DECLARACION DE APLICABILIDAD - SoA

Objetivos de Control y Controles Descripción Aplica Justificación

A.5 Políticas de seguridad de la información

A.5.1 Gestión de la Gerencia para la seguridad de la información

Control
La gerencia debe definir, aprobar, publicar y comunicar a los
A.5.1.1 - Políticas de la seguridad de la información trabajadores y partes externas involucradas, una serie de políticas SI
para la seguridad de la información

Control
Las políticas de seguridad de la información deben ser revisadas en
A.5.1.2 - Revisión de las políticas de seguridad de la información intervalos planificados o si ocurren cambios significativos, para SI
garantizar su idoneidad, adecuación y efectividad continuos.

A.6 Organización de la seguridad de la información

A.6.1 Organización interna
Control
Se debe definir y asignar todas las responsabilidades de la seguridad
A.6.1.1 - Funciones y responsabilidades de la seguridad de la información SI
de la información.

Control
Se debe definir y asignar todas las responsabilidades de la seguridad
A.6.1.2 - Segregación de tareas SI
de la información.

Control
A.6.1.3 - Contacto con las autoridades Se debe mantener contacto adecuado con las autoridades respectivas SI

Control
Se debe mantener contacto con grupos especiales de interés u otros
A.6.1.4 - Contacto con grupos especiales de interés SI
forums y asociaciones de profesionales especializados en seguridad

Control
La seguridad de la información debe adaptarse a la gestión del
A.6.1.5 - Seguridad de la información en la gestión del proyecto SI
proyecto, independientemente del tipo de proyecto

A.6.2 Equipos móviles y trabajo a distancia

Control
Se debe adoptar políticas y medidas de soporte de seguridad para el
A.6.2.1 - Política de los equipos móviles SI
manejo de los riesgos derivados del uso de equipos móviles.

Control
Se debe implementar políticas y medidas de soporte de seguridad para
A.6.2.2 - Trabajo a distancia proteger la información a la que se accede, procesa o almacena en los SI
lugares de trabajo a distancia.
 Objetivos de Control y Controles Descripción Aplica Justificación
A.7 Seguridad de los recursos humanos
A.7.1. Antes de reclutarlo

Control
Se debe llevar a cabo la verificación de los antecedentes de todos los
candidatos al empleo de acuerdo a las leyes y regulaciones vigentes y
A.7.1.1 - Filtración a la ética; y debe ser proporcional a los requisitos del negocio, la SI
clasificación de la información a la que tendrá acceso y los riesgos que
se perciban.

Control
Los acuerdos contractuales con los trabajadores y contratistas debe
A.7.1.2 - Términos y condiciones del empleo fijar sus responsabilidades y las de la organización con respecto a la SI
seguridad de la información.

A.7.2 Durante el trabajo

Control
La Gerencia debe instar a todos los trabajadores y contratistas a aplicar
A.7.2.1 - Responsabilidades de la Gerencia la seguridad de la información de acuerdo a las políticas y SI
procedimientos establecidos por la organización.

Control
Todos los trabajadores de la organización y los contratistas, si así lo
requiriesen, deben recibir una adecuada educación de concientización
A.7.2.2 - Concientización, educación y capacitación sobre seguridad de la
información
y capacitación, así como actualizaciones regulares sobre las políticas y SI
procedimientos organizaciones, de acuerdo a las funciones de trabajo
que desempeñen.

Control
Debe haber un proceso disciplinario formal que debe ser comunicado
A.7.2.3 - Procesos disciplinarios en el lugar, para tomar acción contra los trabajadores que comentan SI
alguna infracción contra la seguridad de la información.

A.7.3 Término y cambio de empleo

Control
Se debe definir, comunicar y reforzar a todos los trabajadores y
contratistas, las responsabilidades y tareas de seguridad de la
A.7.3.1 - Término o cambio de responsabilidades de empleo SI
información que permanecerán válidos después del término del
empleo.

