Declaración de Aplicabilidad

Controles Controles que aplican: 103

Fecha de Edición

Código

N°

Objetivo  /CONTROL

ESTADO

DE D ESCRIPCIÓN DEL CONTROL Un conjunto de políticas para la seguridad de la información dee ser definido! aproado por la dirección! pulicado " comunicado a los empleados " partes e#ternas rele$antes.

 A.5.l.l

Políticas para la   seguridad de la información

 A.5.1.2

%e$isión de las políticas   para la seguridad de la información

Implementado

&as políticas de seguridad de la información deen re$isarse a inter$alos planificados o siempre 'ue se produ(can camios significati$os! a fin de asegurar 'ue se mantenga su idoneidad! adecuación " eficacia.

 A.6.1.1

%oles " responsailidades en   de la seguridad información

Implementado

)odas las responsailidades en seguridad de la información deen ser definidas " asignadas.

Implementado

1

2

3

 A.6.1.2

Segregación de tareas   Implementado

&as funciones " *reas de responsailidad deen segregarse para reducir la posiilidad de 'ue se produ(can modificaciones no autori(adas o no intencionadas o usos indeidos de los acti$os de la organi(ación.

4 5

 A.6.1.3

+ontacto   con las autoridades

 A.6.1.4

+ontacto con grupos   especial de inter-s

 A.6.1.5

Seguridad de la información   en la gestión de pro"ectos

Implementado

,een mantenerse los contactos apropiados con las autoridades pertinentes.

Implementado

,een mantenerse los contactos apropiados con grupos de inter-s especial! u otros foros " asociaciones profesionales especiali(ados en seguridad

Implementado

&a seguridad de la información dee tratarse dentro de la gestión de pro"ectos! independientemente de la naturale(a del pro"ecto.

6

7

 A.6.2.1

Política de  dispositi$os mó$iles

Implementado

Se dee adoptar una política " unas medidas de seguridad adecuadas para la protección contra los riesgos de la utili(ación de dispositi$os mó$iles.

8

 A.6.2.2

No aplica

)eletraajo

Se dee implementar una política " unas medidas de seguridad adecuadas para proteger la información accedida! tratada o almacenada en en empla(amientos empla(amientos de teletraajo.

9

 A..1.1

/n$estigación de   antecedentes

Implementado

&a comproación de los antecedentes de todos los candidatos al puesto de traajo se dee lle$ar a cao de acuerdo con las le"es! normas " códigos -ticos 'ue sean de aplicación " dee ser proporcional a las necesidades del negocio! la clasificación de la información a la 'ue se accede " los riesgos perciidos.

Implementado

+ómo parte de sus oligaciones contractuales! los empleados " contratistas deen estalecer los t-rminos " condiciones de su contrato de traajo en lo 'ue respecta a la seguridad de la información! tanto 0acia el empleado como 0acia la organi(ación

Implementado

&a dirección dee e#igir a los empleados " contratistas! 'ue apli'uen la seguridad de la información de acuerdo con las políticas " procedimientos estalecidos en la organi(ación

10

 A..1.2

)-rminos condiciones   empleo

" del

11

 A..2.1

%esponsailidades de gestión  

12

 A..2.2

13

+oncienciación! educación "   capacitación en seguridad de la información

Viente

)odos los empleados de la organi(ación "! cuando corresponda! los contratistas! deen reciir una adecuada educación! concienciación " capacitación con actuali(aciones periódicas sore las políticas " procedimientos de de la organi(ación! segn corresponda a su puesto de traajo.

 A..2.3

Proceso disciplinario

 

Implementado

,ee e#istir un proceso disciplinario formal 'ue 0a"a sido comunicado a los empleados! 'ue recoja las acciones a tomar ante a'uellos 'ue 0a"an pro$ocado alguna rec0a de seguridad.

14

 A..3.1

%esponsailidades ante la finali(ación   o camio

Implementado

&as responsailidades en seguridad de la información " oligaciones 'ue siguen $igentes despu-s del camio o finali(ación del empleo deen definirse! comunicarse al empleado o contratista " se deen cumplir.

