Professional Documents
Culture Documents
SEPTIEMBRE 2017
COFL02 Página 1 de 16
CONTENIDO
1. PRESENTACIÓN............................................................................................................................ 3
2. OBJETIVO GENERAL ..................................................................................................................... 3
3. DEFINICIONES .............................................................................................................................. 3
4. CONTEXTO DE LA ORGANIZACIÓN .............................................................................................. 9
5. LIDERAZGO ................................................................................................................................ 10
6. PLANIFICACIÓN.......................................................................................................................... 11
7. SOPORTE.................................................................................................................................... 12
8. OPERACIÓN ............................................................................................................................... 13
9. EVALUACIÓN DEL DESEMPEÑO ................................................................................................. 14
10. MEJORA ................................................................................................................................. 14
ANEXO A ............................................................................................................................................ 15
COFL02 Página 2 de 16
1. PRESENTACIÓN
2. OBJETIVO GENERAL
3. DEFINICIONES
COFL02 Página 3 de 16
Activo: En relación con la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organización.
Auditor de segunda parte: Auditor que audita una organización en nombre de otra.
Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando
una administración pública ordena una auditoriía de una empresa.
Auditor de tercera parte: Auditor que audita una organización en nombre de una
tercera parte independiente que emite un certificado de cumplimiento.
COFL02 Página 4 de 16
Autenticidad: Propiedad de que una entidad es lo que afirma ser.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a
mantener claros los objetivos de la auditoría, sirve de evidencia del plan de
auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y
su carga de trabajo. Este tipo de listas también se pueden utilizar durante la
implantación del SSI para facilitar su desarrollo.
Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado
antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha
materializado pero que se corrige.
Control preventivo: Control que evita que se produzca un riesgo, error, omisión o
acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
COFL02 Página 5 de 16
Declaración de aplicabilidad: Documento que enumera los controles aplicados
por el SSI de la organización -tras el resultado de los procesos de evaluación y
tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones
de controles del anexo A de ISO 27001.
Directiva: Una descripción que clarifica qué debería ser hecho y cómo, con el
propósito de alcanzar los objetivos establecidos en las políticas.
COFL02 Página 6 de 16
Gestión de incidentes de seguridad de la información: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la
información.
Impacto: El coste para la empresa de un incidente -de la escala que sea-, que
puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de
reputación, implicaciones legales, etc-.
Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue
haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor
niegue su recepción (cuando realmente lo ha recibido).
Parte interesada: Persona u organización que puede afectar a, ser afectada por o
percibirse a sí misma como afectada por una decisión o actividad.
COFL02 Página 7 de 16
Plan de continuidad del negocio: Plan orientado a permitir la continuación de las
principales funciones del negocio en el caso de un evento imprevisto que las ponga
en peligro.
COFL02 Página 8 de 16
Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociadas de modo
inequívoco a un individuo o entidad.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.
4. CONTEXTO DE LA ORGANIZACIÓN
COFL02 Página 9 de 16
4.2. SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN
5. LIDERAZGO
5.2. POLÍTICA
La Entidad adopta la Política del Subsistema de Seguridad de la Información –
ASPO05 mediante la Resolución 1521 de 2014, en donde se reconoce el valor y la
importancia de la información como activo de la organización.
COFL02 Página 10 de 16
CIO: Decreto 415 de 2016
6. PLANIFICACIÓN
COFL02 Página 11 de 16
Los objetivos del Subsistema de Seguridad de la Información están disponibles en
el Plan Gerencial y Despliegue de Objetivos del Subsistema de Seguridad en la
Información -FPFT02 – FPFT03 los cuales están alineados con la Política del
Subsistema de Seguridad de la Información de la Entidad vigente.
7. SOPORTE
7.1. RECURSOS
La Entidad designa cada vigencia los recursos necesarios para el adecuado
funcionamiento del Subsistema de Seguridad de la Información, esto es evidenciado
mediante los recursos asignados al Proyecto de Inversión.
7.2. COMPETENCIA
Las competencias requeridas para los funcionarios de cada dependencia en la
Entidad están establecidas en el Manual de Funciones de la Entidad cada uno de
los cargos de la misma están establecidos en éste documento, así como el nivel de
estudios y experiencia que debe tener.
COFL02 Página 12 de 16
7.4. COMUNICACIÓN
8. OPERACIÓN
COFL02 Página 13 de 16
Los planes de tratamiento de los riesgos de seguridad de la información están
documentados en Riesgos de Seguridad de la Información y plan de tratamiento de
Seguridad de la Información - ASFT22.
10. MEJORA
COFL02 Página 14 de 16
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
ANEXO A
COFL02 Página 15 de 16
COFL02 Página 16 de 16