A.8 Gestión de los Activos

A.8.1 Responsabilidades sobre los activos
Control
Se debe identificar los activos y las instalaciones asociados a la
A.8.1.1 - Inventario de activos información y al procesamiento de la información y se debe diseñar y SI
mantener un inventario de dichos activos.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Los activos que se encuentren identificados en el inventario deben de
A.8.1.2 - Propiedad de los activos SI
ser asignados a un “propietario”.

Control
Se debe implementar, documentar e implementar las reglas para el uso
A.8.1.3 - Uso aceptable de los activos aceptable de la información y de los activos relacionados a la SI
información y a las instalaciones de procesamiento de la información.

Control
Todos los trabajadores y usuarios internos y externos deberán devolver
A.8.1.4 - Retorno de los activos todos los activos de la organización que estén en su posesión una vez SI
terminado su empleo, contrato o acuerdo.

A.8.2 Clasificación de la información

Control
La información debe ser clasificada en términos de los requisitos y
A.8.2.1 - Clasificación de la información valores legales, siendo crítica y sensible ante la divulgación y SI
modificación no autorizada.

Control
Se debe desarrollar e implementar una serie de procedimientos
adecuados para el etiquetado de la información, de acuerdo al
A.8.2.2 - Etiquetado de la información SI
esquema de clasificación de la información adoptado por la
organización.

Control
Se debe desarrollar e implementar procedimientos de manejo de los
A.8.2.3 - Manejo de los activos activos de acuerdo al esquema de clasificación de la información SI
adoptado por la organización.

A.8.3 Gestión de los medios

Control
Se debe implementar procedimientos para la gestión de los medios
A.8.3.1 - Gestión de los medios removibles removibles de acuerdo al esquema de clasificación adoptado por la SI
organización

Control
Los medios removibles deben ser desechados de manera segura
A.8.3.2 - Disposición de los medios removibles SI
cuando ya no son necesarios, mediante procedimientos formales.

Control
Los medios removibles que contienen información deben ser
A.8.3.3 - Transferencia física de los medios removibles. protegidos contra el acceso no autorizado, mal uso o corrupción SI
durante su transporte.

A.9 Control de acceso

A.9.1 Requisitos del negocio sobre control del acceso
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe establecer, documentar y revisar la política de control del
A.9.1.1 - Política de control de acceso acceso en base a los requisitos del negocio y de la seguridad de la SI
información.

Control
Los usuarios deben tener acceso únicamente a la red o a los servicios
A.9.1.2 - Acceso a la redes y a los servicios de las redes SI
de redes a los que han sido autorizados a usar.

A.9.2 Gestión del acceso al usuario

Control
Se debe implementar un proceso registro y des-registro del usuario
A.9.2.1 - Registro y des-registro del usuario SI
para habilitar los derechos de acceso.

Control
Se debe implementar un proceso formal de provisión de acceso al
A.9.2.2 - Provisión de acceso al usuario usuario, para asignar o revocar los derechos de acceso a todos los SI
tipos de usuarios a todos los sistemas y servicios.

Control
Se debe restringir y controlar la asignación y uso de los derechos de
A.9.2.3 - Gestión de los derechos de acceso privilegiado SI
acceso privilegiado.

Control
Se debe controlar la asignación de la información de autenticación
A.9.2.4 - Gestión de información de autenticación secreta de usuarios SI
secreta de usuarios mediante un proceso de gestión formal.

Control
Los propietarios de los activos deben verificar los derechos de acceso
A.9.2.5 - Verificación de los derechos de acceso de los usuarios SI
de los usuarios a intervalos regulares.

Control
Los derechos de acceso a todos los trabajadores y terceros a la
información y a las instalaciones de procesamiento de la información
A.9.2.6 - Retiro o ajuste de los derechos de acceso SI
deben ser retirados al término del empleo, contrato o acuerdo, o
ajustado luego de un cambio.

A.9.3 Responsabilidades del usuario

Control
Se debe solicitar a los usuarios seguir las prácticas de la organización
A.9.3.1 - Uso de información secreta de autenticación SI
sobre el uso de la información secreta de autenticación.

