| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | SISTEMA INTEGRADO DE GESTIÓN | CÓDIGO: GSO-FO-018 | ||||||||||||||||||||||||
2 | GESTIÓN ADMIRATIVA FINANCIERA Y COMERCIAL | VERSIÓN: 2 | ||||||||||||||||||||||||
3 | Gestión de soporte y apoyo informático | FECHA: 22/07/2025 | ||||||||||||||||||||||||
4 | Formato declaración de aplicabilidad de controles de seguridad de la información | PÁGINA : 1 DE 1 | ||||||||||||||||||||||||
5 | ||||||||||||||||||||||||||
6 | No del Control | Objetivo de control | Control Norma | SI/NO | Control | |||||||||||||||||||||
7 | ||||||||||||||||||||||||||
8 | A.5 | POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN | ||||||||||||||||||||||||
9 | A.5.1 | Orientación de la dirección para la gestión de la seguridad de la información | ||||||||||||||||||||||||
10 | A.5.1.1 | Políticas para la seguridad de la información | Se debe definir un conjunto de políticas para la seguridad de la información aprobada por la dirección, publicada y comunicada a los empleados y las partes externas pertinentes. | |||||||||||||||||||||||
11 | ||||||||||||||||||||||||||
12 | ||||||||||||||||||||||||||
13 | A.5.1.2 | Revisión de las políticas para la seguridad de la información | Las políticas para la seguridad de la información se deben revisar a intervalos planificados, o si ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia continuas. | |||||||||||||||||||||||
14 | ||||||||||||||||||||||||||
15 | ||||||||||||||||||||||||||
16 | A.6 | ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN | ||||||||||||||||||||||||
17 | A.6.1 | Organización interna | ||||||||||||||||||||||||
18 | A.6.1.1 | Roles y responsabilidades para la seguridad de la información | Se debe definir y asignar todas las responsabilidades de la seguridad de la información. | |||||||||||||||||||||||
19 | A.6.1.2 | Separación de deberes | Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional o el uso indebido de los activos de la organización. | |||||||||||||||||||||||
20 | A.6.1.3 | Contacto con las autoridades | Se deben tener contactos apropiados con las autoridades pertinentes | |||||||||||||||||||||||
21 | A.6.1.4 | Contacto con grupos de interés especial | Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad. | |||||||||||||||||||||||
22 | .AB | Seguridad de la información en la gestión de proyectos | La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto. | |||||||||||||||||||||||
23 | ||||||||||||||||||||||||||
24 | ||||||||||||||||||||||||||
25 | A.6.2 | Dispositivos Móviles y teletrabajo | ||||||||||||||||||||||||
26 | A.6.2.1 | Política para dispositivos móviles | Se deben adoptar una política y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles. | |||||||||||||||||||||||
27 | ||||||||||||||||||||||||||
28 | A.6.2.2 | Teletrabajo | Se deben implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo. | |||||||||||||||||||||||
29 | ||||||||||||||||||||||||||
30 | A.7 | SEGURIDAD DE LOS RECURSOS HUMANOS | ||||||||||||||||||||||||
31 | A.7.1 | Antes de asumir el empleo | ||||||||||||||||||||||||
32 | A.7.1.1 | Selección | Las verificaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y ética pertinentes, y deben ser proporcionales a los requisitos de negocio, a la clasificación de la información a que se va a tener acceso, y a los riesgos percibidos. | |||||||||||||||||||||||
33 | ||||||||||||||||||||||||||
34 | A.7.1.2 | Términos y condiciones del empleo | Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organización en cuanto a la seguridad de la información. | |||||||||||||||||||||||
35 | ||||||||||||||||||||||||||
36 | A.7.2 | Durante la ejecución del empleo | ||||||||||||||||||||||||
37 | A.7.2.1 | Responsabilidades de la dirección | La dirección debe exigir a todos los empleados y contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. | |||||||||||||||||||||||
38 | A.7.2.2 | Toma de conciencia, educación y formación en la seguridad de la información | Todos los empleados de la organización, y en donde sea pertinente, los contratistas, deben recibir la educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la organización pertinentes para su cargo. | |||||||||||||||||||||||
39 | A.7.2.3 | Proceso disciplinario | Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que hayan cometido una violación a la seguridad de la información. | |||||||||||||||||||||||
40 | ||||||||||||||||||||||||||
41 | A.7.3 | Terminación y cambio de empleo | ||||||||||||||||||||||||
42 | A.7.3.1 | Terminación o cambio de responsabilidades de empleo | Las responsabilidades y los deberes de seguridad de la información que permanecen válidos después de la terminación o cambio de empleo se deben definir, comunicar al empleado o contratista y se deben hacer cumplir. | |||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | ||||||||||||||||||||||||||
45 | A.8 | GESTIÓN DE ACTIVOS | ||||||||||||||||||||||||
46 | A.8.1 | Responsabilidad por los activos | ||||||||||||||||||||||||
47 | A.8.1.1 | Inventario de activos | Se deben identificar los activos asociados con información e instalaciones de procesamiento de información, y se debe elaborar y mantener un inventario de estos activos. | |||||||||||||||||||||||
