Declar

Controles que aplican: 103

Código Fecha de Edición

Objetivo
N° ESTADO DESCRIPCIÓN DEL CONTROL
/CONTROL

Un conjunto de políticas para la

seguridad de la información debe ser
Políticas para la
definido, aprobado por la dirección,
A.5.l.l seguridad de la Implementado
publicado y comunicado a los
información
empleados y partes externas
relevantes.
1

Las políticas de seguridad de la

Revisión de las información deben revisarse a
políticas para la intervalos planificados o siempre que
A.5.1.2 Implementado
seguridad de la se produzcan cambios significativos, a
información fin de asegurar que se mantenga su
idoneidad, adecuación y eficacia.
2

Roles y
Todas las responsabilidades en
responsabilidades en
A.6.1.1 Implementado seguridad de la información deben
seguridad de la
ser definidas y asignadas.
información

Las funciones y áreas de

responsabilidad deben segregarse
para reducir la posibilidad de que se
A.6.1.2 Segregación de tareas Implementado produzcan modificaciones no
autorizadas o no intencionadas o usos
indebidos de los activos de la
organización.

4
Deben mantenerse los contactos
Contacto con las
A.6.1.3 Implementado apropiados con las autoridades
autoridades
5 pertinentes.

Deben mantenerse los contactos

apropiados con grupos de interés
Contacto con grupos
A.6.1.4 Implementado especial, u otros foros y asociaciones
de interés especial
profesionales especializados en
seguridad
6

La seguridad de la información debe

Seguridad de la
tratarse dentro de la gestión de
A.6.1.5 información en la Implementado
proyectos, independientemente de la
gestión de proyectos
naturaleza del proyecto.
7
 Se debe adoptar una política y unas
Política de dispositivos medidas de seguridad adecuadas para
A.6.2.1 Implementado
móviles la protección contra los riesgos de la
utilización de dispositivos móviles.

Se debe implementar una política y

unas medidas de seguridad
adecuadas para proteger la
A.6.2.2 Teletrabajo No aplica
información accedida, tratada o
almacenada en emplazamientos de
teletrabajo.

La comprobación de los antecedentes

de todos los candidatos al puesto de
trabajo se debe llevar a cabo de
acuerdo con las leyes, normas y
Investigación de
A.7.1.1 Implementado códigos éticos que sean de aplicación
antecedentes
y debe ser proporcional a las
necesidades del negocio, la
clasificación de la información a la que
se accede y los riesgos percibidos.

10
Cómo parte de sus obligaciones
contractuales, los empleados y
contratistas deben establecer los
Términos y
términos y condiciones de su contrato
A.7.1.2 condiciones del Implementado
de trabajo en lo que respecta a la
empleo
seguridad de la información, tanto
hacia el empleado como hacia la
organización
11

La dirección debe exigir a los

empleados y contratistas, que apliquen
Responsabilidades de la seguridad de la información de
A.7.2.1 Implementado
gestión acuerdo con las políticas y
procedimientos establecidos en la
organización
12

Todos los empleados de la

organización y, cuando
corresponda, los contratistas,
Concienciación,
deben recibir una adecuada
educación y
educación, concienciación y
A.7.2.2 capacitación en Vigente
capacitación con actualizaciones
seguridad de la
periódicas sobre las políticas y
información
procedimientos de la organización,
según corresponda a su puesto de
trabajo.
13
 Debe existir un proceso
disciplinario formal que haya sido
comunicado a los empleados, que
A.7.2.3 Proceso disciplinario Implementado
recoja las acciones a tomar ante
aquellos que hayan provocado
alguna brecha de seguridad.