Implementado

&os acti$os asociados a la información " a los recursos para el tratamiento de la información deen estar claramente identificados " dee elaorarse " mantenerse un in$entario

Implementado

)odos los acti$os 'ue fi guran en el in$entario deen tener un propietario.

Implementado

Se deen identificar! documentar e implementar las reglas de uso aceptale de la información " de los acti$os asociados con los recursos para el tratamiento de la información.

15

 A..1.1

/n$entario de acti$os acti$os

 A..1.2

Propiedad   de los acti$os

 

16

17

 A..1.3

Uso aceptale de los   acti$os

18

 A..1.4

,e$olución de acti$os   Implementado

19

 A..2.l

+lasificación de la   información

Implementado

&a información dee ser clasificada en t-rminos de la importancia de su re$elación frente a re'uisitos legales! $alor! sensiilidad " criticidad ante re$elación o modificación no autori(adas.

Implementado

,ee desarrollarse e implantarse un conjunto adecuado de procedimientos para eti'uetar la información! de acuerdo con el es'uema de clasificación adoptado por la organi(ación.

20

 A..2.2

21

ti'uetado   de la información

)odos los empleados " terceras partes deen de$ol$er todos acti$os de la organi(ación 'ue est-n en su poder al finali(ar su empleo! contrato o acuerdo.

 A..2.3

anipulado de la   información

Implementado

,ee desarrollarse e implantarse un conjunto adecuado de procedimientos para la manipulación de la información! de acuerdo con el es'uema de clasificación adoptado por la organi(ación

Implementado

Se deen implementar procedimientos para la gestión de los soportes e#traíles! de acuerdo con el es'uema de clasificación adoptado por la organi(ación

Implementado

&os soportes deen eliminarse de forma segura cuando "a no $a"an a ser necesarios! mediante procedimientos formales.

Implementado

,urante el transporte fuera de los límites físicos de la organi(ación! los soportes 'ue contengan información deen estar estar protegidos contra accesos no autori(ados

Implementado

Se dee estalecer! documentar " re$isar una política de control de acceso asada en los re'uisitos de negocio " de seguridad de la información.

Implementado

7nicamente se dee proporcionar a los usuarios el acceso a las redes " a los ser$icios en red para cu"o uso 0a"an sido específicamente autori(ados.

Implementado

,ee implantarse un procedimiento formal de registro " retirada de usuarios 'ue 0aga posile la asignación de los derec0os de acceso.

22

 A.3.1

estión de   soportes e#traíles

 A..3.2

liminación de   soportes

23

24

 A..3.3

Soportes  físicos en tr*nsito

25

 A..1.1

Política de   control de acceso

26

 A..1.2

 Acceso a las   redes " a los ser$icios de red

 A..2.1

%egistro  " aja de usuario

27

28

 A..2.2

Pro$isión de   acceso de usuario

Implementado

,ee implantarse un procedimiento formal para asignar o re$ocar los derec0os de acceso para todos los tipos de usuarios de todos los sistemas " ser$icios.

 A..2.3

estión de  pri$ilegios de acceso

Implementado

&a asignación " el uso de pri$ilegios de acceso dee estar restringida " controlada.

29

30

 A..2.4

estión de la información   secreta de autenticación de los usuarios

Implementado

&a asignación de la información secreta de autenticación dee ser controlada a tra$-s de un proceso formal de gestión.

 A..2.5

%e$isión de los   acceso de derec0os de usuario

Implementado

&os propietarios de los acti$os acti$os deen re$isar los derec0os de acceso de usuario a inter$alos regulares

implementado

&os derec0os de acceso de todos los empleados " terceras partes! a la información " a los recursos de tratamiento de la información deen ser retirados a la finali(ación del empleo! del contrato o del acuerdo! o ajustados en caso de camio

Implementado

Se dee re'uerir a los usuarios 'ue sigan las pr*cticas de la organi(ación en el uso de la información secreta de autenticación.

Implementado

Se dee restringir el acceso a la información " a las funciones de las aplicaciones! de acuerdo con la política de control de acceso definida

Implementado

+uando así se re'uiera en la política de control de acceso! el acceso a los sistemas " a las aplicaciones se dee controlar por medio de un procedimiento seguro de inicio de sesión.

