Matriz Riesgos Seguridad Digital v3 .0 Publicacion

Versión
3
MACROPROCESO ESTRATEGICO
PROCESO SEGURIDAD DE LA INFORMACIÓN
LISTADO DE INSTRUMENTOS PENDIENTES EN EL PROCESO DE SEGURIDAD DE LA
Descripción del cambio
Se crea la matriz para registrar los riesgos de seguridad Digital
Se consolida el documento en el marco del procedimiento de Gestión de Riesgos de Seguridad Digital, se unifica la declaración
de amenazas y vulnerabilidades
Se crea la hoja de activos de información, El Listado de instrumentos pendientes y la hoja de control de cambios.
Se crea el hipervinculo entre riesgos y activos.
Se formuló macro para que se puedan incluir los documentos del SGC en el Instrumento existentes o comunes de la declaració
Se ajustan los valores de los campos "Descripción del Riesgo " en la hoja Matriz de Riesgos
Código: E-SIN-FM-012
Versión: 3.0
Vigencia: Octubre de 2021
Fecha
Mayo de 2020
Octubre de 2021
MACROPROCESO
PROCESO SEGURIDAD D
MATRIZ DE RIESGOS DE
DEPARTAMENTO ADMINISTRATIV
Análisis del riesgo Valoración del riesgo
IDENTIFICACIÓN DE LOS RIESGOS Y CONSECUENCIAS
Riesgo Inherente Descripción del control Existente Riesgo residual
Aplicación del Riesgo Activo de Información CÓDIGO RIESGO VL/AM RIESGO CÓDIGO VULNERABILIDAD VULNERABILIDADES / CAUSA (IMPACTO) CÓDIGO AMENAZA AMENAZA (PROBABILIDAD) DESCRIPCIÓN DEL RIESGO CONSECUENCIAS DEL RIESGO Calificación de la Probabili Calificación del Impacto Conca Zona del riesgo Número del Objetivos de Control Justificación del control Descripción del control Zona de riesgo/Manejo
probabilidad dad impacto control
Carrera 30 No 25-90 Piso 9 Costado oriental PBX: (1) 368 00 38Código Postal: 111311www.serviciocivil.gov.co Página 4 de 314
MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL
DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL DISTRITAL
Plan de manejo/ Monitoreo y revisión
PERIODO 1 PERIODO 2 PERIODO 3
(Enero, febrero, marzo, abril) ( Mayo, junio, julio, agosto) ( Septiembre, octubre, noviembre, diciemb
AUTOCONTROL DEL PROCESO SEGUIMIENTO OAP SEGUIMIENTO CONTROL INTERNO Materialización AUTOCONTROL DEL PROCESO SEGUIMIENTO OAP SEGUIMIENTO CONTROL INTERNO Materialización AUTOCONTROL DEL PROCESO
PRIMERA LINEA DE DEFENSA SEGUNDA LÍNEA DE DEFENSA TERCERA LINEA DE DEFENSA Sí / No PRIMERA LINEA DE DEFENSA SEGUNDA LÍNEA DE DEFENSA TERCERA LINEA DE DEFENSA Sí / No PRIMERA LINEA DE DEFENSA
Versión: 3.0
Plan de manejo/ Monitoreo y revisión
PERIODO 3
( Septiembre, octubre, noviembre, diciembre)
SEGUIMIENTO OAP SEGUIMIENTO CONTROL INTERNO Materialización
SEGUNDA LÍNEA DE DEFENSA TERCERA LINEA DE DEFENSA Sí / No
CÓDIGO DE
IDENTIFICACIO NOMBRE DEL ACTIVO DE INFORMACIÓN
N DEL (AI)
CDR-01 MODEM HUAWEIHUAWEI-WIFI-E5573