14
Las responsabilidades en seguridad de
la información y obligaciones que
Responsabilidades
siguen vigentes después del cambio o
A.7.3.1 ante la finalización o Implementado
finalización del empleo deben
cambio
definirse, comunicarse al empleado o
contratista y se deben cumplir.
15

Los activos asociados a la información

y a los recursos para el tratamiento de
A.8.1.1 Inventario de activos Implementado la información deben estar claramente
identificados y debe elaborarse y
mantenerse un inventario
16

Propiedad de los Todos los activos que figuran en el

A.8.1.2 Implementado
activos inventario deben tener un propietario.

17

Se deben identificar, documentar e

implementar las reglas de uso
Uso aceptable de los
A.8.1.3 Implementado aceptable de la información y de los
activos
activos asociados con los recursos
para el tratamiento de la información.
18

Todos los empleados y terceras partes

deben devolver todos activos de la
A.8.1.4 Devolución de activos Implementado organización que estén en su poder al
finalizar su empleo, contrato o
acuerdo.
19

La información debe ser clasificada en

términos de la importancia de su
Clasificación de la revelación frente a requisitos legales,
A.8.2.l Implementado
información valor, sensibilidad y criticidad ante
revelación o modificación no
autorizadas.
20

Debe desarrollarse e implantarse un

conjunto adecuado de procedimientos
Etiquetado de la para etiquetar la información, de
A.8.2.2 Implementado
información acuerdo con el esquema de
clasificación adoptado por la
organización.
21
 Debe desarrollarse e implantarse un
conjunto adecuado de procedimientos
Manipulado de la para la manipulación de la información,
A.8.2.3 Implementado
información de acuerdo con el esquema de
clasificación adoptado por la
organización
22

Se deben implementar procedimientos

para la gestión de los soportes
Gestión de soportes
A8.3.1 Implementado extraíbles, de acuerdo con el esquema
extraíbles
de clasificación adoptado por la
organización
23

Los soportes deben eliminarse de

Eliminación de forma segura cuando ya no vayan a
A.8.3.2 Implementado
soportes ser necesarios, mediante
procedimientos formales.
24

Durante el transporte fuera de los

límites físicos de la organización, los
Soportes físicos en
A.8.3.3 Implementado soportes que contengan información
tránsito
deben estar protegidos contra
accesos no autorizados
25

Se debe establecer, documentar y

revisar una política de control de
Política de control de
A.9.1.1 Implementado acceso basada en los requisitos de
acceso
negocio y de seguridad de la
información.
26

Únicamente se debe proporcionar a

los usuarios el acceso a las redes y a
Acceso a las redes y a
A.9.1.2 Implementado los servicios en red para cuyo uso
los servicios de red
hayan sido específicamente
autorizados.

27

Debe implantarse un procedimiento

Registro y baja de formal de registro y retirada de
A.9.2.1 Implementado
usuario usuarios que haga posible la
asignación de los derechos de acceso.

28

Debe implantarse un
procedimiento formal para asignar
Provisión de acceso de
A.9.2.2 Implementado o revocar los derechos de acceso
usuario
para todos los tipos de usuarios de
todos los sistemas y servicios.
29

La asignación y el uso de privilegios

Gestión de privilegios
A.9.2.3 Implementado de acceso debe estar restringida y
de acceso
controlada.
30
 Gestión de la La asignación de la información
información secreta de secreta de autenticación debe ser
A.9.2.4 Implementado
autenticación de los controlada a través de un proceso
usuarios formal de gestión.

31

Revisión de los Los propietarios de los activos deben

A.9.2.5 derechos de acceso de Implementado revisar los derechos de acceso de
usuario usuario a intervalos regulares

32
Los derechos de acceso de todos los
empleados y terceras partes, a la
Retirada o información y a los recursos de
A.9.2.6 reasignación de los implementado tratamiento de la información deben
derechos de acceso ser retirados a la finalización del
empleo, del contrato o del acuerdo,
o ajustados en caso de cambio
33

Se debe requerir a los usuarios que

Uso de la información
sigan las prácticas de la organización
A.9.3.1 secreta de Implementado
en el uso de la información secreta de
autenticación
autenticación.

