VERSIONAMIENTO

Versión: 1.0
Fecha de la versión: 9/29/2020
Dirección de Infraestructura, Interoperabilidad, Seguridad de la
Creado por:
Información y Registro Civil
Aprobado por: Subsecretaría de Gobierno Electrónico y Registro Civil

Nivel de confidencialidad: Bajo

Referencia: EGSI V2

Versión Fecha Detalle de la modificación

1.0 9/29/2020 Descripción básica del documento
 SUBSECRETARÍA DE GOBIERNO
ELECTRÓNICO Y REGISTRO CIVIL

INSTITUCIÓN / SIGLA:
NÚMERO DE CONTROLES
SELECCIONADOS:
NIVEL DE CONFIDENCIALIDAD:
RESPONSABLE DEL DOCUMENTO:
DECLARACIÓN DE APLICABILIDAD
(Statement of Applicability - SoA)
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN - EGSI V2.0
[ESCRIBIR EL NOMBRE Y SIGLA DE LA INSTITUCIÓN]
[ESCRIBIR EL NÚMERO TOTAL DE LOS CONTROLES SELECCCIONADOS]
[ESCRIBIR EL NIVEL DE CONFIDECIALIDAD DEL DOCUMENTO]
[ESCRIBIR EL NOMBRE DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN]

ANEXO - EGSI V2.0 Estado actual del Aplica Justificación de la selección (Si) o de la
Control Si/No exclusión (No) Observaciones
Ítem Sección Descripción
1 Políticas de Seguridad de la Información
1.1 Dirección de gestión de seguridad de la información
1 1.1.1 Políticas de Seguridad de la Información

2 1.1.2 Revisión de las políticas para la seguridad de la información

2 Organización de la Seguridad de la Información

2.1 Organización interna
Compromiso de la máxima autoridad de la institución con la
3 2.1.1 seguridad de la información
4 2.1.2 Separación de funciones
5 2.1.3 Contacto con las autoridades
6 2.1.4 Contacto con los grupos de interés especial
7 2.1.5 Seguridad de la Información en la gestión de proyectos
Consideraciones de la seguridad cuando se trata con ciudadanos o
8 2.1.6 clientes
2.2 Dispositivos móviles y teletrabajo
9 2.2.1 Política de dispositivos móviles
10 2.2.2 Teletrabajo
3 Seguridad de los recursos humanos
3.1 Antes del empleo
11 3.1.1 Investigación de antecedentes
12 3.1.2 Términos y condiciones laborales
3.2 Durante el empleo

13 3.2.1 Responsabilidades de la Máxima Autoridad o su delegado

Concienciación, educación y formación en seguridad de la
14 3.2.2
información
15 3.2.3 Proceso disciplinario
3.3 Finalización o cambio de empleo

16 3.3.1 Responsabilidades ante la finalización o cambio de empleo

4 Gestión de activos
4.1 Responsabilidad de los activos
17 4.1.1 Inventario de activos
18 4.1.2 Propiedad de los activos
19 4.1.3 Uso aceptable de los activos
20 4.1.4 Devolución de activos
4.2 Clasificación de la información
21 4.2.1 Directrices de Clasificación de la información
22 4.2.2 Etiquetado de la información
23 4.2.3 Manejo de los activos
4.3 Manejo de los Soportes de almacenamiento - medios
24 4.3.1 Gestión de medios extraíbles
25 4.3.2 Eliminación de los medios
26 4.3.3 Transferencia de medios físicos
5 Control de acceso
5.1 Requisitos institucionales para el control de acceso
27 5.1.1 Política de control de acceso
28 5.1.2 Acceso a redes y servicios de red
 5.2 Gestión de acceso de los usuarios
29 5.2.1 Registro y retiro de usuarios
30 5.2.2 Provisión de accesos a usuarios

31 5.2.3 Gestión de los derechos de acceso con privilegios especiales

Gestión de la información confidencial de autenticación de los

32 5.2.4 usuarios
33 5.2.5 Revisión de los derechos de acceso de usuario
34 5.2.6 Retiro o adaptación de los derechos de acceso
5.3 Responsabilidades del usuario
35 5.3.1 Uso de la información confidencial para la autenticación
5.4 Control de acceso a sistemas y aplicaciones
36 5.4.1 Restricción del acceso a la información
37 5.4.2 Procedimientos seguros de inicio de sesión
38 5.4.3 Sistema de gestión de contraseñas
39 5.4.4 Uso de herramientas de administración de sistemas
40 5.4.5 Control de acceso al código fuente del programa
6 Criptografía
6.1 Controles criptográficos
41 6.1.1 Política de uso de los controles criptográficos
42 6.1.2 Gestión de Claves
7 Seguridad física y del entorno
7.1 Áreas seguras
43 7.1.1 Perímetro de seguridad física
44 7.1.2 Controles físicos de entrada
45 7.1.3 Seguridad de oficinas, despachos e instalaciones
46 7.1.4 Protección contra las amenazas externas y ambientales
47 7.1.5 Trabajo en áreas seguras
48 7.1.6 Áreas de carga y entrega
7.2 Seguridad de los Equipos
49 7.2.1 Ubicación y protección de equipos
50 7.2.2 Instalaciones de suministro
51 7.2.3 Seguridad del cableado
52 7.2.4 Mantenimiento de los equipos

