De la seguridad de los servicios tecnológicos.
PD-AGA-FAC-004 Facturación
IN-AGA-040 Validaciones proceso de facturación
PD-AGA-FAC-004 Facturación
IN-AGA-040 Validaciones proceso de facturación
MA-SCL-003 Manual de Políticas Casos Excepcionales
PD-AGA-RLA-020 Reclamación, liquidación y aprobación para pago de garantías
IN-AGA-014 Validaciones calidad de datos
PD-GCO-VCC-006 Vinculación y conocimiento de clientes
MA-SAD-002 Manual para el control de acceso y permanencia en las instalaciones del FNG
MA-GHU-007 Manual Específico de Funciones y Competencias Laborales
PD-GFI-ACH-019 Administración de cheques
MA-GFI-003 Manual de Caja y Bancos
PD-GFI-ACH-019 Administración de cheques
Los registros se deben proteger contra perdida, MA-GFI-003 Manual de Caja y Bancos
destrucción, falsificación, acceso no autorizado y FR-GDO-010 Diligencias Subdirección Operaciones de tesoreria
A.18.1.3 Protección de registros liberación no autorizada, de acuerdo con los Sí Por Requisitos Legales y Contractuales MA-GFI-003 Manual de Caja y Bancos
requisitos legislativos de reglamentación MA-GDO-003 Programa Gestión Documental
contractuales y de negocio. PD-GDO-CPA-012 Consulta y préstamo de archivos
PD-GDO-CPA-012 Consulta y préstamo de archivos
PD-GDO-CPA-012 Consulta y préstamo de archivos
PD-GDO-CPA-012 Consulta y préstamo de archivos
MA-GFI-003 Manual de Caja y Bancos
PD-GME-CPE-008 Creación de programas especiales
MA-GFI-003 Manual de Caja y Bancos
Carta de Instrucciones de los bancos
MA-GPO-001 Manual de Operaciones de Tesoreria - Grabación de Llamadas
PD-GTE-GVL-012 Grabación y verificación de llamadas
MA-GPO-001 Manual de Operaciones de Tesoreria
FR-GPO-009 Acta de arqueo diario Portafolio de Inversiones
FR-GPO-010 Acta de arqueo mensual Portafolio de Inversiones
PD-GRI-SRM-034 Seguimiento y control de riesgo de mercado
PD-SCL-LMD-007 Liquidación de mandatos
MA-SJU-001 Manual de políticas para el tratamiento de datos personales del FNG