m 1.

1 General
m 1.2 Aplicación

2. REFERENCIAS NORMATIVAS
m m.1 Disponibilidad
m m.2 Confidencialidad
m m.m Seguridad de información
m m.4 Sistema de gestión de seguridad de la información
SGSI
m m.5 Integridad
m m.6 Aceptación de riesgo
m m.7 Análisis de riesgo
m m.8 Tasación del riesgo
m m.9 Evaluación del riesgo
m m.10 Manejo del riesgo
m m.11 Tratamiento del riesgo
m m.12 Enunciado de aplicabilidad
m 4.1 Requerimientos generales
m 4.2 Establecer y manejar el SGSI
m 4.2.1 Establecer el SGSI
m 4.2.2 Implementar y operar el SGSI
m 4.2.m Monitorear y revisar el SGSI
m 4.2.4 Mantener y mejorar el SGSI
m 4.m Requerimiento de documentación
m 4.m.1 General
m 4.m.2 Control de documentos
m 4.m.m Control de registros
m 5.1 Compromiso de la gerencia
m 5.2 Gestión de recursos
m 5.2.1 Provisión de recursos
m 5.2.2 Capacitación, convencimiento, y
capacidad
m 6.1 General
m 6.2 Insumos de la revisión
m 6.m Resultados de la revisión
m 6.4 Auditorias internas del SGSI
m 7.1 Mejoramiento continuo
m 7.2 Acción correctiva
m 7.m Acción preventiva
m A.1 Introducción
m A.2 Código de la guía práctica
m A.m Política de seguridad
m A.m.1 Política de seguridad de información
m A.m.1.1 Documento de política de seguridad de
información
m A.m.1.2 Revisión y evaluación
m A.4.1 Infraestructura de seguridad de información
m A.4.1.1 Foro de gestión de información gerencial
m A.4.1.2 Coordinación de la seguridad de
información
m A.4.1.m Asignación de responsabilidades de la
seguridad de la información
m A.4.1.4 Proceso de autorización para los medios
de procesamiento de información
m A.4.1.5 Consulta especializada sobre seguridad
de información
m A.4.1.6 Cooperación entre organizaciones
m A.4.1.7 Revisión independiente de la seguridad de
la información
A.4.2 Seguridad del acceso de terceras personas
m A.4.2.1 Identificación de riesgos de acceso de
terceras personas
m A.4.2.2 Requerimientos de seguridad en contratos
con terceras personas
A.4.m Abastecimiento Externo
m A.4.m.1 Requerimientos de seguridad en los
contratos de abastecimiento externo
A.5.1 Responsabilidad por los activos
^ A.5.1.1 Inventarios de activos

A.5.2 Clasificación de la información

^ A.5.2.1 Lineamientos de clasificación
^ A.5.2.2 Etiquetado y manejo de la información
A.6.1 Seguridad en la definición del trabajo y el
abastecimiento
m A.6.1.1 Incluir responsabilidades de seguridad en
el trabajo
m A.6.1.2 Selección y política del personal
m A.6.1.m Acuerdos de confidencialidad
m A.6.1.4 Términos y condiciones de empleo

A.6.2 Capacitación del usuario

m A.6.2.1 Educación y capacitación para la
seguridad de la información
A.6.m Responder a los incidentes y
malfuncionamientos en la seguridad
m A.6.m.1 Informar incidentes de seguridad
m A.6.m.2 Informar debilidades en la seguridad
m A.6.m.m informar mal funcionamiento de software

m A.6.m.4 Aprender de los incidentes

m A.6.m.5 Proceso disciplinario
A.7.1 Áreas seguras
m A.7.1.1 Perímetro de seguridad física
m A.7.1.2 Controles de entrada físicos
m A.7.1.m Oficinas, salones y medios de seguridad
m A.7.1.4 Trabajos en áreas seguras
m A.7.1.5 Áreas de entrega y cargas aisladas
A.7.2 Seguridad del equipo
m A.7.2.1 Protección y localización de equipo
m A.7.2.2 Suministro de energía

m A.7.2.m Seguridad en el cableado

m A.7.2.4 Mantenimiento de equipo
m A.7.2.5 Seguridad del equipo fuera del local
m A.7.2.6 Eliminación segura o re-uso del equipo
A.7.m Controles generales
m A.7.m.1 Política de pantalla y escritorio limpio
m A.7.m.2 Retiro de propiedad
A.8.1 procedimientos y responsabilidades
operacionales
m A.8.1.1 Procedimientos de operaciones
documentados
m A.8.1.2 Controles de cambio operacional
m A.8.1.m Procedimientos de manejo de incidentes
m A.8.1.4 segregación de deberes