53 7.2.5 Salida de los activos fuera de las instalaciones de la institución

54 7.2.6 Seguridad de los equipos y activos fuera de las instalaciones

55 7.2.7 Seguridad en la reutilización o eliminación segura de dispositivos de

almacenamiento
56 7.2.8 Equipo informático de usuario desatendido
57 7.2.9 Política de puesto de trabajo despejado y pantalla limpia
8 Seguridad de las operaciones
8.1 Procedimientos y responsabilidades operacionales
58 8.1.1 Documentación de procedimientos de operación
59 8.1.2 Gestión de cambios
60 8.1.3 Gestión de capacidades

61 8.1.4 Separación de ambientes de desarrollo, pruebas y producción

8.2 Protección contra un malware

62 8.2.1 Controles contra malware
8.3 Copias de seguridad
63 8.3.1 Copias de seguridad de la información
8.4 Registro y monitoreo
64 8.4.1 Registro de eventos
65 8.4.2 Protección de los registros de información
66 8.4.3 Registros de administración y operación
67 8.4.4 Sincronización de relojes
8.5 Control del software en producción
68 8.5.1 Instalación del software en sistemas en producción
8.6 Gestión de la vulnerabilidad técnica
69 8.6.1 Gestión de las vulnerabilidades técnicas
70 8.6.2 Restricciones en la instalación de software
8.7 Consideraciones sobre la auditoría de sistemas de información
71 8.7.1 Controles de auditoría de sistemas de información
9 Seguridad en las comunicaciones
 9.1 Gestión de la seguridad de redes
72 9.1.1 Controles de red
73 9.1.2 Seguridad de los servicios de red
74 9.1.3 Separación en las redes
9.2 Transferencia de información

75 9.2.1 Políticas y procedimientos de transferencia de información

76 9.2.2 Acuerdos de transferencia de información

77 9.2.3 Mensajería electrónica
78 9.2.4 Acuerdos de confidencialidad o no revelación
10 Adquisición, desarrollo y mantenimiento de los sistemas
10.1 Requisitos de seguridad de los sistemas de información
Análisis de requisitos y especificaciones de seguridad de la
79 10.1.1 información
80 10.1.2 Asegurar los servicios de aplicaciones en redes públicas
81 10.1.3 Controles de transacciones en línea
10.2 Seguridad en el desarrollo y en los procesos de soporte
82 10.2.1 Política de desarrollo seguro
83 10.2.2 Procedimientos de control de cambios en sistemas
Revisión técnica de las aplicaciones tras efectuar cambios en el
84 10.2.3
sistema operativo
85 10.2.4 Restricciones a los cambios en los paquetes de software
86 10.2.5 Principios de ingeniería de sistemas seguros
87 10.2.6 Ambiente de desarrollo seguro
88 10.2.7 Desarrollo externalizado
89 10.2.8 Pruebas de seguridad del sistema
90 10.2.9 Pruebas de aceptación de sistemas
10.3 Datos de prueba
91 10.3.1 Protección de los datos de prueba
11 Relaciones con proveedores
11.1 Seguridad de la información en relación con los proveedores
Política de seguridad de la información en las relaciones con los
92 11.1.1
proveedores
93 11.1.2 Requisitos de seguridad en contratos con terceros
Cadena de suministro de tecnologías de la información y de las
94 11.1.3
comunicaciones
11.2 Gestión de la provisión de servicios del proveedor
95 11.2.1 Monitoreo y revisión de los servicios de proveedores
96 11.2.2 Gestión de cambios en los servicios de proveedores
12 Gestión de incidentes de seguridad de la información
12.1 Gestión de los incidentes de seguridad de la información y mejoras
97 12.1.1 Responsabilidades y procedimientos
98 12.1.2 Reporte de los eventos de seguridad de la información
99 12.1.3 Reporte de debilidades de seguridad de la información
Apreciación y decisión sobre los eventos de seguridad de la
100 12.1.4 información
101 12.1.5 Respuesta a incidentes de seguridad de la información
102 12.1.6 Aprendizaje de los incidentes de seguridad de la información
103 12.1.7 Recopilación de evidencias
13 Aspectos de seguridad de la información para la gestión de la continuidad del negocio
13.1 Continuidad de seguridad de la información

104 13.1.1 Planificación de la continuidad de seguridad de la información

105 13.1.2 Implementación de la continuidad de seguridad de la información

Verificar, revisar y evaluar la continuidad de seguridad de la

106 13.1.3
información
13.2 Redundancias

107 13.2.1 Disponibilidad de las instalaciones de procesamiento de la

información
14 Cumplimiento
14.1 Cumplimiento de los requisitos legales y contractuales

108 14.1.1 Identificación de la legislación aplicable y de los requisitos

contractuales
109 14.1.2 Derechos de propiedad intelectual
110 14.1.3 Protección de los registros
111 14.1.4 Protección y privacidad de la información de carácter personal
112 14.1.5 Reglamentos de controles criptográficos
 14.2 Revisiones de seguridad de la información
113 14.2.1 Revisión independiente de seguridad de la información
114 14.2.2 Cumplimiento de las políticas y normas de seguridad
115 14.2.3 Comprobación del cumplimiento técnico

FIRMAS DE RESPONSABILIDAD
FECHA DE ELABORACIÓN:
NOMBRE DEL OFICIAL DE SEGURIDAD: FIRMA:

NOMBRE DEL REPRESENTANTE DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN: FIRMA:

NOMBRE DEL PROPIETARIO DE LA INFORMACIÓN: FIRMA: