ADR_2_Cap01_AnexoSOA-Declaracion-Aplicabilidad (1).pdf
-
Upload
joshua-perry -
Category
Documents
-
view
5 -
download
0
Transcript of ADR_2_Cap01_AnexoSOA-Declaracion-Aplicabilidad (1).pdf
-
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OCRN/BP
RAR
5.1.1. Documento de Poltica de SI5.1.2. Revisin de la Poltica de SI
6.1.1. Compromiso de la Direccin para la Gestin de la SI
6.1.2. Coordinacin de la SI6.1.3. Asignacin de responsabilidades para la SI6.1.4. Proceso de autorizacin de recursos para el tratamiento de la informacin6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con grupos de inters
6.1.8 Revisin independiente de la SI6.2.1. Identificacin de riesgos relacionados con terceros6.2.2. Requerimientos de seguridad en las relaciones con clientes6.2.3. Requerimientos de Seguridad en contratos con terceros
7.1.1 Inventario de activos
7.1.2 Propietarios de activos
7.1.3 Uso aceptable de activos de informacin
7.2.1 Guas y directrices de clasificacin
7.2.2. Etiquetado y tratamiento de la Informacin
8.1.1. Roles y Responsabilidades
8.1.2. Investigacin de antecedentes
8.1.3. Trminos y condiciones de la relacin laboral
8.2.1. Gestin de responsabilidades8.2.2. Concientizacin, formacin y entrenamiento en SI8.2.3. Proceso Disciplinario
8.3.1. Responsabilidades en la finalizacin o cambio
8.3.2. Devolucin de activos
8.3.3. Eliminacin de los derechos de acceso
Aplica Si/No
Controles Seleccionados y Razones para su
seleccinObservaciones para la
Implantacin
Justificacin de la
exclusin
Poltica de Seguridad
7.2. Clasificacin de la Informacin
Controles de la ISO 27002:2005
Seguridad relativa a los Recursos Humanos
8.1. Previo a la contratacin
8.2. Durante la contratacin
8.3. A la finalizacin de la contratacin
5.1 Poltica de SI
6.1. Organizacin Interna
6.2. Grupos Externos
Organizacin de la Seguridad de la Informacin
7.1. Responsabilidades de los Activos
Gestin de Activos
-
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OCRN/BP
RAR
Aplica Si/No
Controles Seleccionados y Razones para su
seleccinObservaciones para la
Implantacin
Justificacin de la
exclusin
Poltica de
Controles de la ISO 27002:2005
9.1.1. Permetro de Seguridad Fsica
9.1.2. Controles fsicos de Acceso
9.1.3. Seguridad de oficinas, salas e instalaciones
9.1.4. Proteccin contra amenazas externas y del entorno
9.1.5. Trabajo en reas seguras
9.1.6. reas pblicas, zonas de carga y descarga
9.2.1. Localizacin y proteccin del equipamiento
9.2.2. Instalaciones de suministro. Equipamiento de soporte
9.2.3. Seguridad del cableado
9.2.4. Mantenimiento de equipos
9.2.5. Seguridad del equipamiento fuera de las instalaciones
9.2.6. Reutilizacin o baja segura de equipos
9.2.7. Traslado de Propiedad
10.1.1. Documentacin de Procedimientos
10.1.2. Gestin de Cambios
10.1.3. Segregacin de Tareas y Responsabilidades10.1.4. Separacin de actividades y recursos de desarrollo, prueba y operacin10.2.1. Provisin de Servicios
10.2.2. Supervisin y revisin de Servicios de Terceros
10.2.3. Gestin de Cambios de Servicios de terceros
10.3.1. Gestin de Capacidades
10.3.2. Aceptacin de Sistemas
10.4.1. Controles contra Cdigo Malicioso10.4.2. Controles contra Cdigo descargado por el cliente (mvil)
10.5. Copias de Seguridad 10.5.1. Copias de Seguridad
10.6.1. Controles de Redes
10.6.2. Seguridad de los Servicios de Red
10.7.1. Tratamiento de los soportes removibles
10.7.2. Baja de soportes
10.7.3. Procedimientos de manipulacin de la informacin
10.7.4. Seguridad de la Documentacin de Sistemas
9.1. reas Seguras
9.2. Equipamiento de Seguridad
Seguridad Fsica y del Entorno
10.1. Procedimientos operacionales y Responsabilidades
10.2. Gestin de Servicios de Terceros
Gestin de las Comunicaciones y
Operaciones
10.3. Planificacin y aceptacin de Sistemas
10.4. Proteccin contra Cdigo Malicioso y Cdigo Mvil
10.6. Gestin de Seguridad de Redes
10.7. Tratamiento de los Medios de Soporte de la Informacin
-
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OCRN/BP
RAR
Aplica Si/No
Controles Seleccionados y Razones para su
seleccinObservaciones para la
Implantacin
Justificacin de la
exclusin
Poltica de
Controles de la ISO 27002:2005
10.8.1. Polticas y procedimientos de intercambio de informacin10.8.2. Acuerdos de Intercambio
10.8.3. Medios fsicos en trnsito
10.8.4. Mensajera Electrnica
10.8.5. Sistema de Informacin empresariales
10.9.1. Comercio Electrnico
10.9.2. Transacciones en lnea
10.9.3. Informacin puesta a disposicin pblica
10.10.1. Registros de auditora
10.10.2. Supervisin del uso del sistema
10.10.3. Proteccin de los registros de monitoreo10.10.4. Responsables de Administracin y Operacin de registros de monitoreo10.10.5. Registro de fallas
10.10.6. Sincronizacin de relojes
11.1. Requerimientos de Control de Accesos
11.1.1. Poltica de Control de Accesos
11.2.1. Registro de Usuarios
11.2.2. Gestin de Privilegios
11.2.3. Gestin de contraseas de usuarios
11.2.4. Revisin de derechos de accesos de los usuarios
11.3.1. Utilizacin de Contraseas11.3.2. Equipamiento sin requerimientos de atencin de usuarios11.3.3. Poltica de pantallas y puestos de trabajo limpios
11.4.1. Poltica de uso de Servicios de Red
11.4.2. Autenticacin de usuarios externos
11.4.3. Identificacin de equipos en las redes11.4.4. Diagnstico remoto y Proteccin de puertos de configuracin11.4.5. Segregacin de las redes
11.4.6. Control de Conexiones a redes
11.4.7. Control de Enrutamiento de redes
11.3. Responsabilidades de los usuariosControl de
Accesos
11.4. Control de acceso a Redes
10.8. Intercambio de Informacin
Gestin de las Comunicaciones y
Operaciones (cont.)
10.9 Servicios de Comercio Electrnico
10.10. Monitoreo (Supervisin)
11.2. Gestin de Accesos de Usuarios
-
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OCRN/BP
RAR
Aplica Si/No
Controles Seleccionados y Razones para su
seleccinObservaciones para la
Implantacin
Justificacin de la
exclusin
Poltica de
Controles de la ISO 27002:2005
11.5.1. Procesos seguros de inicio de sesin (log-on)
11.5.2. Identificacin y Autenticacin de usuarios
11.5.3. Sistema de Administracin de Contraseas
11.5.4. Uso de los recursos del sistema11.5.5. Desconexin automtica de las sesiones de usuario (Timeout)11.5.6. Lmite del tiempo de conexin
11.6.1. Restriccin de acceso a la informacin
11.6.2. Aislamiento de sistemas sensibles
11.7.1. Equipos de Trabajo y Comunicaciones mviles
11.7.2. Teletrabajo
12.1. Requirimientos de Seguridad de los Sistemas de Informacin
12.1.1. Anlisis y Especificaciones de Requisitos de Seguridad de los Sistemas de Informacin
12.2.1. Validacin de los datos de entrada
12.2.2. Control de Procesamiento interno
12.2.3. Integridad de los mensajes
12.2.4. Validacin de datos de salida
12.3.1. Poltica de uso de controles criptogrficos
12.3.2. Gestin de Claves
12.4.1. Control del Software en produccin (explotacin)
12.4.2. Proteccin de datos de pruebas de sistemas
12.4.3. Control de Accesos a la biblioteca de cdigo fuente
12.5.1. Procedimientos de Control de Cambios12.5.2. Revisin Tcnica de los sistemas tras efectuar cambios en el Sistema Operativo
12.5.3. Restriccin de cambios en los paquetes de software
12.5.4. Fuga de Informacin
12.5.5. Proceso tercerizado de desarrollo de software
12.6. Vulnerabilidades Tcnicas 12.6.1. Control de Vulnerabilidades Tcnicas
13.1.1. Reportes de Incidentes
13.1.2. Reportes de Debilidades y Amenazas
13.2.1. Responsabilidades y Procedimientos
13.2.2. Aprendizaje de los Incidentes de SI
13.2.3. Recoleccin de Evidencias
Control de Accesos (cont.)
