ISO 27001 anexo A

A.6.2.1: Identificacin de los riesgos relacionados con entidades externas: Se deben identificar los riesgos que corren la informacin y los medios de procesamiento de informacin de la organizacin y se deben los controles apropiados antes otorgar acceso. El sistema: cumple con este punto. A.7.2.2: Etiquetado y manejo de la informacin: Se debe desarrollar e implementar un conjunto de procedimientos para etiquetar y manejar la informacin en concordancia con el esquema de clasificacin adoptado por la organizacin. El sistema: cumple con este punto. A.8.3.3: Eliminacin de derechos de acceso: Los derechos de acceso de todos los empleados, contratistas y terceros a la informacin y medios de procesamiento de la informacin deben ser eliminados a la terminacin de su empleo, contrato o acuerdo, o se deben ajustar al cambio. El sistema: cumple con este punto. A.10.1.1: Procesos de operacin documentados: se debe documentar y mantener los procedimientos de operacin, y se deben poner disposicin de todos los usuarios que la necesiten. El sistema: cumple con este punto. A.10.2.1: Entrega del servicio: Se deben asegurar que los terceros implementen, operen y mantengan los controles de seguridad definiciones de servicio y niveles de entrega incluidos en el contrato de entregas del servicio. El sistema: cumple parcialmente con este punto. A.10.3.1: Gestiona de capacidad: Se deben establecer los criterios de aceptacin para los sistemas de informacin nuevos, actualizaciones y versiones nuevas se deben llevar a cabo pruebas adecuadas del (los) sistema (s) durante su desarrollo y antes de su aceptacin. El sistema: cumple parcialmente con este punto. A.10.5.1: Back up o respaldo de la informacin: Se deben realizar copias de back up o respaldo de la informacin comercial y software esencial y se deben probar regularmente de acuerdo a la poltica. El sistema: cumple con este punto.

A.10.7.3: Procedimientos del manejo de la informacin: se deben establecer los procedimientos para el manejo y el almacenaje de la informacin para proteger dicha informacin de una divulgacin no autorizada del mal uso. El sistema: cumple con este punto. A.10.9.3: Informacin disponible pblicamente: Se debe proteger la integridad de la informacin disponible pblicamente para evitar la modificacin no autorizada. El sistema: cumple con este punto. A.10.10.3: Proteccin de la informacin del registro: Se deben proteger los medios de registro y la informacin de registro contra las alteraciones y acceso no autorizado. El sistema: cumple parcialmente con este punto. A.10.10.4: Registro del administrador y el operador: Se deben registrar las actividades del administrador y operador del sistema. El sistema: cumple con este punto. A.10.10.6: Sincronizacin de relojes: Los relojes de los sistemas de procesamiento de informacin relevante de una organizacin o domino de seguridad deben estar sincronizados con una fuente de tiempo exacta acordada. El sistema: cumple parcialmente con este punto. A.11.2.1: Inscripcin del usuario: Debe existir un procedimiento formal para la inscripcin y des inscripcin para otorgar acceso a los sistemas y servicio de informacin. El sistema: cumple con este punto. A.11.2.2: Gestin de privilegios: Se debe restringir y controlar la asignacin y uso de los privilegios. El sistema: cumple con este punto. A.11.2.3: Gestion de la clave del usuario: La asignacin de claves se debe controlar a travs de un proceso de gestin de formal. A.11.3.1: Uso de clave: Se debe requerir que los usuarios sigan buenas prcticas de seguridad en la seleccin y uso de claves. El sistema: cumple con este punto.

A.11.5.2: Identificacin y autenticacin del usuario: Todos los usuarios deben tener un identificador singular (ID de usuario) para su uso personal y exclusivo, se debe elegir una tcnica de autenticacin adecuada para verificar la identidad del usuario. El sistema: cumple con este punto.

A.11.5.3: Sistema de gestin de claves: Los sistemas de manejo de claves deben ser interactivos y deben asegurar la calidad de las claves. El sistema: cumple parcialmente con este punto. A.11.6.1: Restriccin al acceso de la informacin: Se debe restringir el acceso de los usuarios y del personal de soporte al sistema de informacin y aplicacin en concordancia con la poltica de control de acceso definida. El sistema: cumple con este punto. A.12.3.1: Polticas sobre el uso de controles criptogrficos. Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para proteccin de la informacin. El sistema: cumple con este punto. A.12.4.3: Control de acceso al cdigo fuente del programa: Se debe restringir el acceso al cdigo fuente del programa. El sistema: cumple parcialmente con este punto. A.12.5.4: Filtracin de informacin: Se debe evitar las oportunidades de filtraciones en la informacin. El sistema: cumple parcialmente con este punto. A.14.1.3: Desarrollar e implementar planes de continuidad incluyendo seguridad de la informacin: Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel requerido y en la escala de tiempo requerido despus de la interrupcin o falla en los procesos comerciales crticos. El sistema: cumple con este punto. A.15.1.2: Derecho de propiedad intelectual (IPR): Se deben implementar los procesos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso de material con respecto sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de los productos patentados.

El sistema: no cumple con este punto. A.15.1.3: Proteccin de los registros organizacionales: Se deben proteger los registros importantes de una organizacin de prdida destruccin y falsificacin en concordancia con los requerimientos estatutarios, reguladores contractuales y comerciales. El sistema: cumple parcialmente con este punto. A.15.1.4: Proteccin de data y privacidad de informacin personal: Se deben asegurar la proteccin y privacidad tal como se requieren en la legislacin relevante, las regulaciones y, si fuera aplicable, las clausulas contractuales. El sistema: cumple parcialmente con este punto. A15.1.5: Prevencin del mal uso de medios de procesamiento de informacin: Se debe desanimar a los usuarios de utilizar los medios de procesamiento de la informacin para propsitos no autorizados. El sistema: no cumple con este punto. A15.1.6: Regulacion de controles criptogrficos: Se deben utilizar controles en cumplimiento con los acuerdos, leyes, y regulaciones relevantes. El sistema: cumple con este punto. A.15.2.2: Chequeo de cumplimiento tcnico: Los sistemas de informacin deben chequearse regularmente para el cumplimiento con los estndares de implementacin de la seguridad. El sistema: cumple parcialmente con este punto. A.15.3.2: Proteccin de las herramientas de auditora de los sistemas de informacin: Se debe proteger el acceso a la herramienta de auditora de los sistemas de informacin para evitar cualquier mal uso o compromiso posible. El sistema: no cumple con este punto.