You are on page 1of 5

SOA - DECLARACIN DE APLICABILIDAD

Dominio Objetivo Control RL OC


RN/
BP
RAR
5.1.1. Documento de Poltica de SI
5.1.2. Revisin de la Poltica de SI
6.1.1. Compromiso de la Direccin para la Gestin de la SI
6.1.2. Coordinacin de la SI
6.1.3. Asignacin de responsabilidades para la SI
6.1.4. Proceso de autorizacin de recursos para el
tratamiento de la informacin
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con grupos de inters
6.1.8 Revisin independiente de la SI
6.2.1. Identificacin de riesgos relacionados con terceros
6.2.2. Requerimientos de seguridad en las relaciones con
clientes
6.2.3. Requerimientos de Seguridad en contratos con
terceros
7.1.1 Inventario de activos
7.1.2 Propietarios de activos
7.1.3 Uso aceptable de activos de informacin
7.2.1 Guas y directrices de clasificacin
7.2.2. Etiquetado y tratamiento de la Informacin
8.1.1. Roles y Responsabilidades
8.1.2. Investigacin de antecedentes
8.1.3. Trminos y condiciones de la relacin laboral
8.2.1. Gestin de responsabilidades
8.2.2. Concientizacin, formacin y entrenamiento en SI
8.2.3. Proceso Disciplinario
8.3.1. Responsabilidades en la finalizacin o cambio
8.3.2. Devolucin de activos
8.3.3. Eliminacin de los derechos de acceso
Aplica
Si/No
Controles
Seleccionados y
Razones para su
seleccin
Observaciones para la
Implantacin
Justificacin
de la
exclusin
Poltica de
Seguridad
7.2. Clasificacin de la Informacin
Controles de la ISO 27002:2005
Seguridad relativa
a los Recursos
Humanos
8.1. Previo a la contratacin
8.2. Durante la contratacin
8.3. A la finalizacin de la
contratacin
5.1 Poltica de SI
6.1. Organizacin Interna
6.2. Grupos Externos
Organizacin de la
Seguridad de la
Informacin
7.1. Responsabilidades de los Activos
Gestin de Activos
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OC
RN/
BP
RAR
Aplica
Si/No
Controles
Seleccionados y
Razones para su
seleccin
Observaciones para la
Implantacin
Justificacin
de la
exclusin
Poltica de
Controles de la ISO 27002:2005
9.1.1. Permetro de Seguridad Fsica
9.1.2. Controles fsicos de Acceso
9.1.3. Seguridad de oficinas, salas e instalaciones
9.1.4. Proteccin contra amenazas externas y del entorno
9.1.5. Trabajo en reas seguras
9.1.6. reas pblicas, zonas de carga y descarga
9.2.1. Localizacin y proteccin del equipamiento
9.2.2. Instalaciones de suministro. Equipamiento de soporte
9.2.3. Seguridad del cableado
9.2.4. Mantenimiento de equipos
9.2.5. Seguridad del equipamiento fuera de las instalaciones
9.2.6. Reutilizacin o baja segura de equipos
9.2.7. Traslado de Propiedad
10.1.1. Documentacin de Procedimientos
10.1.2. Gestin de Cambios
10.1.3. Segregacin de Tareas y Responsabilidades
10.1.4. Separacin de actividades y recursos de desarrollo,
prueba y operacin
10.2.1. Provisin de Servicios
10.2.2. Supervisin y revisin de Servicios de Terceros
10.2.3. Gestin de Cambios de Servicios de terceros
10.3.1. Gestin de Capacidades
10.3.2. Aceptacin de Sistemas
10.4.1. Controles contra Cdigo Malicioso
10.4.2. Controles contra Cdigo descargado por el cliente
(mvil)
10.5. Copias de Seguridad 10.5.1. Copias de Seguridad
10.6.1. Controles de Redes
10.6.2. Seguridad de los Servicios de Red
10.7.1. Tratamiento de los soportes removibles
10.7.2. Baja de soportes
10.7.3. Procedimientos de manipulacin de la informacin
10.7.4. Seguridad de la Documentacin de Sistemas
9.1. reas Seguras
9.2. Equipamiento de Seguridad
Seguridad Fsica y
del Entorno
10.1. Procedimientos operacionales y
Responsabilidades
10.2. Gestin de Servicios de Terceros
Gestin de las
Comunicaciones y
Operaciones
10.3. Planificacin y aceptacin de
Sistemas
10.4. Proteccin contra Cdigo
Malicioso y Cdigo Mvil
10.6. Gestin de Seguridad de Redes
10.7. Tratamiento de los Medios de
Soporte de la Informacin
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OC
RN/
BP
RAR
Aplica
Si/No
Controles
Seleccionados y
Razones para su
seleccin
Observaciones para la
Implantacin
Justificacin
de la
exclusin
Poltica de
Controles de la ISO 27002:2005
10.8.1. Polticas y procedimientos de intercambio de
informacin
10.8.2. Acuerdos de Intercambio
10.8.3. Medios fsicos en trnsito
10.8.4. Mensajera Electrnica
10.8.5. Sistema de Informacin empresariales
10.9.1. Comercio Electrnico
10.9.2. Transacciones en lnea
10.9.3. Informacin puesta a disposicin pblica
10.10.1. Registros de auditora
10.10.2. Supervisin del uso del sistema
10.10.3. Proteccin de los registros de monitoreo
10.10.4. Responsables de Administracin y Operacin de
registros de monitoreo
10.10.5. Registro de fallas
10.10.6. Sincronizacin de relojes
11.1. Requerimientos de Control de
Accesos
11.1.1. Poltica de Control de Accesos
11.2.1. Registro de Usuarios
11.2.2. Gestin de Privilegios
11.2.3. Gestin de contraseas de usuarios
11.2.4. Revisin de derechos de accesos de los usuarios
11.3.1. Utilizacin de Contraseas
11.3.2. Equipamiento sin requerimientos de atencin de
usuarios
11.3.3. Poltica de pantallas y puestos de trabajo limpios
11.4.1. Poltica de uso de Servicios de Red
11.4.2. Autenticacin de usuarios externos
11.4.3. Identificacin de equipos en las redes
11.4.4. Diagnstico remoto y Proteccin de puertos de
configuracin
11.4.5. Segregacin de las redes
11.4.6. Control de Conexiones a redes
11.4.7. Control de Enrutamiento de redes
11.3. Responsabilidades de los
usuarios
Control de
Accesos
11.4. Control de acceso a Redes
10.8. Intercambio de Informacin
Gestin de las
Comunicaciones y
Operaciones
(cont.)
10.9 Servicios de Comercio
Electrnico
10.10. Monitoreo (Supervisin)
11.2. Gestin de Accesos de Usuarios
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OC
RN/
BP
RAR
Aplica
Si/No
Controles
Seleccionados y
Razones para su
seleccin
Observaciones para la
Implantacin
Justificacin
de la
exclusin
Poltica de
Controles de la ISO 27002:2005
11.5.1. Procesos seguros de inicio de sesin (log-on)
11.5.2. Identificacin y Autenticacin de usuarios
11.5.3. Sistema de Administracin de Contraseas
11.5.4. Uso de los recursos del sistema
11.5.5. Desconexin automtica de las sesiones de usuario
(Timeout)
11.5.6. Lmite del tiempo de conexin
11.6.1. Restriccin de acceso a la informacin
11.6.2. Aislamiento de sistemas sensibles
11.7.1. Equipos de Trabajo y Comunicaciones mviles
11.7.2. Teletrabajo
12.1. Requirimientos de Seguridad de
los Sistemas de Informacin
12.1.1. Anlisis y Especificaciones de Requisitos de
Seguridad de los Sistemas de Informacin
12.2.1. Validacin de los datos de entrada
12.2.2. Control de Procesamiento interno
12.2.3. Integridad de los mensajes
12.2.4. Validacin de datos de salida
12.3.1. Poltica de uso de controles criptogrficos
12.3.2. Gestin de Claves
12.4.1. Control del Software en produccin (explotacin)
12.4.2. Proteccin de datos de pruebas de sistemas
12.4.3. Control de Accesos a la biblioteca de cdigo fuente
12.5.1. Procedimientos de Control de Cambios
12.5.2. Revisin Tcnica de los sistemas tras efectuar
cambios en el Sistema Operativo
12.5.3. Restriccin de cambios en los paquetes de software
12.5.4. Fuga de Informacin
12.5.5. Proceso tercerizado de desarrollo de software
12.6. Vulnerabilidades Tcnicas 12.6.1. Control de Vulnerabilidades Tcnicas
13.1.1. Reportes de Incidentes
13.1.2. Reportes de Debilidades y Amenazas
13.2.1. Responsabilidades y Procedimientos
13.2.2. Aprendizaje de los Incidentes de SI
13.2.3. Recoleccin de Evidencias
Control de
Accesos (cont.)
12.5 Seguridad en los procesos de
desarrollo y Soporte
Gestin de
Incidentes de
Seguridad de
Informacin
13.1. Reportes de Incidentes y
Amenazas a la Seguridad
13.2. Gestin de Incidentes y Mejoras
Adquisicin,
Desarrollo y
Mantenimiento de
Sistemas
12.2. Procesamiento correcto en
Aplicaciones
12.3. Control Criptogrfico
12.4. Seguridad de los archivos del
sistema
11.5 Acceso al Sistema Operativo
11.7. Computacin Mvil y Teletrabajo
11.6. Control de acceso a las
aplicaciones
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OC
RN/
BP
RAR
Aplica
Si/No
Controles
Seleccionados y
Razones para su
seleccin
Observaciones para la
Implantacin
Justificacin
de la
exclusin
Poltica de
Controles de la ISO 27002:2005
14.1.1. Inclusin de la SI en el Plan de Continuidad del
Negocio
14.1.2. Continuidad del Negocio y Gestin de Riesgos
14.1.3. Desarrollo e implantacin de Planes de Continuidad
que incluyan SI
14.1.4. Marco de referencia para los Planes de Continuidad
del Negocio
14.1.5. Pruebas, mantenimiento y mejoras de los Planes de
Continuidad del Negocio
15.1.1. Identificacin de las legislacin aplicable
15.1.2. Derechos de Propiedad Intelectual
15.1.3. Salvaguarda de los registros de la Organizacin
15.1.4. Proteccin de datos y privacidad de la informacin
personal
15.1.5. Prevencin del uso indebido de recursos de
tratamiento de la informacin
15.1.6. Regulacin para controles de criptografa
15.2.1. Conformidad con la poltica de seguridad
15.2.2. Chequeo de Conformidad Tcnica
15.3.1. Controles de Auditora de los Sistemas de
Informacin
15.3.2. Proteccin de las herramientas de Auditora de los
Sistemas de Informacin
Referencias:
Controles Seleccionados y Razones de su seleccin:
RL: Requerimientos Legales, OC: Obligaciones Contractuales, RN/BP: Requerimientos del Negocio/Buenas Prcticas adoptadas, RAR: Resultados del Anlisis de Riesgos
Justificacin de la Exclusin: Se indican posibles causas por las cuales la organizacin puede haber decidido no implementar el control
Observaciones para la Implantacin: Se indican documentos o procesos que puede desarrollar la organizacin para la implantacin
Conformidad
Normativa y Legal
15.1. Conformidad Legal
15.2. Conformidad con Polticas de
Seguridad y Estndares y
Conformidad Tcnica
15.3. Consideraciones de auditora de
los sistemas de informacin
SI: Seguridad de la Informacin
Gestin de la
Continuidad del
Negocio
14.1. Aspectos de la Seguridad de la
Informacin para la Continuidad del
Negocio

You might also like