A.9.4 Control de acceso a sistemas y aplicaciones

Control
Se debe restringir el acceso a la información y a las funciones de
A.9.4.1 - Restricción del acceso a la información SI
aplicación del sistema de acuerdo a la política de control de acceso.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Si así lo requiere la política de control del acceso, se debe controlar el
A.9.4.2 - Procedimiento seguro de logeo acceso a los sistemas y a las aplicaciones, mediante un procedimiento SI
seguro de logeo.

Control
Los sistemas de gestión de la clave deben ser interactivos y deben
A.9.4.3 - Sistema de gestión de la clave SI
asegurar la calidad de las claves.

Control
Se debe restringir y controlar severamente el uso de programas
A.9.4.4 - Uso de programas utilitarios de privilegio utilitarios que puedan controlar manualmente el sistema y los controles SI
de la aplicación.

Control
A.9.4.5 - Control del acceso para programar el código fuente Se debe restringir el acceso al programa de código fuente. SI

A.10 Criptografía
A.10.1 Controles de la criptografía
Control
Se debe desarrollar e implementar una política de uso de controles
A.10.1.1 - Política del uso de controles criptográficos NO
criptográficos para proteger la información.

Control
Se debe desarrollar e implementar una política para el uso, protección
A.10.1.2 - Gestión de las claves y tiempo de vida de las claves criptográficas a lo largo de todo su ciclo NO
de vida.

A.11 Seguridad física y medioambiental

A.11.1 Áreas seguras
Control
Se debe determinar y utilizar los perímetros de seguridad para proteger
A.11.1.1 - Perímetro de seguridad física las áreas que contienen información sensible y crítica y las SI
instalaciones de procesamiento de la información.

Control
Se debe proteger las áreas seguras mediante controles adecuados de
A.11.1.2 - Controles físicos de los ingresos SI
ingreso para garantizar el ingreso de sólo personal autorizado.

Control
Se debe diseñar y aplicar mecanismos de seguridad física a las salas,
A.11.1.3 - Seguridad de las oficinas, salas e instalaciones SI
oficinas e instalaciones.

Control
Se debe diseñar y aplicar mecanismos de control contra los desastres
A.11.1.4 - Protección contra las amenazas externas y medioambientales SI
naturales, ataques maliciosos o accidentes.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe diseñar y aplicar procedimientos para el trabajo en áreas
A.11.1.5 - Trabajo en áreas seguras SI
seguras.

Control
Los puntos de acceso, tales como las zonas de distribución y carga y
otros puntos por los que podría ingresar personal no autorizado a las
A.11.1.6 - Distribución de las zonas de carga instalaciones deben ser controlados, y en la medida de lo posible, NO
alejados de las instalaciones de procesamiento de la información para
evitar el acceso no autorizado.

A.11.2 Equipos

Control
Los equipos deben ser ubicados y protegidos de tal forma que se
A.11.2.1 - Ubicación y protección de los equipos reduzcan los riesgos como resultado de las amenazas y los peligros del SI
medio ambiente, y las oportunidades de acceso no autorizado.

Control
Los equipos deben ser protegidos contra las fallas de energía y otras
A.11.2.2 - Servicios públicos de soporte alteraciones causadas por las fallas en los servicios públicos de SI
soporte.

Control
Se debe proteger de cualquier interferencia, intercepción o daño al
A.11.2.3 - Seguridad en el cableado cableado de energía o telecomunicaciones que transfiere datos o que SI
sirve de apoyo en los servicios de información.

Control
Se debe mantener de manera correcta el mantenimiento de los equipos
A.11.2.4 - Mantenimiento de los equipos SI
para garantizar su disponibilidad e integridad continuas.

Control
El equipo, la información o el software no puede ser retirado de su
A.11.2.5 - Retiro de los activos SI
lugar sin una previa autorización

Control
Se debe aplicar medidas de seguridad para los activos utilizados fuera
A.11.2.6 - Seguridad de los equipos y bienes fuera de las instalaciones de las instalaciones, tomando en cuéntalos diferentes riesgos de SI
trabajar fuera de las instalaciones de la organización.