CDR-02 MODEM HUAWEI-B9K7S18110000817-HUAWEI-
CDR-03 ACCESO POINT CISCO WAP551-A-K9-DNI1844A0
CDR-04 BACKBONE FIBRA OPTICAAMP-NETCONNET-
CDR-08 SWITCH D-9KLFBLP740880-3COM-5500G-48 PO
CDR-09 SWITCH D-9KBF7VJ4DF700-3COM-5500G-48 P
CDR-10 SWITCH D-9KMFA7MC76200-3COM-5500G-48
CDR-11 SWITCH D-9KMFABN253A80-3COM-5500G-48
CDR-12 SWITCH CC-9KMFA7MC76680-3COM-5500G-48
CDR-13 SWITCH-9J8FAONA346A2-3COM-4120-26 PORT
CDR-14 UPS SOLTEC-60790447-SOLTEC
CDR-15 FIREWALL FORTIGATE 100D-
CDR-16 DEMARCADOR (PRESTAMO)RAISECOM-ISCOM R
CDR-17 DEMARCADOR (PRESTAMO)-FTX1740AKSL-CISC
CDR-18 ROUTER (PRESTAMO)-FJC1933E3FM-CISCO-881
CDR-19 SWITCH (PRESTAMO)-FOC1242Y16N-CATALYST-2
CDR-20 ACCESS POINT (PRESTAMO)-341502604036-RU
CDR-21 ACCESS POINT (PRESTAMO)-341502207759-RU
CDR-22 ACCESS POINT (PRESTAMO)RUCKUS
CDR-23 DEMARCADOR (PRESTAMO)-DF100136312-RAD-
CDR-24 SWITCH (PRESTAMO)-FOC1237Z495-CISCO-SRX
CDR-25 ROUTER (PRESTAMO)-CV0618AF1241-JUNIPER
CDR-26 ROUTER (PRESTAMO)-FTX173080S5-CISCO-800
CDR-27 ROUTER (PRESTAMO)-FTX193081GY-CISCO-800
CDR-30 PATCH PANEL
HAR-01 PC DELL OPTIPLEX 9030-77HN282-DELL-OPTIPLE
HAR-02 PC DELL OPTIPLEX 9030-77GS282-DELL-OPTIPLE
HAR-03 PC DELL OPTIPLEX 9030-77BS282-DELL-OPTIPLE
HAR-04 PC DELL OPTIPLEX 9030-77FS282-DELL-OPTIPLE
HAR-05 PC DELL OPTIPLEX 9030-77DN282-DELL-OPTIPLE
HAR-06 DISPOSITIVO BIOMETRICO DE CONTROL DE AC
HAR-08 COMPUTADOR TODO EN UNO-200SN84516-CO
HAR-09 SERVIDOR DELL POWEREDGE R530 IX E5-2630,
HAR-10 IMPRESORA LEXMARK-45145PHH2KTB0-LEXMA
HAR-11 IMPRESORA TERMICA E4204B-R22052036-DATA
HAR-110 IMPRESORA HP LASERJET ENTERPRISE B/N-M
HAR-115 IMPRESORA DE RED MONOCROMATICAS-ART11
HAR-116 COMPUTADOR DELL OPTILEX 390-DW68YQ1-DEL
HAR-117 ESCANER-49957451-KODAK-A3 FLATBED ACCES
HAR-118 ESCANER DIGITAL HP7000-CN37QC708Z-HEWLE
HAR-119 ESCANER DIGITAL HP7000-SG38F41021-HEWLE
HAR-12 IMPRESORA DE ETIQUETAS-16006B0146HONEY
HAR-120 EQUIPO DE COMPUTO TODO EN UNO (ALL IN O
HAR-121 ESCANER DIGITAL HP7000-CN37VC7008-HEWLE
HAR-124 SERVIDOR DELL POWER EDGE R530 IX E5-2630,
HAR-13 IMPRESORA DE ETIQUETAS-16006B0142HONEY
HAR-133 SCANNER CC-CN48PD7077-HEWLETT PACKARD-
HAR-135 MEMORIA RAM2 MEM 16GB C/U-DDR4
HAR-138 MEMORIA RAM-2J04002240248GB-DDR4
HAR-14 IMPRESORA A COLOR-JPDCG3D0TY-HEWLETT P
HAR-15 ESTACION DE TRABAJO (COMPUTADOR)-F5RL7X
HAR-152 DISCO DURO PARA SERVIDORHP-T620-SERVIDO
HAR-164 PC DELL OPTIPLEX 9030-77BQ282-DELL-OPTIPLE
HAR-165 PC DELL OPTIPLEX 9030-77HR282-DELL-OPTIPLE
HAR-166 PC DELL OPTIPLEX 9030-77FM282-DELL-OPTIPLE
HAR-167 PC DELL OPTIPLEX 9030-77DS282-DELL-OPTIPLE
HAR-168 PC DELL OPTIPLEX 9030-77BN282-DELL-OPTIPLE
HAR-169 PC DELL PRECISION T5810-715N282-DELL-PRE
HAR-17 SERVIDOR POWER EDGE T430-10Z6JL2-DELL-P
HAR-182 ESCANER-SG96H110B8-HEWLETT PACKARD-FLOW
HAR-183 IMPRESORA-PHBCM5K0HW-HEWLETT PACKARD-
HAR-184 IMPRESORA DE RED MONOCROMATICAS-ART31
HAR-185 COMPUTADOR HP-MXL0402PGC-HEWLETT PACKA
HAR-186 ESCANER-SG25U41006-HEWLETT PACKARD-ENTE
HAR-187 ESCANER-SG0A721022-HEWLETT PACKARD-ENTE
HAR-188 MEMORIA RAM PARA SERVIDORHP-T620-SERVI
HAR-189 MEMORIA RAM PARA SERVIDORHP-T620-SERVI
HAR-190 EQUIPO DE COMPUTO TODO EN UNO (ALL IN
HAR-192 NAS (DISPOSITIVO DE ALMACENAMIENTO)-Q19
HAR-193 NAS (DISPOSITIVO DE ALMACENAMIENTO)-Q19
HAR-20 SERVIDOR DEL T620-F4HN9Z1-DELL-POWER ED
HAR-22 PC DELL PRECISION T5810-715Q282-DELL-PRE
HAR-24 PC DELL PRECISION T5810-715M282-DELL-PRE
HAR-28 PC DELL OPTIPLEX 9030-77CM282-DELL-OPTIPLE
HAR-30 HP ALL IN ONE PC + LIC W10-8CC7241GCK-HE
HAR-32 PORTATIL HP PROBOOK 450-5CD751752N-HE
HAR-34 ESTACION DE TRABAJO (COMPUTADOR)-MJ05Q
HAR-35 PC DELL OPTIPLEX 9030-77GN282-DELL-OPTIPLE
HAR-36 PC DELL OPTIPLEX 9030-77FR282-DELL-OPTIPLE
HAR-37 PC DELL OPTIPLEX 9030-77HM282-DELL-OPTIPL
HAR-39 PC DELL OPTIPLEX 9030-77FQ282-DELL-OPTIPLE
HAR-42 SCANNER CC-CN48PD707H-HEWLETT PACKARD-
HAR-43 ESTACION DE TRABAJO (COMPUTADOR)-MJ055
HAR-44 ESTACION DE TRABAJO (COMPUTADOR)-F5NP7X
HAR-46 ESTACION DE TRABAJO (COMPUTADOR)-F5PM7
HAR-47 ESTACION DE TRABAJO (COMPUTADOR)-F5RN7X
HAR-48 ESTACION DE TRABAJO (COMPUTADOR)-F5PK7X
HAR-49 COMPUTADOR DELL OPTILEX 390-DW67YQ1-DEL
HAR-51 PC DELL OPTIPLEX 9030-77CQ282-DELL-OPTIPLE
HAR-52 COMPUTADOR PORTATIL-PF-1843UT-LENOVO-
HAR-53 PC DELL OPTIPLEX 9030-77BM282-DELL-OPTIPLE
HAR-55 PC DELL OPTIPLEX 9030-77FP282-DELL-OPTIPLE
HAR-60 PC DELL OPTIPLEX 9030-779S282-DELL-OPTIPLE
HAR-62 COMPUTADOR PORTATIL-PF-1843SU-LENOVO-
HAR-63 PC DELL OPTIPLEX 9030-77DQ282-DELL-OPTIPLE
HAR-67 COMPUTADOR PORTATIL-PF-18BBNG-LENOVO-
HAR-68 IMPRESORA LEXMARK MX710DHE 24T7310-74
HAR-69 PC DELL OPTIPLEX 9030- 77CP282-DELL-OPTIPL
HAR-70 PC DELL OPTIPLEX 9030-77GQ282-DELL-OPTIPLE
HAR-71 PC DELL OPTIPLEX 9030-77DR282-DELL-OPTIPLE
HAR-72 PC DELL OPTIPLEX 9030-77HP282-DELL-OPTIPLE
HAR-73 PC DELL OPTIPLEX 9030-77GR282-DELL-OPTIPLE
HAR-74 PC DELL OPTIPLEX 9030-77FN282-DELL-OPTIPLE
HAR-75 PC DELL OPTIPLEX 9030-77HQ282-DELL-OPTIPLE
HAR-76 PC DELL OPTIPLEX 9030-77GM282-DELL-OPTIPL
HAR-77 PC DELL OPTIPLEX 9030-77DP282-DELL-OPTIPLE
HAR-78 PC DELL OPTIPLEX 9030-77GP282-DELL-OPTIPLE
HAR-80 ESTACION DE TRABAJO (COMPUTADOR)-F5PP7X
HAR-81 ESTACION DE TRABAJO (COMPUTADOR)-F5RP7X
HAR-82 IMPRESORA LEXMARK MX710DHE 24T7310-74
HAR-83 PC DELL PRECISION T5810-715P282-DELL-PRE
HAR-84 PORTATIL HP PROBOOK 450-5CD751752N-HE
HAR-85 PORTATIL HP PROBOOK 450-5CD751753M-HEW
HAR-86 ESCANER-SG81G1101B-HEWLETT PACKARD-FLO
HAR-87 ESCANER-SG81G11018-HEWLETT PACKARD-FLO
HAR-88 ESCANER-SG81G11017-HEWLETT PACKARD-FLO
HAR-89 ESCANER-SG81G1100S-HEWLETT PACKARD-FLO
HAR-90 ESTACION DE TRABAJO (COMPUTADOR)-F5PL7X
HAR-91 ESTACION DE TRABAJO (COMPUTADOR)-F5NQ7
HAR-95 ESTACION DE TRABAJO (COMPUTADOR)-F5NM7
HAR-96 IMPRESORA HP LASERJET ENTERPRISE B/N-M
INF-001 CIRCULARES / Circulares Externas / Circular
INF-002 PROCESOS JUDICIALES / Procesos ante el Tribuna
INF-004 CONTRATOS / Contratos por Contratación Directa
INF-005 CONTRATOS / Contratos por Licitación Publica /
INF-006 ACTAS / Actas Junta Administradora del Fondo E
INF-007 CUENTAS MENSUALES DE ALMACEN / No Aplica /
INF-008 INFORMES / Informes a Entidades de Control y V
INF-009 INFORMES / Informes a otros Organismos / Co
INF-010 INFORMES / Informes a otros Organismos / Inf
INF-011 MANUALES / Manuales de Gestión Ambiental /
INF-012 NOMINAS / No Aplica / Nomina
INF-013 ACTAS / Actas del Comité Institucional de Coord
INF-014 ACTAS / Actas del Comité Institucional de Gest
INF-015 MANUALES / Manuales de Seguridad Digital /
INF-016 ACCIONES CONSTITUCIONALES / Acciones de Gr
INF-017 CONTRATOS / Contratos por Concurso de Méritos
INF-019 CONTRATOS / Contratos por Mínima Cuantía / Ci
INF-020 INFORMES / Informes de Evaluación de Compete
INF-021 CONCILIACIONES CONTABLES / No Aplica / Conci
INF-022 HISTORIALES DE VEHICULOS / No Aplica / Evidenc
INF-023 HISTORIAS LABORALES / No Aplica / Aceptación
INF-024 INSTRUMENTOS ARCHIVÍSTICOS / Tablas de Ret
INF-025 PLANES / Planes de Gestión Integral de Residu
INF-026 PLANES / Planes Anuales de Auditoría / Evaluac
INF-027 INFORMES / Informes de Gestión / Comunicaci
INF-028 PLANES / Planes Estratégicos de Tecnològias de
INF-029 CONTRATOS / Contratos por Licitación Publica
INF-030 CONTRATOS / Convenios / Autorización escrita de
INF-031 CONTRATOS / Convenios / Publicación de la mod
INF-033 CONTRATOS / Convenios / Certificación expedida p
INF-034 CONTRATOS / Convenios / Publicación de los d
INF-035 CONTRATOS / Contratos por Licitación Publica / M
INF-036 CONTRATOS / Convenios / Certificación expedida p
INF-037 CONTRATOS / Convenios / Publicación del Acta
INF-039 CONTRATOS / Convenios / Certificado de Antecede
INF-040 CONTRATOS / Convenios / Solicitud Certificado
INF-042 CONTRATOS / Convenios / Certificado de Antecede
INF-043 CONTRATOS / Convenios / Solicitud de autorizac
INF-044 CONTRATOS
CONTRATOS // Contratos
Conveniospor Selecciónde
/ Certificado Abreviada
Disponibilidad Presupuestal (CDP) y formato de solicitud.
INF-045
INF-046 CONTRATOS / Convenios / Solicitud de modificaci
INF-047 CONTRATOS / Contratos por Selección Abreviada
INF-048 CONTRATOS / Convenios / Certificado de idonei
INF-049 CONTRATOS / Convenios / Solicitud registro pres
INF-050 CONTRATOS / Contratos por Mínima Cuantía / Inf
INF-051 CONTRATOS / Convenios / Certificado de responsa
INF-052 CONTRATOS / Convenios / Tarjeta profesional (en
INF-053 CONTRATOS / Contratos por Selección Abreviad
INF-054 CONTRATOS / Convenios / Certificado del sistema
INF-056 CONTRATOS / Convenios / Certificado Existencia
INF-057 ACCIONES CONSTITUCIONALES / Acciones de Tu
INF-060 CONTRATOS / Contratos por Mínima Cuantía / Acta
INF-061 INSTRUMENTOS TÉCNICOS DE GESTIÓN SOBRE REND
INF-062 HISTORIALES DE VEHICULOS / No Aplica / Factur
INF-063 HISTORIAS LABORALES / No Aplica / Afiliación
INF-064 INSTRUMENTOS ARCHIVÍSTICOS / Tablas de Val
INF-065 LIBROS CONTABLES / Libros Auxiliares / Libro C
INF-066 PLANES / Planes de Gestión Integral de Residuo
INF-067 PLANES / Planes Anuales de Auditoría / Inform
INF-068 INFORMES / Informes de Gestión / Informe
INF-070 CONTRATOS / Contratos por Selección Abreviada /
INF-071 CONTRATOS / Convenios / Certificado Registro
INF-081 ACCIONES CONSTITUCIONALES / Acciones de Tu
INF-084 CONTRATOS / Contratos por Mínima Cuantía / Act
INF-085 INSTRUMENTOS TÉCNICOS DE GESTIÓN SOBRE RE
INF-086 HISTORIALES DE VEHICULOS / No Aplica / Formul
INF-088 INSTRUMENTOS ARCHIVÍSTICOS / Tablas de Valo
INF-089 LIBROS CONTABLES / Libros de diario / Acta de
INF-091 PLANES / Planes Anuales de Auditoría / Infor
INF-092 INFORMES / Informes del Sistema de Información
INF-093 INFORMES / Informes de Gestión / Comunicaci
INF-104 ACCIONES CONSTITUCIONALES / Acciones de Tute
INF-107 CONTRATOS / Contratos por Mínima Cuantía / Ac
INF-109 HISTORIALES DE VEHICULOS / No Aplica / Formu
INF-112 LIBROS CONTABLES / Libros de diario / Libro Co
INF-113 PLANES / Planes de Gestión Integral de Residuos
INF-114 PLANES / Planes Anuales de Auditoría / Listado
INF-115 INFORMES / Informes del Sistema de Información
INF-116 Base de datos Si Capital
INF-131 PLANES / Planes Distritales de Bienestar Social
INF-132 HISTORIALES DE VEHICULOS / No Aplica / Impr
INF-133 HISTORIAS LABORALES / No Aplica / Afiliación c
INF-135 LIBROS CONTABLES / Libros Mayores / Acta de a
INF-137 PLANES / Planes Anuales de Auditoría / Plan An
INF-138 INSTRUMENTOS DEL SISTEMA INTEGRADO DE GEST
INF-139 INSTRUMENTOS Y GUIAS DE GESTIÓN DE LA PLA
INF-153 CONTRATOS / Contratos por Mínima Cuantía / Acta
INF-155 HISTORIALES DE VEHICULOS / No Aplica / Informe
INF-158 LIBROS CONTABLES / Libros Mayores / Libro Co
INF-160 PLANES / Planes Anuales de Auditoría / Progra
INF-164 CONTRATOS / Convenios / Acta de Inicio (si apli
INF-165 CONTRATOS / Convenios / Acta de Liquidación de
INF-166 CONTRATOS / Convenios / Acta de Recibo Final
INF-168 ACCIONES CONSTITUCIONALES / Acciones de Tut
INF-173 ACTAS / Actas del Comité Técnico de Sostenibil
INF-174 HISTORIALES DE VEHICULOS / No Aplica / Póliz
INF-175 HISTORIAS LABORALES / No Aplica / Certificació
INF-176 INSTRUMENTOS DE CONTROL Y SEGUIMIENTO / Ins
INF-177 MODIFICACIONES PRESUPUESTALES / Cierres Presu
INF-178 PLANES / Planes Institucionales de Gestión Amb
INF-179 PLANES / Planes Anuales de Auditoría / Plan
INF-180 PLANES / Planes de acción / Informe de produc
INF-182 ACCIONES CONSTITUCIONALES / Acciones de Tut
INF-185 CONTRATOS / Contratos por Mínima Cuantía /
INF-187 ACTAS / Actas del Comité Técnico de Sostenibili
INF-188 HISTORIALES DE VEHICULOS / No Aplica / Report
INF-189 MODIFICACIONES PRESUPUESTALES / Cierres Pre
INF-190 PLANES / Planes Institucionales de Archivo / D
INF-192 PLANES / Planes Anuales de Auditoría / Univer
INF-193 PLANES / Planes de acción / Informe de seguim
INF-195 ACCIONES CONSTITUCIONALES / Acciones Popul
INF-197 CONTRATOS / Contratos por Contratación Direct
INF-198 CONTRATOS / Contratos por Mínima Cuantía / Aná
INF-199 PLANES / Planes Distritales de Seguridad y Salu
INF-200 ESTADOS CONTABLES E INFORMES COMPLEMENTARI
INF-201 HISTORIALES DE VEHICULOS / No Aplica / Reporte
INF-202 HISTORIAS LABORALES / No Aplica / Comunicació
INF-204 PLANES / Planes Institucionales de Archivo / Pla
INF-205 PLANES / Planes Institucionales de Gestión Ambi
INF-206 PROYECTOS / Proyectos de Inversión / Acta
INF-211 CONTRATOS / Contratos por Mínima Cuantía / Ante
INF-213 ESTADOS CONTABLES E INFORMES COMPLEMENTAR
INF-214 HISTORIALES DE VEHICULOS / No Aplica / Solic
INF-215 HISTORIAS LABORALES / No Aplica / Comunicaci
INF-218 PROGRAMAS / Programas de Gestión Documenta
INF-219 PROYECTOS / Proyectos de Inversión / Actualiza
INF-221 CIRCULARES / Circulares Internas / Circular
INF-222 PROCESOS JUDICIALES / Procesos Civiles / Fallo
INF-226 ACTAS / Actas Junta Administradora del Fondo E
INF-227 NOMINAS / N. A. / Novedades de Nomina
INF-228 COMPROBANTES CONTABLES / Comprobantes de Di
INF-231 MANUALES / Manuales de Gestión Ambiental /
INF-232 ACTAS / Actas del Comité Institucional de Coord
INF-233 ACTAS / Actas del Comité Institucional de Gesti
INF-234 Base de datos SIDEAP
INF-235 ACCIONES CONSTITUCIONALES / Acciones Popular
INF-238 CONTRATOS / Contratos por Mínima Cuantía / Auto
INF-240 ESTADOS CONTABLES E INFORMES COMPLEMENTARI
INF-241 HISTORIALES DE VEHICULOS / No Aplica / Uso
INF-242 HISTORIAS LABORALES / No Aplica / Renuncia
INF-243 MODIFICACIONES PRESUPUESTALES / Cierres Presu
INF-245 TRANSFERENCIAS DOCUMENTALES / No Aplica /
INF-246 PROYECTOS / Proyectos de Inversión / Ficha E
INF-247 ACCIONES CONSTITUCIONALES / Acciones Popular
INF-249 CONTRATOS / Contratos por Contratación Direc
INF-250 CONTRATOS / Contratos por Mínima Cuantía / Cert
INF-251 PLANES / Planes Distritales de Seguridad y Salud
INF-252 HISTORIAS LABORALES / No Aplica / Resolución
INF-254 INFORMES / Informes a Otros Organismos / In
INF-255 MODIFICACIONES PRESUPUESTALES / Cierres Pres
INF-258 PROYECTOS / Proyectos de Inversión / Formula
INF-259 ACCIONES CONSTITUCIONALES / Acciones Popula
INF-262 CONTRATOS / Contratos por Mínima Cuantía / Certi
INF-263 INFORMES / Informes de Evaluación de Compet
INF-264 PLANES / Planes de Comunicación / Plan de Me
INF-265 COMPROBANTES DE ALMACEN / Comprobantes de
INF-266 CONSECUTIVOS DE COMUNICACIONES OFICIALES /
INF-267 HISTORIAS LABORALES / No Aplica / Aceptació
INF-270 MODIFICACIONES PRESUPUESTALES / Ejecuciones
INF-273 PROYECTOS / Proyectos de Inversión / Plan de
INF-278 INFORMES / Informes de Evaluación de Compet
INF-279 PLANES / Planes de Comunicación / Portafolio
INF-281 HISTORIAS LABORALES / No Aplica / Acta poses
INF-283 MODIFICACIONES PRESUPUESTALES / Traslados Pre
INF-285 INSTRUMENTOS ARCHIVÍSTICOS / Tablas de Rete
INF-286 PLANES / Planes de acción / Plan de Acción
INF-287 ACCIONES CONSTITUCIONALES / Acciones Popula
INF-291 INFORMES / Informes de Evaluación de Competen
INF-293 HISTORIAS LABORALES / No Aplica / Acuerdo ge
INF-294 HISTORIAS LABORALES / No Aplica / Resolución r
INF-295 MEMORIAS AUDIOVISUALES DE EVENTOS ESPECIAL
INF-296 MODIFICACIONES PRESUPUESTALES / Traslados P
INF-298 ESTUDIOS / Estudios para la Formulación y Evalu
INF-299 ACTAS / Actas del Comité de Conciliación / Act
INF-300 CONTRATOS / Contratos por Concurso de Méritos /
INF-303 PLANES / Planes Institucionales de Capacitación D
INF-305 HISTORIAS LABORALES / No Aplica / Aplicación
INF-307 MEMORIAS AUDIOVISUALES DE EVENTOS ESPECIAL
INF-308 ORDENES DE PAGO / No Aplica / Orden de Pag
INF-309 PLANES / Planes de Comunicación / Diseños Grá
INF-311 ESTUDIOS / Estudios para la Formulación y Evalua
INF-312 ACTAS / Actas del Comité de Conciliación / Cita
INF-313 CONTRATOS / Contratos por Concurso de Méritos /
INF-314 CONTRATOS
Contratos por
por Contratación Directa
Mínima Cuantía / Certificado de Disponibilidad Presupuestal (CDP)
INF-315
INF-316 PLANES / Planes
HISTORIAS Institucionales
LABORALES de Capacitación
/ No Aplica / Aprobación de una comisión de servicios
INF-317
INF-318 HISTORIAS LABORALES / No Aplica / Solicitud li
INF-320 PROGRAMAS / Programas Anuales Mensualizados d
INF-321 INVENTARIOS / Inventarios de Bienes Muebles
INF-322 ESTUDIOS / Estudios para la Formulación y Evalu
INF-323 ACTAS / Actas del Comité de Contratación / Act
INF-327 PLANES / Planes Institucionales de Capacitació
INF-328 HISTORIAS LABORALES / No Aplica / Certificaci
INF-329 HISTORIAS LABORALES / No Aplica / Solicitud re
INF-330 PROGRAMAS / Programas Anuales Mensualizados
INF-331 INVENTARIOS / Inventarios de Bienes Muebles /
INF-334 ACTAS / Actas del Comité de Contratación / Cit
INF-338 PLANES / Planes Institucionales de Capacitación
INF-339 REGISTROS DE ELECCIONES / Registros de Eleccio
INF-340 HISTORIAS LABORALES / No Aplica / Certificaci
INF-345 ACTAS / Actas/ Contratos
CONTRATOS del Comitépor
de Concurso
Contratación / Pla
de Méritos / Certificado de Disponibilidad Presupuestal (CDP) y for
INF-346
INF-350 ACTAS / Actas de la Comisión de Personal / Act
INF-351 HISTORIAS LABORALES / No Aplica / Certificado
INF-354 PLANES / Planes Anticorrupción y Atención al C
INF-355 RESOLUCIONES / N. A. / Resolución
INF-356 PROCESOS JUDICIALES / Procesos Contenciosos A
INF-360 ACUERDOS / Acuerdos Laborales Distritales / A
INF-361 COMPROBANTES CONTABLES / Comprobantes de Di
INF-362 HISTORIALES DE VEHICULOS / No Aplica / Acta d
INF-363 INSTRUMENTOS ARCHIVÍSTICOS / Instrumentos d
INF-364 MANUALES / Manuales de Gestión Ambiental / Ma
INF-365 NOMINAS / No Aplica / Relación de autorizacio
INF-366 PETICIONES, QUEJAS, RECLAMOS Y SUGERENCIAS
INF-367 INFORMES / Informes a Entidades de Control y
INF-368 ACUERDOS / Acuerdos de Confidencialidad y No D
INF-369 MANUALES / Manuales de Herramientas Inform
INF-370 CONCEPTOS / Conceptos Técnico Jurídicos / Aseso
INF-373 CONTRATOS / Contratos por Mínima Cuantía / Ce
INF-375 ACTAS / Actas de la Comisión de Personal / Cita
INF-378 PLANES / Planes Anticorrupción y Atención al
INF-379 CONCEPTOS / Conceptos Técnico Jurídicos / Aseso
INF-382 CONTRATOS / Contratos por Mínima Cuantía / Ci
INF-384 ACTAS / Actas del Comité de Convivencia Labora
INF-387 CONCEPTOS / Conceptos Técnico Jurídicos / Con
INF-391 PLANES / Planes Institucionales de Capacitación D
INF-392 ACTAS / Actas del Comité de Convivencia Labora
INF-395 CONCEPTOS / Conceptos Técnico Jurídicos / Estu
INF-397 CONTRATOS / Contratos por Licitación Publica / A
INF-402 PLANES / Planes Estratégicos Institucionales /
INF-403 CONCEPTOS / Conceptos Técnico Jurídicos / Sol
INF-406 CONTRATOS / Contratos por Mínima Cuantía / Co
INF-408 HISTORIAS LABORALES / No Aplica / Comisión e
INF-410 PLANES / Planes Estratégicos Institucionales / Pl
INF-414 CONTRATOS / Contratos por Mínima Cuantía / I
INF-416 HISTORIAS LABORALES / No Aplica / Comunicaci
INF-417 REGISTROS DE ELECCIONES / Registros de Elecci
INF-420 CONTRATOS / Contratos por Concurso de Mérito
INF-422 CONTRATOS / Contratos por Mínima Cuantía / De
INF-423 REGISTROS DE ALIANZAS CON ENTIDADES Y ORGAN
INF-426 INSTRUMENTOS DEL SISTEMA INTEGRADO DE GESTI
INF-430 CONTRATOS / Contratos por Mínima Cuantía / D
INF-431 REGISTROS DE ALIANZAS CON ENTIDADES Y ORGANI
INF-432 HISTORIAS LABORALES / No Aplica / Comunicación
INF-435 PROCESOS MERITOCRATICOS / No Aplica / Calif
INF-439 REGISTROS DE ALIANZAS CON ENTIDADES Y ORG
INF-442 INSTRUMENTOS DEL SISTEMA INTEGRADO DE GES
INF-443 PROCESOS MERITOCRATICOS / No Aplica / Cartil
INF-447 PLANES / Planes Plurianuales de Bienestar y Cap
INF-448 HISTORIAS LABORALES / No Aplica / Comunicación
INF-451 ACTAS / Actas de la Comisión de Personal Distri
INF-452 PROCESOS JUDICIALES / Procesos Laborales / Fa
INF-455 ACUERDOS / Acuerdos Laborales Distritales /
INF-456 COMPROBANTES CONTABLES / Comprobantes de D
INF-457 HISTORIALES DE VEHICULOS / No Aplica / Acta d
INF-458 INSTRUMENTOS ARCHIVÍSTICOS / Bancos Termin
INF-459 MANUALES / Manuales de Gestión Ambiental / M
INF-460 NOMINAS / No Aplica / Descuentos Cooperativo
INF-461 PETICIONES, QUEJAS, RECLAMOS Y SUGERENCIAS (
INF-463 ANTEPROYECTOS DE PRESUPUESTO / N. A. / Ant
INF-464 MANUALES / Manuales de Tratamiento de Datos
INF-465 PROCESOS MERITOCRATICOS / No Aplica / Citaci
INF-468 CONTRATOS / Contratos por Mínima Cuantía / Es
INF-470 HISTORIAS LABORALES / No Aplica / Acta induc
INF-471 HISTORIAS LABORALES / No Aplica / Constancias s
INF-472 INSTRUMENTOS DEL SISTEMA INTEGRADO DE GES
INF-473 PROCESOS MERITOCRATICOS / No Aplica / Citaci
INF-476 CONTRATOS / Contratos por Mínima Cuantía / E
INF-477 PLANES / Planes Plurianuales de Bienestar y Ca
INF-479 HISTORIAS LABORALES / No Aplica / Fallo de sus
INF-481 PROCESOS MERITOCRATICOS / No Aplica / Conv
INF-484 CONTRATOS / Contratos por Mínima Cuantía / Fo
INF-485 PLANES / Planes Plurianuales de Bienestar y Ca
INF-487 HISTORIAS LABORALES / No Aplica / Fallo ejecuto
INF-488 PROCESOS MERITOCRATICOS / No Aplica / Crono
INF-491 CONTRATOS / Contratos por Mínima Cuantía / Céd
INF-494 HISTORIAS LABORALES / No Aplica / Firmeza list
INF-495 PROCESOS MERITOCRATICOS / No Aplica / Design
INF-498 CONTRATOS / Contratos por Mínima Cuantía / Fot
INF-501 HISTORIAS LABORALES / No Aplica / Licencia p
INF-502 PROCESOS MERITOCRATICOS / No Aplica / Entre
INF-505 CONTRATOS / Contratos por Mínima Cuantía / Fo
INF-507 HISTORIAS LABORALES / No Aplica / Declaració
INF-508 HISTORIAS LABORALES / No Aplica / Notificació
INF-509 PROCESOS MERITOCRATICOS / No Aplica / Estruc
INF-512 CONTRATOS / Contratos por Mínima Cuantía / Foto
INF-513 HISTORIAS LABORALES / No Aplica / Evaluación
INF-514 HISTORIAS LABORALES / No Aplica / Notificació
INF-515 PROCESOS MERITOCRATICOS / No Aplica / Infor
INF-518 CONTRATOS / Contratos por Mínima Cuantía / Gar
INF-519 HISTORIAS LABORALES / No Aplica / Fotocopia c
INF-520 HISTORIAS LABORALES / No Aplica / Orden judici
INF-521 PROCESOS MERITOCRATICOS / No Aplica / Listad
INF-523 CONTRATOS / Contratos por Licitación Publica / C
INF-524 CONTRATOS / Contratos por Mínima Cuantía / Hoj
INF-525 HISTORIAS LABORALES / No Aplica / Fotocopia li
INF-526 HISTORIAS LABORALES / No Aplica / Reconocimi
INF-527 PROCESOS MERITOCRATICOS / No Aplica / Listad
INF-531 HISTORIAS LABORALES / No Aplica / Fotocopia t
INF-532 HISTORIAS LABORALES / No Aplica / Recurso de
INF-533 ACTAS / Actas de la Comisión de Personal Distri
INF-536 CONTRATOS / Contratos por Licitación Publica / S
INF-537 ACUERDOS / Acuerdos Laborales Distritales / Ma
INF-538 COMPROBANTES CONTABLES / Comprobantes de
INF-539 HISTORIALES DE VEHICULOS / No Aplica / Certifi
INF-541 MANUALES / Manuales de Gestión Ambiental / Ma
INF-542 NOMINAS / No Aplica / Horas extras
INF-543 PETICIONES, QUEJAS, RECLAMOS Y SUGERENCIAS
INF-544 INFORMES / Informes a Otros Organismos / Co
INF-545 INFORMES / Informes de Índices de Desarrollo Ser
INF-546 PLANES / Planes de Seguridad y Privacidad de l
INF-547 PROCESOS MERITOCRATICOS / No Aplica / Perfil
INF-550 HISTORIAS LABORALES / No Aplica / Formato úni
INF-551 HISTORIAS LABORALES / No Aplica / Hoja de vida
INF-552 PROCESOS MERITOCRATICOS / No Aplica / Prue
INF-555 CONTRATOS / Contratos por Mínima Cuantía / In
INF-556 HISTORIAS LABORALES / No Aplica / Informe de
INF-557 HISTORIAS LABORALES / No Aplica / Remisión
INF-558 PROCESOS MERITOCRATICOS / No Aplica / Recla
INF-559 CONTRATOS
Contratos por
por Concurso
Licitación de Méritos
Publica / Certificado de Disponibilidad Presupuestal (CDP) y format
INF-560
INF-561 CONTRATOS / Contratos por Mínima Cuantía / Inv
INF-562 HISTORIAS LABORALES / No Aplica / Resolución a
INF-563 HISTORIAS LABORALES / No Aplica / Resolució
INF-564 PROCESOS MERITOCRATICOS / No Aplica / Recla
INF-567 CONTRATOS / Contratos por Mínima Cuantía / M
INF-570 PROCESOS MERITOCRATICOS / No Aplica / Respu
INF-573 CONTRATOS / Contratos por Mínima Cuantía / Mod
INF-576 PROCESOS MERITOCRATICOS / No Aplica / Result
INF-579 CONTRATOS / Contratos por Mínima Cuantía / M
INF-580 HISTORIAS LABORALES / No Aplica / Resolución de
INF-581 HISTORIAS LABORALES / No Aplica / Resolución va
INF-582 PROCESOS MERITOCRATICOS / No Aplica / Resul
INF-587 HISTORIAS LABORALES / No Aplica / Solicitud
INF-588 PROCESOS MERITOCRATICOS / No Aplica / Resu
INF-591 CONTRATOS / Contratos por Mínima Cuantía / Pr
INF-593 HISTORIAS LABORALES / No Aplica / Solicitud insc
INF-594 PROCESOS MERITOCRATICOS / No Aplica / Solici
INF-597 CONTRATOS / Contratos por Mínima Cuantía / Pu
INF-599 PLANES / Planes Estratégicos de Talento Human
INF-600 PLANES / Planes Anuales de Adquicisiones / Act
INF-606 ACTAS / Actas de la Comisión de Personal Distrit
INF-610 CONTRATOS / Contratos por Licitación Publica / S
INF-611 ESTUDIOS / Estudios de Gestión del Talento Hu
INF-613 HISTORIALES DE VEHICULOS / No Aplica / Comp
INF-615 MANUALES / Manuales de Gestión Ambiental / P
INF-616 NOMINAS / No Aplica / Incapacidades
INF-617 INFORMES / Informes a Otros Organismos / Inf
INF-619 PLANES / Planes de Seguridad y Privacidad de la
INF-620 PLANES / Planes Anuales de Adquicisiones / Pla
INF-623 CONTRATOS / Contratos por Mínima Cuantía / P
INF-626 PROCESOS JUDICIALES / Procesos ante el Tribun
INF-630 HISTORIAS LABORALES / No Aplica / Resolución i
INF-632 PROCESOS JUDICIALES / Procesos ante el Tribu
INF-636 HISTORIAS LABORALES / No Aplica / Resolución l
INF-638 PROCESOS JUDICIALES / Procesos ante el Tribuna
INF-641 CONTRATOS / Contratos por Mínima Cuantía / Sol
INF-642 HISTORIAS LABORALES / No Aplica / Resolución p
INF-643 PROCESOS JUDICIALES / Procesos ante el Tribun
INF-646 CONTRATOS / Contratos por Mínima Cuantía / Sol
INF-648 PROCESOS JUDICIALES / Procesos Civiles / Cons
INF-651 CONTRATOS / Contratos por Mínima Cuantía / So
INF-653 PROCESOS JUDICIALES / Procesos Civiles / Dem
INF-656 CONTRATOS / Contratos por Mínima Cuantía / Soli
INF-657 HISTORIAS LABORALES / No Aplica / Resolución r
INF-658 PROCESOS JUDICIALES / Procesos Civiles / Notif
INF-661 CONTRATOS / Contratos por Mínima Cuantía / Soli
INF-663 PROCESOS JUDICIALES / Procesos Civiles / Resp
INF-666 CONTRATOS / Contratos por Mínima Cuantía / Tarj
INF-667 HISTORIAS LABORALES / No Aplica / Solicitud de
INF-671 CONTRATOS / Contratos por Mínima Cuantía / Ver
INF-672 HISTORIAS LABORALES / Nok Aplica / Supresión
INF-673 ACCIONES CONSTITUCIONALES / Acciones de Grup
INF-676 CONTRATOS / Contratos por Licitación Publica / T
INF-679 HISTORIALES DE VEHICULOS / No Aplica / Comu
INF-681 MANUALES / Manuales de Gestión Ambiental / R
INF-682 NOMINAS / No Aplica / Informe de depuración de
INF-683 PLANES / Planes Anuales de Auditoría / Acta d
INF-685 PLANES / Planes de Tratamientos de Riesgos de
INF-686 PROCESOS JUDICIALES / Procesos Contenciosos
INF-689 CONTRATOS / Contratos por Mínima Cuantía / Via
INF-696 PROCESOS JUDICIALES / Procesos Contenciosos
INF-701 PROCESOS JUDICIALES / Procesos Laborales / Co
INF-703 CONTRATOS / Contratos por Licitación Publica / F
INF-705 ESTUDIOS / Estudios Técnicos para Modificacion
INF-706 PROCESOS JUDICIALES / Procesos Laborales /
INF-711 PROCESOS JUDICIALES / Procesos Laborales / No
INF-716 PROCESOS JUDICIALES / Procesos Laborales / R
INF-728 ESTUDIOS / Estudios Técnicos para Modificacione
INF-729 ESTUDIOS / Estudios Técnico Jurídicos en Mater
INF-734 ACCIONES CONSTITUCIONALES / Acciones de Grup
INF-739 CONCILIACIONES CONTABLES / No Aplica / Concil
INF-740 HISTORIALES DE VEHICULOS / No Aplica / Copia l
INF-742 NOMINAS / No Aplica / Liquidación Fondo de Ce
INF-744 PLANES / Planes Anuales de Auditoría / Carta
INF-746 PLANES / Planes de Tratamientos de Riesgos de
INF-747 ESTUDIOS / Estudios Técnico Jurídicos en Materi
INF-749 CONTRATOS / Contratos por Licitación Publica / Li
INF-751 ESTUDIOS / Estudios Técnicos para provisione
INF-752 ESTUDIOS / Estudios Técnico Jurídicos en Mater
INF-755 CONTRATOS / Convenios / Cierre del expediente
INF-756 ESTUDIOS / Estudios Técnicos para provisiones
INF-758 CONTRATOS / Contratos por Selección Abrevia
INF-759 CONTRATOS / Convenios / Contrato o Convenio
INF-763 CONTRATOS / Convenios / Cuenta de Cobro o fact
INF-767 CONTRATOS / Convenios / Designación de Super
INF-771 CONTRATOS / Convenios / Estudio de mercado (s
INF-773 CONTRATOS / Contratos por Contratación Directa /
INF-775 CONTRATOS / Convenios / Estudios y Document
INF-777 CONTRATOS / Contratos por Contratación Directa /
INF-779 CONTRATOS / Convenios / Formato de Informació
INF-783 CONTRATOS / Convenios / Fotocopia de cédula de
INF-787 CONTRATOS / Convenios / Fotocopia de la libret
INF-789 ACCIONES CONSTITUCIONALES / Acciones de Gru
INF-794 CONCILIACIONES CONTABLES / No Aplica / Conci
INF-795 HISTORIALES DE VEHICULOS / No Aplica / Croquis
INF-797 NOMINAS / No Aplica / Planilla Integral PILA
INF-799 PLANES / Planes Anuales de Auditoría / Comun
INF-804 CONTRATOS / Convenios / Fotocopia del Registr
INF-806 CONTRATOS
Contratos por
por Contratación Directa/ Certificado de Disponibilidad Presupuestal (CDP) y form
Selección Abreviada
INF-807
INF-808 CONTRATOS / Convenios / Fotocopia del RIT (Regi
INF-812 CONTRATOS / Convenios / Garantías (Si aplican)
INF-816 CONTRATOS / Convenios / Hoja de vida única de
INF-819 CONTRATOS / Convenios / Informes del contratis
INF-821 CONTRATOS / Convenios / Acta por medio de la c
INF-822 CONTRATOS / Convenios / Informes del Supervis
INF-824 CONTRATOS / Convenios / Acta por medio de la cu
INF-825 CONTRATOS / Convenios / Matriz de Riesgos
INF-827 CONTRATOS / Convenios / Acto de Justificación d
INF-828 CONTRATOS / Convenios / Modificación de las Ga
INF-830 CONTRATOS / Convenios / Análisis del Sector (Si
INF-831 CONTRATOS / Convenios / Modificación del Contr
INF-833 CONTRATOS / Convenios / Antecedentes de la hoja
INF-834 CONTRATOS / Convenios / Orden de Pago
INF-835 PROGRAMAS / Programas de Gestión Documenta
INF-836 LIBROS AUXILIARES DE CAJA MENOR / No Aplica /
INF-838 LIBROS AUXILIARES DE CAJA MENOR / No Aplica
INF-845 LIBROS AUXILIARES
LIBROS AUXILIARES DE
DE CAJA
CAJA MENOR
MENOR // No
No Aplica
Aplica / Solicitud Certificado de Disponibilidad Presupuestal (CD
INF-846
INF-849 PLANES / PLANES INSTITUCIONALES DE EMERGENC
INF-850 PLANES / PLANES INSTITUCIONALES DE EMERGE
INF-851 PLANES / PLANES INSTITUCIONALES DE EMERGE
INF-852 PROCESOS DISCIPLINARIOS / No Aplica / Acta d
INF-853 PROCESOS DISCIPLINARIOS / No Aplica / Alegat
INF-854 PROCESOS DISCIPLINARIOS / No Aplica / Anóni
INF-855 PROCESOS DISCIPLINARIOS / No Aplica / Auto ap
INF-856 PROCESOS DISCIPLINARIOS / No Aplica / Auto ape
INF-857 PROCESOS DISCIPLINARIOS / No Aplica / Auto c
INF-858 PROCESOS
PROCESOS DISCIPLINARIOS
DISCIPLINARIOS // No
No Aplica
Aplica // Auto
Auto d
de cierre de la Investigación Disciplinaria
INF-859
INF-860 PROCESOS
No Aplica
Aplica // Auto
Auto d
declara desierto los recursos
INF-861
INF-862 PROCESOS
No Aplica
Aplica // Auto
Auto in
ordena designar defensor de oficio
INF-863
INF-864 PROCESOS DISCIPLINARIOS / No Aplica / Auto qu
INF-865 PROCESOS DISCIPLINARIOS / No Aplica / Auto que
INF-867 PROCESOS DISCIPLINARIOS / No Aplica / Comun
INF-868 PROCESOS DISCIPLINARIOS / No Aplica / Constan
INF-869 PROCESOS DISCIPLINARIOS / No Aplica / Declar
INF-870 PROCESOS DISCIPLINARIOS / No Aplica / Descar
INF-871 PROCESOS DISCIPLINARIOS / No Aplica / Fallo d
INF-872 PROCESOS DISCIPLINARIOS / No Aplica / Fallo d
INF-873 PROCESOS DISCIPLINARIOS / No Aplica / Informe
INF-874 PROCESOS DISCIPLINARIOS / No Aplica / Notific
INF-875 PROCESOS DISCIPLINARIOS / No Aplica / Pliego
INF-876 PROCESOS DISCIPLINARIOS / No Aplica / Queja
INF-877 PROCESOS DISCIPLINARIOS / No Aplica / Recurs
INF-880 PROCESOS DISCIPLINARIOS / No Aplica / Solicitud
INF-881 PROCESOS DISCIPLINARIOS / No Aplica / Testim
INF-882 PROCESOS DISCIPLINARIOS / No Aplica / Versión
INF-891 REGISTROS DE ELECCIONES / Registros de Eleccion
INF-899 ACTAS / Actas del Comité Paritario de Seguridad
INF-900 ACTAS / Actas del Comité Paritario de Seguridad
INF-901 Base datos usuarios atendidos
INF-903 PLANES / Planes Anuales de Auditoría / Rotació
INF-904 PLANES / Planes Anuales de Auditoría / Acta de
INF-905 PROCESOS DISCIPLINARIOS / No Aplica / Auto q
ACTAS / Actas Junta Administradora del Fondo

Educativo en Administración de Recursos para
capacitación Educativa de los Empleados
INF-907 Públicos del Distrito Capital - FEDHE / Acta
ACTAS / Actas Junta Administradora del Fondo

Educativo en Administración de Recursos para
capacitación Educativa de los Empleados
INF-908 Públicos del Distrito Capital - FEDHE / Citación
INF-909 Encuesta anual Portafolio de Servicios
PER-01 Personal DASCD
SOF-01 SISTEMA DE CONTROL DE ACCESO/SALIDA PER
SOF-02 LIC OFFICE STD 2016 OLP NL GOV 021-10583-P
SOF-04 LIC OFFICE STD 2016 OLP NL GOV 021-10583-
SOF-10 LICENCIA DE WINDOWS PROFESIONAL 10 SNG
SOF-101 LICENCIA ADOBE CREATIVE CLOUD PROFESION
SOF-102 LICENCIA OFFICE PROFESSIONALMICROSOFT
SOF-103 LICENCIA MICROSOFT OFFICEMICROSOFT-2016
SOF-110 LIC OFFICE PRO PLUS 2016 OLP NL GOV 79P-05
SOF-28 LICENCIA OFFICE PROFESSIONAL-PC1589-MICR
SOF-30 LICENCIA OFFICE PROFESSIONAL-PC767-MICRO
SOF-36 LICENCIA FIREWALL (FORTINET)-
SOF-37 LICENCIA CORREOS MASIVOS (SCMAIL)-
SOF-38 LICENCIA CORREOS ELECTRONICOS-
SOF-42 SISTEMA DE INFORMACIÓN DISTRITAL DEL EMP
SOF-58 WIN SVR STD 2012 R2 OLP NL GOV 2 PROC P73
SOF-60 WIN SVR STD 2012 R2 OLP NL GOV 2 PROC P73
SOF-63 LICENCIA OFFICE PROFESSIONAL-PC779-MICRO
SOF-65 LICENCIA WINDOWS SERVER ESTANDAR 2016
SOF-68 LICENCIA WINDOWS SERVER ESTANDAR 2016
SOF-70 LICENCIAS DEL SOFTWARE ANTIVIRUS BITDEFEN
SOF-74 SOFTWARE SI CAPITAL-
SOF-76 LICENCIA DE IMPRESION PAPERCUT FMPAPERC
SOF-78 LIC COREL DRAW GRAPHICS SUITE X7 LCCDGSX
SOF-90 OBJETO VIRTUAL DE APRENDIZAJE (Moodle)-
MAC
PROCESO
AC
DEPARTAMENTO ADM
DESCRIPCIÓN DEL ACTIVO DE INFORMACIÓN TIPO DE ACTIVO
Dispositivo de internet movil para el acceso a internet fue Componente de Red

Dispositivo de internet movil para el acceso a internet fue Componente de Red
Dispositivo de red utilizado para conectar equipos en red Componente de Red
Conexión troncal provista por el ISP (ETB) Componente de Red
Dispositivo que gracias a sus baterías u otros elementos a Componente de Red
Dispositivo de seguridad perimetral diseñado para bloque Componente de Red
Dispositivo de red que actúa como delimitador entre el dom Componente de Red
Dispositivo de red que permite interconectar computadoras Componente de Red
Elemento de red para la conexión del cableado entre los eqComponente de Red
Equipo de computo para uso instiucional, asignado a los fun Hardware
Dispositivo dispuesto para implementar las políticas de conHardware
Equipo de computo dedicado para la prestación de servicioHardware
Conjunto de aplicaciones para vídeos, diseños, fotografías Hardware
Impresora de uso institucional conectada a la red del DAS Hardware
Escaner de uso institucional para la digitalización de la inf Hardware
Memoria RAM para uso en los servidores ddel centro de d Hardware
Memoria RAM para uso en los servidores ddel centro de datos Hardware
Equipo de computo para uso instiucional, asignado a los fuHardware
Disco del arreglo de almacenamiento de los file servers Hardware
Equipo de computo para uso instiucional, asignado a los fun
Hardware
Equipo de computo para uso instiucional, asignado a los fun
Hardware
Dispositivo uníco de almacenamiento conectado a la red, pHardware
Dispositivo uníco de almacenamiento conectado a la red, pHardware
Portátiles de uso institucional para prestamo interno o usoHardware
Dispositivo de identificación basado en las cualidades biolóHardware
/ Esta Serie Simple congrega los documentos que El Departa Información
Conjunto de actos jurídicos que se llevan a cabo para aplicar
Información
/ Son contratos estatales todos los actos jurídicos generadores la ley
de aobligaciones
la resolución decelebren
que un caso/forma de resolver
las entidades a lasun litigio
que se resi
Información
/ Son contratos estatales todos los actos jurídicos generadInformación
Actas son documentos donde se registran las decisiones quInformación
La serie contiene el balanse mensual de los objetos adminiInformación
Serie documental que contiene los diferentes informes queInformación
Documentos que registran las respuestas a los requerimienInformación
Manual: Publicación que incluye los aspectos fundamentaleInformación
Relación de pago en la cual se registran los salarios, las b Información
En esta serie se encuentran las actas de las reuniones que Información
/ Agrupación documental que reune los documentos que rel Información
/ Documentos elaborados por el DASCD para poder describir Información
Serie documental en la que se agrupan los instrumentos y m Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos generadInformación
generadores de obligaciones que celebren las entidades a las que se re
Información
Documento que contiene los resultados de las pruebas apliInformación
Es la comparación de la información contable con la informa Información
La agrupación documental evidencia las actividades adminis Información
Es una serie documental de manejo y acceso reservado porInformaciónp
Son herramientas con propósitos específicos, que tienen poInformación
Plan: Serie de pasos o procedimientos determinados, que bInformación
Serie de pasos o procedimientos determinados, que buscanInformación c
/ Agrupación documental que da cuenta del desempeño de Información
l
/ / Documento escrito que evidencia y comunica de manera Información
Son contratos estatales todos los actos jurídicos generadorInformación
/ Serie documental en la que se agrupa los documentos sob Información
/ Son contratos estatales todos los actos jurídicos genera Información
/ Serie documental en la que se agrupa los documentos sobr Información
Las Mypimes
/ Serie tienen en
documental hasta un día
la que hábil antes
se agrupa de la apertura
los documentos Información
del las
sobre proceso de contratación,
vinculaciones jurídicas para manifestar
que se interés
realizan entre en el proc
personas ju
Información
// Son contratos estatales todos los actos jurídicos genera
Serie documental en la que se agrupa los documentos sobre Información
las vinculaciones jurídicas que se realizan entre personas ju
Formato de solicitos e sel documento por medio del cual seInformación
solicita ala expedición del Certificado de Disponiblidad Presupe
/ Serie
Son documental
contratos en latodos
estatales que se
losagrupa los documentos
actos jurídicos sobr
Información
generadores de obligaciones que celebren las entidades a las que se refie
/ Serie documental en la que se agrupa los documentos sobre Información
Información
Serie
/ Sondocumental en la que
contratos estatales se agrupa
todos los jurídicos
los actos documentos sobre
Información
generadoresl de obligaciones que celebren las entidades a las que se re
/ Son contratos estatales todos los actos jurídicos generadores Información
de obligaciones que celebren las entidades a las que se re
/ Serie documental en la que se agrupa los documentos sobre Información
Información
El/ Serie documental
Convenio por otraen la que
parte, es se
unagrupa
acuerdolosdedocumentos
voluntades sobInformación
entre la administración y una persona (natural o jurídica), celebra
Información
// Serie documental
Son contratos en la que
estatales todosse los
agrupa
actoslos documentos
jurídicos sob
Información
Información
/ Serie documental en la que se agrupa los documentos sobre las vinculaciones jurídicas que se realizan entre personas ju
La Acción entendida como Demanda, es el documento queInformación contiene exposición de hechos, pretensiones, pruebas y demás
Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos genera Información
Información
Reglamentación e instrumentos para la realización de la evInformación
Es una serie documental de manejo y acceso reservado porInformación p
Son herramientas con propósitos específicos, que tienen pInformación
Conjunto de documentos que evidencian los estados contable Información
/ Agrupación documental en la que se registra la metodoloInformación
// Son
/ Conjunto de estatales
contratos acciones todos
y medios necesarios
los actos parageneradores
jurídicos poder Información
Factura: Es un título valor que el vendedor o prestador delInformación
servicio podrá librar y entregar o remitir al comprador o benefi
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Serie documental en la que se agrupan los instrumentos y mecanismos constitucionales que tienen por objeto proteger, re
Información
/ Son del
Copia contratos estatales
Documento todos
donde los actos
se puede jurídicos ubicar
identificar, generay clasificar
Informacióna las personas y entidades que tengan la calidad de co
Información
Reglamentación e instrumentos para la realización de la evInformación
La agrupación documental evidencia las actividades administ Información
Conjunto de documentos que evidencian los estados contables Información
Plan: Serie de pasos o procedimientos determinados, que bu Información
/ / Comunicaciones recibidas o producidas en desarrollo Información
// Agrupación documental
Son contratos en la que
estatales todos se registra
los actos la metodol
jurídicos Información
Copia del Documento donde se puede identificar, ubicar y clasificarInformacióna las personas y entidades que tengan la calidad de co
Información
documento donde se puede identificar, ubicar y clasificar los contribuyentes del Impuesto de Industria y Comercio, Aviso
Información
Es un un resumen escrito y ordenado de la capacitación y de Información
la experiencia de la persona natural o jurídica.
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Las Mypimes tienen hasta un día hábil antes de la aperturaInformación
del proceso de contratación, para manifestar interés en el proc
Son contratos
documento estatales
donde todosidentificar,
se puede los actos jurídicos
ubicar ygeneradorInformación
clasificar los contribuyentes del Impuesto de Industria y Comercio, Aviso
Información
Documento donde se detalla la gestión adelantada por la Información
Es una serie documental de manejo y acceso reservado porInformación
p
S/erie de pasos o procedimientos determinados, que buscan Información
Serie de pasos o procedimientos determinados, que buscanInformación
c
Base de datos en ORACLE del aplicativo ERP institucional S Información
/ Son contratos estatales todos los actos jurídicos generadores
Información
/ Son contratos estatales todos los actos jurídicos generadores
Información
Conjunto de actividades que se proyectan para conseguir un Información
p
Conjunto de documentos que evidencian los estados contables Información
Serie de pasos
/ / Consiste enoidentificar
procedimientos determinados,
condiciones que buscan
y/o elementos que Información
c
hacen parte del proceso - Aplica para todos los procesos
Información
/ / Documento que evidencia las situaciones que repercutInformación
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Son contratos estatales todos los actos jurídicos generadore Información
Serie documental en la que se agrupan los instrumentos y mecanismos
Información constitucionales que tienen por objeto proteger, re
p
Plan: Serie de pasos o procedimientos determinados, que bus Información
/ / Documento que explica cómo realizar una o varias a Información
Son contratos
/ Son contratosestatales
estatalestodos loslos
todos actos
actosjurídicos
jurídicosgeneradorInformación
Información
Serie documental que agrupa los documentos que se produce Información
La agrupación reune los documentos que sirven para ejerceInformación
Ajuste en elde
Plan: Serie presupuesto apropiado a ladeterminados,
pasos o procedimientos entidad correspondi Información
que buscan conseguir un objetivo o propósito con dirección. / El DAS
la sostenibilidad ambiental basados en la eficiencia energética Información
y la adaptación al cambio climático. Los documentos que so
/ Agrupa los documentos que soportan el instrumento de pl Información
/ Agrupación documental en la que se registra la metodoloInformación
Serie documental que agrupa los documentos que se produce Información
Ajuste en el presupuesto apropiado a la entidad correspondi Información
Serie Serie
Plan: de pasos o procedimientos
de pasos o procedimientosdeterminados, que buscan
determinados, Información
c
/ Congrega la documentación que sustenta al InstrumentoInformación de
/ / Documento que sirve de modelo y directriz para la gesInformación
La Acción entendida como Demanda, es el documento que contiene exposición de hechos, pretensiones, pruebas y demás
Información
Conjunto de actividades
La Serie contiene para de
los estados cumplir un objetivo
situacón / La
financiera, Ser Información
estados de resultados integrales, estados de cambios del patrimonio,
Información
La agrupación
Es una documental
serie documental deevidencia
manejo ylas actividades
acceso adminis
reservado porInformación
parte de los funcionarios de talento humano en donde se cons
Información
Ajuste en el presupuesto apropiado a la entidad correspondi Información
Plan: Serie de pasos o procedimientos determinados, que buscan conseguir un objetivo o propósito con dirección. / El DAS
/ El DASCD elabora Proyectos de inversiòn para soportar Información
/ / Documento
Serie documentalescrito que se
en la que evidencia
agrupany los
comunica de manera
instrumentos Información constitucionales que tienen por objeto proteger, re
y mecanismos
Información
Conjunto de actividades para cumplir un objetivo / La Seri Información
La Serie contiene los estados de situacón financiera, esta Información
La agrupación
Es una documental
serie documental deevidencia
manejo ylas actividades
acceso adminis
Información
Ajuste en elde
pasos o procedimientos entidad correspondiInformación
/ El programa de Gestión Documental - PGD es el conjuntoInformación
de 9 programas especificos, enfocados en una correcta gestión
/ El DASCD elabora Proyectos de inversiòn para soportar l Información
/ / Solicitud de servicio de asistencia Información
/ Esta Serie Simple congrega los documentos que El Departa Información
Información
Actas son las evidencias de las decisiones que se toman enInformación
La Serie contiene los documento que resumen las operacione Información
Documentos que registran las respuestas a los requerimient Información
Manual: Publicación que incluye los aspectos fundamentalInformación
En esta serie se encuentran las actas de las reuniones que Información
/ Agrupación documental que reune los documentos que rel Información
Base de datos en SQL Server del aplicativo misional SIDEAPInformación
Serie documental en la que se agrupan los instrumentos y me Información
Conjunto de actividades para cumplir un objetivo / La Seri Información
La Serie contiene los estados de situacón financiera, esta Información
Ajuste en el presupuesto
la sostenibilidad ambiental apropiado a lalaentidad
basados en correspondi
eficiencia Información
energética y la adaptación al cambio climático. Los documentos que so
Información
Documentos que evidencian las transferencias documentales Información
/ El DASCD elabora Proyectos de inversiòn para soportar Información
Conjunto de actividades para cumplir un objetivo / La Ser Información
p
Ajuste en elde
pasos o procedimientos entidad correspondiInformación
la sostenibilidad ambiental basados en la eficiencia energéticaInformación
Documentos que evidencian las transferencias documentales, Información
Serie documental en la que se agrupan los instrumentos y mecanismos
Información constitucionales que tienen por objeto proteger, re
Documento que contiene los resultados de las pruebas aplic Información
c
Los Comprobantes de Almacen son documentos que evidencian Información
l
Copia de las comunicaciones oficiales enviadas o recibidas Información
p
Ajuste en elde
pasos o procedimientos entidad correspond Información
Documentos que evidencian las transferencias documentales, Información
Documento que contiene los resultados de las pruebas apliInformación
c
Congrega los documentos que evidencian la adquisición deInformación
bi
Ajuste en elde
Serie
/ Sondocumental en la que
contratos estatales se agrupan
todos losjurídicos
los actos instrumentos y me
Información
Información
p
Contiene las evidencias audiovisuales producidas por el D Información
AjusteSerie
Plan: en elde
presupuesto apropiado a ladeterminados,
/ / Documento a través del cual se evidencias las dife Información
/ El Comité de Conciliación es una instancia administrativ Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Conjunto de actividades para cumplir un objetivo / El PIC eInformación
Contiene las evidencias audiovisuales producidas por el DAInformación
Guarda las evidencias de operaciones bancarias a favor de Itnformación
Serie de pasos
Plan: Serie o procedimientos
de pasos determinados,
o procedimientos que buscan
c
/ / Estructura base de la Política Pública diseñada Información
/ El Comité de Conciliación es una instancia administrativ Información
/ Son contratos
Formato estatales
de solicitos todos los actos
e sel documento porjurídicos
medio delgeneradInformación
cual se solicita ala expedición del Certificado de Disponiblidad Presupe
Información
Conjunto
Es de documental
una serie actividades para cumpliry un
de manejo objetivo
acceso / El PICporInformación
reservado parte de los funcionarios de talento humano en donde se cons
Información
Es
Plan:unaSerie
seriededocumental de manejo y acceso
pasos o procedimientos reservado
determinados, queporbuscan
Información
conseguir un objetivo o propósito con dirección. / El DAS
Documentos que soportan estos instrumentos propios de la Información
La Serie contiene todos los tipos de inventario que produc Información
/ / Instrumento a través del cual se identifican los objeti Información
/ Serie que agrupa los documentos generados en el ejercicInformación
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Conjunto
Es una serie de documental
actividades para cumpliry un
de manejo objetivo
acceso / El PICpor
reservado eInformación
Información
p
La Serie
Plan: contiene
Serie de pasostodos los tipos de inventario
o procedimientos que produc
que buscan conseguir un objetivo o propósito con dirección./ El DAS
/ / Comunicación de tipo oficial que se utiliza para tran Información
// Serie que agrupa
Son contratos los documentos
estatales generados
todos los actos en el
jurídicos ejerci Información
Información
Conjunto de actividades para cumplir un objetivo / El conjuInformación
/ Contiene las evidencias de los procesos de elección, de Información
Es
Plan:unaSerie
seriededocumental de manejo y acceso
pasos o procedimientos reservado
determinados, queporbuscan
Información
conseguir un objetivo o propósito con dirección. / El DAS
La Serie contiene todos los tipos de inventario que produceInformación
/ / Analisis técnico sobre el cual se sustenta la formulació Información
// Serie que agrupa
Son contratos los documentos
estatales generados
todos los actos en el
jurídicos ejercicInformación
Formato de solicitos e sel documento por medio del cual seInformación solicita ala expedición del Certificado de Disponiblidad Presupe
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Conjunto de actividades para cumplir un objetivo /El conjunInformación
/ Serie documental simple, que contiene los documentos en Información
Es una serie documental de manejo y acceso reservado por parte de los funcionarios de talento humano en donde se cons
Información
p
La Serie contiene todos los tipos de inventario que produce Información
La obligación para que las entidades formulen un Plan Anticorrupción y de Atención al Ciudadano nace del Estatuto Antico
Información
Acto administrativo a través del cual la Dirección del DASC Información
Información
Contiene los acuerdos logrados en desarrollo de las negociInformación
Relación de pago en la cual se registran los salarios, las Información
Agrupación documental en que las que un ciudadano presenta Información
/ Esta Serie simple, contiene los acuerdos de confidencial Información
/ Documentos elaborados por el DASCD para poder describir Información
Documento con orientaciones en diferentes temas de compet
Información
Conjunto de actividades para cumplir un objetivo /El PIC esInformación
/ Serie documental simple, que contiene los documentos en Información
Documentos que soportan
/ El Plan Anticorrupción estos
y de instrumentos
Atención propios
al Ciudadano es de
un la
Información
p
instrumento de tipo preventivo para el control de la corrupción,
La obligación para que las entidades formulen un Plan Anticorrupción
Informacióny de Atención al Ciudadano nace del Estatuto Antico
/ / Orientación técnica - jurídica requerida por las Enti Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Conjunto de actividades para cumplir un objetivo / El conjuInformación
/ Agrupación
Es documentaldeque
una serie documental contiene
manejo los documento
y acceso reservado enporInformación
elparte de los funcionarios de talento humano en donde se cons
Información de tipo preventivo para el control de la corrupción,
/ El Plan Anticorrupción y de Atención al Ciudadano es un instrumento
Docuemnto que estatales
/ Son contratos da una respuesta
todos loscon justificación
actos tecnicaInformación
jurídicos generadores de obligaciones que celebren las entidades a las que se re
Información
El/ Son contratos
Convenio estatales
por otra parte,todos
es unlos actos jurídicos
acuerdo generadInformación
de voluntades entre la administración y una persona (natural o jurídica), celebra
Información
/ Agrupación
Es documentaldeque
una serie documental contiene
manejo los documento
y acceso reservado enporInformación
elparte de los funcionarios de talento humano en donde se cons
Información de tipo preventivo para el control de la corrupción,
/ El Plan Anticorrupción y de Atención al Ciudadano es un instrumento
/ / Analisis Técnico solicitado por una Entidad, en el cua Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Serie documental simple, que contiene las actas de apertura Información
/ El Plan Estratégico Institucional define la dirección ha Información
// Son
/ Oficio de solicitud
contratos de concepto
estatales todos los técnico
actos jurídicos generadores Información
Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos genera
generadoresInformación
Información
Conjunto
Es una seriede documental
actividades para cumpliry un
de manejo objetivo
acceso / El PICpor
reservado esInformación
Información
/ El Plan Estratégico Institucional define la dirección ha Información
// Son
/ Comunicaciones recibidas
contratos estatales todoso los
producidas en desarrollo
actos jurídicos generadoresInformación
Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos genera
Factura: Es un título valor que el vendedor o prestador delInformaciónservicio podrá librar y entregar o remitir al comprador o benefi
Conjunto de actividades para cumplir un objetivo / El PIC eInformación
Serie documental simple, que contiene las actas de aperturInformación
/ / Instrumento del Sistema de Gestión de la Calidad que Información
El/ Convenio
/ Documento escrito
por otra quees
parte, evidencia y comunica
un acuerdo de manera
de voluntades Información
entre la administración y una persona (natural o jurídica), celebra
Información
Alianzas paradocumental
Es una serie las Personasdealmanejo
Servicioyde Bogotá,
acceso con un por
reservado traInformación
Información
Serie documental simple, que contiene las actas de aperturInformación
/ / Es el documento que presenta de manera Detallada lasInformación
// Son
/ Documento
contratos escrito
estatalesque evidencia
todos y comunica
los actos jurídicos de manera
Información
Servicioyde Bogotá.
acceso Con unpor
reservado tr Información
Información
// // Formato que relaciona y controla todos la documentacInformación
Hoja de respuestas en la que se señala el número de respuestas correctas y el puntaje obtenido por el aspirante
Factura: Es un título valor que el vendedor o prestador delInformaciónservicio podrá librar y entregar o remitir al comprador o benefi
Servicioyde Bogotá,
acceso con un por
reservado tr Información
Información
// // Documento
Documento contentivo de las preguntas escritas que seInformación
que establece lineamientos o directrices s le realizarán a los participantes en un proceso de selección qu
Información
Conjunto de actividades para cumplir un objetivo / La serieInformación
Es una serie documental de manejo y acceso reservado por parte de los funcionarios de talento humano en donde se cons
Información
/ / Herramienta de gestión que permite determinar objetiInformación
/ Pertenece
Conjunto de aactos
una jurídicos
instanciaque
distrital conformada
se llevan por seis
a cabo para aplicarInformación
la ley a la resolución de un caso/ Pronunciamiento jurídico so
Información
El Convenio por otra parte, es un acuerdo de voluntades entre la administración y una persona (natural o jurídica), celebra
Información
Contiene los acuerdos logrados en desarrollo de las negociInformación
Agrupación documental que guarda las evidencias que sopor Información
// Contiene los documento
/ Documento elaborados
en el cual se relacionanporloslaaspirantes
entidad para
quedIse
nformación
citan a entrevista y en el cual figura el lugar, fecha y hora
Información
Conjunto de actividades para cumplir un objetivo/ La Serie Información
Documento
Es una serie en el cual se de
documental deja evidencia
manejo mediante
y acceso una lista
dparte de los funcionarios de talento humano en donde se cons
Información
/ / Documento que explica cómo realizar una o varias a Información
/ / Documento que contiene la relación de los citados a p Información
Conjunto de documental
Es una serie actividades para cumpliry un
de manejo objetivo/
acceso La Serie
Información
/ / Documento
Documento que describe
contienelaslasintenciones globalesde
etapas del proceso deselección,
una orInformación
las funciones, los perfiles, el valor en porcentaje de cada pru
Información
de manejo objetivo
acceso / La SerieInformación
reservado por parte de los funcionarios de talento humano en donde se cons
Información
/ / Relación de las fases del proceso de selección con las Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
de manejo objetivo
acceso / La Seri
Información
Documento oficial por medio del cual se designa el FuncionInformación
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Conjunto
Es dedocumental
una serie actividades de
para cumplir
manejo un objetivo
y acceso / La Seri
Información
Es/ /una serie documental
Documento en el cualdesemanejo y acceso
relaciona reservado
el nombre porInformación
del aspirante, el número de la convocatoria, denominación del empleo, f
Información
/ Son del
Documento todos
donde los actos
identificar, generay clasificar
Información
a las personas y entidades que tengan la calidad de co
Información
/ La
Es Serie
una guarda
serie los documentos
documental de manejo que se producen
y acceso en elpor
reservado ejInformación
Información
Es una serie documental de manejo y acceso reservado porInformación parte de los funcionarios de talento humano en donde se cons
Estructura del proceso para la provisión de empleo Información
Son contratos estatales todos los actos jurídicos generadores Información
Información
documento donde se puede identificar, ubicar y clasificar los contribuyentes del Impuesto de Industria y Comercio, Aviso
Información
// Son
/ Documento
contratos final elaborado
estatales todos por el Departameto
los actos con el Información
jurídicos generadoresc de obligaciones que celebren las entidades a las que se re
Información
/ Son
Es unacontratos estatalesde
serie documental todos los actos
manejo jurídicos
y acceso genera
Información
/ / Documento que relaciona el nombre de los aspirantes Información
Es
Es ununaun resumen
serie escritode
documental y ordenado
manejo y de la capacitación
acceso reservado por y de
Información
la experiencia
parte de la persona
de los funcionarios naturalhumano
de talento o jurídica.
en donde se cons
Información
/ / Documento en el que se relacionan los nombres y cédul Información
/ Pertenece a una instancia distrital conformada por seis Información
La Acción
/ Son entendida
contratos comotodos
estatales Demanda, es eljurídicos
los actos documento queInformación
generadorescontiene exposición que
de obligaciones de hechos, pretensiones,
celebren las entidadespruebas y demás
a las que se re
Información
Contiene los acuerdos logrados en desarrollo de las negociaInformación
/ / Descripción de la experiencia y la formación requer Información
// Son
/ Cartilla que contiene
contratos estatalesvarias
todos hojas con jurídicos
los actos datos delgeneradores
partic Información
Información
/ Son contratos estatales todos los actos jurídicos generadores de obligaciones que celebren las entidades a las que se re
Información
Documento elaborado por el aspirante en el cual manifiesta Información
/ Son contratos
Formato estatales
de solicitos todos los actos
e sel documento porjurídicos
medio delgeneradInformación
cual se solicita ala expedición del Certificado de Disponiblidad Presupe
Información
Es
Es una
una serie
serie documental
documental dede manejo
manejo yy acceso
acceso reservado
reservado por
porInformación
p
Información
Documento elaborado
/ Son contratos portodos
estatales el aspirante enjurídicos
los actos el cual manifiesta
Información
Información
Información
Acto administrativo por el cual se reconocen los incentivosInformación
Documento que da respuesta a las reclamaciones efectuadas Información
Las Mypimes tienen hasta un día hábil antes de la aperturaInformación
del proceso de contratación, para manifestar interés en el proc
Documento en el cual se rencuentra el número de la convoca Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Relación de las calificaciones obtenidas por todos los aspir Información
Relación de las calificaciones obtenidas por todos los aspir Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
Comunicación por medio de la cual se solicita información Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
/ / Conjunto de instrumentos que en conjunto con su respe Información
/ / Este es un formato que se realiza para unificar los bi Información
El/ Son contratos
Convenio estatales
acuerdo generadInformación
de voluntades entre la administración y una persona (natural o jurídica), celebra
Información
/ Pertenece a una instancia distrital conformada por seis
Serie documental en la que se agrupan los instrumentos y mecanismos Información constitucionales que tienen por objeto proteger, re
Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos generadores
Información
generadores de
de obligaciones
obligaciones que
que celebren
celebren las
las entidades
entidades aa las
las que
que se
se re
re
Documento que contiene la compilación metodológica paraInformación l
Manual: Publicación que incluye los aspectos fundamentalInformación
/ Informes excepcionales que son requeridos por entidades Información
/ / Conjunto de acciones y medios necesarios para poder Información
/ / Documento en el cual se emite información del plan Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
// // Conjunto
Documento depor
acciones
el cualy se
medios necesarios
hace constar quepara poder Información
se publicaron en el SIPROJ, las actuaciones realizadas.
Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
jurídicos generadores
Información
generadores de
de obligaciones
obligaciones que
que celebren
celebren las
las entidades
entidades aa las
las que
que se
se re
re
/ / Acto Administrativo por el cual se adopta el Plan Es Información
/ / Documento que contiene exposición de hechos, pretenInformación
/ / Conjunto de documentos que sirven como evidencia deInformación
/ / Acto jurídico por el cual se comunica legalmente a unaInformación
persona una resolución judicial para que actúe procesalmente
p
/ / Acción por la que se contesta una solicitud de una persInformación
Es
/ /una serie documental
Documento dese
por el cual manejo y accesoque
hace constar reservado porInformación
se publicaron en el SIPROJ, las actuaciones realizadas.
Información
p
/ / Acto
Copia deljurídico por
Documentoeldonde
cual se
secomunica legalmente
puede identificar, a una
ubicar Información
persona auna resolución
y clasificar las personas yjudicial para
entidades quequetengan
actúe la
procesalmente
calidad de co
Información
Es
/ /una serie documental
Documento dese
por el cual manejo y accesoque
hace constar reservado porInformación
se publicaronp en el SIPROJ, las actuaciones realizadas.
documento donde se puede identificar, ubicar y clasificar Información
los contribuyentes del Impuesto de Industria y Comercio, Aviso
Información
Documento que contiene la compilación metodológica paraInformación
l
c
Información
Son contratos
/ Son contratosestatales todos
estatales todosloslos
actos jurídicos
actos jurídicosgeneradore Información
Información
/ Son del
Documento todos
donde los actos
identificar, generadInformación
y clasificar a las personas y entidades que tengan la calidad de co
Información
// Agrupación
/ Documento documental
por el cualen
selahace
queconstar
se registra
quelasemetodolo Información
publicaron en el SIPROJ, las actuaciones realizadas.
Información
/ Son contratos
documento dondeestatales todos
se puede los actosubicar
identificar, jurídicos generadInformación
y clasificar los contribuyentes del Impuesto de Industria y Comercio, Aviso
Información
/ / Proyeto de decreto por los cuales se modifica la estru Información
/ / Proyeto de resolución por los cuales se modifica la es Información
/ / Documento expedido por el DASCD, en el cual se da unInformación
/ / Analisis Técnico solicitado por una Entidad, en el cua Información
/ / Oficio de solicitud de concepto técnico Información
Son contratos estatales todos los actos jurídicos generadores Información
Información
/ / Oficio en el cual se realiza la solicitud de viabilidad p Información
/ / Documento escrito que contiene la informaciòn refereInformación
/ / Oficio por el cual la SHD emite viabilidad presupuestal Información
/ Son contratos
Documento que estatales
contiene todos los actosmetodológica
la compilación jurídicos generaparaInformación
la gestión del talento humano./ Documento para desarrollar a
Información
Es
La la comparación
agrupación de la información
documental evidencia contable con la administrativas
las actividades informaInformaciónrealizadas para el control, seguimiento y optimización
Información
/ Informes excepcionales que son requeridos por otras e Información
/ / Conjunto de acciones y medios necesarios para poder Información
/ / Documento escrito que se fundamenta en diagnosticosInformación
// Son contratos
/ Reporte estatalesde
consolidado todos los actos jurídicos
los resultados obtenidosgeneradInformación
en cada una de las pruebas
Información
// Son
Seriecontratos estatales
documental todos
en la que se los actoslos
agrupa jurídicos generadInformación
documentos sobre las vinculaciones jurídicas que se realizan entre personas ju
Información
/ / Curriculum Vitae. Documento en donde se relaciona laInformación
El/ Son contratos
Convenio estatales
acuerdo generaentre
de voluntades Información
la administración y una persona (natural o jurídica), celebra
Información
/ / Formato establecido por el DASCD y normalizado para Idnformación
// Son
documental todos
agrupa jurídicos generadInformación
documentos sobre las vinculaciones jurídicas que se realizan entre personas ju
/ / Soporte de las pruebas aplicadas y de las respuetas en Información
Serie documentalexpedida
/ / Certificación en la quepor
se agrupa los en
la entidad documentos sobre
la que se hace Información
constar el cumplimiento o no de los requisitos del empleo al qu
Información
/ / Comunicaciones recibidas o producidas en desarrollo Información
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
/ / Documento que evidencia la verificación y el cumplim Información
/ / Relación de las personas que presentan cada una de laInformación
// Son
documental todos
agrupa jurídicos generasobre
documentos Información
Información
// Son
/ Documento
contratos en el que todos
estatales se presentan
los actoslasjurídicos
condiciones de Información
Información
// Son
Seriecontratos
documentalestatales todos
agrupa jurídicos generasobre
documentos Información
Información
/ / Soportes de la publicación en la página web de la inf Información
Serie documental en la que se agrupan los instrumentos y mecanismos Información constitucionales que tienen por objeto proteger, re
Documento donde se detalla la gestión adelantada por la SB Información
Es la comparación de la información contable con la informa Información
Serie de pasos o procedimientos determinados, que buscanInformación co
/ Informes excepcionales que son requeridos por otras entInformación
// Son
/ Oficio por medio
contratos del cual
estatales se los
todos solicta la jurídicos
actos revisión ygeneradores
ajuste Información
Información
Copia del Documento donde se puede identificar, ubicar y clasificar a las personas y entidades que tengan la calidad de co
Información
// Son
/ Oficios de reclamaciones
contratos presentadas
estatales todos por los aspirant
los actos jurídicos Información
Formato de solicitos e sel documento por medio del cual se
Información
solicita
documento donde se puede identificar, ubicar y clasificar los contribuyentes ala expedición del Certificado
del Impuesto de Disponiblidad
de Industria y Comercio,Presupe
Aviso
Información
/ / Documento que da respuesta a las reclamaciones efectInformación
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
/ / Documento por medio del cual se evidencia y comunicaInformación
// Son
Son contratos
contratos estatales
estatales todos
todos los
los actos
actos jurídicos
Información
/ Serie documental en la que se agrupa los documentos sobre las vinculaciones jurídicas que se realizan entre personas ju
Información
El programa de Gestión Documental - PGD es el conjunto de Información
Las cajas menores son fondos renovables que se proveen con Información
Las cajas
Las cajas menores
menores son
son fondos
fondos renovables
renovables que
que se
se proveen
proveen con
con
Información
recursos del presupuesto de gastos de los entes públicos dis
Información
Informe del diagnóstico para el plan institucional de emergencias
Información
de la entidad
/ Son los documentos que guardan información sobre la ela Información
/ Son los documentos que guardan información sobre la elInformación
La Serie contiene a los difierentes expedientes de los proc Información
La
La Serie
Serie contiene
contiene aa los
los difierentes
difierentes expedientes
expedientes de
de los
los proc Información
procesos disiciplinarios que se adelantan en el Departamento Admin
Información
La Serie contiene a los difierentes expedientes de los proceInformación
La Serie
La Serie contiene
contiene aa los
los difierentes
expedientes de
de los
los procesos
proc Información
disiciplinarios que se adelantan en el Departamento Admin
Información
La
La Serie
Serie contiene
contiene aa los
los difierentes
expedientes de
de los
Información
La
La Serie
Serie contiene
contiene aa los
los difierentes
expedientes de
de los
Información
La Serie contiene a los difierentes expedientes de los procesos disiciplinarios que se adelantan en el Departamento Admin
Información
La Serie contiene a los difierentes expedientes de los proceInformación
La Serie contiene a los difierentes expedientes de los pro Información
La
La Serie
Serie contiene
contiene aa los
los difierentes
expedientes de
de los
Información
La Serie contiene a los difierentes expedientes de los procesos
Información
disiciplinarios que se adelantan en el Departamento Admin
Es un medio de impuganción con que cuenta el disciplinadoInformación
y/o su defensor o el quejoso dentro de la actuación disciplina
/ Contiene las evidencias de los procesos de elección, del Información
/ Contiene las evidencias de los procesos de elección, de Información
/ Contiene las evidencias de los procesos de elección del Información
/ Serie Documental que agrupa los documentos en el que se Información
/ Serie Documental que agrupa los documentos en el que se Información
Documento que registra los usuarios que han sido atendidoInformación
c
c
La Serie contiene a los difierentes expedientes de los pro Información
Actas son documentos donde se registran las decisiones que

