SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OCRN/BP

RAR

5.1.1. Documento de Poltica de SI5.1.2. Revisin de la Poltica de SI

6.1.1. Compromiso de la Direccin para la Gestin de la SI

6.1.2. Coordinacin de la SI6.1.3. Asignacin de responsabilidades para la SI6.1.4. Proceso de autorizacin de recursos para el tratamiento de la informacin6.1.5 Acuerdos de confidencialidad

6.1.6 Contacto con autoridades

6.1.7 Contacto con grupos de inters

6.1.8 Revisin independiente de la SI6.2.1. Identificacin de riesgos relacionados con terceros6.2.2. Requerimientos de seguridad en las relaciones con clientes6.2.3. Requerimientos de Seguridad en contratos con terceros

7.1.1 Inventario de activos

7.1.2 Propietarios de activos

7.1.3 Uso aceptable de activos de informacin

7.2.1 Guas y directrices de clasificacin

7.2.2. Etiquetado y tratamiento de la Informacin

8.1.1. Roles y Responsabilidades

8.1.2. Investigacin de antecedentes

8.1.3. Trminos y condiciones de la relacin laboral

8.2.1. Gestin de responsabilidades8.2.2. Concientizacin, formacin y entrenamiento en SI8.2.3. Proceso Disciplinario

8.3.1. Responsabilidades en la finalizacin o cambio

8.3.2. Devolucin de activos

8.3.3. Eliminacin de los derechos de acceso

Aplica Si/No

Controles Seleccionados y Razones para su

seleccinObservaciones para la

Implantacin

Justificacin de la

exclusin

Poltica de Seguridad

7.2. Clasificacin de la Informacin

Controles de la ISO 27002:2005

Seguridad relativa a los Recursos Humanos

8.1. Previo a la contratacin

8.2. Durante la contratacin

8.3. A la finalizacin de la contratacin

5.1 Poltica de SI

6.1. Organizacin Interna

6.2. Grupos Externos

Organizacin de la Seguridad de la Informacin

7.1. Responsabilidades de los Activos

Gestin de Activos

SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OCRN/BP

RAR

Aplica Si/No

Controles Seleccionados y Razones para su

seleccinObservaciones para la

Implantacin

Justificacin de la

exclusin

Poltica de

Controles de la ISO 27002:2005

9.1.1. Permetro de Seguridad Fsica

9.1.2. Controles fsicos de Acceso

9.1.3. Seguridad de oficinas, salas e instalaciones

9.1.4. Proteccin contra amenazas externas y del entorno

9.1.5. Trabajo en reas seguras

9.1.6. reas pblicas, zonas de carga y descarga

9.2.1. Localizacin y proteccin del equipamiento

9.2.2. Instalaciones de suministro. Equipamiento de soporte

9.2.3. Seguridad del cableado

9.2.4. Mantenimiento de equipos

9.2.5. Seguridad del equipamiento fuera de las instalaciones

9.2.6. Reutilizacin o baja segura de equipos

9.2.7. Traslado de Propiedad

10.1.1. Documentacin de Procedimientos

10.1.2. Gestin de Cambios

10.1.3. Segregacin de Tareas y Responsabilidades10.1.4. Separacin de actividades y recursos de desarrollo, prueba y operacin10.2.1. Provisin de Servicios

10.2.2. Supervisin y revisin de Servicios de Terceros

10.2.3. Gestin de Cambios de Servicios de terceros

10.3.1. Gestin de Capacidades

10.3.2. Aceptacin de Sistemas

10.4.1. Controles contra Cdigo Malicioso10.4.2. Controles contra Cdigo descargado por el cliente (mvil)

10.5. Copias de Seguridad 10.5.1. Copias de Seguridad

10.6.1. Controles de Redes

10.6.2. Seguridad de los Servicios de Red

10.7.1. Tratamiento de los soportes removibles

10.7.2. Baja de soportes

10.7.3. Procedimientos de manipulacin de la informacin

10.7.4. Seguridad de la Documentacin de Sistemas

9.1. reas Seguras

9.2. Equipamiento de Seguridad

Seguridad Fsica y del Entorno

10.1. Procedimientos operacionales y Responsabilidades

10.2. Gestin de Servicios de Terceros

Gestin de las Comunicaciones y

Operaciones

10.3. Planificacin y aceptacin de Sistemas

10.4. Proteccin contra Cdigo Malicioso y Cdigo Mvil

10.6. Gestin de Seguridad de Redes

10.7. Tratamiento de los Medios de Soporte de la Informacin

SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OCRN/BP

RAR

Aplica Si/No

Controles Seleccionados y Razones para su

seleccinObservaciones para la

Implantacin

Justificacin de la

exclusin

Poltica de

Controles de la ISO 27002:2005

10.8.1. Polticas y procedimientos de intercambio de informacin10.8.2. Acuerdos de Intercambio

10.8.3. Medios fsicos en trnsito

10.8.4. Mensajera Electrnica

10.8.5. Sistema de Informacin empresariales

10.9.1. Comercio Electrnico

10.9.2. Transacciones en lnea

10.9.3. Informacin puesta a disposicin pblica

10.10.1. Registros de auditora

10.10.2. Supervisin del uso del sistema

10.10.3. Proteccin de los registros de monitoreo10.10.4. Responsables de Administracin y Operacin de registros de monitoreo10.10.5. Registro de fallas

10.10.6. Sincronizacin de relojes

11.1. Requerimientos de Control de Accesos

11.1.1. Poltica de Control de Accesos

11.2.1. Registro de Usuarios

11.2.2. Gestin de Privilegios

11.2.3. Gestin de contraseas de usuarios

11.2.4. Revisin de derechos de accesos de los usuarios

11.3.1. Utilizacin de Contraseas11.3.2. Equipamiento sin requerimientos de atencin de usuarios11.3.3. Poltica de pantallas y puestos de trabajo limpios

11.4.1. Poltica de uso de Servicios de Red

11.4.2. Autenticacin de usuarios externos

11.4.3. Identificacin de equipos en las redes11.4.4. Diagnstico remoto y Proteccin de puertos de configuracin11.4.5. Segregacin de las redes

11.4.6. Control de Conexiones a redes

11.4.7. Control de Enrutamiento de redes

11.3. Responsabilidades de los usuariosControl de

Accesos

11.4. Control de acceso a Redes

10.8. Intercambio de Informacin

Gestin de las Comunicaciones y

Operaciones (cont.)