Control
Todos los equipos que contienen medios de comunicación de la
información deben ser revisados para garantizar que se haya extraído
A.11.2.7 - Disposición o re-uso seguro de los equipos SI
o que se haya sobre-escrito la información sensible y la licencia del
software antes de desechar o re-usar el mismo.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Los usuarios deben garantizar una adecuada protección a los equipos
A.11.2.8 - Usuario de equipo abandonado SI
abandonados

Control
Se debe adoptar la política de escritorio limpio de papeles y de medios
A.11.2.9 - Política de escritorio y pantallas limpias de almacenamiento removibles, y una política de pantalla limpia en las SI
instalaciones de procesamiento de la información.

A.12 Seguridad de las operaciones

A.12.1 Procedimientos y responsabilidades operaciones

Control
Se debe documentar los procesos operacionales y ponerse a
A.12.1.1 - Documentación de los procedimientos operacionales SI
disposición de todos los usuarios que lo necesiten.

Control
A.12.1.2 - Cambios en la gerencia Se debe mantener un control sobre los cambios en la organización, el SI
negocio y los sistemas que afectan la seguridad de la información

Control
Debe ser monitoreado y mejorado el uso de recursos, así como las
A.12.1.3 - Gestión de la capacidad proyecciones hechas sobre los requisitos de capacidad del futuro, para SI
garantiza el desempeño del sistema.

Control
Se debe separar los ambientes de desarrollo, prueba y operaciones
A.12.1.4 - Separación de ambientes de desarrollo, prueba y de operaciones para reducir los riesgos de acceso o cambios no autorizados dentro de SI
ambiente de operaciones.

A.12.2 Protección contra el malware (programa malicioso)

Control
Se debe implementar mecanismos de control para la detección,
A.12.2.1 - Controles contra el malware prevención y recuperación, para proteger a la información contra el SI
malware, junto con una concientización adecuada al usuario.

A.12.3 Backup
Control
Se debe tomar y poner a prueba de manera regular, el back up de
A.12.3.1 - Backup de la información copias de la información, software e imágenes del sistema, de acuerdo SI
a la política de back up de la organización.

A.12.4 Logeo y monitoreo

Control
Se debe llevar a cabo y verificar regularmente eventos de logeo que
A.12.4.1 - Eventos de logeo registren las actividades, excepciones, faltas y cualquier evento de SI
seguridad de la información.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe proteger contra la falsificación y el acceso no autorizado a los
A.12.4.2 - Protección de la información del logeo SI
medios de logeo y a la información del logeo

Control
Debe logearse las actividades del sistema del administrador y del
A.12.4.3 - Logeo del administrador y operador operador, y los logs deben ser protegidos y revisados de manera SI
regular.

Control
Se debe sincronizar a una sola fuente de tiempo de referencia, los
A.12.4.4 - Sincronización de los relojes relojes de todos los sistemas de procesamiento de la información SI
correspondientes dentro de la organización o del dominio de seguridad.

A.12.5 Control del software operacional

Control
Se debe implementar procedimientos para controlar la instalación del
A.12.5.1 - Instalación del software en los sistemas operacionales SI
software en los sistemas operacionales

A.12.6 Gestión de las vulnerabilidades técnicas

Control
Se debe obtener, de manera oportuna, información sobre las
vulnerabilidades técnicas de los sistemas de la información a ser
A.12.6.1 - Gestión de las vulnerabilidades técnicas utilizados; evaluar la exposición de la organización a dichas SI
vulnerabilidades y tomar las medidas adecuadas para manejar los
riesgos asociados.

Control
Se debe establecer e implementar las reglas que gobiernen la
A.12.6.2 - Restricciones en la instalación de software SI
instalación de los softwares.