Información
Actas son las evidencias de las decisiones que se toman en Información

Encuesta que se realiza anualmente a los servidores públicoInformación
Distintas personas del DASCD que por su conocimiento, expe Persona
Servicio de identificación basado en las cualidades biológicServicios
Conjunto de aplicaciones ofimáticas asignadas a los funcionSoftware
Sistema operativo dispuesto para los equipos de la red de Software
Conjunto de aplicaciones para edición de vídeos, diseños, Software
Sistema operativo dispuesto para los equipos de la red del DASCD Software
Software de gestión y administración del dispositivos de seguridad perimServicios
Software para el envío de correos masivos Servicios
Aplicación dispuesta para el envío masivo de correos elect Servicios
Sistema de información distrital del empleo y la adminsitraServicios
Sistema operativo dispuesto para los equipos servidores d Software
Software que protege a las laptops, computadoras, servidorSoftware
Aplicativo ERP de gestión de recursos de la entidad Servicios
Aplicativo para el control en red del servicio de impresioneServicios
Aplicativo para la administración de los espacios de aprendiServicios
ACTIVOS DE INFORMACIÓN
DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL DISTRITAL
LEY 1712 / CLASIFICACIÓN DE LA

SUBTIPO DE ACTIVO CLASE DE ACTIVO
INFORMACIÓN
Conectividad Componente de Red-Conectividad Información Pública

Conectividad Componente de Red-Conectividad Información Pública
Conectividad Componente de Red-Conectividad Información Pública Clasificada
Computador Hardware-Computador Información Pública
Almacenamiento Hardware-Almacenamiento Información Pública Clasificada
Servidor Hardware-Servidor Información Pública Clasificada
Escaner/Impresora Hardware-Escaner/Impresora Información Pública
Computador Hardware-Computador Información Pública Clasificada
Escaner/Impresora Hardware-Escaner/Impresora Información Pública Clasificada
Almacenamiento Hardware-Almacenamiento Información Pública
Documentos Información-Documentos Información Pública
Documentos Información-Documentos Información Pública Clasificada
Base de datos Información-Base de datos Información Pública Clasificada
Documentos Información-Documentos Información Pública Reservada

Personas Persona-Personas Información Pública
Servicio TI Servicios-Servicio TI Información Pública Clasificada
Licencia Software-Licencia Información Pública
Licencia Software-Licencia Información Pública Clasificada
Licencia Software-Licencia Información Pública Clasificada
Servicio TI Servicios-Servicio TI Información Pública
N Có
Vige
L DISTRITAL
El activo es
crítico para
NIVEL DE CRITICIDAD
CONFIDENCIALIDAD INTEGRIDAD DIPONIBILIDAD las
TOTAL DEL ACTIVO
operaciones
internas
Bajo Medio Bajo Medio Bajo

Medio Medio Bajo Medio Medio
Medio Bajo Alto Alto Medio
Medio Medio Alto Alto Medio
Medio Medio Medio Medio Medio
Medio Medio Alto Alto Alto
Medio Medio Medio Medio Bajo
Bajo Medio Bajo Medio Medio
Bajo Bajo Medio Medio Medio
Bajo Medio Medio Medio Medio
Medio Alto Medio Alto Medio
Bajo Bajo Bajo Bajo Medio
Bajo Bajo Bajo Bajo Bajo
Medio Alto Alto Alto Medio
Medio Medio Bajo Medio Bajo
Medio Bajo Medio Medio Bajo
Bajo Medio Bajo Medio Alto
Medio Medio Medio Medio Alto
Medio Medio Medio Medio Alto
Medio Medio Bajo Medio Alto
Medio Alto Alto Alto Bajo
Medio Bajo Medio Medio Alto
Medio Bajo Medio Medio Bajo
Bajo Bajo Medio Medio Alto
Medio Bajo Bajo Medio Medio
Medio Bajo Bajo Medio Bajo
Medio Bajo Medio Medio Alto
Bajo Medio Medio Medio Bajo
Bajo Alto Medio Alto Bajo
Bajo Alto Alto Alto Alto
Medio Alto Medio Alto Alto
Bajo Alto Medio Alto Medio
Bajo Medio Medio Medio Alto
Bajo Bajo Alto Medio Medio
Bajo Bajo Bajo Bajo Alto
Bajo Bajo Medio Medio Bajo
Bajo bajo Bajo Bajo Bajo
Alto Alto Medio Alto Bajo
Medio
Medio Medio Medio Bajo
Medio
Medio Medio Medio Bajo

Bajo Medio Alto Alto Alto
Medio Medio Alto Alto Alto
Bajo Medio Alto Alto Alto
Medio Alto Medio Alto Alto
Bajo Alto Alto Alto Bajo
Versión: 3.0
El activo es
crítico para
Riesgos Asociados al tipo de activo
el servicio a
terceros
Medio Riesgos de Componentes de Red

Bajo Riesgos de Componentes de Red
Medio Riesgos de hardware
Bajo Riesgos de hardware
Alto Riesgos de hardware
Bajo Riesgos de Información
Medio Riesgos de Información
Alto Riesgos de Información

Alto Riesgos de Personas
Bajo Riesgos de software
Medio Riesgos de software
Alto Riesgos de software
D
Objetivos de
Dominio Subdominio Justificación
Control
Se debe definir un conjunto de

A.5.1. ORIENTACION DE LA
políticas para la seguridad de la
A.5. POLITICAS DE LA DIRECCION PARA LA Políticas para la
información aprobada por la
SEGURIDAD DE LA GESTION DE LA seguridad de la
dirección, publicada y comunicada
INFORMACION SEGURIDAD DE LA Información
a los empleados y a la partes
INFORMACION
externas pertinentes
Las políticas para seguridad de la

A.5.1. ORIENTACION DE LA
Revisión de las información se deberían revisar a
A.5. POLITICAS DE LA DIRECCION PARA LA Políticas para la intervalos planificados o si
SEGURIDAD DE LA GESTION DE LA
seguridad de la ocurren cambios significativos,
INFORMACION SEGURIDAD DE LA Información para asegurar su conveniencia,
INFORMACION
adecuación y eficacia continuas.
Roles y
A.6. ORGANIZACIÓN DE
responsabilidade Se deben definir y asignar todas
LA A.6.1. ORGANIZACIÓN
s para la las responsabilidades de la
SEGURIDAD DE LA INTERNA
Seguridad de la seguridad de la información
INFORMACIÓN
Información
Los deberes y áreas de

responsabilidad en conflicto se
debe separar para reducir las
LA A.6.1. ORGANIZACIÓN Separación de
posibilidades de modificación no
SEGURIDAD DE LA INTERNA Deberes autorizada o no intencional, o el
INFORMACIÓN
uso indebido de los activos de la
organización.
Se deben tener procedimientos

establecidos que especifiquen
A.6. ORGANIZACIÓN DE cuándo se debe contactar a las
LA A.6.1. ORGANIZACIÓN Contacto con las autoridades, y cómo se debe
SEGURIDAD DE LA INTERNA autoridades reportar de una manera oportuna
INFORMACIÓN
los incidentes de seguridad de la
información identificados.
Se deben mantener contactos

Contacto con las apropiados con grupos de interés
LA A.6.1. ORGANIZACIÓN
grupos de interés especial u otros foros y
SEGURIDAD DE LA INTERNA
especial asociaciones profesionales
INFORMACIÓN
especializadas en seguridad.
La seguridad de la información se
debe integrar al(los) método(s) de
A.6. ORGANIZACIÓN DE Seguridad de la gestión de proyectos de la
LA A.6.1. ORGANIZACIÓN Información en la organización, para asegurar que
SEGURIDAD DE LA INTERNA Gestión de los riesgos de seguridad de la
INFORMACIÓN Proyectos información se identifiquen y
traten como parte de un
proyecto.
Se deben adoptar una política y

Política para unas medidas de seguridad de
LA A.6.2. DISPOSITIVOS dispositivos soporte, para gestionar los riesgos
SEGURIDAD DE LA MÓVILES Y TELETRABAJO
móviles introducidos por el uso de
INFORMACIÓN
dispositivos móviles.
Se debe implementar una política

y unas medidas de seguridad de
soporte, para proteger la
LA A.6.2. DISPOSITIVOS Teletrabajo información a la que se tiene
SEGURIDAD DE LA MÓVILES Y TELETRABAJO acceso, que es procesada o
INFORMACIÓN
almacenada en los lugares en los
que se realiza teletrabajo.
Las verificaciones de los
antecedentes de todos los
candidatos a un empleo se deben
Seguridad de los llevar a cabo de acuerdo con las
A.7. SEGURIDAD DE LOS A.7.1. ANTES DE ASUMIR Recursos leyes, reglamentaciones y ética
RECURSOS HUMANOS EL EMPLEO humanos / pertinentes, y deben ser
Selección proporcionales a los requisitos de
negocio, a la clasificación de la
información a que se va a tener
acceso, y a los riesgos percibidos.
Los acuerdos contractuales con

Términos y empleados y contratistas deben
A.7. SEGURIDAD DE LOS A.7.1. ANTES DE ASUMIR
condiciones del establecer sus responsabilidades y
RECURSOS HUMANOS EL EMPLEO
empleo las de la organización en cuanto a
la seguridad de la información.
La dirección debe exigir a todos

los empleados y contratistas la
A.7. SEGURIDAD DE LOS A.7.2. DURANTE LA Responsabilidade aplicación de la seguridad de la
RECURSOS HUMANOS EJECUCION DEL EMPLEO s de la Dirección información de acuerdo con las
políticas y procedimientos
establecidos por la organización.
Todos los empleados de la

organización, y en donde sea
Toma de
Conciencia, pertinente, los contratistas, deben
recibir la educación y la formación
A.7. SEGURIDAD DE LOS A.7.2. DURANTE LA Educación y
en toma de conciencia apropiada,
RECURSOS HUMANOS EJECUCION DEL EMPLEO Formación en la
y actualizaciones regulares sobre
Seguridad de la
las políticas y procedimientos de
Información
la organización pertinentes para
su cargo.
Se debe contar con un proceso
formal, el cual debe ser
A.7. SEGURIDAD DE LOS A.7.2. DURANTE LA Proceso comunicado, para emprender
RECURSOS HUMANOS EJECUCION DEL EMPLEO Disciplinario acciones contra empleados que
hayan cometido una violación a la
seguridad de la información.
Las responsabilidades y los

deberes de seguridad de la
Terminación o información que permanecen
A.7. SEGURIDAD DE LOS A.7.3. TERMINACION Y cambio de válidos después de la terminación
RECURSOS HUMANOS CAMBIO DE EMPLEO responsabilidade o cambio de empleo se deben
s de empleo definir, comunicar al empleado o
contratista y se deben hacer
cumplir.
Se deben identificar los activos

asociados con información e
A.8. GESTION DE ACTIVOS A.8.1. RESPONSABILIDAD Inventario de
instalaciones de procesamiento
POR LOS ACTIVOS activos de información, y se debe
elaborar y mantener un inventario
de estos activos.
Los activos mantenidos en el
A.8.1. RESPONSABILIDAD Propiedad de los
A.8. GESTION DE ACTIVOS inventario deben tener un
POR LOS ACTIVOS activos
propietario.
Se deben identificar, documentar

e implementar reglas para el uso
A.8.1. RESPONSABILIDAD Uso aceptable de aceptable de información y de
A.8. GESTION DE ACTIVOS
POR LOS ACTIVOS los activos activos asociados con
información e instalaciones de
procesamiento de información.
Todos los empleados y usuarios

de partes externas deben
A.8.1. RESPONSABILIDAD Devolución de devolver todos los activos de la
POR LOS ACTIVOS Activos organización que se entregan a su
cargo, al terminar su empleo,
contrato o acuerdo.
La información se debe clasificar

A.8.2. CLASIFICACION DE Clasificación de la en función de los requisitos
A.8. GESTION DE ACTIVOS legales, valor, criticidad y
LA INFORMACION Información
susceptibilidad a divulgación o
modificación no autorizada.
Se debe desarrollar e
implementar un conjunto
adecuado de procedimientos
Etiquetado y
A.8.2. CLASIFICACION DE para el etiquetado de la
A.8. GESTION DE ACTIVOS LA INFORMACION manejo de información, de acuerdo con el
información
esquema de clasificación de la
información adoptado por la
organización.
Se deben desarrollar e
implementar procedimientos para
A.8.2. CLASIFICACION DE Manejo de el manejo de activos de acuerdo
LA INFORMACION Activos con el esquema de clasificación de
información adoptado por la
organización.
Se deben implementar
Gestión de procedimientos para la gestión de
A.8.3. MANEJO DE
A.8. GESTION DE ACTIVOS Medios medios removibles de acuerdo
MEDIOS
Removibles con el esquema de clasificación
adoptado por la organización.
Se debe disponer en forma

A.8.3. MANEJO DE Disposición de los segura de los medios cuando ya
MEDIOS Medios no se requieran, utilizando
procedimientos formales.
Los medios que contienen

información se deben proteger
A.8. GESTION DE ACTIVOS A.8.3. MANEJO DE
Transferencia de contra acceso no autorizado, uso
MEDIOS Medios Físicos
indebido o corrupción durante el
transporte.
Se debe establecer, documentar y

A.9.1. REQUISITOS DEL Política de revisar una política de control de
A.9. CONTROL DE ACCESO NEGOCIO PARA EL Control de acceso con base en los requisitos
CONTROL DE ACCESO Acceso del negocio y de seguridad de la
información.
Solo se debe permitir acceso de

A.9.1. REQUISITOS DEL Acceso a redes y los usuarios a la red y a los
A.9. CONTROL DE ACCESO NEGOCIO PARA EL servicios de red para los que
CONTROL DE ACCESO a servicios de red hayan sido autorizados
específicamente.
Se debe implementar un proceso

Registro y formal de registro y de
A.9.2. GESTIÓN DE cancelación del cancelación de registro de
A.9. CONTROL DE ACCESO ACCESO A USUARIOS.
registro de usuarios, para posibilitar la
usuarios asignación de los derechos de
acceso.
Se debe implementar un proceso

de suministro de acceso formal de
Suministro de
A.9.2. GESTIÓN DE usuarios para asignar o revocar
A.9. CONTROL DE ACCESO Acceso a
ACCESO A USUARIOS. los derechos de acceso para todo
Usuarios
tipo de usuarios para todos los
sistemas y servicios.
Gestión de
Se debe restringir y controlar la
A.9.2. GESTIÓN DE Derechos de
A.9. CONTROL DE ACCESO asignación y uso de derechos de
ACCESO A USUARIOS. Acceso
acceso privilegiado.
Privilegiado
Gestión de
La asignación de información de
información de
A.9.2. GESTIÓN DE autenticación secreta se debe
A.9. CONTROL DE ACCESO autenticación
ACCESO A USUARIOS. controlar por medio de un
secreta de
proceso de gestión formal.
usuarios
Revisión de los Los propietarios de los activos

A.9. CONTROL DE ACCESO A.9.2. GESTIÓN DE
derechos de deben revisar los derechos de
ACCESO A USUARIOS. Acceso de acceso de los usuarios, a
Usuarios intervalos regulares.
Los derechos de acceso de todos

los empleados y de usuarios
externos a la información y a las
A.9.2. GESTIÓN DE Retiro o ajuste de instalaciones de procesamiento
A.9. CONTROL DE ACCESO derechos de
ACCESO A USUARIOS. acceso de información se deben retirar al
terminar su empleo, contrato o
acuerdo, o se deben ajustar
cuando se hagan cambios.
Se debe exigir a los usuarios que

Uso de
A.9.3. cumplan las prácticas de la
información de
A.9. CONTROL DE ACCESO RESPONSABILIDADES DE organización para el uso de
autenticación
LOS USUARIOS información de autenticación
secreta
secreta.
El acceso a la información y a las
A.9.4. CONTROL DE Restricción de funciones de los sistemas de las
A.9. CONTROL DE ACCESO ACCESO A SISTEMAS Y Acceso a la aplicaciones se debe restringir de
APLICACIONES. Información acuerdo con la política de control
de acceso.
Cuando lo requiere la política de

A.9.4. CONTROL DE control de acceso, el acceso a
Procedimiento de sistemas y aplicaciones se debe
A.9. CONTROL DE ACCESO ACCESO A SISTEMAS Y
APLICACIONES. Ingreso Seguro controlar mediante un proceso de
ingreso seguro.
Los sistemas de gestión de

A.9.4. CONTROL DE Sistema de
A.9. CONTROL DE ACCESO ACCESO A SISTEMAS Y Gestión de contraseñas deben ser
interactivos y deben asegurar la
APLICACIONES. Contraseñas
calidad de las contraseñas.
Se debe restringir y controlar

A.9.4. CONTROL DE Uso de estrictamente el uso de
programas programas utilitarios que podrían
utilitarios tener capacidad de anular el
APLICACIONES.
privilegiados sistema y los controles de las
aplicaciones.
Control de
A.9.4. CONTROL DE
Acceso a Códigos Se debe registrar el acceso a los
Fuente de códigos fuente de los programas.
APLICACIONES.
Programas
Política sobre el implementar una política sobre el
A.10.1. CONTROLES
A.10. CRIPTOGRAFIA uso de controles uso de controles criptográficos
CRIPTOGRAFICOS
criptográficos para la protección de la
información.
implementar una política sobre el
A.10. CRIPTOGRAFIA A.10.1. CONTROLES Gestión de Llaves uso, protección y tiempo de vida
CRIPTOGRAFICOS
de las llaves criptográficas,
durante su ciclo de vida.
Se deben definir y usar

perímetros de seguridad, y usarlos
para proteger áreas que
A.11. SEGURIDAD FÍSICA Y A.11.1. AREAS SEGURAS. Perímetro de contengan información
DEL ENTORNO seguridad física
confidencial o crítica, e
instalaciones de manejo de
información.
Las áreas seguras se deben

proteger mediante controles de
A.11. SEGURIDAD FÍSICA Y A.11.1. AREAS SEGURAS. Controles de acceso apropiados para asegurar
DEL ENTORNO acceso físico que solo se permite acceso a
personal autorizado.
Seguridad de Se debe diseñar y aplicar
A.11. SEGURIDAD FÍSICA Y
A.11.1. AREAS SEGURAS. oficinas, recintos seguridad física a oficinas,
DEL ENTORNO
e instalaciones recintos e instalaciones.
Protección contra Se debe diseñar y aplicar

A.11. SEGURIDAD FÍSICA Y amenazas protección física contra desastres
A.11.1. AREAS SEGURAS.
DEL ENTORNO externas y naturales, ataques maliciosos o
ambientales accidentes.
Se deben diseñar y aplicar

A.11. SEGURIDAD FÍSICA Y Trabajo en áreas
A.11.1. AREAS SEGURAS. procedimientos para trabajo en
DEL ENTORNO seguras
áreas seguras.
Se deben controlar los puntos de

acceso tales como áreas de
despacho y de carga y otros
A.11. SEGURIDAD FÍSICA Y Áreas de puntos en donde pueden entrar
A.11.1. AREAS SEGURAS. personas no autorizadas, y si es
DEL ENTORNO despacho y carga
posible, aislarlos de las
de información para evitar el
acceso no autorizado.
Los equipos deben estar ubicados

Ubicación y y protegidos para reducir los
DEL ENTORNO A.11.2. EQUIPOS. protección de los riesgos de amenazas y peligros
equipos del entorno, y las posibilidades
de acceso no autorizado.
Los equipos se deben proteger

contra fallas de energía y
A.11. SEGURIDAD FÍSICA Y Servicios de
A.11.2. EQUIPOS. otras interrupciones causadas por
DEL ENTORNO suministro
fallas en los servicios de
suministro.
El cableado de energía eléctrica y

de telecomunicaciones que porta
A.11. SEGURIDAD FÍSICA Y Seguridad del datos o brinda soporte a los
A.11.2. EQUIPOS.
DEL ENTORNO cableado servicios de información se debe
proteger contra interceptación,
interferencia o daño.
Los equipos se deben mantener
A.11. SEGURIDAD FÍSICA Y Mantenimiento correctamente para asegurar su
A.11.2. EQUIPOS.
DEL ENTORNO de los equipos disponibilidad e integridad
continuas.
Los equipos, información o

A.11.2. EQUIPOS. Retiro de Activos software no se deben retirar de
DEL ENTORNO
su sitio sin autorización previa.
Se deben aplicar medidas de

Seguridad de los seguridad a los activos que se
encuentran instalaciones fuera
A.11. SEGURIDAD FÍSICA Y equipos y activos
A.11.2. EQUIPOS. de las instalaciones de la
DEL ENTORNO fuera de las
organización, teniendo en cuenta
instalaciones
los diferentes riesgos de trabajar
fuera de dichas instalaciones.
Se deben verificar todos los

elementos de equipos que
contengan medios de
Disposición
almacenamiento para asegurar
A.11. SEGURIDAD FÍSICA Y A.11.2. EQUIPOS. Segura o
que cualquier dato confidencial o
DEL ENTORNO Reutilización de
equipos software licenciado haya sido
retirado o sobrescrito en forma
segura antes de su disposición o
reusó.
Equipos de Los usuarios deben asegurarse de

A.11. SEGURIDAD FÍSICA Y A.11.2. EQUIPOS.
Usuario que a los equipos desatendidos se
DEL ENTORNO Desatendido les da protección apropiada.
Se debe adoptar una política de

escritorio limpio para los papeles
Política de y medios de almacenamiento
A.11. SEGURIDAD FÍSICA Y A.11.2. EQUIPOS.
Escritorio Limpio removibles, y una política de
DEL ENTORNO
y pantalla limpia pantalla limpia en las
de información.
Los procedimientos de
A.12.1. PROCEDIMIENTOS Procedimientos operación se deben
A.12. SEGURIDAD DE LAS
OPERACIONALES Y de Operación documentar y poner a
OPERACIONES
RESPONSABILIDADES Documentados disposición de todos los usuarios
que los necesitan.
Se deben controlar los cambios en

A.12.1. PROCEDIMIENTOS la organización, en los procesos
A.12. SEGURIDAD DE LAS Gestión de de negocio, en las instalaciones y
OPERACIONALES Y
OPERACIONES Cambios en los sistemas de procesamiento
RESPONSABILIDADES de información que afectan la
Se debe hacer seguimiento al uso

de recursos, hacer los ajustes, y
A.12.1. PROCEDIMIENTOS
A.12. SEGURIDAD DE LAS OPERACIONALES Y Gestión de hacer proyecciones de los
OPERACIONES RESPONSABILIDADES Capacidad requisitos de capacidad futura,
para asegurar el desempeño
requerido del sistema.
Separación de las Se deben separar los ambientes

A.12.1. PROCEDIMIENTOS instalaciones de de desarrollo, prueba y operación,
A.12. SEGURIDAD DE LAS OPERACIONALES Y
desarrollo, para reducir los riesgos de acceso
OPERACIONES
RESPONSABILIDADES ensayo y o cambios no autorizados al
operación ambiente de operación.
Se deben implementar controles
de detección, de prevención y de
A.12.2. PROTECCION Controles contra
A.12. SEGURIDAD DE LAS recuperación combinados con la
CONTRA CODIGO códigos
OPERACIONES toma de conciencia apropiada de
MALICIOSO maliciosos
los usuarios para proteger contra
códigos maliciosos.
Se deben hacer copias de

respaldo de información, software
A.12. SEGURIDAD DE LAS A.12.3. COPIAS DE Respaldo de la e imágenes de los sistemas y
OPERACIONES RESPALDO Información ponerlas a prueba regularmente
de acuerdo con una política de
copias de respaldo acordadas.
Se deben elaborar, conservar y

revisar regularmente los registros
A.12. SEGURIDAD DE LAS A.12.4. REGISTRO Y Registro de a cerca de actividades del usuario,
OPERACIONES SEGUIMIENTO Eventos excepciones, fallas y eventos de
seguridad de la información
Las instalaciones y la información

Protección de la de registro se deben proteger
A.12. SEGURIDAD DE LAS A.12.4. REGISTRO Y
información del
OPERACIONES SEGUIMIENTO registro contra alteración y acceso no
autorizado
Las actividades del administrador

Registros del y del operador del sistema se
A.12. SEGURIDAD DE LAS A.12.4. REGISTRO Y
Administrador y deben registrar, y los registros se
OPERACIONES SEGUIMIENTO
del Operador deben proteger y revisar con
regularidad.
Los relojes de todos los sistemas

de procesamiento de
A.12. SEGURIDAD DE LAS A.12.4. REGISTRO Y Sincronización de información pertinentes dentro
de una organización o ámbito de
OPERACIONES SEGUIMIENTO Relojes
seguridad se deben sincronizar
con una única fuente de
referencia de tiempo.
Instalación de Se deben implementar

A.12. SEGURIDAD DE LAS A.12.5. CONTROL DE Software en procedimientos para controlar la
OPERACIONES SOFTWARE OPERACIONAL Sistemas instalación de software en
Operativos sistemas operativos.
Se debe obtener oportunamente
información acerca de las
vulnerabilidades técnicas de los
A.12.6. GESTION DE LA Gestión de las sistemas de información que se
A.12. SEGURIDAD DE LAS
VULNERABILIDAD Vulnerabilidades usen; evaluar la exposición de la
OPERACIONES
TECNICA Técnicas organización a estas
vulnerabilidades, y tomar las
medidas apropiadas para tratar el
riesgo asociado.
Restricciones Se debe establecer e implementar

A.12.6. GESTION DE LA
A.12. SEGURIDAD DE LAS sobre la las reglas para la instalación de
VULNERABILIDAD
OPERACIONES instalación de software por parte de los
TECNICA
Software usuarios.
Los requisitos y actividades de

auditoria que involucran la
A.12.7. Controles de
verificación de los sistemas
A.12. SEGURIDAD DE LAS CONSIDERACIONES SOBRE auditorias de
operativos se deben planificar y
OPERACIONES AUDITORIAS DE SISTEMAS sistemas de
acordar cuidadosamente para
DE INFORMACION información
minimizar las interrupciones en
los procesos del negocio.
Las redes se deben gestionar y

A.13. SEGURIDAD DE LAS A.13.1 GESTION DE LA Controles de controlar para proteger la
COMUNICACIONES SEGURIDAD DE LAS REDES Redes información en sistemas y
aplicaciones.
Se deben identificar los
mecanismos de seguridad, los
niveles de servicio y los requisitos
de gestión de todos los servicios
A.13. SEGURIDAD DE LAS A.13.1 GESTION DE LA Seguridad en los
de red, e incluirlos en los
COMUNICACIONES SEGURIDAD DE LAS REDES servicios de red
acuerdos de servicio de red, ya
sea que los servicios se presten
internamente o se contraten
externamente.
Los grupos de servicios de

A.13. SEGURIDAD DE LAS A.13.1 GESTION DE LA Separación en las información, usuarios y sistemas
COMUNICACIONES SEGURIDAD DE LAS REDES Redes de información se deben separar
en las redes.
Se debe contar con políticas,

procedimientos y controles de
Políticas y
transferencia formales para
A.13. SEGURIDAD DE LAS A.13.2 TRANSFERENCIA DE procedimientos proteger la transferencia de
COMUNICACIONES INFORMACION de transferencia
información mediante el uso de
de información
todo tipo de instalaciones de
comunicaciones.
Los acuerdos deben tratar la
Acuerdos sobre
A.13. SEGURIDAD DE LAS A.13.2 TRANSFERENCIA DE transferencia segura de
transferencia de
COMUNICACIONES INFORMACION información del negocio entre la
Información
organización y las partes externas.
Se debe proteger adecuadamente

A.13. SEGURIDAD DE LAS A.13.2 TRANSFERENCIA DE Mensajería
la información incluida en la
COMUNICACIONES INFORMACION Electrónica
mensajería electrónica.
Se deben identificar, revisar

Acuerdos de regularmente y documentar los
requisitos para los acuerdos de
A.13. SEGURIDAD DE LAS A.13.2 TRANSFERENCIA DE Confidencialidad confidencialidad o no divulgación
COMUNICACIONES INFORMACION o de NO
que reflejen las necesidades de la
divulgación
organización para la protección de
la información.
Los requisitos relacionados con

Análisis y seguridad de la información se
A.14. ADQUISICIÓN, A.14.1. REQUISITOS DE
especificación de deben incluir en los requisitos
DESARROLLO Y SEGURIDAD DE LOS
requisitos de para nuevos sistemas de
MANTENIMIENTO DE SISTEMAS DE
Seguridad de la información o para mejoras a los
SISTEMAS. INFORMACIÓN.
Información sistemas de información
existentes.
La información involucrada en los

A.14. ADQUISICIÓN, A.14.1. REQUISITOS DE Seguridad en los servicios de las aplicaciones que
DESARROLLO Y SEGURIDAD DE LOS servicios de las pasan sobre redes públicas se
MANTENIMIENTO DE SISTEMAS DE aplicaciones en debe proteger de actividades
fraudulentas, disputas
SISTEMAS. INFORMACIÓN. redes públicas contractuales y divulgación y
modificación no autorizadas.
La información involucrada en las

transacciones de los servicios de
las aplicaciones se deben proteger
A.14. ADQUISICIÓN, A.14.1. REQUISITOS DE Protección de para evitar la transmisión
DESARROLLO Y SEGURIDAD DE LOS transacciones de incompleta, el enrutamiento
MANTENIMIENTO DE SISTEMAS DE los servicios de errado la alteración no
SISTEMAS. INFORMACIÓN. las aplicaciones autorizada de mensajes, la
divulgación no autorizada y la
divulgación o reproducción de
mensajes no autorizados.
Se deben establecer y aplicar
A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN
reglas para el desarrollo de
DESARROLLO Y LOS PROCESOS DE Política de
software y de sistemas, a los
MANTENIMIENTO DE DESARROLLO Y DE Desarrollo Seguro
desarrollos dentro de la
SISTEMAS. SOPORTE.
organización.
Los cambios a los sistemas dentro

A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN Procedimiento de del ciclo de vida de desarrollo se
DESARROLLO Y LOS PROCESOS DE Control de deben controlar mediante el uso
MANTENIMIENTO DE DESARROLLO Y DE Cambios en de procedimientos formales de
SISTEMAS. SOPORTE. sistemas control de cambios.
Cuando se cambian las

Revisión plataformas de operación, se
A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN Técnicas de las deben revisar las aplicaciones
DESARROLLO Y LOS PROCESOS DE Aplicaciones criticas del negocio y someter a
MANTENIMIENTO DE DESARROLLO Y DE después de los prueba para asegurar que no haya
SISTEMAS. SOPORTE. cambios en la impacto adverso en las
plataforma de operaciones o seguridad de la
operación organización.
Se deben desalentar las

A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN Restricciones en modificaciones a los paquetes de
DESARROLLO Y LOS PROCESOS DE los cambios a los software, los cuales se deben
MANTENIMIENTO DE DESARROLLO Y DE paquetes de limitar a los cambios necesarios, y
SISTEMAS. SOPORTE. software todos los cambios se deben
controlar estrictamente.
Se deben establecer, documentar

A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN y mantener principios para la
DESARROLLO Y LOS PROCESOS DE Principios de construcción de sistemas
MANTENIMIENTO DE DESARROLLO Y DE construcción de seguros , y aplicarlos a cualquier
SISTEMAS. SOPORTE. sistemas seguros actividad de implementación de
sistemas de información.
Las organizaciones deben
establecer y proteger
A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN adecuadamente los ambientes de
DESARROLLO Y LOS PROCESOS DE Ambiente de desarrollo seguros para las
MANTENIMIENTO DE DESARROLLO Y DE desarrollo seguro actividades de desarrollo e
SISTEMAS. SOPORTE. integración de sistemas que
comprendan todo el ciclo de vida
de desarrollo de sistemas .
A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN La organización debe supervisar y

DESARROLLO Y LOS PROCESOS DE Desarrollo hacer seguimiento de la actividad
MANTENIMIENTO DE DESARROLLO Y DE contratado de desarrollo de sistemas
SISTEMAS. SOPORTE. externamente contratados externamente.
A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN

Pruebas de Durante el desarrollo se deben
DESARROLLO Y LOS PROCESOS DE llevar a cabo pruebas de
MANTENIMIENTO DE DESARROLLO Y DE seguridad de
sistemas funcionalidad de la seguridad.
SISTEMAS. SOPORTE.
Para los sistemas de información

A.14. ADQUISICIÓN, A.14.2. SEGURIDAD EN nuevos, actualizaciones y nuevas
DESARROLLO Y LOS PROCESOS DE Pruebas de versiones, se deben establecer
MANTENIMIENTO DE DESARROLLO Y DE aceptación de programas de prueba para
SISTEMAS. SOPORTE. sistemas aceptación y criterios de
aceptación relacionados .
A.14. ADQUISICIÓN,
Los datos de prueba se deben
DESARROLLO Y A.14.3. DATOS DE Protección de seleccionar, proteger y controlar
MANTENIMIENTO DE PRUEBA. datos de prueba cuidadosamente.
SISTEMAS.
Los requisitos de seguridad de la
A.15.1. SEGURIDAD DE LA Política de información para mitigar los
A.15. RELACIONES CON INFORMACIÓN EN LAS Seguridad de la riesgos asociados con el acceso de
LOS PROVEEDORES RELACIONES CON LOS Información para proveedores a los activos de la
PROVEEDORES. las relaciones con organización se deben acordar
proveedores con éstos y se deben documentar.
Se deben establecer y acordar
todos los requisitos de seguridad
de la información pertinentes con
A.15.1. SEGURIDAD DE LA Tratamiento de la
cada proveedor que pueda tener
A.15. RELACIONES CON INFORMACIÓN EN LAS Seguridad dentro acceso, procesar, almacenar,
LOS PROVEEDORES RELACIONES CON LOS de los acuerdos comunicar o suministrar
PROVEEDORES. con proveedores componentes de infraestructura
de TI para la información de la
organización.
Los acuerdos con proveedores
deben incluir requisitos para
A.15.1. SEGURIDAD DE LA Cadena de tratar los riesgos de seguridad de
A.15. RELACIONES CON INFORMACIÓN EN LAS Suministro de la información asociados con la
LOS PROVEEDORES RELACIONES CON LOS Tecnología de cadena de suministro de
PROVEEDORES. Información y productos y servicios de
Comunicación tecnología de información y
comunicación.
A.15.2. GESTIÓN DE LA Seguimiento y Las organizaciones deben hacer
A.15. RELACIONES CON PRESTACIÓN DE LOS revisión de los seguimiento, revisar y auditar
LOS PROVEEDORES SERVICIOS DE servicios de los con regularidad la prestación de
PROVEEDORES. proveedores servicios de los proveedores.
Se deben gestionar los cambios
en el suministro de servicios por
parte de los proveedores, incluido
el mantenimiento y la mejora de
A.15.2. GESTIÓN DE LA Gestión de las políticas, procedimientos y
A.15. RELACIONES CON PRESTACIÓN DE LOS Cambios en los controles de seguridad de la
LOS PROVEEDORES SERVICIOS DE Servicios de los información existentes , teniendo
PROVEEDORES. Proveedores en cuenta la criticidad de la
información, sistemas y procesos
del negocio involucrados, y la
reevaluación de los riesgos.
Se deben establecer las

A.16. GESTIÓN DE A.16.1. GESTIÓN DE Gestión de responsabilidades y
INCIDENTES DE INCIDENTES Y MEJORAS Incidentes / procedimientos de gestión para
SEGURIDAD DE LA EN LA SEGURIDAD DE LA Responsabilidade asegurar una respuesta rápida,
INFORMACIÓN INFORMACIÓN. sy eficaz y ordenada a los incidentes
Procedimientos de seguridad de la información.
Los eventos de seguridad de la

A.16. GESTIÓN DE A.16.1. GESTIÓN DE Reporte de información se deben informar a
INCIDENTES DE INCIDENTES Y MEJORAS Eventos de través de los canales de gestión
SEGURIDAD DE LA EN LA SEGURIDAD DE LA Seguridad de la apropiados, tan pronto como sea
INFORMACIÓN INFORMACIÓN. Información posible.
Se debe exigir a todos los
empleados y contratistas que
usan los servicios y sistemas de
A.16. GESTIÓN DE A.16.1. GESTIÓN DE Reporte de información de la organización,
INCIDENTES DE INCIDENTES Y MEJORAS debilidades de que observen y reporten
SEGURIDAD DE LA EN LA SEGURIDAD DE LA seguridad de la cualquier debilidad de seguridad
INFORMACIÓN INFORMACIÓN. información de la información observada o
sospechada en los sistemas o
servicios.
Evaluación de Los eventos de seguridad de la

A.16. GESTIÓN DE A.16.1. GESTIÓN DE Eventos de información se deben evaluar y se
INCIDENTES DE INCIDENTES Y MEJORAS Seguridad de la debe decir si se van a clasificar
SEGURIDAD DE LA EN LA SEGURIDAD DE LA Información y como incidentes de seguridad de
INFORMACIÓN INFORMACIÓN. decisiones sobre la información.
ellos
A.16. GESTIÓN DE A.16.1. GESTIÓN DE Respuesta a Se debe dar respuesta a los

INCIDENTES DE INCIDENTES Y MEJORAS incidentes de incidentes de seguridad de la
SEGURIDAD DE LA EN LA SEGURIDAD DE LA seguridad de la información de acuerdo con
INFORMACIÓN INFORMACIÓN. información procedimientos documentados.
El conocimiento adquirido al
A.16. GESTIÓN DE A.16.1. GESTIÓN DE Aprendizaje analizar y resolver incidentes de
INCIDENTES DE INCIDENTES Y MEJORAS obtenido de los seguridad de la información se
SEGURIDAD DE LA EN LA SEGURIDAD DE LA incidentes de debe usar para reducir la
INFORMACIÓN INFORMACIÓN. seguridad de la posibilidad o el impacto de
información incidentes futuros.
La organización debe definir y

A.16. GESTIÓN DE A.16.1. GESTIÓN DE aplicar procedimientos para la
INCIDENTES DE INCIDENTES Y MEJORAS Recolección de identificación, recolección,
SEGURIDAD DE LA EN LA SEGURIDAD DE LA Evidencia adquisición y preservación de la
INFORMACIÓN INFORMACIÓN. información que puede servir
como evidencia.
La organización debe determinar
sus requisitos para la seguridad de
A.17.1. CONTINUIDAD DE A.17.1. CONTINUIDAD DE Planificación de la información y la continuidad de
SEGURIDAD DE LA SEGURIDAD DE LA la continuidad de la gestión de la seguridad de la
INFORMACION INFORMACIÓN la Seguridad de información en situaciones
la Información adversas, por ejemplo, durante
una crisis o desastres.
La organización debe establecer,

documentar, implementar y
A.17.1. CONTINUIDAD DE A.17.1. CONTINUIDAD DE Implementación mantener procedimientos y
SEGURIDAD DE LA SEGURIDAD DE LA de la continuidad controles para asegurar el nivel de
INFORMACION INFORMACIÓN de la seguridad continuidad requerido para la
de la información seguridad de la información
durante una situación adversa.
La organización debe verificar a

Verificación, intervalos regulares los controles
de continuidad de la seguridad de
A.17.1. CONTINUIDAD DE A.17.1. CONTINUIDAD DE revisión y
evaluación de la la información establecidos e
SEGURIDAD DE LA SEGURIDAD DE LA
continuidad de la implementados , con el fin de
INFORMACION INFORMACIÓN
seguridad de la asegurar que son válidos y
información eficaces durante situaciones
adversas.
Las instalaciones de
A.17.1. CONTINUIDAD DE Disponibilidad de procesamiento de información se
SEGURIDAD DE LA A.17.2. REDUNDANCIAS instalaciones de deben implementar con
INFORMACION procesamiento de redundancia suficiente para
información cumplir los requisitos de
disponibilidad.
Todos los requisitos estatutarios,

reglamentarios y contractuales
Identificación de pertinentes y el enfoque de la
A.18.1. CUMPLIMIENTO la legislación organización para cumplirlos, se
A.18. CUMPLIMIENTO DE REQUISITOS LEGALES Y aplicable y los deben identificar y documentar
CONTRACTUALES requisitos explícitamente, y mantenerlos
contractuales actualizados para cada sistema de
información y para la
organización.
Se deben implementar
procedimientos apropiados para
asegurar el cumplimiento de los
A.18.1. CUMPLIMIENTO Derechos de requisitos legislativos , de
A.18. CUMPLIMIENTO DE REQUISITOS LEGALES Y propiedad reglamentación y contractuales
CONTRACTUALES intelectual (DPI) relacionados con los derechos de
propiedad intelectual y el uso de
productos de software
patentados.
Los registros se deben proteger

contra pérdida, destrucción,
falsificación, acceso no autorizado
A.18.1. CUMPLIMIENTO
Protección de y liberación no autorizada, de
A.18. CUMPLIMIENTO DE REQUISITOS LEGALES Y
registros acuerdo con los requisitos
CONTRACTUALES
legislativos, de
reglamentación, contractuales y
de negocio.
Se deben asegurar la privacidad y

Privacidad y la protección de la información de
A.18.1. CUMPLIMIENTO
DE REQUISITOS LEGALES Y Protección de
datos personales, como se exige
A.18. CUMPLIMIENTO
información de en la legislación y la
CONTRACTUALES
datos personales reglamentación pertinentes,
cuando sea aplicable.
Se deben usar controles

A.18.1. CUMPLIMIENTO Reglamentación criptográficos, en cumplimiento
A.18. CUMPLIMIENTO DE REQUISITOS LEGALES Y de Controles
de todos los acuerdos, legislación
CONTRACTUALES Criptográficos y reglamentación pertinentes.
El enfoque de la organización para

la gestión de la seguridad de la
información y su implementación
Revisión (es decir, los objetivos de control,
A.18.2. REVISIONES DE
Independiente de los controles, las políticas, los
A.18. CUMPLIMIENTO SEGURIDAD DE LA
la Seguridad de procesos y los procedimientos
INFORMACION para seguridad de la información)
Información
se deben revisar
independientemente a intervalos
planificados o cuando ocurran
cambios significativos.
Los directores deben revisar con
regularidad el cumplimiento del
Cumplimiento procesamiento y procedimientos
A.18.2. REVISIONES DE
con las políticas y de información dentro de su área
A.18. CUMPLIMIENTO SEGURIDAD DE LA
normas de de responsabilidad, con las
INFORMACION
seguridad políticas y normas de seguridad
apropiadas , y cualquier otro
requisito de seguridad.
Los sistemas de información se

A.18.2. REVISIONES DE Revisión del deben revisar periódicamente
A.18. CUMPLIMIENTO SEGURIDAD DE LA cumplimiento para determinar el cumplimiento
INFORMACION técnico con las políticas y normas de
DECLARACIÓN DE APLICABILIDAD
DEPARTAMENTO ADMINISTRATIVO DEL SERVICIO CIVIL DISTRITA
Número
del Aplica Acciones Realizadas, instrumentos desarrollados
control
Se actualizó en 2018, la política de seguridad a Política General de

Seguridad y Privacidad de la Información según la Guía No. 2 del
MSPI del MINTIC.
Se socializó la nueva política a través de los canales de
comunicación internos.
A.5.1.1 SI Se creó y publicó en 2019 el Manual de seguridad digital,
documento en el que se describen la políticas específicas de
Se creó el plan de comunicaciones de la política, en el cual se
establecen los canales de socialización, periodicidad y el plan de
capacitiación y concietización
En el manual del Subsistema de Gestión De Seguridad Y

Privacidad de la Información se establece la vigencia de la Política
General y El Manual Del Subsistema De Gestión De Seguridad y
Privacidad De La Información, así como la periodicidad de las
A.5.1.2 SI revisiones y actualizaciones.
Se define inicalmente como mecanismo de seguimiento al
cumplimiento de las responsabilidades de cada rol del SGSI, la
declaración de aplicabilidad con las columnas: "Acciones
realizadas", "Acciones por realizar" y "Responsable de la acción"
El comité de seguridad de la información se integró al comité
directivo de gestión desarrollo y desempeño.
Se creó el procedimiento de gestión de incidentes.
El Manual del Subsistema de Gestión de Seguridad y Privacidad
de la Información establece los roles y las responsabilidades.
Se realizó la evaluación de riesgos de seguridad digital, mediante
la matriz de identificación de riesgos.
Se creó el procedimiento de gestión de riesgos de seguridad
A.6.1.1 SI digital y actualizó la política de gestión de riesgos de la entidad
incluyendo lo relacionado con la gestión de riesgos de seguridad
digital
- Se hace seguimiento a los controles establecidos en la
declaración de aplicabilidad y en lamatriz de riesgos de seguridad
digital, para el tratamiento de los riesgos de seguridad digital.
- Se describen las responsabilidades con respecto a la
implementación y mantenimiento de los controles de seguridad
de los recursos de la OTIC, en la declaración de aplicabilidad.
Se documentan en el Manual de Seguridad Digital las políticas

A.6.1.2 SI específicas de control de acceso, los perfiles y controles
implementados para la separación de deberes
Se creó el procedimiento de gestion de incidentes, en el que se

A.6.1.3 SI establece la actividad de Comunicar el incidente a las autoridades
o instancias correspondientes
La OTIC está suscrita al boletín del CSIRT de la policía nacional,

A.6.1.4 SI CSIRT de gobierno y se recibe información de la Alta Consejería
de TIC
Se realizó la evaluación de los risgos de seguridad digital con base
A.6.1.5 SI en la Guía propuesta por el DAFP y se creó el procedimiento de
gestión de riesgos de seguriad digital
En el Manual de Segudidad Digital, se crea la política para uso de

A.6.2.1 SI dispositivos móviles, en la cual se documentan los controles
implementados sobre los dispositivos móviles introducidos al
DASCD
Su aplicación rige mediante el decreto 596/2013, que trata sobre

el TELETRABAJO en organismos y entidades del Distrito Capital.
A.6.2.2 SI Así mismo, en el Manual de Seguridad Digital, se establece en el
numeral 9.1.1. POLÍTICA PARA USO DE ACCESOS REMOTOS A LA
RED (TELETRABAJO)
En el Manual de Seguridad Digital, se estabelcen las políticas de
seguridad en la vinculación del personal.
A.7.1.1 SI
Se incluyeron en el proceso de inducción de personal, temas
relacionados con seguridad de la información.
Se define en el Manual de Seguridad Digital las responsabilidades

tanto de empleados y contratistas, como de la entidad, con
relación a la seguridad de la información.
A.7.1.2 SI
Se crearon y actualizaron los acuerdos de confidencialidad que
deben diligenciar y firmar todos los servidores públicos y
contratistas que ingresen al DASCD.
Tanto en el Manual de Seguridad Digital como en la politica

general de seguridad, se estabelce que los Servidores Públicos,
A.7.2.1 SI Contratistas, Proveedores y Partes Interesadas, dan
cumplimiento a las políticas, normas y procedimientos de
seguridad de la información, así como asisten y/o participa de las
actividades de capacitación y sensibilización programadas.
Se realizan campañas de sensibilización en seguridad de la

información.
A.7.2.2 SI
Se cuenta con indicador para evaluar la cobertura de ñas
campañas de sensibilización
En CLAUSULA CONSECUENCIAS POR INCUMPLIMIENTO del
formato Acuerdo de Confidencialidad que firman los servidores
A.7.2.3 SI publicos y contratista está estipulado que se hará un proceso
disciplinario a aquellos que cometan violaciones a seguridad de la
información
En la clausula ACUERDOS FINALES del formato Acuerdo de

Confidencialidad que firman los servidores publicos y contratista
A.7.3.1 SI
está estipulado que el cumplimiento a estas obligaciones, es por
un (1) despues de su desviculación
Se creó la herramienta Matriz de Caracterización de Activos de

Información.
A.8.1.1 SI
Se actualizó el inventario de activos de información y fue
aprobado en comité de desarrollo institucional
Los propietarios de los cativos están plenamente identificados en
A.8.1.2 SI la herramienta Matriz de Caracterización de Activos de
Inofmración.
Se creó el procedimiento de control de acceso, en el cual se

establecen las restricciones y clasificaciones de los activos.
A.8.1.3 SI
aprobado en comité de desarrollo institucional MCAI, en el cual
está definido el uso de cada activo de información (público,
privado)
Está el formato A-GTH-FM-019 Constancia entrega puesto

funcionario - contratista V3.xlsx, el cual debe entrar tanto el
A.8.1.4 SI
servidor público como el contratista de prestación de servivios, al
entregar el puesto o finalizar el contrato

aprobado en comité de desarrollo institucional MCAI, en esta
A.8.2.1 SI herramienta se definen los requisitos legales, valor, criticidad y
susceptibilidad a divulgación o modificación no autorizada de la
información
En el Manual de Seguridad Digital se establece en el capitulo 8.2.

POLÍTICA DE CLASIFICACIÓN Y MANEJO DE LA INFORMACIÓN, lo
A.8.2.2 SI que se lleva a cabo en la Matriz de Caracterización de Activos de
Información
Se tiene la matriz de caracterización de activos de información

A.8.2.3 SI MCAI y se está definiendo el procedimiento para el manejo de
activos de información
En El Manual de Seguridad Digital en el punto 8.3. POLÍTICA DE
USO DE EQUIPOS, PERIFÉRICOS Y MEDIOS DE
ALMACENAMIENTO, contempla la restricción al uso de estos
A.8.3.1 SI
dispositivos, lo que está configurado, a través del panel de
administración del antivirus, la política de bloqueo de medios
removibles
Se debe elaborar el procedimiento donde se documenten las

A.8.3.2 SI actividades que ya se ejecutan para disponer en forma segura de
los medios cuando ya no se requieran.
Se cuenta con controles de acceso a los medios de

almacenamiento, así como con la implementación de roles y
A.8.3.3 SI
perfiles específicos para la gestión y acceso a los medios que
contienen información
A.9.1.1 SI En el documento: “MANUAL DE SEGURIDAD DIGITAL” numeral 9

se encuentra establecida la POLITICA DE CONTROL DE ACCESO.
En el documento: “MANUAL DE SEGURIDAD DIGITAL” numeral

9.2. POLÍTICA DE CONTROL DE ACCESO A USUARIOS, se definen
A.9.1.2 SI
los mecanismos mediante los cuales se restinge el acceso de los
usuarios a la red.
De acuerdo al perfil del usuario se asignan o cancelan los

privilegios de acceso.
A.9.2.1 SI
Se creó el Formato E-SIN-FM-002 SOLICITUD DE ACCESO A
USUARIOS
Se creó el procedimiento de control de acceso y el Formato E-

A.9.2.2 SI
SIN-FM-002 SOLICITUD DE ACCESO A USUARIOS
Se creó el procedimiento de control de acceso, mediante el que
A.9.2.3 SI se restringe y controla la asignación y uso de derechos de
acceso privilegiado
En el Manual de Seguridad se define que mediante el

A.9.2.4 SI procedimiento de control de acceso, se defenen las credenciales
de acceso a los distintos servicios y la manera de solicitarlas.

los propietarios de los activos de información definen los
A.9.2.5 SI
derecchos de acceso y se revisan periodicamente estas
autorizaciones.

se define como retirar o modificar al terminar su empleo,
A.9.2.6 SI
contrato o acuerdo o darse cambios, los derecchos de acceso a
los usuarios.
Tanto en el Manual de Seguridad Digital como en la politica

general de seguridad, se estabelce la exigencia a los usuarios
A.9.3.1 SI sobre el cumplimiento de las prácticas de la organización para el
uso de información de autenticación secreta y las consecuencias
de no cumplirlas.
En el documento: Manual de Seguridad Digital” se encuentra
A.9.4.1 SI
establecida la POLITICA DE CONTROL DE ACCESO.
En el Manual de Seguridad Digital, se define la politica de Gestión

de Contraseñas para propender por el ingreso a los sistemas y
A.9.4.2 SI
aplicaciones de forma segura, además de establecer un tiempo
de vigencia límite de las contraseñas
En el Manual de Seguridad Digital, se define la politica de Gestión

A.9.4.3 SI de Contraseñas para propender por el ingreso a los sistemas y
aplicaciones de forma segura.
El uso de programas utilitarios esta restringido, solo el

administrador del sistema permite su instalación, de acuerdo a
A.9.4.4 SI
las políticas establecidas por el DASCD, en lo que respecta a
derechos de autor
El acceso al código fuente esta restringido, solo el administrador

A.9.4.5 SI
del sistema o aplicativo lo puede ejecutar.
En el documento Manual de Segurida Digital en el capitulo
A.10.1.1 SI "POLÍTICA DE CONTROLES CRIPTOGRÁFICOS" se definen las
políticas para el uso de controle scriptográficos.
En el documento Manual de Segurida Digital en el capitulo

A.10.1.2 SI "POLÍTICA DE CONTROLES CRIPTOGRÁFICOS" se definen las
políticas para el uso de controles criptográficos.
En el documento Manual de Seguridad Digial, en el capitulo 11.1.

A.11.1.1 SI POLÍTICA DE ÁREAS SEGURAS, se definen las áreas seguras y los
mecanismos de protección de las mismas
A.11.1.2 SI Se cuenta con control de acceso al Piso 9 y al centro de computo.

Para el ingreso a las instalaciones de la entidad, se tiene en el
A.11.1.3 SI PISO 9, personal de la empresa de vigilancia y un sistema de
control de acceso.
A.11.1.4 SI Se elaboró el documento Plan de Recuperación de Desatres de TI
En el documento Manual de Seguridad Digial, se tiene un capitulo

específicio para 11. POLÍTICAS DE SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.1.5 SI Para el ingreso a las instalaciones se tiene personal de vigilancia y
control de acceso al piso.
Para el ingreso al centro de computo se tiene control de acceso.
Mediante la seguridad establecida en el edificio por parte de la

A.11.1.6 SI
SHD, se garantizan los controles pertinentes.
Mediante los controles de acceso físico y lógico establecidos en el

A.11.2.1 SI Manual de Seguridad Digital, se garantiza la protección de los
equipos dentro del DASCD.
Se realizan pruebas periódicas de capacidad y buen

funcionamiento de los equipos de energía y aire acondicionado .
A.11.2.2 SI
Se cuenta con una UPS de respaldo para los equipos de computo,
en caso de interrupcion del fluido electrico.
El Cableado del DASCD cumple con los estandare y se encuentra

A.11.2.3 SI
protegido debidamente por canaletas metálicas
Se cuenta con contrato de mantenimiento de equipos, lo que
A.11.2.4 SI
garantiza su disponibilidad e integridad.
En el Manual de Seguridad de digital en el capitulo 12.1. POLÍTICA

DE ASIGNACIÓN DE RESPONSABILIDADES OPERATIVAS, se
asignan las responsabilidades y autorizaciones para la
A.11.2.5 SI
manipulación de los equipos.
Desde Recursos físicos, se cuenta con el procedimiento y
formatos para controlar la manipulación de equipos.
Desde Recursos físicos, se cuenta con el procedimiento y

A.11.2.6 SI formatos para controlar la manipulación de equipos fuera de las
instalaciones.
Mediante el contrato de mantenimiento, se realiza el backup del

equipo de forma segura, conservando el software licenciado y
garantizando su reutilización.
A.11.2.7 SI
Cuando un equipo es dado de baja, se borra de forma segura la
informacion y se entrega con el licenciamiento.
En el documento: “MANUAL DE SEGURIDAD DIGITAL” se

A.11.2.8 SI
encuentra establecida la ESCRITORIO Y PANTALLA LIMPIA.
En el documento: “MANUAL DE SEGURIDAD DIGITAL” se

A.11.2.9 SI
encuentra establecida la ESCRITORIO Y PANTALLA LIMPIA.
En el Marco de los procesos de la OTIC (Gestión de TI y
A.12.1.1 SI Seguridad) se cuenta con procedimientos definidos y
formalizados en el sistema de gestión.
Se creó el procedimiento de gestión de cambios, el cual está

A.12.1.2 SI
afinandose para su completa implementación
Se hace seguimiento al uso de los recursos, con el fin de poder

hacer los ajustes necesarios y por otra parte planificar los
reqerimientos futuros.
A.12.1.3 SI Teniendo en cuenta lo anterior, se realizó la renovación
tencologica de 42 equipos de cómputo y se adquirieron 10
estaciones de trabajo, 2 unidades de alamacenamiento masivo
Estas activiades se realizan de acuerdo al plan de adquisicones
para las vigencias futuras
Se tienen separados los ambientes de pruebas, preproducción y

producción para los desarrollos que se ralizan en el DASCD, tal y
A.12.1.4 SI como se enuncia en el capitulo 12.1. POLÍTICA DE ASIGNACIÓN
DE RESPONSABILIDADES OPERATIVAS, del manual de seguridad
digital
En el documento: “MANUAL DE SEGURIDAD DIGITAL”, se
A.12.2.1 SI establecen los controles que se ejecutan contra Software
Maliciosos y Hacking en el DASCD
Mediante el contrato de mantenimiento, se realiza el backup del

equipo de forma segura, conservando el software licenciado y
garantizando su reutilización.
Cuando un equipo es dado de baja, se borra de forma segura la
informacion y se entrega con el licenciamiento.
A.12.3.1 SI
El Manual de Seguridad Digital tiene el capitulo de POLÍTICA DE
COPIAS DE RESPALDO
Se creó el A-TIC-GI-002
GUIA_DE_PLAN_DE_GENERACION_COPIAS_DE_SEGURIDAD_DAS
CD_V1
Se tiene en formato A-TIC-FM-007 monitoreo de red V3, donde

A.12.4.1 SI se registran los eventos y fallas de todo lo relacionado con TI,
incluidos los de seguridad de la información.
Las instalaciones y la información de registro se protegen contra

alteraciones y accesos no autorizados, ya que el acceso físico
A.12.4.2 SI
están ubicados en el centro de datos y el acceso a los LOG sólo lo
tiene el adminsitrador del sistema
Las actividades del administrador y del operador del sistema

A.12.4.3 SI
quedan registrado en los LOG de eventos de los servidores
Los RELOJES de todos los sistemas de procesamiento de

A.12.4.4 SI información se encuentran sincronizados con los servidores de la
entidad
La instalación del software esta restingida al Administrador del

A.12.5.1 SI sistema de la OTIC, tal y como se enucnia en 12.1. POLÍTICA DE
ASIGNACIÓN DE RESPONSABILIDADES OPERATIVAS
Se cuenta con la matriz de riesgos de seguridad digital, en la que
A.12.6.1 SI se definen las vulnerabilidades identificadas para los tipos de
activos de información
La instalacion de software esta restringido a los usuarios, solo lo

A.12.6.2 SI puede hacer el Administrador del sistema, tal y como está
definido en el Manual de Seguridad Digital.
Se realizan monitoreos y revisiones a los sistemas y la red, los

cuales se registran en el formato de Monitoreo de RED.
A.12.7.1 SI
Anualmente se realizan auditorias entre las cuales se revisa por
parte de un experto externo la infraestructura de TI.
En el Manual de Seguridad Digital se establencen los roles y

responsabilidades de la OTIC en la adminsitración de la red.
A.13.1.1 SI
Se actualizó el procedimiento A-TIC-PR-004_ADMINISTRACION
PLATAFORMA TECNOLOGICA V7
El Manual de Seguridad en los capitulos 9.1. POLÍTICA DE ACCESO
A LA PLATAFORMA TECNOLÓGICA y 12. POLÍTICAS DE
SEGURIDAD DE LAS OPERACIONES, contempla el uso del
A.13.1.2 SI dispositivo firewalll FORTINET, el cual, garantiza la proteccion de
la red, en caso de ataques extenos, lo cual también proteje los
aplicativos y equipos de la Entidad. Este software permite la
parametrización de gestión para los equipos de la red
El Manual de Seguridad Digital en el capítulo 9,1, contempla la

A.13.1.3 SI segmentación de la red, la cual se hace por VLAN por
dependencias y en grupos de usuario.
En el Manual de Seguridad en el capítulo 13. POLÍTICAS DE

SEGURIDAD DE LAS COMUNICACIONES, se documentan las
A.13.2.1 SI medidas establecidas para el uso de los canales de transferencia
de información.
El DASCD implementa el Marco de Interoperabilidad de MINTIC,
para consimir y poner a disposición la información interoperable.
A.13.2.2 SI Se cuenta con notificación nivel 1 de interoperabilidad en 4
servicios web
En el Manual de Seguridad en el capítulo 13. POLÍTICAS DE

SEGURIDAD DE LAS COMUNICACIONES, se documentan las
medidas establecidas para la protección de la mensajería
A.13.2.3 SI elecrónica.
Se implementan herramientas seguras para las comuniciones
como lo son las de Google.
Se actualizaron los formatos: E-SIN-FM-005-Acuerdo

confidencialidad contratistas DASCD V3.docx, E-SIN-FM-006-
Acuerdo confidencial servidores DASCD V3.docx, E-SIN-FM-009
A.13.2.4 SI Acuerdo de Confidencialidad – Contratista SIDEAP V2.docx y E-
SIN-FM-010 Acuerdo de Confidencialidad – Servidor Público
SIDEAP V2.docx
En el documento Manual de Seguridad Digital esta el capitulo

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
A.14.1.1 SI INFORMACIÓN, en el que se documentan las medidas que el
DASCD toma para el desarrollo y adquisición segura de software
En el Manual de Seguridad Digital contempla las medidas para la

protección de la información en transito de los sistemas de
A.14.1.2 SI información.
Se implementan conexiones VPN, encripción de la infromación y
el uso de redes seguras.
El DASCD cuenta con el uso de firmas electrónicas para los

A.14.1.3 SI directivos en la autorización de pagos.
A.14.2.1 SI ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN
La OTIC actualizó el procedimiento A-TIC-PR-

005_CONSTRUCCION MANTENIMIENTO SOFTWARE V6,
articulandolo con el procedimiento A-TIC-PR-007
A.14.2.2 SI PROCEDIMIENTO DE GESTIÓN DE CAMBIOS. Se incluyeron en
ambos procedimiento la referencias y condiciones en las cuales
desde el uno se activa el otro

005_CONSTRUCCION MANTENIMIENTO SOFTWARE V6, en este
procedimiento se contempla el protocolo de pruebas.
También se articula con el procedimiento A-TIC-PR-007
A.14.2.3 SI PROCEDIMIENTO DE GESTIÓN DE CAMBIOS, formalizando la
necesidad y condiciones (cuando los cambios de software
implcan cambios mayores) en las cuales es necesario activar el
procedimiento de Gestión de Cambios desde el procedimiento de
Construcción y Mantenimiento de Software

procedimiento se contempla el protocolo de pruebas.
También se articula con el procedimiento A-TIC-PR-007
A.14.2.4 SI PROCEDIMIENTO DE GESTIÓN DE CAMBIOS, formalizando la
necesidad y condiciones (cuando los cambios de software
implcan cambios mayores) en las cuales es necesario activar el
procedimiento de Gestión de Cambios desde el procedimiento de
Construcción y Mantenimiento de Software
Se define para la vigencia 2020 el desarrollo del documento de

A.14.2.5 SI
políticas de desarrollo seguro
12.1. POLÍTICA DE ASIGNACIÓN DE RESPONSABILIDADES
A.14.2.6 SI OPERATIVAS, se define la política de separación de ambientes de
desarrollo, la cual se implmenta en los servidores locales y
contratados.
Para el mantenimiento del sistema de información SI CAPITAL, se

tiene contratado un Ingeniero por prestación de servicios.
A.14.2.7 SI El supervisor de los contratos verifica que se cumplan con las
obligaciones del contrato de mantenimiento del software (SI
CAPITAL, SIDEAP).

A.14.2.8 SI ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN

A.14.2.9 SI procedimiento se contempla el protocolo de prueba para
aceptación y criterios de aceptación relacionados ..
Los datos de prueba corresponden a una muestra limitada de la

informacion real, la cual es solicitada al DBA para los ambientes
A.14.3.1 SI de pruebas y preproducción.
En las obligaciones al contratista se le exige confidencialidad
sobre la información que se maneja.
En el Manual de Seguridad Digital, se desarrollan las políticas de
relación con proveedores en el capítulo 15. POLÍTICAS DE
GESTIÓN DE TERCEROS. Con base en estas política, se definen las
A.15.1.1 SI obligaciones para los contratistas relacionadas con la
confidencialidad de la información que se maneja.
Se les hace firmar a todos los Acuerdos de Confidencialidad
En el Manual de Seguridad Digital, se desarrollan las políticas de
relación con proveedores en el capítulo 15. POLÍTICAS DE
A.15.1.2 SI GESTIÓN DE TERCEROS. En las obligaciones al contratista se le
exige confidencialidad sobre la información que se maneja.
Se les hace firmar a todos los Acuerdos de Confidencialidad
A todos los contratistas se les hace firmar los acuerdos de
Confidencialidad, además de que cada procesode contratación
A.15.1.3 SI tiene una matriz de riesgos asociada a los servicios o bienes que
ofrezcan
Dentro de las obligaciones de la supervision de los contratos con
proveedores esta el seguimiento a la prestación de los servicios
prestados.
A.15.2.1 SI Los informes del contratista reflejan el cumplimiento de las

obligaciones de los contratos.
Se hacen reuniones de seguimiento y actas de reuniones, cuando

se requeiren realizarse
Se debe implementar la gestion de cambios de los servicios de los
A.15.2.2 SI proveedores.
En el Manual de Seguridad de digital se tiene el capitulo GESTIÓN

DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN.
A.16.1.1 SI
Se cuenta con el procedimiento E-SIN-PR-003 Procedimiento
gestion de incidentes V1
El DASCD a través del documento E-SIN-PR-003 procedimiento de

Gestión de Incidentes de Seguridad de la Información, asegura
SI que los eventos e incidentes de seguridad que se presenten con
A.16.1.2 los activos de información, sean comunicados y atendidos
oportunamente, empleando los procedimientos definidos, con el
fin de ejecutar oportunamente las acciones correctivas.
A.16.1.3 SI gestion de incidentes V1

A.16.1.4 SI
gestion de incidentes V1
El DASCD a través del documento E-SIN-PR-003 procedimiento de

Gestión de Incidentes de Seguridad de la Información, asegura
que los eventos e incidentes de seguridad que se presenten con
A.16.1.5 SI
los activos de información, sean comunicados y atendidos
oportunamente, empleando los procedimientos definidos, con el
fin de ejecutar oportunamente las acciones correctivas.

gestion de incidentes V1, en el cual cuenta con la actividad de
Identificació de las lecciones aprendidas, correctivos a tomar y
A.16.1.6 SI alimentación de la base de conocimiento.
Actualmente el Departamento Administrativo del Servicio Civil
Distrital - DASCD, tiene un módulo de gestion del conocimiento
en la herramienta HELPPEOPLE
A.16.1.7 SI
A.17.1.1 SI Se actualizó el PLAN DE RECUPERACIÓN DE DESATRES DE TI
Se cuenta con el procedimiento E-SIN-PR-003 procedimiento de

Gestión de Incidentes de Seguridad de la Información
A.17.1.2 SI Así mismo, ya se tiene la primera versión del Plan de
recuperación de desastres de TI.
Durante el mes de diciembre de 2019 se iniciaron los simulacros

de prueba para el plan de recuperación de desastres en los
servicios de TI.
A.17.1.3 SI Durante el 2020 en el marco de remodelaciones y mejoras del
centro de datos, se realizó una prueba mayor del Plan de
Recuperación de Desastres
El Departamento Administrativo del Servicio Civil Distrital -

DASCD cuenta con dos máquinas virtuales con los servicios de
DNS, DHCP, DC, en ubicaciones diferentes, en caso de
A.17.2.1 SI presentarse un incidente
Para el ERP SICAPITAL, se cuenta con una redundancia entre dos
servidores por conmutación de error en caso de presentarse una
falla en la prestación del servicio.
Para los sistemas de información misionales del DASCD, la

documentación legal está publicada en la página web, en la
sección PAO y en la aplicación SIDEAP.
Se cuenta con el documento Normograma del proceso de
A.18.1.1 SI
Seguridad:
https://sites.google.com/serviciocivil.gov.co/sgestion/
direccionamiento-institucional/seguridad-de-la-informaci
%C3%B3n/normograma-si?authuser=0
Desde el Manual de Seguriad Digital, se dicta la política donde la
A.18.1.2 SI instalación del software esta restingida solo para el
Administrador del sistema de la OTIC
La entidad cuenta con tablas de retención documental, cuadro de

clasificación documental.
Se desarrolló la Matriz de Caracterización de Activos de
A.18.1.3 SI
Información, en la que se definen los medios de almacenamiento,
requisitos legislativos, de reglamentación, contractuales y de
negocio.
El DASCD cuenta con una política de protección de datos

A.18.1.4 SI personales y cumple con las disposiciones legales de reportar las
bases de datos con datos personales.
A.18.1.5 NO
Durante las vigencias 2019 y 2020 se realizaron auditorías

A.18.2.1 SI
externa de seguridad de la información.
La OTIC estableció las “POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN” y el 01 de Febrero de 2019, se expidió el Manual
de Seguridad Digital, instrumento normativo mediante el cual el
Departamento define y describe las políticas específicas de
A.18.2.2 SI seguridad y privacidad de la información, las cuales proveen la
base para la implementación de los controles de seguridad de la
Política de Seguridad Digital, en el marco del Modelo de
Seguridad y Privacidad de la Información -MSPI- planteado por el
MINTIC, el cual está alineado con la norma ISO 27001
En el marco de las auditorias externas, se vienen realizando

A.18.2.3 SI revisiones de seguridad sobre la infraestructura y sistemas de
información del DASCD
RATEGICO
A INFORMACIÓN
CABILIDAD
L SERVICIO CIVIL DISTRITAL
Instrumentos existentes o comunes
Acciones por realizar o
Instrumentos por desarrollar
E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
- Actualizar anualmente política general
SEGURIDAD DIGITAL,_x000D_
de seguridad y Manual de Seguridad
E-GES-MA-002-MANUAL DE POLITICA DE GESTION DE
Digital. Crear documento a parte con la
RIESGOS,_x000D_
política de tratamiento de datos
E-SIN-DE-001-POLITICA GENERAL DE SEGURIDAD DE LA
personales
INFORMACIÓN
- Establecer concretamente la revisión y E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

actualización anual de la política General SEGURIDAD DIGITAL,_x000D_
de Seguriad y el Manual del SGSI, en el E-SIN-DE-001-POLITICA GENERAL DE SEGURIDAD DE LA
manual de seguridad digital INFORMACIÓN
- Los niveles de autorización se plasman
en la Matriz de Caracterización de activos E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
de información, pero deben SEGURIDAD DIGITAL,_x000D_
documentarse en el manual de seguridad E-SIN-DE-001-POLITICA GENERAL DE SEGURIDAD DE LA
digital INFORMACIÓN
Mayor detalle en el manual de seguridad

digital, de las configuraciones de la red
que se adelantan para afianzar los
controles de acceso y la arquitectura de SEGURIDAD DIGITAL
red del DASCD
- Definir en el manual de seguridad

digital, los canales de comunicación y
colaboración con el CSIRT de gobierno
- Revisar y/o actualizar el procedimiento SEGURIDAD DIGITAL
de gestión de incidentes de seguridad
- Complementar el Manual con los

directorios de contactos y grupos de
interés.
- Tener suscripción o membresia a
servicios de alerta sobre los sistemas E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
operativos y herramientas de SEGURIDAD DIGITAL
infraestructura instalada, a foros o
boletines adicionales al del CSIRT para
conocer reportes e informacipon de
Construir e implementar una metodología
de Gestión de proyectos, que incluya las
siguientes condiciones de seguridad:
• Si hay activos críticos involucrados en el
proyecto
• Si hay información o datos onfidencias al
que puedan acceder terceros
• Riesgos de seguridad asociados al
proyecto
• Condiciones de propiedad intelectual E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
• Responsabilidad por incidentes de SEGURIDAD DIGITAL
seguridad de terceros.
• En caso de proyectos de adquisición o
desarrollo de sistemas de información
establecer formalmente los criterios de
aceptación en materia de seguridad
• Se debe integrar mas la gestión de
riesgos de SI en la metodología de gestión
de proyectos, definiendolo en el manual
de seguridad digital
Definir e implementar controles técnicos

que permitan:
- El uso de criptografía para la protección
de la información institucional en SEGURIDAD DIGITAL,_x000D_
E-GES-MA-002-MANUAL DE POLITICA DE GESTION DE
dispositivos móviles
RIESGOS
- La independencia entre el uso personal e
instictucional de los dispositivos móviles
- Documentar en el manual de seguridad

digital, los controles establecidos para el
trabajo en casa en el marco de la
pandemia E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
- Incluir los Controles de red para uso de SEGURIDAD DIGITAL
equipos móviles corporativos y/o bajo la
modalidad BYOD y teletrabajo.
Automatizar los flujos de entrada, salida,
actualización y registro de personal, para
E-SIN-FM-003-FORMATO TABLA DE CONTROL DE
que de forma automática se reporten y
ACCESO A LOS SERVICIOS TECNOLÓGICOS
registren las novedades (desarrollo o
funcionalidad)
SEGURIDAD DIGITAL,
E-SIN-FM-009-FORMATO ACUERDO DE
CONFIDENCIALIDAD Y NO DIVULGACIÓN DE
INFORMACIÓN – ASIGNACIÓN DE PERMISOS
CONTRATISTA PERSONA NATURAL O JURÍDICA
SIDEAP,_x000D_
Revisar los controles y oportunidades de INFORMACIÓN – SERVIDOR PÚBLICO,_x000D_
mejora E-SIN-FM-010-FORMATO ACUERDO DE
INFORMACIÓN – SERVIDOR PÚBLICO SIDEAP,_x000D_
E-SIN-FM-005-FORMATO DE ACUERDO DE
INFORMACIÓN – CONTRATISTA PERSONA NATURAL O
JURÍDICA - DASCD
,_x000D_
Definir e implementar un canal de reporte SEGURIDAD DIGITAL
anónimo, si bien por la mesa de servicios E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
se reciben reportes de seguridad, no se SEGURIDAD DIGITAL
garantiza el anonimato
E-SIN-PL-003-PLAN DE COMUNICACIÓN Y
Incluir en la inducción y reinducción la SI SENSIBILIZACIÓN DE SEGURIDAD DE LA
INFORMACIÓN,_x000D_
A-TIC-PL-001-PLAN ESTRATÉGICO DE TECNOLOGÍA DE
INFORMACIÓN Y COMUNICACIONES - PETI
SEGURIDAD DIGITAL,
SIDEAP,_x000D_
INFORMACIÓN – SERVIDOR PÚBLICO,_x000D_
Revisar y/o actualizar los controles
INFORMACIÓN – SERVIDOR PÚBLICO SIDEAP,_x000D_
E-SIN-FM-005-FORMATO DE ACUERDO DE
JURÍDICA - DASCD
,_x000D_
SEGURIDAD DIGITAL
SEGURIDAD DIGITAL,
Documentar en el manual de seguridad SIDEAP,_x000D_
digital, en los documentos "A-TIC-FM-011- E-SIN-FM-006-FORMATO ACUERDO DE
Acuer_confide_ contratista" y "A-TIC-FM- CONFIDENCIALIDAD Y NO DIVULGACIÓN DE
012-Acuer_confide_ servidores" se INFORMACIÓN – SERVIDOR PÚBLICO,_x000D_
evidencia que después de terminada la E-SIN-FM-010-FORMATO ACUERDO DE
relación labora, se obliga al funcionario a CONFIDENCIALIDAD Y NO DIVULGACIÓN DE
mantener la confidencialidad sobre la INFORMACIÓN – SERVIDOR PÚBLICO SIDEAP,_x000D_
información del DASCD E-SIN-FM-005-FORMATO DE ACUERDO DE
JURÍDICA - DASCD
,_x000D_
SEGURIDAD DIGITAL
Actualizar el manual de Seguridad Digital E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

documentando la periodicidad y SEGURIDAD DIGITAL,
responsables de la gestión de los activos MATRIZ DE CARACTERIZACIÓN DE ACTIVOS DE
de información INFORMACIÓN
Se debe crear un procedimiento para la E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
Gestión de Activos de Información, el cual SEGURIDAD DIGITAL,
es transversal y debe involucrar distintas MATRIZ DE CARACTERIZACIÓN DE ACTIVOS DE
dependencias e instancias de la entidad INFORMACIÓN
Revisar las condiciones de E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

implementación del dominio de
información de la política de gobierno
digital, según lo definido en el marco de
referencia de arquitectura TI del MINTIC
Mediante el proceso de gestión del

conocimiento, buscar documentar y
garantizar la transferencia del
conocimiento importante para la
operación.


- Definir en el manual de seguridad

digital, como para la seguridad de la
información es clave la correcta gestión
documental
- Implementar de manera formal la E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
gestión y seguridad de los documentos SEGURIDAD DIGITAL,
electrónicos MATRIZ DE CARACTERIZACIÓN DE ACTIVOS DE
- Documentar las retricciones de INFORMACIÓN
nombramiento, definiendo las longitudes
de nombres de archivo no afecten los
medios de alojamiento o procesos de
backup
Se deben implementar de manera formal
y continua el uso de controles
SEGURIDAD DIGITAL
criptográficos
Crear un instructivo para dar de baja los E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

medios de TI SEGURIDAD DIGITAL
Se debe elaborar el procedimiento o

instructivo de trasferencia de medios
fisicos.
E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE ACCESO
Documentar las acciones que se ejecutan
para proteger los medios con información
en transito
Revisar y/o actualizar el manual de SEGURIDAD DIGITAL,_x000D_
seguriad digital E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE ACCESO
Revisar y/o actualizar el manual de E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

seguriad digital E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE ACCESO
E-SIN-FM-001-FORMATO DE CONTROL DE REVISIONES

PERIÓDICAS – CONTROL DE ACCESO,_x000D_
E-SIN-FM-002-FORMATO SOLICITUD DE ACCESO A
Revisar y/o actualizar el manual de
USUARIOS,_x000D_
seguriad digital
ACCESO A LOS SERVICIOS TECNOLÓGICOS,_x000D_

USUARIOS,_x000D_
seguriad digital
USUARIOS,_x000D_
seguriad digital

USUARIOS,_x000D_
seguriad digital
E-SIN-MA-001-MANUAL DE LA ESTRATEGIA
E-SIN-PR-002-PROCEDIMIENTO DE CONTROLDEDE ACCESO
SEGURIDAD DIGITAL,
PERIÓDICAS – CONTROL DE ACCESO,
Revisar y/o actualizar el manual de E-SIN-FM-002-FORMATO SOLICITUD DE ACCESO A

seguriad digital USUARIOS,

ACCESO A LOS SERVICIOS TECNOLÓGICOS,

1. Incluir las condiciones con Gestión de
Talento humano de retiros temporales por E-SIN-FM-001-FORMATO DE CONTROL DE REVISIONES
incapacidades, licencias, vacaciones o
permisos. E-SIN-FM-002-FORMATO SOLICITUD DE ACCESO A
USUARIOS,_x000D_
2. Involucrar las políticas de backup de E-SIN-FM-003-FORMATO TABLA DE CONTROL DE
archivos, correo electrónico, limpieza de ACCESO A LOS SERVICIOS TECNOLÓGICOS,_x000D_
accesos directos y entrega a paz y salvo de E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE ACCESO
activos de información frente a retiros.
SEGURIDAD DIGITAL,
seguriad digital
USUARIOS,
SEGURIDAD DIGITAL,
seguriad digital
USUARIOS,
Definir los los procedimientos técnicos y/o

instructivos técnicos de configuración
para control de vulnerabilidades en
gestión de accesos a sistemas y
aplicaciones tales como: Gestión de
directorio activo, Gestión de Aplicaciones
web, Gestión de aplicativos de A-TIC-IN-004-INSTRUCTIVO CAMBIO DE CONTRASEÑA
configuración de equipos USUARIO FINAL,_x000D_
activos en red, Gestión de usuarios de E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
bases de datos, Gestión de accesos en SEGURIDAD DIGITAL
SGBD en desarrollo, pruebas, pre-
productivo y productivo, Gestión de
accesos a sistemas operativos de PC’s y de
Servidores, Gestión de acceso a carpetas
compartidas, Gestión de acceso a servicios
de telefonía IP.
A-TIC-IN-004-INSTRUCTIVO CAMBIO DE CONTRASEÑA

USUARIO FINAL,_x000D_
seguriad digital
A-TIC-IN-004-INSTRUCTIVO CAMBIO DE CONTRASEÑA