Implementado

&os sistemas para la gestión de contrase8as deen ser interacti$os " estalecer contrase8as seguras " roustas.

Implementado

Se dee restringir " controlar rigurosamente el uso de utilidades 'ue puedan ser capaces de in$alidar los controles del sistema " de la aplicación.

31

32

 A..2.6

%etirada o reasignación   de los derec0os de acceso

 A..3.1

Uso de la información secreta   de autenticación

 A..4.1

%estricción  del acceso a la información

33

34

35

 A..4.2

Procedimientos seguros de   inicio de sesión

 A..4.3

Sistema de   gestión de contrase8as

36

37

 A..4.4

38

Uso de utilidades con pri$ilegios  del sistema

 A..4.5

+ontrol de acceso al código fuente de los programa

 A.19.1.1

Política de uso de los controles   criptogr*ficos

NO Aplica

Se dee restringir el acceso al código fuente de los programas.

Implementado

Se dee desarrollar e implementar una política sore el uso de los controles criptogr*ficos para proteger la información.

Implementado

Se dee desarrollar e implementar una política de sore el uso! la protección " la duración de las cla$es de cifrado a lo largo de todo su ciclo de $i da.

Implementado

Se deen utili(ar perímetros de seguridad para proteger las *reas 'ue contienen información sensile así como los recursos de tratamiento de la información.

39

40

 A.19.1.2

estión de cla$es

 

41

 A.11.1.1  A.11.1.1

Perímetro de   seguridad física

42

 A.11.1.2  A.11.1.2

+ontroles  físicos de entrada

Implementado

&as *reas seguras deen estar protegidas mediante controles de entrada adecuados! para asegurar 'ue nicamente se permite el acceso al personal autori(ado.

 A.11.1.3  A.11.1.3

Seguridad de oficinas! despac0os " recursos

Implementado

Para las oficinas! despac0os " recursos! se dee dise8ar " aplicar la seguridad física.

 A.11.1.4  A.11.1.4

Protección contra las amena(as  e#ternas " amientales

Implementado

Se dee dise8ar " aplicar una protección física contra contra desastres naturales! ata'ues pro$ocados por el 0omre o accidentes

 A.11.1.5  A.11.1.5

l traajo  en *reas seguras

Implementado

Se deen dise8ar e implementar procedimientos para traajar en las *reas seguras.

43

44

45

46

 A.11.1.6  A.11.1.6

 :reas de   carga " descarga

Implememtado

,een controlarse los puntos de acceso tales como las *reas de carga " descarga " otros puntos! donde pueda acceder personal no autori(ado a las instalaciones! " si es posile! aislar dic0os puntos de los recursos de tratamiento de la información para e$itar accesos no autori(ados.

Implementado

&os e'uipos deen situarse o protegerse de forma 'ue se redu(can los riesgos de las amena(as " los riesgos amientales así como las oportunidades de 'ue se produ(can accesos no autori(ados.

Implementado

&os e'uipos deen estar protegidos contra fallos de alimentación " otras alteraciones causadas por fallos en las instalaciones de suministro.

Implementado

l caleado el-ctrico " de telecomunicaciones 'ue transmite datos o 'ue sir$e de soporte a los ser$icios de información dee estar protegido frente a i nterceptaciones! interferencias o da8os

47

 A.11.2.1  A.11.2.1

mpla(amiento "   protección de e'uipos

 A.11.2.2  A.11.2.2

/nstalaciones de   suministro

48

49

 A.11.2.3  A.11.2.3

Seguridad del   caleado

 A.11.2.4  A.11.2.4

antenimiento de los   e'uipos

Implementado

&os e'uipos deen reciir un mantenimiento correcto 'ue asegure su disponiilidad " su integridad continuas.

 A.11.2.5  A.11.2.5

%etirada de materiales propiedad   de la empresa

Implementado

Sin autori(ación pre$ia! los e'uipos! la información o el soft;are no deen sacarse de las instalaciones.

Implementado

,een aplicarse medidas de seguridad a los e'uipos situados fuera las instalaciones de la organi(ación! teniendo en cuenta los diferentes riesgos 'ue conlle$a traajar fuera de dic0as instalaciones.