A.12.7 Consideraciones de las auditorías sobre los sistemas de

información

Control
Se debe planificar cuidadosamente los requisitos y actividades de la
A.12.7.1 - Controles de la auditoría sobre los sistemas de información auditoría que involucren la verificación de los sistemas operacionales; y SI
acordar minimizar las alteraciones a los procesos del negocio

A.13 Seguridad de las comunicaciones

A.13.1 Gestión de la seguridad de las redes
Control
Se debe administrar y controlar las redes para proteger la información
A.13.1.1 - Controles en las redes SI
de los sistemas y las aplicaciones
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe identificar los mecanismos de seguridad, los niveles del
servicio y los requisitos de todos los servicios de redes e incluirlos en
A.13.1.2 - Seguridad de los servicios de las redes SI
los acuerdos de servicios de redes, ya sea que los servicios sean
proporcionados por la misma organización o por un tercero.

Control
Se debe segregar grupos de servicios de información, usuarios y
A.13.1.3 - Segregación en las redes SI
sistemas de información

A.13.2. Transferencia de la información

Control
Se debe dar lugar a las políticas, procedimientos y controles formales
A.13.2.1 - Políticas y procedimientos de la transferencia de la información de transferencia a través del uso de todo tipo de equipos de SI
comunicación

Control
Los acuerdos deberán señalar la transferencia segura de la información
A.13.2.2 - Acuerdos sobre la transferencias de la información SI
del negocio entre la organización y terceros.

Control
Se debe proteger adecuadamente la información enviada mediante
A.13.2.3 - Mensajes electrónicos SI
mensajes electrónicos.

Control
Se debe identificar, revisar regularmente y documentar los requisitos
A.13.2.4 - Confidencialidad o acuerdos no divulgados para la confidencialidad o acuerdos no divulgados que reflejan las SI
necesidades de la organización sobre la protección de la información.

A.14. Adqusición, desarrollo y mantenimiento del sistema

A.14.1 Requisitos de seguridad de los sistemas de información

Control
Se debe incluir la seguridad de la información relacionada a los
A.14.1.1 - Análisis y especificaciones de los requisitos de la seguridad de la
información
requisitos en los requerimientos de nuevos sistemas de información o SI
en el mejoramiento de los sistemas de información existentes.

Control
Se debe proteger la información que pasa a través de las redes
A.14.1.2 - Seguridad de los servicios de aplicación en las redes públicas públicas de las actividades fraudulentas, controversias contractuales y SI
divulgación y modificaciones no autorizadas.

Control
Se debe proteger la información que provenga de las transacciones se
A.14.1.3 - Protección de las transacciones de los servicios de aplicación los servicios de aplicación, para evitar las transmisiones incompletas, SI
desvíos, duplicado o reproducción no autorizados de mensajes.
 Objetivos de Control y Controles Descripción Aplica Justificación
A.14.2 Seguridad en los procesos del programa de desarrollo y soporte

Control
Se debe establecer y aplicar reglas de desarrollo de software y
A.14.2.1 - Política del programa de desarrollo seguro SI
sistemas a los programas de desarrollo dentro de la organización

Control
Se debe controlar los cambios dentro del ciclo de vida de los
A.14.2.2 - Procedimiento de control de los cambios de sistemas programas de desarrollo, mediante el uso de procedimientos formales SI
de control de cambios.

Control
Luego del cambio de las plataformas operacionales, se debe revisar y
A.14.2.3 - Revisión técnica de las aplicaciones luego de los cambios de la verificar las aplicaciones críticas del negocio, para garantizar que no
plataforma operacional
SI
haya un impacto adverso sobre las operaciones o la seguridad
organizacional.

Control
No se facilitará la modificación de los paquetes de sistemas; por el
A.14.2.4 - Restricciones a los cambios de los paquetes de software contrario, se les limitará a los cambios necesarios y todos los cambios SI
deberán ser estrictamente controlados.

Control
Se debe establecer, documentar, mantener y aplicar los principios de
A.14.2.5 - Principios del sistema de seguridad para la ingeniería sistemas de seguridad para la ingeniería, a todos los esfuerzos de SI
implementación del sistema.

Control
Las organizaciones deben establecer y proteger adecuadamente los
ambientes seguros de desarrollo de los sistemas de desarrollo y la
A.14.2.6 - Ambiente seguro del programa de desarrollo SI
integración de los esfuerzos a lo largo del ciclo de vida del programa de
desarrollo del sistema.