34

Se debe restringir el acceso a la

Restricción del acceso información y a las funciones de las
A.9.4.1 Implementado
a la información aplicaciones, de acuerdo con la
política de control de acceso definida

35

Cuando así se requiera en la política

de control de acceso, el acceso a los
Procedimientos
sistemas y a las aplicaciones se debe
A.9.4.2 seguros de inicio de Implementado
controlar por medio de un
sesión
procedimiento seguro de inicio de
sesión.
36

Los sistemas para la gestión de

Sistema de gestión de contraseñas deben ser interactivos y
A.9.4.3 Implementado
contraseñas establecer contraseñas seguras y
robustas.

37

Se debe restringir y controlar

rigurosamente el uso de utilidades que
Uso de utilidades con
A.9.4.4 Implementado puedan ser capaces de invalidar los
privilegios del sistema
controles del sistema y de la
aplicación.
38
 Control de acceso al
Se debe restringir el acceso al código
A.9.4.5 código fuente de los NO Aplica
fuente de los programas.
programa

39

Se debe desarrollar e implementar una

Política de uso de los
política sobre el uso de los controles
A.10.1.1 controles Implementado
criptográficos para proteger la
criptográficos
información.

40

Se debe desarrollar e implementar una

política de sobre el uso, la protección y
A.10.1.2 Gestión de claves Implementado
la duración de las claves de cifrado a
lo largo de todo su ciclo de vida.

41

Se deben utilizar perímetros de

seguridad para proteger las áreas que
Perímetro de seguridad
A.11.1.1 Implementado contienen información sensible así
física
como los recursos de tratamiento de la
información.
42

Las áreas seguras deben estar

protegidas mediante controles de
Controles físicos de
A.11.1.2 Implementado entrada adecuados, para asegurar que
entrada
únicamente se permite el acceso al
personal autorizado.
43

Para las oficinas, despachos y

Seguridad de oficinas,
A.11.1.3 Implementado recursos, se debe diseñar y aplicar
despachos y recursos
la seguridad física.

44

Se debe diseñar y aplicar una

Protección contra las
protección física contra desastres
A.11.1.4 amenazas externas y Implementado
naturales, ataques provocados por el
ambientales
hombre o accidentes

45

Se deben diseñar e implementar

El trabajo en áreas
A.11.1.5 Implementado procedimientos para trabajar en las
seguras
áreas seguras.

46
 Deben controlarse los puntos de
acceso tales como las áreas de carga
y descarga y otros puntos, donde
Áreas de carga y pueda acceder personal no autorizado
A.11.1.6 Implememtado
descarga a las instalaciones, y si es posible,
aislar dichos puntos de los recursos de
tratamiento de la información para
47 evitar accesos no autorizados.

Los equipos deben situarse o

protegerse de forma que se reduzcan
Emplazamiento y los riesgos de las amenazas y los
A.11.2.1 Implementado
protección de equipos riesgos ambientales así como las
oportunidades de que se produzcan
accesos no autorizados.
48

Los equipos deben estar protegidos

Instalaciones de contra fallos de alimentación y otras
A.11.2.2 Implementado
suministro alteraciones causadas por fallos en las
instalaciones de suministro.

49

El cableado eléctrico y de
telecomunicaciones que transmite
Seguridad del datos o que sirve de soporte a los
A.11.2.3 Implementado
cableado servicios de información debe estar
protegido frente a interceptaciones,
interferencias o daños
50

Los equipos deben recibir un

Mantenimiento de los mantenimiento correcto que asegure
A.11.2.4 Implementado
equipos su disponibilidad y su integridad
continuas.

51

Retirada de materiales Sin autorización previa, los equipos, la

A.11.2.5 propiedad de la Implementado información o el software no deben
empresa sacarse de las instalaciones.

