1. Objetivo: proporcionar la guías y el
apoyo mediante la dirección para la
seguridad de la información mediante
los requisitos del negocio y los
reglamentos pertinentes.
A.5.1.1 Políticas para la seguridad de la
información
Control: es recomendable establecer
políticas para la seguridad de la
información, las cuales se encuentran
publicadas.
A.5.1.2 Revisión de las políticas para
seguridad de la información
Control: Las políticas para la seguridad
de la información están implementadas
en intervalos planificados o si ocurren
cambios significativos, para asegurar
su conveniencia, adecuación y eficacia
continuas.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna Objetivo: debemos realizar un marco
de referencia de gestión para iniciar y
controlar la implementación de todos
los datos que se ejecuten dentro del
medio de organización.
A.6.1.1 Roles y responsabilidades para la
seguridad de información
Control: debemos dar la
responsabilidad de definir y asignar
todas las responsabilidades de la
seguridad de la información.
A.6.1.2 Separación de deberes Control: estos medios deben estar
distantes y separados para reducir las
posibilidades de modificación no
autorizada o no intencional.
A.6.1.3 Contacto con las autoridades Control: es recomendable seguir con
los contactos de todas las autoridades.
A.6.1.4 Contacto con grupos de interés
especial
Control: de mayor conformidad es tener
el contacto con todos llos grupos
necesarios, en todas sus necesidades
para la seguridad.
A.6.1.5 Seguridad de la información en la
gestión de proyectos
Control: debemos de implementarla
mediante una gestión de proyectos, sin
2. necesidad de saber el proyecto
específico.
A.6.2 Dispositivos móviles y teletrabajo Objetivo: mantener un teletrabajo
garantizado y con dispositivos
adecuados.
A.6.2.1 Política para dispositivos móviles Control: mediante las medidas de
seguridad se debe obtener una política,
para analizar los riesgos introducidos
por el uso de dispositivos móviles.
A.6.2.2 Teletrabajo Control: debemos implementar una
política y unas medidas de seguridad
mediante el soporte para así poder
cuidar la información en los lugares de
teletrabajo.
A.7 Seguridad de los recursos humanos
A.7.1 Antes de asumir el empleo Objetivo: verificar que los empleados y
contratistas cumplan de sus
responsabilidades y sus trabajos
específicos de manera correcta.
A.7.1.1 Selección Control: mantener todas las
verificaciones de los antecedentes de
todos los candidatos a un empleo las y
deben mantenerse conforme la leyes
establecidas así mismo los
reglamentos y ética pertinentes, y
deberían ser proporcionales a los
requisitos de negocio y la información a
que se va a tener acceso mediante los
riesgos detectados.
A.7.1.2 Términos y condiciones del empleo Control: todos los acuerdos
establecidos por los empleados y
contratistas deben estar establecidos
mediante sus responsabilidades en
base a la seguridad de la información.
A.7.2 Durante la ejecución del empleo Objetivo: dar constancia de que los
empleados y contratistas tengan total
conciencia de las labores establecidas
en la seguridad de la información y
sean realizadas con gran eficacia.
A.7.2.1 Responsabilidades de la dirección Control: La dirección tendría que
establecer que todos los empleados y
contratistas la aplicación de la
seguridad de la información se
encuentren de acuerdo a todas las
políticas establecidas.
A.7.2.2 Toma de conciencia, educación y
formación en la seguridad de la
información
Control: Los empleados o personas
que brindan un servicio deberían recibir
la educación y la formación en toma de
conciencia apropiada, todas las
actualizaciones que se den sobre las
políticas y procedimientos relacionados
a su cargo o servicio.
A.7.2.3 Proceso disciplinario Control: contar con el proceso
disciplinario formal y ser comunicado,
para emprender acciones contra
empleados que no respeten los
reglamentos de la empresa.
A.7.3 Terminación o cambio de empleo Objetivo: se debe tener en cuenta que
se debe proteger los intereses de la
organización para así poder finalizar un
contrato bajo las normativas
establecidas.
A.7.3.1 Terminación o cambio de
responsabilidades de empleo
Control: todas las responsabilidades y
los deberes de seguridad de la
información que se encuentran aún
existentes después de la terminación o
cambio de contrato deben establecer
las normas claras para la terminación
del mismo.