10.9 Servicios de Comercio Electrnico

10.10. Monitoreo (Supervisin)

11.2. Gestin de Accesos de Usuarios

SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OCRN/BP

RAR

Aplica Si/No

Controles Seleccionados y Razones para su

seleccinObservaciones para la

Implantacin

Justificacin de la

exclusin

Poltica de

Controles de la ISO 27002:2005

11.5.1. Procesos seguros de inicio de sesin (log-on)

11.5.2. Identificacin y Autenticacin de usuarios

11.5.3. Sistema de Administracin de Contraseas

11.5.4. Uso de los recursos del sistema11.5.5. Desconexin automtica de las sesiones de usuario (Timeout)11.5.6. Lmite del tiempo de conexin

11.6.1. Restriccin de acceso a la informacin

11.6.2. Aislamiento de sistemas sensibles

11.7.1. Equipos de Trabajo y Comunicaciones mviles

11.7.2. Teletrabajo

12.1. Requirimientos de Seguridad de los Sistemas de Informacin

12.1.1. Anlisis y Especificaciones de Requisitos de Seguridad de los Sistemas de Informacin

12.2.1. Validacin de los datos de entrada

12.2.2. Control de Procesamiento interno

12.2.3. Integridad de los mensajes

12.2.4. Validacin de datos de salida

12.3.1. Poltica de uso de controles criptogrficos

12.3.2. Gestin de Claves

12.4.1. Control del Software en produccin (explotacin)

12.4.2. Proteccin de datos de pruebas de sistemas

12.4.3. Control de Accesos a la biblioteca de cdigo fuente

12.5.1. Procedimientos de Control de Cambios12.5.2. Revisin Tcnica de los sistemas tras efectuar cambios en el Sistema Operativo

12.5.3. Restriccin de cambios en los paquetes de software

12.5.4. Fuga de Informacin

12.5.5. Proceso tercerizado de desarrollo de software

12.6. Vulnerabilidades Tcnicas 12.6.1. Control de Vulnerabilidades Tcnicas

13.1.1. Reportes de Incidentes

13.1.2. Reportes de Debilidades y Amenazas

13.2.1. Responsabilidades y Procedimientos

13.2.2. Aprendizaje de los Incidentes de SI

13.2.3. Recoleccin de Evidencias

Control de Accesos (cont.)

12.5 Seguridad en los procesos de desarrollo y Soporte

Gestin de Incidentes de Seguridad de Informacin

13.1. Reportes de Incidentes y Amenazas a la Seguridad

13.2. Gestin de Incidentes y Mejoras

Adquisicin, Desarrollo y

Mantenimiento de Sistemas

12.2. Procesamiento correcto en Aplicaciones

12.3. Control Criptogrfico

12.4. Seguridad de los archivos del sistema

11.5 Acceso al Sistema Operativo

11.7. Computacin Mvil y Teletrabajo

11.6. Control de acceso a las aplicaciones

SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OCRN/BP

RAR

Aplica Si/No

Controles Seleccionados y Razones para su

seleccinObservaciones para la

Implantacin

Justificacin de la

exclusin

Poltica de

Controles de la ISO 27002:2005

14.1.1. Inclusin de la SI en el Plan de Continuidad del Negocio14.1.2. Continuidad del Negocio y Gestin de Riesgos14.1.3. Desarrollo e implantacin de Planes de Continuidad que incluyan SI14.1.4. Marco de referencia para los Planes de Continuidad del Negocio14.1.5. Pruebas, mantenimiento y mejoras de los Planes de Continuidad del Negocio

15.1.1. Identificacin de las legislacin aplicable

15.1.2. Derechos de Propiedad Intelectual

15.1.3. Salvaguarda de los registros de la Organizacin15.1.4. Proteccin de datos y privacidad de la informacin personal15.1.5. Prevencin del uso indebido de recursos de tratamiento de la informacin 15.1.6. Regulacin para controles de criptografa

15.2.1. Conformidad con la poltica de seguridad15.2.2. Chequeo de Conformidad Tcnica15.3.1. Controles de Auditora de los Sistemas de Informacin15.3.2. Proteccin de las herramientas de Auditora de los Sistemas de Informacin

Referencias:

Controles Seleccionados y Razones de su seleccin: RL: Requerimientos Legales, OC: Obligaciones Contractuales, RN/BP: Requerimientos del Negocio/Buenas Prcticas adoptadas, RAR: Resultados del Anlisis de RiesgosJustificacin de la Exclusin: Se indican posibles causas por las cuales la organizacin puede haber decidido no implementar el controlObservaciones para la Implantacin: Se indican documentos o procesos que puede desarrollar la organizacin para la implantacin

Conformidad Normativa y Legal

15.1. Conformidad Legal

15.2. Conformidad con Polticas de Seguridad y Estndares y Conformidad Tcnica

15.3. Consideraciones de auditora de los sistemas de informacin

SI: Seguridad de la Informacin

Gestin de la Continuidad del

Negocio

14.1. Aspectos de la Seguridad de la Informacin para la Continuidad del

Negocio