52

Deben aplicarse medidas de seguridad

a los equipos situados fuera las
Seguridad de los
instalaciones de la organización,
A.11.2.6 equipos fuera de las Implementado
teniendo en cuenta los diferentes
instalaciones
riesgos que conlleva trabajar fuera de
dichas instalaciones.
53

Todos los soportes de almacenamiento

deben ser comprobados para
Reutilización o
confirmar que todo dato sensible y
A.11.2.7 eliminación segura de Implementado
software bajo licencia se ha eliminado
equipos
de manera segura, antes de
deshacerse de ellos.
54
 Los usuarios deben asegurarse que el
Equipo de usuario
A.11.2.8 Implementado equipo desatendido tiene la protección
desatendido
adecuada

55

Debe adoptarse una política de puesto

de trabajo despejado de papeles y
Política de puesto de
medios de almacenamiento
A.11.2.9 trabajo despejado y Implementado
desmontables y una política de
pantalla limpia
pantalla limpia para los recursos de
tratamiento de la información
56

Deben documentarse y mantenerse

Documentación de
procedimientos de operación y
A.12.1.1 procedimientos de los Implementado
ponerse a disposición de todos los
operación
usuarios que los necesiten.

57

Los cambios en la organización, los

procesos de negocio, instalaciones de
A.12.1.2 Gestión de cambios Implementado tratamiento de la información y los
sistemas que afectan a la seguridad de
información deben ser controlados.
58

Se debe supervisar y ajustar la

utilización de los recursos, así como
Gestión de
A.12.1.3 Implementado realizar proyecciones de los requisitos
capacidades
futuros de capacidad, para garantizar
el rendimiento requerido del sistema.
59

Deben separarse los recursos de

Separación de los desarrollo, pruebas y operación, para
A.12.1.4 recursos de desarrollo, Implementado reducir los· riesgos de acceso no
prueba y operación autorizado o los cambios del sistema
en producción.
60

Se deben implementar los controles de

detección, prevención y recuperación
Controles contra el que sirvan como protección contra el
A.12.2.1 Implementado
código malicioso código malicioso, así como
procedimientos adecuados de
concienciación al usuario
61

Se deben realizar copias de seguridad

de la información, del software y del
Copias de seguridad sistema y se deben verificar
A.12.3.1 Implementado
de la información periódicamente de acuerdo a la
política de copias de seguridad
acordada.
62
 Se deben registrar, proteger y revisar
periódicamente las actividades de los
A.12.4.1 Registro de eventos Implementado
usuarios, excepciones, fallos y eventos
de seguridad de la información.

63

Los dispositivos de registro y la

Protección de la información del registro deben estar
A.12.4.2 Implementado
información de registro protegidos contra manipulaciones
indebidas y accesos no autorizados

64

Los dispositivos de registro y la

Registro de
información del registro deben estar
A.12.4.3 administración y Implementado
protegidos contra manipulaciones
operación
indebidas y accesos no autorizados

65

Los relojes de todos los sistemas de

tratamiento de información dentro de
Sincronización del una organización o de un dominio de
A.12.4.4 Implementado
reloj seguridad, deben estar sincronizados
con una única fuente precisa y
acordada de tiempo.
66

Se deben implementar procedimientos

Instalación de Software
A.12.5.1 Implementado para controlar la instalación del
en explotación
software en explotación.

67
Se debe obtener información oportuna
acerca de las vulnerabilidades técnicas
Gestión de las de los sistemas de información
A.12.6.1 vulnerabilidades Implementado utilizados, evaluar la exposición de la
técnicas organización a dichas vulnerabilidades
y adoptar las medidas adecuadas para
afrontar el riesgo asociado.
68

Se deben establecer y aplicar reglas

Restricción en la
A.12.6.2 Implementado que rijan la instalación de software por
instalación de software
parte de los usuarios

69
 Los requisitos y las actividades de
auditoría que impliquen
Controles de auditoría comprobaciones en los sistemas
A.12.7.1 de sistemas de Implementado operativos deben ser cuidadosamente
información planificados y acordados para
minimizar el riesgo de interrupciones
en los procesos de negocio.
70

Las redes deben ser gestionadas y

controladas para proteger la
A.13.1.1 Controles de red Implementado
información en los sistemas y
aplicaciones.

71
Se deben identificar los mecanismos
de seguridad, los niveles de servicio, y
los requisitos de gestión de todos los
Seguridad de los servicios de red y se deben incluir en
A.13.1.2 Implementado
servicios de red cualquier acuerdo de servicios de red,
tanto si estos servicios se prestan
dentro de la organización como si se
72 subcontratan.

Los grupos de servicios de

información, los usuarios y los
A.13.1.3 Segregación en redes Implementado
sistemas de información deben estar
segregados en redes distintas.

73

Deben establecerse políticas,

Políticas y
procedimientos y controles formales
procedimientos de
A...13.2. l Implementado que protejan el intercambio de
intercambio de
información mediante el uso de todo
información
tipo de recursos de comunicación

74

Deben establecerse acuerdos para el

Acuerdos de
intercambio seguro de información del
A.13.2.2 intercambio de Implementado
negocio y software entre la
información
organización y terceros.

75

La información que sea objeto de

A.13.2.3 Mensajería electrónica Implementado mensajería electrónica debe estar
adecuadamente protegida

76

Deben identificarse, documentarse y

Acuerdos de
revisarse regularmente los requisitos
A.13.2.4 confidencialidad o no Implementado
de los acuerdos de confidencialidad o
revelación
no revelación

77
 Los requisitos relacionados con la
Análisis de requisitos y seguridad de la información deben
especificaciones de incluirse en los requisitos para los
A.14.1.1 Implementado
seguridad de la nuevos sistemas de información o
información mejoras a los sistemas de información
existentes.
78

La información involucrada en
aplicaciones que pasan a través de
Asegurar los servicios
redes públicas debe ser protegida de
A.14.1.2 de aplicaciones en Implementado
cualquier actividad fraudulenta, disputa
redes públicas
de contrato, revelación y modificación
no autorizados.
79
La información involucrada en las
transacciones de servicios de
Protección de las aplicaciones debe ser protegida para
transacciones de prevenir la transmisión incompleta,
A.14.1.3 Implementado
servicios de errores de enrutamiento, alteración no
aplicaciones autorizada del mensaje, revelación,
duplicación, o reproducción de
80 mensaje no autorizadas

Se deben establecer y aplicar

Política de desarrollo reglas dentro de la organización
A.14.2.1 No aplica
seguro para el desarrollo de aplicaciones y
sistemas.
81

La implantación de cambios a lo largo

Procedimiento de del ciclo de vida del desarrollo debe
A.14.2.2 control de cambios en No aplica controlarse mediante el uso de
sistemas procedimientos formales de control de
cambios.
82
Cuando se modifiquen los sistemas
operativos, las aplicaciones de negocio
Revisión técnica de las
críticas deben ser revisadas y
aplicaciones tras
A.14.2.3 No aplica probadas para garantizar que no
efectuar cambios en el
existen efectos adversos en las
sistema operativo
operaciones o la seguridad de la
organización
83

Se deben desaconsejar las

Restricciones a los modificaciones· en los paquetes de
A.14.2.4 cambios en los No aplica software, limitándose a los cambios
paquetes de software necesarios, y todos los cambios deben
ser objeto de un control riguroso
84

Principios de ingeniería de sistemas

seguros se deben establecer,
Principios de ingeniería
A.14.2.5 N/A documentar, mantener y aplicarse a
de sistemas seguros
todos los esfuerzos de implementación
de sistemas de información.
85

Las organizaciones deben establecer y

proteger adecuadamente los entornos
Entorno de desarrollo de desarrollo seguro para el desarrollo
A.14.2.6 No aplica
seguro del sistema y los esfuerzos de
integración que cubren todo el ciclo de
vida de desarrollo del sistema.
86
 El desarrollo de software externalizado
Externalización del
A.14.2.7 No aplica debe ser supervisado y controlado por
desarrollo del software
la organización

87

Se deben llevar a cabo pruebas de

Pruebas funcionales de
A.14.2.8 No aplica la seguridad funcional durante el
seguridad de sistemas
desarrollo.