Control
La organización debe supervisar y monitorear las actividades de
A.14.2.7 - Programa de desarrollo subcontratado SI
desarrollo del sistema del ente subcontratado.

Control
Se debe llevar a cabo revisiones de la funcionalidad de la seguridad
A.14.2.8 - Revisión de la seguridad del sistema SI
durante el desarrollo

Control
Se debe establecer programas de verificación de la aceptación y de los
A.14.2.9 - Revisión de la aceptación del sistema criterios relacionados con respecto a los nuevos sistemas de SI
información, renovaciones y nuevas versiones.

A .14.3 Datos de prueba

Control
Los datos de prueba deben ser seleccionados, protegidos y
A.14.3.1 - Protección de los datos de prueba SI
controlados cuidadosamente.
 Objetivos de Control y Controles Descripción Aplica Justificación
A.15 Relación con los proveedores
A.15.1 Seguridad de la información en las relaciones con los
proveedores
Control
Se debe acordar y documentar los requisitos de seguridad de la
A.15.1.1 - Política de seguridad de la información sobre las relaciones con los
proveedores
información para mitigar los riesgos asociados al acceso de los SI
proveedores a los activos de la organización.

Control
Se debe establecer y acordar todos los requisitos relacionados a la
seguridad de la información con cada proveedor que pueda acceder,
A.15.1.2 - Consideración de la seguridad en los acuerdos con los proveedores SI
procesar, almacenar, comunicar o proveer con elementos de
infraestructura tecnológica, información de la organización.

Control
Los acuerdos con los proveedores deben incluir los requisitos para el
A.15.1.3 - Cadena de suministro de tecnología de la información y manejo de los riesgos de seguridad de la información relacionados a
comunicación
SI
los servicios de tecnología de la información y la comunicación y a la
cadena de suministro del producto.

A.15.2 Gestión de la prestación del servicio por parte del proveedor

Control
Las organizaciones deben monitorear, revisar y auditar regularmente
A.15.2.1 - Monitoreo y revisión del servicio de los proveedores SI
la prestación de servicios del proveedor.

Control
Se debe gestionar los cambios a la provisión de los servicios prestados
por los proveedores, incluyendo el mantenimiento y la mejora de
políticas, procedimientos y controles de la seguridad de la información,
A.15.2.2 - Cambios en la gestión del servicio de los proveedores SI
tomando en cuenta la sensibilidad de la información del negocio, los
sistemas y los procesos involucrados así como la re-evaluación de los
riesgos.

A.16 Gestión de los incidentes de seguridad de la información

A.16.1 Gestión de los incidentes de la seguridad de la información y la
mejora
Control
Se debe establecer responsabilidades de la gerencia y procedimientos
A.16.1.1 - Responsabilidades y procedimientos para garantizar una respuesta rápida, efectiva y adecuada a los SI
incidentes de seguridad de la información

Control
Se debe reportar los eventos de seguridad de la información a través
A.16.1.2 - Reporte de los eventos de seguridad de la información SI
de canales adecuados lo más pronto posible.
 Objetivos de Control y Controles Descripción Aplica Justificación

Control
Se debe instar a los trabajadores y contratistas que hagan uso de los
sistemas de información de la organización, a tomar nota e informar
A.16.1.3 - Reporte de las debilidades de la seguridad de la información SI
acerca de cualquier debilidad que se observe o sospeche con respecto
a los sistemas o servicios del sistema de seguridad de la información.

Control
Se debe evaluar los eventos de seguridad de la información; y tomar
A.16.1.4 - Evaluación y decisión sobre los eventos de seguridad de la
información
una decisión sobre si deben ser clasificados como incidentes de la SI
seguridad de la información.

Control
Se debe responder a los incidentes de seguridad de la información de
A.16.1.5 - Respuesta a los incidentes de seguridad de la información SI
acuerdo a los procedimientos documentados.

