3. CORRESPONDENCIA DE ESTÁNDARES
3.2. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
3.3.7. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PROTECCIÓN DEL SERVICIO
o Ambiente de control
o Direccionamiento estratégico
o Administración del riesgo
o Actividades de Control
o Comunicación pública
o 5 Roles y responsabilidades
• NTC GP: 1000:2004
o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos
o 4.2 Gestión documental
o 5 Responsabilidad de la dirección
o 5.5.3 Comunicación interna
o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad
o 6.3 Infraestructura
o 6.4 Ambiente de trabajo
o 7.1 Planificación de la realización del producto y/o prestación del servicio
o 7.2 Procesos relacionados con el cliente
o 7.2.3 Comunicación con el cliente
o 7.3 Diseño y desarrollo
o 7.3.4 Revisión del diseño y desarrollo
o 7.3.5 Verificación del diseño y desarrollo
o 7.4 Adquisición de bienes y servicios
o 7.5 Producción y prestación del servicio
o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad
o 8.4 Análisis de datos
• ISO27001
o Gestión de la seguridad de las redes
o Controles de las redes
o Seguridad de los servicios de la red
o Monitoreo
o Registro de auditorias
o Monitoreo del uso del sistema
o Protección de la información del registro
o Registros del administrador y del operador
o Registro de fallas
o Sincronización de relojes
o Control de acceso a las redes
o Política de uso de los servicios de red
o Autenticación de usuarios para conexiones externas.
o Identificación de los equipos en las redes
o Protección de los puertos de configuración y diagnóstico remoto
o Separación en las redes
o Control de conexión a las redes
o Control de enrutamiento en la red
o Procedimientos de ingresos seguros
o Identificación y autenticación de usuarios
o Sistema de gestión de contraseñas
o Uso de las utilidades del sistema
o Tiempo de inactividad de la sesión
o Limitación del tiempo de conexión
o Control de acceso a las aplicaciones y a la información
o Restricción de acceso a la información
o Aislamiento de sistemas sensibles
o Computación móvil y trabajo remoto
o Computación y comunicaciones móviles
o Trabajo remoto
o Requisitos de seguridad de los sistemas de información
o Análisis y especificación de los requisitos de seguridad
o Seguridad en los procesos de desarrollo y soporte
o Procedimientos de control de cambios
o Revisión técnica de las aplicaciones después de los cambios en el sistema operativo
o Restricción en los cambios a los paquetes de software
o Fuga de información
o Desarrollo de software contratado externamente
o Control de vulnerabilidades técnicas
o Gestión de los incidentes y las mejoras en la seguridad de la información
o Responsabilidades y procedimientos.
o Aprendizaje debido a los incidentes de seguridad de la información
o Recolección de evidencia
• COBIT 4.1
o PO4.11 Segregación de funciones
o PO3.4 Estándares tecnológicos
o PO6.1 Ambiente de políticas y de control
o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
o PO8.3 Estándares de desarrollo y de adquisición
o AI1.2 Reporte de análisis de riesgos
o AI2.3 Control y auditabilidad de las aplicaciones
o AI2.4 Seguridad y disponibilidad de las aplicaciones.
o AI2.5 Configuración e implantación de software aplicativo adquirido
o AI2.6 Actualizaciones importantes en sistemas existentes
o AI2.7 Desarrollo de software aplicativo
o AI2.8 Aseguramiento de la Calidad del Software
o AI2.9 Administración de los requerimientos de aplicaciones
o AI2.10 Mantenimiento de software aplicativo
o AI3.3 Mantenimiento de la Infraestructura
o AI4.2 Transferencia de conocimiento a la gerencia de la entidad
o AI4.3 Transferencia de conocimiento a usuarios finales
o AI4.4 Transferencia de conocimiento al personal de operaciones y soporte
o AI5.2 Administración de contratos con proveedores
o AI6.1 Estándares y procedimientos para cambios
o AI6.2 Evaluación de impacto, priorización y autorización
o AI6.3 Cambios de emergencia
o AI6.4 Seguimiento y reporte del estatus de cambio
o AI6.5 Cierre y documentación del cambio
o AI7.1 Entrenamiento
o AI7.2 Plan de prueba
o AI7.3 Plan de implantación
o AI7.4 Ambiente de prueba
o AI7.5 Conversión de sistema y datos
o AI7.6 Prueba de cambios
o AI7.7 Prueba final de aceptación
o AI7.8 Transferencia a producción
o AI7.9 Liberación de software
o AI7.10 Distribución del sistema
o AI7.12 Revisión posterior a la implantación
o DS2.3 Administración de riesgos del proveedor
o DS2.4 Monitoreo del desempeño del proveedor
o DS 5.7 Protección de la tecnología de seguridad
o DS5.10 Seguridad de la red
o DS9 Administrar la configuración
o DS9.1 Repositorio de configuración y línea base
o DS9.2 Identificación y mantenimiento de elementos de configuración
o DS9.3 Revisión de integridad de la configuración
o ME1.2 Definición y recolección de datos de monitoreo
o ME2.2 Revisiones de Auditoría
o ME2.5 Aseguramiento del control interno
o ME4.7 Aseguramiento independiente.
o DS5.1 Administración de la seguridad de TI
o DS5.2 Plan de seguridad de TI
o DS5.3 Administración de identidad
o DS5.4 Administración de cuentas del usuario
o DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
o DS5.6 Definición de incidente de seguridad
o DS5.7 Protección de la tecnología de seguridad
o DS5.9 Prevención, detección y corrección de software malicioso
o DS5.10 Seguridad de la red
o DS8 Administrar la mesa de servicio y los incidentes
o DS8.1 Mesa de Servicios
o DS8.2 Registro de consultas de clientes
o DS8.3 Escalamiento de incidentes
o DS8.4 Cierre de incidentes
o DS8.5 Análisis de tendencias
o DS10 Administración de problemas
o DS10.1 Identificación y clasificación de problemas
o DS10.2 Rastreo y resolución de problemas
o DS10.3 Cierre de problemas
o DS10.4 Integración de las administraciones de cambios, configuración y problemas
• ITIL v 3
o SD 3.6.1 Diseñando soluciones y servicios
o SO 4.5 Administración del acceso
o SO 4.5.1 Objetivo/Meta/Propósito
o SO 4.5.2 Alcance
o SO 4.5.3 Valor para el negocio
o SO 4.5.4 Políticas/principios/conceptos básicos
o SO 4.5.6 Triggers, entradas, salidas, interfaces entre procesos
o SO 4.5.7 Administración de Información
o SO 4.5.8 Métricas
o SO 4.5.9 Desafíos, factores críticos de éxito y riesgos
o SO 5.2.3 Copia de respaldo y restauración
o SO 5.3 Administración de mainframe
o SO 5.4 Administración y soporte de servidores
o SO 5.5 Administración de la red
o SO 5.6 Almacenamiento y archivo
o SO 5.7 Administración de bases de datos
o SO 5.8 Administración de servicios de directorio
o SO 5.10 Administración del middleware
o SO 5.11 Administración de Internet y servicios web
o SD 3.6.1 Diseño de las soluciones del servicio
o SD 5.2 Administración de información y datos