Implementado

)odos los soportes de almacenamiento deen ser comproados para confirmar 'ue todo dato sensile " soft;are ajo licencia se 0a eliminado de manera segura! antes de des0acerse de ellos.

50

51

52

 A.11.2.6  A.11.2.6

Seguridad de los e'uipos fuera   de las instalaciones

53

 A.11.2.  A.11.2.

54

%eutili(ación o eliminación  segura de e'uipos

 A.11.2.  A.11.2.

'uipo de   usuario desatendido

Implementado

&os usuarios deen asegurarse 'ue el e'uipo desatendido tiene la protección adecuada

Implementado

,ee adoptarse una política de puesto de traajo despejado de papeles " medios de almacenamiento desmontales " una política de pantalla limpia para los recursos de tratamiento de la información

Implementado

,een documentarse " mantenerse procedimientos de operación " ponerse a disposición de todos los usuarios 'ue los necesiten.

Implementado

&os camios en la organi(ación! los procesos de negocio! instalaciones de tratamiento de la información " los sistemas 'ue afectan a la seguridad de información deen ser controlados.

Implementado

Se dee super$isar " ajustar la utili(ación de los recursos! así como reali(ar pro"ecciones de los re'uisitos futuros de capacidad! para garanti(ar el rendimiento re'uerido del sistema.

Implementado

,een separarse los recursos de desarrollo! prueas " operación! para reducir los< riesgos de acceso no autori(ado o los camios del sistema en producción.

Implementado

Se deen implementar los controles de detección! pre$ención " recuperación 'ue sir$an como protección contra el código malicioso! así como procedimientos adecuados de concienciación al usuario

Implementado

Se deen reali(ar copias de seguridad de la información! del soft;are " del sistema " se deen $erificar periódicamente de acuerdo a la política de copias de seguridad acordada.

55

 A.11.2.  A.11.2.

Política de puesto de traajo despejado   " pantalla limpia

 A.12.1.1

,ocumentación de procedimientos   de los operación

56

57

 A.12.1.2

estión de camios

 

58

 A.12.1.3

estión   de capacidades

 A.12.1.4

Separación de los recursos de  desarrollo! pruea " operación

59

60

 A.12.2.1

+ontroles  contra el código malicioso

61

 A.12.3.1

62

+opias de  seguridad de la información

 A.12.4.1

%egistro de e$entos e$entos

 A.12.4.2

Protección la   dede información registro

 A.12.4.3

%egistro de   administración " operación

 

Implementado

Se deen registrar! proteger " re$isar periódicamente las acti$idades de los usuarios! e#cepciones! fallos " e$entos de seguridad de la información.

Implementado

&os dispositi$os de registro " la información del registro deen estar protegidos contra manipulaciones indeidas " accesos no autori(ados

Implementado

&os dispositi$os de registro " la información del registro deen estar protegidos contra manipulaciones indeidas " accesos no autori(ados

63

64

65

 A.12.4.4

Sincroni(ación del   reloj

Implementado

&os relojes de todos los sistemas de tratamiento de información dentro de una organi(ación o de un dominio de seguridad! deen estar sincroni(ados con una nica fuente precisa " acordada de tiempo.

 A.12.5.1

/nstalación  de Soft;are en e#plotación

Implementado

Se deen implementar procedimientos para controlar la instalación del soft;are en e#plotación.

66

67

 A.12.6.1

estión de las   $ulnerailidades t-cnicas

Implementado

Se dee otener información oportuna acerca de las $ulnerailidades t-cnicas de los sistemas de información utili(ados! e$aluar la e#posición de la organi(ación a dic0as $ulnerailidades " adoptar las medidas adecuadas para afrontar el riesgo asociado.

 A.12.6.2

%estricción en la   instalación de soft;are

Implementado

Se deen estalecer " aplicar reglas 'ue rijan la instalación de soft;are por parte de los usuarios

68

69

 A.12..1

+ontroles de auditoría   Implementado de sistemas de información

70

 A.13.1.1

+ontroles de red

 

&os re'uisitos " las acti$idades de auditoría 'ue impli'uen comproaciones en los sistemas operati$os deen ser cuidadosamente planificados " acordados para minimi(ar el riesgo de interrupciones en los procesos de negocio.

Implementado

&as redes deen ser gestionadas " controladas para proteger la información en los sistemas " aplicaciones.

Implementado

Se deen identificar los mecanismos de seguridad! los ni$eles de ser$icio! " los re'uisitos de gestión de todos los ser$icios de red " se deen incluir en cual'uier acuerdo de ser$icios de red! tanto si estos ser$icios se prestan dentro de la organi(ación como si se sucontratan.

71

 A.13.1.2

Seguridad   de los ser$icios de red

72

 A.13.1.3

Segregación en redes   Implementado

&os grupos de ser$icios de información! los usuarios " los sistemas de información deen estar segregados en redes distintas.

73

 A...13.2. l

Políticas " procedimientos de   intercamio de información

 A.13.2.2

 Acuerdos de   intercamio de información

Implementado

,een estalecerse políticas! procedimientos " controles formales 'ue protejan el intercamio de información mediante el uso de todo tipo de recursos de comunicación

Implementado

,een estalecerse acuerdos para el intercamio seguro de información del negocio " soft;are entre la organi(ación " terceros.

74

75

 A.13.2.3

ensajería electrónica   Implementado

&a información 'ue sea ojeto de mensajería electrónica dee estar adecuadamente protegida

76

 A.13.2.4

77

 Acuerdos de   confidencialidad o no re$elación

Implementado

,een identificarse! documentarse " re$isarse regularmente los re'uisitos de los acuerdos de confidencialidad o no re$elación

 A.14.1.1

 An*lisis de re'uisitos " especificaciones de   seguridad de la información

Implementado

&os re'uisitos relacionados con la seguridad de la información deen incluirse en los re'uisitos para los nue$os sistemas de información o mejoras a los sistemas de información e#istentes.

Implementado

&a información in$olucrada en aplicaciones 'ue pasan a tra$-s de redes plicas dee ser protegida de cual'uier acti$idad fraudulenta! disputa de contrato! re$elación " modificación no autori(ados.

Implementado

&a información in$olucrada en las transacciones de ser$icios de aplicaciones dee ser protegida para pre$enir la transmisión incompleta! errores de enrutamiento! alteración no autori(ada del mensaje! re$elación! duplicación! o reproducción de mensaje no autori(adas

78

 A.14.1.2

 Asegurar los ser$icios   de aplicaciones en redes plicas

79

 A.14.1.3

Protección de las transacciones de   ser$icios de aplicaciones

 A.14.2.1

Política de desarrollo seguro

 A.14.2.2

Procedimiento de control de camios en sistemas

80 No aplica

Se deen estalecer " aplicar reglas dentro de la organi(ación para el desarrollo de aplicaciones " sistemas.

No aplica

&a implantación de camios a lo largo del ciclo de $ida del desarrollo dee controlarse mediante el uso de procedimientos formales formales de control de camios.

No aplica

+uando se modifi'uen los sistemas operati$os! las aplicaciones de negocio críticas deen ser re$isadas " proadas para garanti(ar 'ue no e#isten efectos ad$ersos en las operaciones o la seguridad de la organi(ación

No aplica

Se deen desaconsejar las modificaciones< en los pa'uetes de soft;are! limit*ndose a los camios necesarios! " todos los camios deen ser ojeto de un control riguroso

N/A

Principios de ingeniería de sistemas seguros se deen estalecer! estalecer! documentar! documentar! mantener " aplicarse a todos los esfuer(os de implementación de sistemas de información.

No aplica

&as organi(aciones deen estalecer " proteger adecuadamente los entornos de desarrollo seguro para el desarrollo del sistema " los esfuer(os de integración 'ue curen todo el ciclo de $ida de desarrollo del sistema.

81

82

 A.14.2.3

%e$isión t-cnica de las aplicaciones tras efectuar camios en el sistema operati$o

 A.14.2.4

%estricciones a los camios en los pa'uetes de soft;are

83

84

 A.14.2.5

Principios de ingeniería de sistemas seguros

85

 A.14.2.6

86

ntorno de desarrollo seguro

 A.14.2.