12.5 Seguridad en los procesos de desarrollo y Soporte
Gestin de Incidentes de Seguridad de Informacin
13.1. Reportes de Incidentes y Amenazas a la Seguridad
13.2. Gestin de Incidentes y Mejoras
Adquisicin, Desarrollo y
Mantenimiento de Sistemas
12.2. Procesamiento correcto en Aplicaciones
12.3. Control Criptogrfico
12.4. Seguridad de los archivos del sistema
11.5 Acceso al Sistema Operativo
11.7. Computacin Mvil y Teletrabajo
11.6. Control de acceso a las aplicaciones
-
SOA - DECLARACIN DE APLICABILIDAD
Dominio Objetivo Control RL OCRN/BP
RAR
Aplica Si/No
Controles Seleccionados y Razones para su
seleccinObservaciones para la
Implantacin
Justificacin de la
exclusin
Poltica de
Controles de la ISO 27002:2005
14.1.1. Inclusin de la SI en el Plan de Continuidad del Negocio14.1.2. Continuidad del Negocio y Gestin de Riesgos14.1.3. Desarrollo e implantacin de Planes de Continuidad que incluyan SI14.1.4. Marco de referencia para los Planes de Continuidad del Negocio14.1.5. Pruebas, mantenimiento y mejoras de los Planes de Continuidad del Negocio
15.1.1. Identificacin de las legislacin aplicable
15.1.2. Derechos de Propiedad Intelectual
15.1.3. Salvaguarda de los registros de la Organizacin15.1.4. Proteccin de datos y privacidad de la informacin personal15.1.5. Prevencin del uso indebido de recursos de tratamiento de la informacin 15.1.6. Regulacin para controles de criptografa
15.2.1. Conformidad con la poltica de seguridad15.2.2. Chequeo de Conformidad Tcnica15.3.1. Controles de Auditora de los Sistemas de Informacin15.3.2. Proteccin de las herramientas de Auditora de los Sistemas de Informacin
Referencias:
Controles Seleccionados y Razones de su seleccin: RL: Requerimientos Legales, OC: Obligaciones Contractuales, RN/BP: Requerimientos del Negocio/Buenas Prcticas adoptadas, RAR: Resultados del Anlisis de RiesgosJustificacin de la Exclusin: Se indican posibles causas por las cuales la organizacin puede haber decidido no implementar el controlObservaciones para la Implantacin: Se indican documentos o procesos que puede desarrollar la organizacin para la implantacin
Conformidad Normativa y Legal
15.1. Conformidad Legal
15.2. Conformidad con Polticas de Seguridad y Estndares y Conformidad Tcnica
15.3. Consideraciones de auditora de los sistemas de informacin
SI: Seguridad de la Informacin
Gestin de la Continuidad del
Negocio
14.1. Aspectos de la Seguridad de la Informacin para la Continuidad del
Negocio