ANEXO 2: DECLARACIÓN DE APLICABILIDAD SGSI ISO 27001:2013 - IDARTES

No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EXCLUSION CONTROL

(SI / NO) IMPLEMENTAD
O
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A14.2 Seguridad en los procesos de Objetivo: Asegurarse de la integridad de los sistemas
Desarrollo y de Soporte operacionales
A.14.2.1 Política de desarrollo seguro Control: Se debe establecer y aplicar reglas para el desarrollo de NO
software y de sistemas, a los desarrollos dentro de la
organización.

A.14.2.2 Procedimientos de control de Control: Los cambios a los sistemas dentro del ciclo de vida de NO
cambios en sistemas desarrollo se deben controlar mediante el uso de procedimientos
formales de control de cambios.
A.14.2.3 Revisión técnica de las Control: Cuando se cambian las plataformas de operación, NO
aplicaciones después de cambios se deben revisar las aplicaciones críticas del negocio, y
en la plataforma de operación someter a prueba para asegurar que no haya impacto
adverso en las operaciones o seguridad de la información
A.14.2.4 Restricciones en los cambios o Control: Se deben desalentar las modificaciones a los NO
los paquetes de software paquetes de software, los cuales se deben limitar a los
cambios necesarios, y todos los cambios se deben
A.14.2.5 Principio de Construcción de los controlar estrictamente.
Control: NO
Sistemas Seguros. Se deben establecer, documentar y mantener principios para la
construcción de sistemas seguros, y aplicarlos a cualquier
actividad de implementación de sistemas de información.
A.14.2.6 Ambiente de desarrollo seguro Control: Las organizaciones deben establecer y proteger NO
adecuadamente los ambientes de desarrollo seguros para las
actividades de desarrollo e integración de sistemas que
comprendan todo el ciclo de vida de desarrollo de
sistemas.
A.14.2.7 Desarrollo contratado Control: La organización debe supervisar y hacer NO
externamente seguimiento de la actividad de desarrollo de sistemas
contratados externamente.

A.14.2.8 Pruebas de seguridad de Control: Durante el desarrollo se deben llevar a cabo NO

sistemas pruebas de funcionalidad de la seguridad.
A.14.2.9 Prueba de aceptación de Control: Para los sistemas de información nuevos, NO
sistemas actualizaciones y nuevas versiones, se deben establecer
programas de prueba para aceptación y criterios de
A14.3 Datos de prueba aceptación
Objetivo: relacionados.
Asegurar la protección de los datos usados
para pruebas.
A.14.3.1 Protección de datos de prueba Control: Los datos de prueba se deben seleccionar, SI
proteger y controlar cuidadosamente.

A15 RELACIONES CON LOS PROVEEDORES

A15.1 Gestión de la seguridad de las Objetivo: Asegurar la protección de la información en las
redes redes, y sus instalaciones de procesamiento de información
de soporte.
A15.1.1 Política de seguridad de la Control: Los requisitos de seguridad de la información para NO
información para las relaciones mitigar los riesgos asociados con el acceso de
con proveedores proveedores a los activos de la organización se deben
acordar con estos y se deben documentar.
A15.1.2 Tratamiento de la seguridad Control: Se deben establecer y acordar todos los requisitos NO
dentro de los acuerdos con de seguridad de la información pertinentes con cada
proveedores proveedor que pueda tener acceso, procesar, almacenar,
comunicar o suministrar componentes de infraestructura
de TI para la información de la organización.
A15.1.3 Cadena de suministro de Control: Los acuerdos con proveedores deben incluir NO
tecnología de información y requisitos para tratar los riesgos de seguridad de la
comunicación información asociados con la cadena de suministro de
productos y servicios de tecnología de información y
A15.2 Gestión de la prestación de comunicación.
Objetivo: Mantener el nivel acordado de seguridad de la
servicios de proveedores información y de prestación del servicio en línea con los
acuerdos con los proveedores
A15.2.1 Seguimiento y revisión de los Control: Los requisitos de seguridad de la información para mitigar NO
servicios de los proveedores los riesgos asociados con el acceso de proveedores a los activos
de la organización se deben acordar con estos y se
deben documentar.
A15.2.2 Gestión del cambio en los Control: Se deben establecer y acordar todos los requisitos NO
servicios de los proveedores de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar,
comunicar o suministrar componentes de infraestructura
de TI para la información de la organización.
01:2013 - IDARTES
CONTROLES A EVIDENCIA
IMPLEMENTAR

Metodologías de desarrollo Mediante reuniones con los

seguro. desarrolladores y responsables de los
proyectos se establecen mediante
compromisos el uso de metodologías
Control de cambios. de
Se desarrollo seguro.
inicia con el versionamiento del
software de la entidad.

Manuales, buenas prácticas y Los servicios de aplicaciones de redes

procedimientos de desarrollo publicas incluyendo transacciones
de software seguro. cuentan con medidas par evitar fraude
y modificaciones.
Manuales, buenas prácticas y Existen restricciones de cambios de
procedimientos de desarrollo software.
de software seguro.
Manuales, buenas prácticas y Mediante reuniones con los
procedimientos de desarrollo desarrolladores y responsables de los
de software seguro. proyectos se establecen mediante
compromisos el uso de metodologías
Manuales, buenas practicas y de desarrollo
Para seguro.
los sistemas de SICapital, ORFEO y
procedimientos de desarrollo Sistema de información de Formación
de software seguro. SIF se maneja entornos de pruebas y
producción.

Manuales, buenas practicas y Para los desarrollos externos se maneja

procedimientos de desarrollo acuerdos de licenciamiento, propiedad
de software seguro. de los códigos y derechos de propiedad
intelectual en los contratos de
Manuales, buenas practicas y servicios.
Se realizan pruebas funcionales a los
procedimientos de desarrollo sistemas de información antes de salir
de software seguro. a produción.
Manuales, buenas practicas y Se realizan pruebas funcionales a los
procedimientos de desarrollo sistemas de información.
de software seguro.

Procedimientos de control de Ambientes de pruebas de los

acceso, que se aplican a los respectivos sistemas de información.
sistemas de aplicación
operacionales, se deden
aplicar también a los
sistemas de aplicación de
pruebas

Verificar que los proveedores Política de seguridad de la información.

tengan en cuenta los riesgos de En los contratos con proveedores se
SI asociados a la cadena de suscriben ANS Acuerdos de Niveles de
suministro. Servicio.
Entregables y productos se verifican los
compromisos respecto al manejo de
información.

Estipulado en los requisitos legales de

los contratistas y políticas de
tecnología.

Supervisión de contratos.
Supervisión de contratos, falta de
gestión de cambios.