#ternali(ación del desarrollo del soft;are

No aplica

l desarrollo de soft;are e#ternali(ado dee ser super$isado " controlado por la organi(ación

 A.14.2.

Prueas funcionales de seguridad de sistemas

No aplica

Se deen lle$ar a cao prueas de la seguridad funcional durante el desarrollo.

Se deen estalecer programas de prueas de aceptación " criterios relacionados para nue$os sistemas de información! actuali(aciones " nue$as $ersiones.

87

88

 A.14.2.

Prueas de aceptación de sistemas

No aplica

 A.14.3.1

Protección de los datos de pruea

Implementado

&os datos de pruea se deen seleccionar con cuidado " deen ser protegidos " controlados.

 A.15.1.1

Política de seguridad de la información en   las relaciones con los pro$eedores

Implementado

&os re'uisitos de seguridad de la información para la mitigación de los riesgos asociados con el acceso del pro$eedor a los acti$os de la organi(ación deen acordarse con el pro$eedor " 'uedar documentados.

Implementado

)odos los re'uisitos relacionados con la seguridad de la información deen estalecerse " acordarse con cada pro$eedor 'ue puede acceder! tratar! almacenar! comunicar! comunicar! o proporcionar componentes de l a infraestructura /).

 A.15.1.3

+adena de suministro de tecnología de la   información " de las comunicaciones

Implementado

&os acuerdos con pro$eedores deen incluir re'uisitos para 0acer frente a los riesgos de seguridad de la información relacionados con las tecnologías de la información " las comunicaciones " con la cadena de suministro de productos.

 A.15.2.1

+ontrol " re$isión de la   ser$icios pro$isión de del pro$eedor 

Implementado

&as organi(aciones deen controlar! re$isar " auditar regularmente la pro$isión de ser$icios del pro$eedor 

89

90

91

 A.15.1.2

%e'uisitos de   contratos seguridad en con terceros

92

93

94

 A.15.2.2

estión de camios en la pro$isión   del ser$icio del pro$eedor 

Implementado

Se deen gestionar los camios en la pro$isión del ser$icio! inclu"endo el mantenimiento " la mejora de las políticas! los procedimientos " controles de seguridad de la información e#istentes! e#istentes! teniendo teniendo en cuenta la criticidad de los procesos " sistemas de negocio afectados así como la reapreciación de los riesgos

Implementado

Se deen estalecer las responsailidades " procedimientos de gestión para garanti(ar una respuesta r*pida! efecti$a " adecuada a los incidentes de seguridad de la información.

Implementado

&os e$entos de seguridad de la información se deen notificar por los canales de gestión adecuados lo antes posile.

Implementado

)odos los empleados! contratistas! terceras partes usuarias de los sistemas " ser$icios de información deen ser oligados a anotar " notificar cual'uier punto d-il 'ue oser$en o 'ue sospec0en 'ue e#ista! en los sistemas o ser$icios

Implementado

&os e$entos de seguridad de la información deen ser e$aluados " dee decidirse si se clasifican como incidentes de seguridad de la información.

Implementado

&os incidentes de seguridad de la información deen ser respondidos respondidos de acuerdo con los procedimientos documentados

Implementado

l conocimiento otenido a partir del an*lisis " la resolución de incidentes de seguridad de información dee utili(arse para reducir la proailidad o el impacto de los incidentes en el futuro

95

 A.16.1.1

%esponsailidades "   procedimientos

 A.16.1.2

=otificación de los e$entos de  seguridad de la información

96

97

 A.16.1.3

=otificación de puntos d-iles de  la seguridad de la información

 A.16.1.4

$aluación " decisión sore los  e$entos de seguridad de información

 A.16.1.5

%espuesta a incidentes   de seguridad de la información

 A.16.1.6

 Aprendi(aje de los incidentes de   seguridad de la información

98

99

100

101

 A.16.1.

%ecopilación de   e$idencias

 A.1.1.l

Planificación de la continuidad de la   seguridad de la información

Implementado

&a organi(ación dee definir " aplicar procedimientos para la identificación recogida! ad'uisición " preser$ación de información 'ue puede ser$ir de e$idencia.