48 | A.8.1.2 | Propiedad de los activos | Los activos mantenidos en el inventario deben tener un propietario. | |||||||||||||||||||||||
49 | ||||||||||||||||||||||||||
50 | A.8.1.3 | Uso aceptable de los activos | Se deben identificar, documentar e implementar reglas para el uso aceptable de información y de activos asociados con información e instalaciones de procesamiento de información. | |||||||||||||||||||||||
51 | ||||||||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | A.8.1.4 | Devolución de activos | Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se entregan a su cargo, al terminar su empleo, contrato o acuerdo. | |||||||||||||||||||||||
54 | ||||||||||||||||||||||||||
55 | A.8 2 | Clasificación de la información | ||||||||||||||||||||||||
56 | A.8.2.1 | Clasificación de la información | La información se debe clasificar en función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación o modificación no autorizada. | |||||||||||||||||||||||
57 | ||||||||||||||||||||||||||
58 | ||||||||||||||||||||||||||
59 | ||||||||||||||||||||||||||
60 | A.8.2.2 | Etiquetado de la información | Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la información, de acuerdo con el esquema de clasificación de la información adoptado por la organización. | |||||||||||||||||||||||
61 | A.8.2.3 | Manejo de activos | Se deben desarrollar e implementar procedimientos para el manejo de activos de acuerdo con el esquema de clasificación de información adoptado por la organización. | |||||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | A.8.3 | Manejo de medios | ||||||||||||||||||||||||
64 | A.8.3.1 | Gestión de medios removibles | Se deben implementar procedimientos para la gestión de medios removibles de acuerdo con el esquema de clasificación adoptado por la organización. | |||||||||||||||||||||||
65 | A.8.3.2 | Disposición de los medios | Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales. | |||||||||||||||||||||||
66 | ||||||||||||||||||||||||||
67 | ||||||||||||||||||||||||||
68 | A.8.3.3 | Transferencia de medios físicos | Los medios que contienen información se deben proteger contra acceso no autorizado, uso indebido o corrupción durante el transporte. | |||||||||||||||||||||||
69 | ||||||||||||||||||||||||||
70 | ||||||||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | ||||||||||||||||||||||||||
73 | ||||||||||||||||||||||||||
74 | A.9 | CONTROL DE ACCESOS | ||||||||||||||||||||||||
75 | A.9.1 | Requisitos del negocio para control de accesos | ||||||||||||||||||||||||
76 | A.9.1.1 | Política de control de acceso | Se debe establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de la información. | |||||||||||||||||||||||
77 | ||||||||||||||||||||||||||
78 | A.9.1.2 | Acceso a redes y a servicios en red | Solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados específicamente. | |||||||||||||||||||||||
79 | A.9.2 | Gestión de acceso de usuarios | ||||||||||||||||||||||||
80 | A.9.2.1 | Registro y cancelación del registro de usuarios | Se debe implementar un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derechos de acceso. | |||||||||||||||||||||||
81 | A.9.2.2 | Suministro de acceso de usuarios | Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de acceso para todo tipo de usuarios para todos los sistemas y servicios. | |||||||||||||||||||||||
82 | A.9.2.3 | Gestión de derechos de acceso privilegiado | Se debe restringir y controlar la asignación y uso de derechos de acceso privilegiado. | |||||||||||||||||||||||
83 | A.9.2.4 | Gestión de información de autenticación secreta de usuarios | La asignación de información de autenticación secreta se debe controlar por medio de un proceso de gestión formal. | |||||||||||||||||||||||
84 | A.9.2.5 | Revisión de los derechos de acceso de usuarios | Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares. | |||||||||||||||||||||||
85 | A.9.2.6 | Retiro o ajuste de los derechos de acceso | Los derechos de acceso de todos los empleados y de usuarios externos a la información y a las instalaciones de procesamiento de información se deben retirar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios. | |||||||||||||||||||||||
86 | ||||||||||||||||||||||||||
87 | A.9.3 | Responsabilidades de los usuarios | ||||||||||||||||||||||||
88 | A.9.3.1 | Uso de información de autenticación secreta | Se debe exigir a los usuarios que cumplan las prácticas de la organización para el uso de información de autenticación secreta. | |||||||||||||||||||||||
89 | ||||||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | A.9.4 | Control de acceso a sistemas y aplicaciones | ||||||||||||||||||||||||
93 | A.9.4.1 | Restricción de acceso a la información | El acceso a la información y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso. | |||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | ||||||||||||||||||||||||||
96 | ||||||||||||||||||||||||||
97 | A.9.4.2 | Procedimiento de ingreso seguro | Cuando lo requiere la política de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un proceso de ingreso seguro. | |||||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 | A.9.4.3 | Sistema de gestión de contraseñas | Los sistemas de gestión de contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas. | |||||||||||||||||||||||