88

Se deben establecer programas de

pruebas de aceptación y criterios
Pruebas de aceptación
A.14.2.9 No aplica relacionados para nuevos sistemas de
de sistemas
información, actualizaciones y nuevas
versiones.
89

Los datos de prueba se deben

Protección de los datos
A.14.3.1 Implementado seleccionar con cuidado y deben
de prueba
ser protegidos y controlados.

90

Los requisitos de seguridad de la

Política de seguridad información para la mitigación de los
de la información en riesgos asociados con el acceso del
A.15.1.1 Implementado
las relaciones con los proveedor a los activos de la
proveedores organización deben acordarse con el
proveedor y quedar documentados.
91

Todos los requisitos relacionados con

la seguridad de la información deben
Requisitos de
establecerse y acordarse con cada
A.15.1.2 seguridad en contratos Implementado
proveedor que puede acceder, tratar,
con terceros
almacenar, comunicar, o proporcionar
componentes de la infraestructura IT.
92
Los acuerdos con proveedores deben
incluir requisitos para hacer frente a
Cadena de suministro
los riesgos de seguridad de la
de tecnología de la
A.15.1.3 Implementado información relacionados con las
información y de las
tecnologías de la información y las
comunicaciones
comunicaciones y con la cadena de
suministro de productos.
93

Control y revisión de la Las organizaciones deben controlar,

A.15.2.1 provisión de servicios Implementado revisar y auditar regularmente la
del proveedor provisión de servicios del proveedor

94
 Se deben gestionar los cambios en la
provisión del servicio, incluyendo el
mantenimiento y la mejora de las
Gestión de cambios políticas, los procedimientos y
A.15.2.2 en la provisión del Implementado controles de seguridad de la
servicio del proveedor información existentes, teniendo en
cuenta la criticidad de los procesos y
sistemas de negocio afectados así
95 como la reapreciación de los riesgos

Se deben establecer las

responsabilidades y procedimientos de
Responsabilidades y gestión para garantizar una respuesta
A.16.1.1 Implementado
procedimientos rápida, efectiva y adecuada a los
incidentes de seguridad de la
información.

96

Los eventos de seguridad de la

Notificación de los
información se deben notificar por los
A.16.1.2 eventos de seguridad Implementado
canales de gestión adecuados lo antes
de la información
posible.

97

Todos los empleados, contratistas,

terceras partes usuarias de los
Notificación de puntos sistemas y servicios de información
A.16.1.3 débiles de la seguridad Implementado deben ser obligados a anotar y
de la información notificar cualquier punto débil que
observen o que sospechen que exista,
en los sistemas o servicios

98

Los eventos de seguridad de la

Evaluación y decisión
información deben ser evaluados y
sobre los eventos de
A.16.1.4 Implementado debe decidirse si se clasifican como
seguridad de
incidentes de seguridad de la
información
información.

99

Los incidentes de seguridad de la

Respuesta a incidentes
información deben ser respondidos de
A.16.1.5 de seguridad de la Implementado
acuerdo con los procedimientos
información
documentados

100

El conocimiento obtenido a partir del

Aprendizaje de los análisis y la resolución de incidentes
incidentes de de seguridad de información debe
A.16.1.6 Implementado
seguridad de la utilizarse para reducir la probabilidad o
información el impacto de los incidentes en el
futuro

101
 La organización debe definir y aplicar
procedimientos para la identificación
Recopilación de
A.16.1.7 Implementado recogida, adquisición y preservación
evidencias
de información que puede servir de
evidencia.