Implementado

&a organi(ación dee determinar sus necesidades de seguridad de la información " de continuidad para l a gestión de seguridad de la información en situaciones ad$ersas! por ejemplo! durante una crisis o desastre.

Implementado

&a organi(ación dee estalecer! documentar! documentar! implementar " mantener procesos! procedimientos " controles para asegurar el ni$el re'uerido de continuidad de la seguridad de la información durante una situación ad$ersa.

Implementado

&a organi(ación dee comproar los controles estalecidos e implementados a inter$alos regulares para asegurar 'ue son $*lidos " eficaces durante situaciones ad$ersas

Implementado

&os recursos de tratamiento de la información deen ser implementados con la redundancia suficiente para satisfacer los re'uisitos de disponiilidad.

102

103

 A.1.1.2

/mplementar la continuidad de la   de seguridad la información

 A.1.1.3

>erificación! re$isión " e$aluación de la   continuidad de la seguridad de la información

 A.1.2.1

,isponiilidad de los recursos   de tratamiento de la información

104

105

106

 A.1.1.1

107

/dentificación de la legislación   aplicale " Implementado de. los re'uisitos contractuales

)odos los re'uisitos pertinentes! tanto legales como regulatorios! estatutarios o contractuales! " el enfo'ue de la organi(ación para cumplirlos! deen definirse de forma e#plícita! documentarse " mantenerse actuali(ados para cada sistema de información de la organi(ación.

 A.1.1.2

,erec0os de propiedad   ?,P@ intelectual

Implementado

,een implementarse procedimientos adecuados para garanti(ar el cumplimiento de los re'uisitos legales! regulatorios " contractuales sore el uso de materiales! con respecto a los cuales puedan e#istir derec0os de propiedad intelectual " sore el uso de productos de soft;are patentados.

Implementado

&os registros deen estar protegidos contra la p-rdida! destrucción! falsificación! re$elación o acceso no autori(ados de acuerdo con los re'uisitos legales! regulatorios! contractuales " de negocio.

Implementado

,eer garanti(arse la protección protección " la pri$acidad de los datos! segn se re'uiera en la legislación " la reglamentación aplicales

Implementado

&os controles criptogr*ficos se deen utili(ar de acuerdo con todos los contratos! le"es " regulaciones pertinentes.

Implementado

E l enfo'ue de la organi(ac1on para la gestión de seguridad de la información " su implantación ?es decir! ojeti$os de control! controles! políticas! procesos " procedimientos para la seguridad de la info1mación! dee someterse a una re$isión independiente a inter$alos planificados o siempre 'ue se produ(can camios significati$os en la implantación de la seguridad.

Implementado

&os directi$os deen asegurarse de 'ue todos los procedimientos de seguridad dentro de su *rea de responsailidad se reali(an correctamente con el fin de cumplir las políticas " normas normas de seguridad " cual'uier otro re'uisito de seguridad aplicale

Implementado

,ee comproarse periódicamente 'ue los sistemas de información cumplen las políticas " normas de seguridad de la información de la organi(aciónB

108

 A.1.1.3

Protección de los registros   de la organi(ación

 A.1.1.4

Protección " pri$acidad de la información   de car*cter personal

 A.1.1.5

%egulación   de los controles criptogr*ficos

109

110

111

 A.1.2.1

%e$isión independiente   de la seguridad de la información

112

 A.1.2.2

+umplimiento de las políticas "  normas de seguridad

113

 A.1.2.3

114

+omproación del   cumplimiento t-cnico

Declaración de Aplicabilidad  Controles que no aplican : 11 utori!ó

"e#isó

$o% &ersión

'l()a "e#isión

 APLICA%ILIDAD SI/NO 

SI 

SI 

Si 

Si 

Si

Si 

Si 

!"STI#ICACIÓN DE ELECCION 

$ETODO DE I$PLE$ENTACION 

Si 

No

Si 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

NO 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

NO 

NO 

NO 

NO 

NO 

NO 

NO 

NO 

NO 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

SI 

Si 

SI 

SI