Control
Se debe usar el conocimiento obtenido del análisis y resolución de los
A.16.1.6 - Aprendizaje de los incidentes de seguridad de la información incidentes de la seguridad de la información, con la finalidad de reducir SI
la probabilidad o impacto de futuros incidentes.

Control
La organización debe definir y aplicar procedimientos para la
A.16.1.7 - Recolección de evidencia identificación, recolección, adquisición y conservación de la información SI
que puede servir como evidencia.

A.17 Gestión de los aspectos de la seguridad de la información para la

continuidad del negocio
A.17.1 Continuidad de la seguridad de la información

Control
La organización debe determinar sus requisitos para la seguridad de la
A.17.1.1 - Continuidad de los planes de seguridad de la información información y para la continuidad de la gestión de seguridad de la SI
información en situaciones adversas, e.g. durante una crisis o desastre.

Control
La organización deberá establecer, documentar, implementar y
mantener los procesos, procedimientos y controles para garantizar el
A.17.1.2 - Implementación de la continuidad de la seguridad de la información SI
nivel requerido de continuidad de la seguridad de la información
durante una situación adversa.

Control
La organización debe verificar los controles de la continuidad de la
A.17.1.3 - Verificación, revisión y evaluación de la continuidad de la seguridad seguridad de la información establecidos e implementados, a intervalos
de la información
SI
regulares con la finalidad de asegurar la su validez y efectividad
durante situaciones adversa.

A.17.2 Redundancias
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe implementar las instalaciones de procesamiento de la
A.17.2.1 - Disponibilidad de instalaciones de procesamiento de la información información con una capacidad adicional suficiente para cumplir con los SI
requisitos de disponibilidad.

A.18 Cumplimiento
A.18.1 Cumplimiento de los requisitos legales y contractuales

Control
Se debe identificar de manera explícita, documentar y mantener
actualizados todos los requisitos legislativos regulatorios y
A.18.1.1 - Identificación de la ley aplicable y de los requisitos contractuales contractuales así como el enfoque de la organización para cumplir con SI
estos requisitos, con respecto a cada sistema de información y a la
organización.

Control
Se debe implementar procedimientos adecuados para garantizar el
cumplimiento de los requisitos legislativos, regulatorios y contractuales
A.18.1.2 - Derechos de propiedad intelectuales SI
relacionados a los derecho de propiedad intelectuales y al uso de
productos registrados de software.

Control
Los registros deben ser protegidos contra la pérdida, destrucción,
falsificación, acceso no autorizado y lanzamiento no autorizado, de
A.18.1.3 - Protección de los registros SI
acuerdo a los requisitos legales, regulatorios, contractuales y del mismo
negocio.

Control
Se debe garantizar la privacidad y la protección de la información que
A.18.1.4 - Privacidad y protección de la información que permite identificar a
las personas
permita identificar a las personas de acuerdo a lo requerido en la SI
legislación y las regulaciones pertinentes, si fuera aplicable.

Control
Se debe hacer uso de controles criptográficos en cumplimiento con los
A.18.1.5 - Regulación de los controles criptográficos NO
acuerdos, las leyes y las regulaciones correspondientes.

A.18.2 Revisiones de la seguridad de la información

Control
Se debe revisar, a intervalos planificados o cuando ocurre algún
cambio significativo,, el enfoque de la organización para gestionar la
A.18.2.1 - Revisión independiente de la seguridad de la información seguridad de la información y su implementación (i.e. objetivos de SI
control, controles, políticas, procesos y procedimientos de la seguridad
de la información).

Control
Los gerentes deben revisar regularmente el cumplimiento de los
A.18.2.2 - Cumplimiento de las políticas y normas de seguridad de la procedimientos y del procesamiento de la información dentro de su
información
SI
área de responsabilidad, de acuerdo a las políticas, normas de
seguridad adecuadas y a los otros requisitos de seguridad.
 Objetivos de Control y Controles Descripción Aplica Justificación
Control
Se debe revisar regularmente los sistemas de la información con
A.18.2.3 - Revisión del cumplimiento técnico respecto al cumplimiento de las políticas y normas de seguridad de la SI
información de la organización.