102

La organización debe determinar sus

Planificación de la necesidades de seguridad de la
continuidad de la información y de continuidad para la
A.17.1.l Implementado
seguridad de la gestión de seguridad de la información
información en situaciones adversas, por ejemplo,
durante una crisis o desastre.

103

La organización debe establecer,

documentar, implementar y mantener
Implementar la
procesos, procedimientos y controles
continuidad de la
A.17.1.2 Implementado para asegurar el nivel requerido de
seguridad de la
continuidad de la seguridad de la
información
información durante una situación
adversa.

104

Verificación, revisión y La organización debe comprobar los

evaluación de la controles establecidos e
A.17.1.3 continuidad de la Implementado implementados a intervalos regulares
seguridad de la para asegurar que son válidos y
información eficaces durante situaciones adversas

105

Los recursos de tratamiento de la

Disponibilidad de los
información deben ser implementados
recursos de
A.17.2.1 Implementado con la redundancia suficiente para
tratamiento de la
satisfacer los requisitos de
información
disponibilidad.

106

Todos los requisitos pertinentes, tanto

legales como regulatorios, estatutarios
Identificación de la o contractuales, y el enfoque de la
legislación aplicable y organización para cumplirlos, deben
A.18.1.1 Implementado
de. los requisitos definirse de forma explícita,
contractuales documentarse y mantenerse
actualizados para cada sistema de
información de la organización.
107
 Deben implementarse procedimientos
adecuados para garantizar el
cumplimiento de los requisitos legales,
Derechos de propiedad regulatorios y contractuales sobre el
A.18.1.2 Implementado
intelectual (DPJ) uso de materiales, con respecto a los
cuales puedan existir derechos de
propiedad intelectual y sobre el uso de
productos de software patentados.

108

Los registros deben estar protegidos

contra la pérdida, destrucción,
Protección de los
falsificación, revelación o acceso no
A.18.1.3 registros de la Implementado
autorizados de acuerdo con los
organización
requisitos legales, regulatorios,
contractuales y de negocio.
109

Deber garantizarse la protección y la

Protección y privacidad
privacidad de los datos, según se
A.18.1.4 de la información de Implementado
requiera en la legislación y la
carácter personal
reglamentación aplicables

110

Los controles criptográficos se deben

Regulación de los utilizar de acuerdo con todos los
A.18.1.5 Implementado
controles criptográficos contratos, leyes y regulaciones
pertinentes.

111

El enfoque de la organizac1on
para la gestión de seguridad de
la información y su implantación (es
decir, objetivos de control, controles,
Revisión independiente políticas, procesos y procedimientos
A.18.2.1 de la seguridad de la Implementado para la seguridad de la info1mación),
información debe someterse a una revisión
independiente a intervalos planificados
o siempre que se produzcan cambios
significativos en la implantación de la
seguridad.

112
Los directivos deben asegurarse de
que todos los procedimientos de
seguridad dentro de su área de
Cumplimiento de las
responsabilidad se realizan
A.18.2.2 políticas y normas de Implementado
correctamente con el fin de cumplir las
seguridad
políticas y normas de seguridad y
cualquier otro requisito de seguridad
aplicable
113

Debe comprobarse periódicamente

que los sistemas de información
Comprobación del
A.18.2.3 Implementado cumplen las políticas y normas de
cumplimiento técnico
seguridad de la información de la
organización:

114
 Declaración de Aplicabilidad
Controles que no aplican : 11
Autorizó Revisó

No. Versión Última Revisión

APLICABILIDAD
JUSTIFICACIÓN DE ELECCION METODO DE IMPLEMENTACION
SI/NO

SI

SI

Si

Si

Si

Si

Si
Si

No

Si

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI
NO

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

NO

NO

NO

NO

NO

NO
NO

NO

NO

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

SI

SI
SI

SI

SI

SI

Si

SI

SI