m A.8.1.5 Segregación de los medios de desarrollo y

operacionales
m A.8.1.6 Gestión de medios externos
A.8.2 Planeación y aceptación del sistema
m A.8.2.1 Planeación de capacidad
m A.8.2.2 Aceptación del sistema
A.8.m Protección contra software malicioso
m A.8.m.1 Controles contra software malicioso
A.8.4 Gestión en casa
m A.8.4.1 Back-up o respaldo de información
m A.8.4.2 Registros de operador
m A.8.4.m registro de fallas
A.8.5 Manejo de redes
m A.8.5.1 Controles de red
A.8.6 Manejo y seguridad de medios
m A.8.6.1. Manejo de los medios de computación
removibles
m A.8.6.2 Eliminación de medios
m A.8.6.m Procedimientos de manejo de la
información
m A.8.6.4 Seguridad de documentación del sistema
A.8.7 Intercambio de información y software
m A.8.7.1 Acuerdos de intercambio de información y
software
m A.8.7.2 Seguridad de medios en tránsito
m A.8.7.m Seguridad del comercio electrónico
m A.8.7.4 Seguridad del correo electrónico
m A.8.7.5 Seguridad de los sistemas de oficina
electrónicos
m A.8.7.6 Sistemas disponibles públicamente
m A.8.7.7 Otras formas de intercambio de
información
A.9.1 Requerimiento comercial para el control del
acceso
m A.9.1.1 política de control de acceso
A.9.2 Manejo del acceso del usuario
m A.9.2.1Inscripción del usuario

m A.9.2.2 Manejo de privilegios

m A.9.2.m Manejo de la clave del usuario
m A.9.2.4 Revisión de los derechos de acceso del
usuario
A.9.m Responsabilidades del usuario
m A.9.m.1 Uso de la clave
m A.9.m.2 Equipo de usuario desatendido
A.9.4 Control de acceso a redes
m A.9.4.1 Política sobre el uso de servicios en red
m A.9.4.2 Camino impuesto
m A.9.4.m Autenticación del usuario para conexiones
externas
m A.9.4.4 Autenticación de nodo
m A.9.4.5 Protección del puerto de diagnóstico
remoto
m A.9.4.6 Segregación en redes
m A.9.4.7 control de conexión de redes
m A.9.4.8 Control de ³routeing´ de redes
m A.9.4.9 Seguridad de servicio de red
A.9.5 Control de acceso al sistema de operación
m A.9.5.1 Identificación automática del terminal
m A.9.5.2 Procedimientos de registro en terminal
m A.9.5.m Identificación y autenticación del usuario
m A.9.5.4 Sistema de manejo de claves
m A.9.5.5 Uso de utilidades del sistema
m A.9.5.6 Alarma de coacción para salvaguardar a
usuarios
m A.9.5.7 Tiempo fuera del terminal

m A.9.5.8 Limitación de tiempo de conexión

A.9.6 Control de acceso a la aplicación
m A.9.6.1 Restricción al acceso a la información
m A.9.6.2 Aislamiento del sistema sensible

A.9.7 Acceso y uso del sistema de monitoreo

m A.9.7.1 Diario de eventos
m A.9.7.2 Uso del sistema de monitoreo
m A.9.7.m Sincronización de relojes

A.9.8 Computación móvil y tele-trabajo

m A.9.8.1 Computación móvil

m A.9.8.2 Tele-trabajo
A.10.1 Requerimientos de seguridad de los
sistemas
m A.10.1.1 Análisis y especificación de los
requerimientos de seguridad

A.10.2 Seguridad en los sistemas de aplicación

m A.10.2.1 Validación de data de input

m A.10.2.2 Control de procesamiento interno

m A.10.2.m Autenticación del mensaje
m A.10.2.4 Validación de data de output
A.10.m Controles de criptografía
m A.10.m.1 Política sobre el uso de controles
criptográficos
m A.10.m.2 Encriptación
m A.10.m.m Firmas digitales
m A.10.m.4 Servicios de no-repudación
m A.10.m.5 Gestión clave

A.10.4 Seguridad de los archivos del sistema

m A.10.4.1 Control de software operacional
m A.10.4.2 Protección de la data de prueba del
sistema
m A.10.4.m Control de acceso a la biblioteca de
fuentes del programa
A.10.5 Seguridad en los procesos de desarrollo y
apoyo
m A.10.5.1 Procedimientos de control de cambio
m A.10.5.2 Revisión técnica de cambios en el
sistema operativo
m A.10.5.m Restricciones sobre los cambios en los
paquetes de software
m A.10.5.4 Convertir canales y código troyanos
m A.10.5.5 Desarrollo de software abastecido
externamente
A.11.1 Aspectos de la gestión de la continuidad
m A.11.1.1 Proceso de gestión de la continuidad
comercial
m A.11.1.2 Continuidad comercial y análisis de impacto
m A.11.1.m Elaborar e implementar planes de
continuidad
m A.11.1.4 Marco referencial para la planeación de la
continuidad comercial
m A.11.1.5 Prueba, mantenimiento y re-evaluación de
planes de continuidad comerciales
A.12.1 Cumplimiento con requerimientos legales
m A.12.1.1 Identificación de legislación aplicable

m A.12.1.2 Derechos de propiedad intelectual (IPR)

m A.12.1.m Salvaguardar los registros organizacionales

m A.12.1.4 Protección de data y privacidad de información

personal
m A.12.1.5 Prevención de mal uso de medios de
procesamiento de información
m A.12.1.6 Regulación de controles criptográficos

m A.12.1.7 Recolección de evidencia

A.12.2 Revisión de la política de seguridad y
cumplimiento técnico
m A.12.2.1 Cumplimiento con política de seguridad
m A12.2.2 Chequeo de cumplimiento técnico

A.12.m Consideraciones de auditoría de sistemas

m A.12.m.1Controles de auditoría de sistemas
m A.12.m.2 Protección de las herramientas de
auditoría del sistema