USUARIO FINAL,_x000D_
seguriad digital
A-TIC-PR-005-PROCEDIMIENTO CONSTRUCCIÓN Y
MANTENIMIENTO DE SOFTWARE /DYD,_x000D_
seguriad digital
- Establecer roles y responsabilidades por
la implementación de la política y la
gestión de llaves, incluida la generación de
llaves.
- Establecer las condiciones de protección
de contraseñas de acceso a sistemas y
demás servicios que requieran
autenticación.
- Definir las condiciones de transmisión
de información confidencial al interior de
la empresa y fuera de ella.
- Definir los controles criptograficos de los
servicios institucionales que recopilen
SEGURIDAD DIGITAL
información de terceros.
- Uso de criptografía en la mensajería
instantánea institucional.
- Firma digital de documentos y correos
electrónicos (cuando aplique).
- Definir políticas criptograficas para el
resguardo de información, cuando esta
información sea clasificada como
confidencial o reservada.
- Uso de criptografía en portátiles,
celulares y medios extraíbles.
Documentar el uso, protección y tiempo

de vida de las llaves criptográficas, E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
SEGURIDAD DIGITAL
durante su ciclo de vida.

seguriad digital SEGURIDAD DIGITAL









Definir y documentar las políticas para el

cambio o reuso de equipos por distintas E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
SEGURIDAD DIGITAL
personas en el DASCD


A-RFA-PR-001-PROCEDIMIENTO PARA LA GESTIÓN DE
Se debe revisar la pertinenecia y MANTENIMIENTO DE LOS
desarrollo de los siguientes instrumentos: RECURSOS FÍSICOS DEL DASCD,_x000D_
- Seguridad en el uso de equipos A-RFA-PR-004-PROCEDIMIENTO PARA LA
personales (BYOD) ADMINISTRACIÓN DE LA GESTIÓN AMBIENTAL EN EL
- Registro y seguimiento de eventos de DASCD,_x000D_
Sistemas de información y A-RFA-PR-005-PROCEDIMIENTO IDENTIFICACION DE
Comunicaciones ASPECTOS Y VALORACION DE IMPACTOS
- Creación y gestión de ambientes AMBIENTALES,_x000D_
- Administración de directorio activo. A-RFA-PR-007-PROCEDIMIENTO DE EGRESOS Y BAJAS DE
- Configuración de dispositivos firewall. ALMACEN ,_x000D_
- Configuración de dispositivos switchs. A-RFA-PR-008-PROCEDIMIENTO PARA LA TOMA DE
- Configuración de dispositivos router. INVENTARIO,_x000D_
- Configuración de dispositivos Access A-RFA-PR-009-PROCEDIMIENTO PARA LAS BUENAS
point. PRÁCTICAS DE ALMACENAMIENTO ,_x000D_
- Configuración de dispositivos teléfonos A-RFA-PR-010-PROCEDIMIENTO MANEJO DE HURTO O
IP. PERDIDA DE BIENES ,_x000D_
- Gestión de bases de datos. E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE
- Alistamiento de equipos PC. ACCESO ,_x000D_
- Alistamiento de servidores físicos y E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
virtualizados E INCIDENTES DE SEGURIDAD,_x000D_
- Administración de servicio VOIP. E-SIN-PR-004-PROCEDIMIENTO GESTIÓN DE RIESGOS DE
SEGURIDAD DIGITAL
Se debe poner en marcha el

procedimiento de gestión cambios y
A-TIC-PR-007 -PROCEDIMIENTO GESTIÓN DE CAMBIOS
realizar el seguimiento y documentación a
los cambios
A-TIC-CP-001-CARACTERIZACIÓN DEL PROCESO DE

GESTIÓN DE TIC´S,_x000D_
Construir un procedimiento o instructivo A-TIC-FM-007-MONITOREO PLATAFORMA TI,_x000D_
de registro, monitoreo y medición de A-TIC-PL-001-PLAN ESTRATÉGICO DE TECNOLOGÍA DE
capacidad y desempeño. INFORMACIÓN Y COMUNICACIONES - PETI,_x000D_
A-TIC-PR-004-PROCEDIMIENTO ADMINISTRACIÓN
PLATAFORMA TECNOLÓGICA
Crear un instructivo de creación y gestión E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

de ambientes SEGURIDAD DIGITAL
Actualizar el manual de Seguridad Digital
con el estado y despliegue de los
SEGURIDAD DIGITAL
controles asociados en el firewall

Crear un instructivo o procedimiento de A-TIC-FM-007-MONITOREO PLATAFORMA TI,_x000D_

registro y seguimiento de eventos de E-SIN-FM-008-FORMATO DE REGISTRO DE INCIDENTES
Sistemas de información y DE SEGURIDAD Y GESTIÓN DE INCIDENTES
Comunicaciones
Crear un instructivo o procedimiento de

registro y seguimiento de eventos de
Sistemas de información y E-SIN-PR-002-PROCEDIMIENTO DE CONTROL DE ACCESO
Comunicaciones
Crear un instructivo o procedimiento de

A-TIC-FM-007-MONITOREO PLATAFORMA TI,_x000D_
registro y seguimiento de eventos de
A-TIC-FM-009-FORMATO DE REGISTRO DE INGRESO AL
Sistemas de información y
CENTRO DE CÓMPUTO
Comunicaciones
Documentar en el manual de seguridad

digital y en un futuro documento de E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
registro y seguimiento de eventos, la SEGURIDAD DIGITAL
fuente y sincronización de los relojes
Crear un protocolo o instructivo de

pruebas de software nuevos a instalar E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
para determinar la correcta forma y SEGURIDAD DIGITAL
aprobación
Se debe definir un plan de trabajo con
responsables claros y tiempos para el
seguimiento de las vulnerabilidades
E-SIN-FM-012-FORMATO MATRIZ DE RIESGOS DE
técnica.
SEGURIDAD DIGITAL
Involucrar al comité de cambios en la
gestión de las vulnerabilidades técnicas
que lo ameriten.

Documentar en el Manual de Seguridad

Digital, las auditorías externas que se
SEGURIDAD DIGITAL
realizan.
Actualizar y o verificar en el Manual de

Seguridad Digital los siguientes temas:
- Controles de red para la gestión de la
seguridad en las comunicaciones
- Controles de red para interconexiones
mediante WLAN
- Controles de red para uso de equipos
móviles E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
corporativos y/o bajo la modalidad BYOD SEGURIDAD DIGITAL
y teletrabajo
- Controles para manejo de proveedores
de servicios de telecomunicaciones, redes
de datos y seguridad.
- Segregación de las redes
organizacionales
- Transferencia de información.
mediante WLAN
y teletrabajo
organizacionales

mediante WLAN
y teletrabajo
organizacionales

Seguridad Digital lo relacionado con la
SEGURIDAD DIGITAL
transferencia de información.
SEGURIDAD DIGITAL

SEGURIDAD DIGITAL
Definir en el Manual de Seguridad Digital

la periodicidad de revisión y actualización E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
SEGURIDAD DIGITAL
de los acuerdos de confidencialidad
Se deben documentar mas claramente los

requisitos de seguridad y de accesoa los
sistemas tanto desarrolados como
adquiridos, formalizar y complementar la
SEGURIDAD DIGITAL
política de desarrollo seguro, también
extendiendola a la adquisición de
software
En el Manual de Seguridad Digital,

documentar la serie de controles que se
vienen implementando, puesto que en E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
gran medida se realizan pero no es clara la SEGURIDAD DIGITAL
justificaión, periodicidad y
responsabilidades
Definir, formalizar y documentar el uso de

firmas electrónicas y/o digitales en el
SEGURIDAD DIGITAL
DASCD
SEGURIDAD DIGITAL
software
A-TIC-CP-001-CARACTERIZACIÓN DEL PROCESO DE

Formalizar los cambios en el A-TIC-PR-007 GESTIÓN DE TIC´S,_x000D_
PROCEDIMIENTO DE GESTIÓN DE A-TIC-PR-005-PROCEDIMIENTO CONSTRUCCIÓN Y
CAMBIOS MANTENIMIENTO DE SOFTWARE /DYD,_x000D_
A-TIC-PR-007 -PROCEDIMIENTO GESTIÓN DE CAMBIOS
Formalizar ls cambios en el A-TIC-PR-007 A-TIC-PR-005-PROCEDIMIENTO CONSTRUCCIÓN Y

PROCEDIMIENTO DE GESTIÓN DE MANTENIMIENTO DE SOFTWARE /DYD,_x000D_
CAMBIOS A-TIC-PR-007 -PROCEDIMIENTO GESTIÓN DE CAMBIOS
Formalizar ls cambios en el A-TIC-PR-007 A-TIC-PR-005-PROCEDIMIENTO CONSTRUCCIÓN Y

PROCEDIMIENTO DE GESTIÓN DE MANTENIMIENTO DE SOFTWARE /DYD,_x000D_
CAMBIOS A-TIC-PR-007 -PROCEDIMIENTO GESTIÓN DE CAMBIOS

requisitos de seguridad y de acceso a los
SEGURIDAD DIGITAL
software
Crear un instructivo de creación y gestión E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
de ambientes SEGURIDAD DIGITAL

requisitos de seguridad y de acceso a los
SEGURIDAD DIGITAL
software

adquiridos, formalizar y complementar la E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
SEGURIDAD DIGITAL
software
A-TIC-FM-013-FORMATO DE REQUERIMIENTOS
Articular los procedimientos A-TIC-PR-005
FUNCIONALES,_x000D_
CONSTRUCCION_Y_MANTENIMIENTO_DE
A-TIC-FM-014-FORMATO DE ACTA DE ENTREGA
_SOFTWARE y A-TIC-PR-007
DESARROLLOS FUNCIONALES,_x000D_
PROCEDIMIENTO DE GESTIÓN DE
A-TIC-PR-005-PROCEDIMIENTO CONSTRUCCIÓN Y
CAMBIOS
MANTENIMIENTO DE SOFTWARE /DYD

adquiridos, formalizar y complementar la SEGURIDAD DIGITAL
software
Actualizar el dominio en el manual de
seguridad digital, incluyendo los
siguientes ítems:
• Instrumentos ya existentes del proceso
de contratación que puedan requerir
algún ajuste.
• Gestión de cambios en relación con
terceros
• Matriz de ANS por terceros y políticas de
ANS
• Políticas de accesos temporales a
servicios TIC E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
• Gestión de riesgos y requisitos de SEGURIDAD DIGITAL
continuidad
extensivos a proveedores
• Acuerdos de confidencialidad
• Políticas de propiedad intelectual
• Criterios de aceptación de productos y
servicios
• Matrices de evaluaciones de requisitos
como insumon para estudios previos:
funcionales, técnicos, económicos, de
relación con el tercero: soporte y garantía
y reputacionales.
siguientes ítems:
algún ajuste.
terceros
ANS
continuidad
servicios
y reputacionales.
siguientes ítems:
algún ajuste.
terceros
ANS
continuidad
servicios
y reputacionales.
siguientes ítems:
algún ajuste.
terceros
ANS
continuidad
servicios
y reputacionales.
siguientes ítems:
algún ajuste.
terceros
ANS
continuidad
servicios
y reputacionales.
Revisar el dominio en el manual de

seguridad digital en lo relacionado con E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
responsables del monitoreo de incidentes
E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
y a que herramientas debe tener acceso E INCIDENTES DE SEGURIDAD
para hacer este monitoreo.

seguridad digital para establecer los
canales de comunicación confidenciales y SEGURIDAD DIGITAL,_x000D_
los protocolos a seguir para su análisis y E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
E INCIDENTES DE SEGURIDAD
acciones
seguridad digital para establecer los
canales de comunicación confidenciales y
los protocolos a seguir para su análisis y
acciones

seguridad digital en lo relacionado con
prioridades de atención con base en E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
riesgos y criticidad de los activos de SEGURIDAD DIGITAL,_x000D_
información, así como el posible uso de E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
una herramienta de registro y consulta de E INCIDENTES DE SEGURIDAD
acciones correctivas y lecciones
aprendidas.
Revisar y actualizar el procedimiento de SEGURIDAD DIGITAL,_x000D_
ser necesario E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
Revisar el dominio en el manual de E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

seguridad digital en lo relacionado con el
posible uso de una herramienta de E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
registro y consulta de acciones correctivas
y lecciones aprendidas.
Definir un protocolo con las técnicas a E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

utilizar para la recopilación de evidencia SEGURIDAD DIGITAL,_x000D_
para propósitos de acciones legales y E-SIN-PR-003-PROCEDIMIENTO DE GESTIÓN DE EVENTOS
disciplinarias E INCIDENTES DE SEGURIDAD
En el marco del Plan de Recuperación de
A-TIC-PL-002-PLAN DE RECUPERACIÓN DE DESASTRES DE
Desastres de TI, se deben crear protocolos
TI
para todos los servicios de TI

En el marco del Plan de Recuperación de
TI,
Desastres de TI, se deben crear protocolos
para todos los servicios de TI
Seguir plneando y ejecutando pruebas

sobre el Plan de Recuperación de
TI
Desastres
A-TIC-GI-002-GUÍA DE PLAN DE GENERACIÓN COPIAS DE

Se debe formalizar de manera detallada, SEGURIDAD DASCD,_x000D_
en un documento específico, la serie de A-TIC-PL-002-PLAN DE RECUPERACIÓN DE DESASTRES DE
controles y politicas de respaldo sobre la TI,_x000D_
infraestructura A-TIC-PR-004-PROCEDIMIENTO ADMINISTRACIÓN
PLATAFORMA TECNOLÓGICA
Mantener actualizado el normograma del A-JUR-FM-001-FORMATO MATRIZ DE CUMPLIMIENTO

Proceso LEGAL (NORMOGRAMA)
Definir un apartado especial en el Manual
de Seguridad Digital para el punto de
SEGURIDAD DIGITAL
instalación de software en la entidad
Mantener actualizada la Matriz de Activos E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE

de Información SEGURIDAD DIGITAL

Definir como documento aparte la política INFORMACIÓN ,_x000D_
de tratamiento de datos personales E-SIN-DE-002-POLÍTICA DE TRATAMIENTO DE DATOS
PERSONALES
C-CYS-FM-001-FORMATO DE PLAN ANUAL DE

AUDITORÍAS,_x000D_
C-CYS-FM-002-FORMATO DE PROGRAMA DE
Mantener la realización de las auditorias AUDITORÍAS,_x000D_
externas C-CYS-FM-004-FORMATO DE INFORME DE AUDITORÍA
INTERNA,_x000D_
C-CYS-PR-001-PROCEDIMIENTO ELABORACIÓN DEL PLAN
ANUAL DE AUDITORÍAS
Mantener actualizado y socializado el INFORMACIÓN ,_x000D_
manual de seguridad digital E-SIN-MA-001-MANUAL DE LA ESTRATEGIA DE
SEGURIDAD DIGITAL
C-CYS-FM-001-FORMATO DE PLAN ANUAL DE

AUDITORÍAS,_x000D_
C-CYS-FM-002-FORMATO DE PROGRAMA DE
Mantener la realización de las auditorias AUDITORÍAS,_x000D_
externas C-CYS-FM-004-FORMATO DE INFORME DE AUDITORÍA
INTERNA,_x000D_
C-CYS-PR-001-PROCEDIMIENTO ELABORACIÓN DEL PLAN
ANUAL DE AUDITORÍAS
Versión: 3.0
Responsables de la Aplica al
Estado preservación digital a
acción largo plazo
OTIC (Responsable MSPI) Se Cumple NO

OTIC (Responsable MSPI) Se Cumple SI


OTIC (Responsable MSPI)
Talento humano
Se Cumple NO
(responsable
vinculaciones)
OTIC (Responsable MSPI)

Talento humano
Se Cumple NO
(responsable
vinculaciones)


OTIC (Responsable MSPI,

Resposponsable Se Cumple NO
arquitectura TI)
OTIC (Responsable MSPI,

Resposponsable Se Cumple NO
arquitectura TI)
OTIC (Responsable MSPI) Cumplimiento Parcial SI

OTIC (Responsable: MSPI
Se Cumple NO
e Infraestructura TI)

e Infraestructura TI) Cumplimiento Parcial NO

Se Cumple NO



Se Cumple NO

OTIC (Responsable MSPI) Cumplimiento Parcial NO
OTIC (Responsable MSPI) No Aplica NO



Responsable
Se Cumple NO
Infraestructura TI
OTIC (Responsable MSPI y

Responsable Gestión de Cumplimiento Parcial NO
Cambios)
Responsable
Infraestructura TI Cumplimiento Parcial SI
Responsable
Se Cumple NO
Infraestructura TI
Responsable NO
Infraestructura TI Se Cumple
Responsable
Se Cumple NO
Infraestructura TI
Responsable
Se Cumple SI
Infraestructura TI
Responsable
Se Cumple NO
Infraestructura TI
Responsable
Se Cumple NO
Infraestructura TI
OTIC (Responsable MSPI e
Se Cumple NO
Infraestructura TI)
Responsable
Se Cumple NO
Infraestructura TI



OTIC (responsables de
Desarrollo de software y Se Cumple NO
gestión de cambios)

Responsable
Se Cumple NO
Infraestructura TI


OTIC (Responsable MSPI) No Se Cumple NO

Responsable
Se Cumple NO
Infraestructura TI
Responsable
Se Cumple NO
Infraestructura TI
Responsable
Se Cumple NO
Infraestructura TI
Responsable
Se Cumple NO
Infraestructura TI

No aplica NO
Control Interno Se Cumple NO


MACROPROCESO EST
PROCESO SEGURIDAD DE LA
LISTADO DE AMENZASAS DE SEGURID
Nombre Código Descripción Tipo
El fuego puede cuasar daños directos y severos a personas,

edificaciones o instalaciones, pero también se pueden
presentar daños indirectos con consecuencias catastroficas
especialmente para las tecnologías de la información. Daños
Fuego - Incendio AM01 indirectos como los causados por el agua o los químicos Daño físico
usados para combatir el fuego, el humo y los gases
producidos por la incineración de elementos, los cuales se
pueden diseminar por los conductos de ventildación y dañar
equipo electrónico sensible.
El agua puede afectar la integridad y disponibilidad de la

información almacenada en medios de almacenamiento de
datos analógicos y digitales. También la información en la
RAM de los sistemas de TI está en riesgo. Una admisión
incontrolada de agua en un edificio o en habitaciones puede
producirse por Interrupciones en el suministro de agua o
eliminación de aguas residuales, Sistema de calefacción
Daños por agua AM02 defectuoso, Sistemas de aire acondicionado defectuosos con Daño físico
suministro de agua, Sistemas de rociadores defectuosos,
Agua utilizada durante una operación de lucha contra
incendios y Sabotaje realizado abriendo grifos y bloqueando
desagües. Independientemente de cómo ingrese el agua en
el edificio o en las habitaciones, conlleva el riesgo de que las
instalaciones de suministro o los componentes de TI se
dañen y salgan de operación (un cortocircuito, daño
mecánico, óxido, etc.).
Es un accidente grave en el entorno como por ejemplo, un

incendio, una explosión, una liberación de sustancias
Desastre ambiental AM03 venenosas o una fuga de radiación peligrosa. Por lo tanto, el Daño físico
peligro no solo se debe al evento en sí, sino a menudo las
actividades que resultan de, por ejemplo, restricciones de
acceso y medidas de rescate.
Además de los electrónicos, los dispositivos de TI cuentan

Contaminación, polvo, con componentes mecanicos, los cuales se ven afectados con
corrosión o AM04 incluso pequeñas cantidades de contaminación, provocando Daño físico
congelamiento daños en los componentes de TI y en las instalaciones de
suministro. Como consecuencia, el procesamiento adecuado
de la información puede verse afectado.
Las condiciones climáticas desfavorables como el calor, las
heladas o la alta humedad pueden provocar una gran
variedad de daños, como el mal funcionamiento de los
componentes técnicos o daños en los medios de
Fenómenos climáticos y AM05 almacenamiento. Las fluctuaciones frecuentes de las Evento Natural
meteorológicos condiciones climáticas amplifican estos efectos. Las
condiciones climáticas desfavorables también pueden
conducir a una situación en la que las personas ya no son
capaces de trabajar o donde se lesionan o mueren.
Cambios naturales que tienen un impacto devastador en las

personas y las infraestructuras. Las causas de un desastre
natural pueden ser fenómenos sísmicos, climáticos o
volcánicos como terremotos, inundaciones, deslizamientos
Desastre natural AM06 de tierra, tsunamis, avalanchas y erupciones volcánicas. Evento Natural
Ejemplos de fenómenos meteorológicos extremos son
tormentas eléctricas, huracanes o ciclones. Dependiendo de
su ubicación, la institución está expuesta a estos riesgos
derivados de varios tipos de desastres naturales en mayor o
menor grado.
Los grandes eventos de todo tipo pueden impedir el

funcionamiento adecuado de un organismo público o una
empresa. Incluyen entre otras cosas festivales callejeros,
Obstaculización de la
conciertos, eventos deportivos, acción industrial o Compromiso de
disponibilidad del AM07
personal manifestaciones. Los disturbios relacionados con tales funciones
eventos pueden tener consecuencias adicionales, como la
intimidación de los empleados hasta el uso de la fuerza
contra el personal o el edificio.
A pesar de la alta seguridad del suministro en el sector
eléctrico, ocurren interrupciones en el suministro de energía
en nombre de los operadores de la red de distribución o las
compañías de suministro de energía. La mayoría de estas
interrupciones son tan cortas, con tiempos de menos de un
segundo. Pero las interrupciones de más de incluso 10 ms
son capaces de interrumpir la operación de TI. Sin embargo,
además de las interrupciones en las redes de suministro,
también los apagones causados por trabajos no anunciados o
daños en los cables debido a trabajos de ingeniería civil, Perdidad de
Perdida del suministro AM08 pueden provocar fallas de energía. Muchas instalaciones de servicios
de energía eléctrica infraestructura dependen de la energía eléctrica actual, escenciales
ascensores, dispositivos de aire acondicionado, sistemas de
alarma, puertas de seguridad, cierre automático de puertas,
sistemas de rociadores e incluso el suministro de agua en los
edificios depende de la energía debido a las bombas en los
pisos superiores requeridas para producir presión. Además
de las fallas, otras interrupciones de la fuente de
alimentación también pueden afectar la operación. Los picos
de voltaje pueden, por ejemplo, provocar un mal
funcionamiento o incluso daños en el equipo eléctrico.
Casi ninguna institución opera hoy sin proveedores de

servicios como subcontratistas o proveedores de servicios
externos. Si las unidades organizativas dependen de los
proveedores de servicios, su rendimiento puede verse
afectado debido a la ausencia de servicios externos. Una
interrupción parcial o total de un proveedor de servicios de
subcontratación o un subcontratista puede tener un efecto
considerable en la continuidad operativa, particularmente en
el caso de procesos comerciales críticos. Existen diferentes
Falla o interrupción de razones para tales interrupciones, por ejemplo, insolvencia,
terminación unilateral del contrato por parte del proveedor Compromiso de
los servicios de AM09
de servicios o subcontratista, problemas operativos debido a funciones
proveedores
fuerzas de la naturaleza o falta de personal, por ejemplo.
También pueden surgir problemas si los servicios prestados
por el proveedor de servicios no se corresponden con los
requisitos de calidad del contratista.
Además, debe tenerse en cuenta que los proveedores de
servicios también recurren con frecuencia a subcontratistas
para poner sus servicios a disposición del contratista. Las
interrupciones, defectos de calidad y fallas por parte de los
subcontratistas pueden conducir indirectamente a daños en
relación con el contratista.
Una falla o interrupción en el suministro de agua, puede
conducir a una situación en la que, entre otras cosas, las
personas ya no pueden trabajar en el edificio o en la Perdidad de
Falla en el suministro de
AM10 operación de TI y, por lo tanto, el procesamiento de la servicios
agua información se ve afectado. También puede coincidir con la escenciales
ocurrencia de un incendio y que los sistemas contraincendios
no funcionen
La falla de los sistemas de refrigeración, ventilación y/o aire

acondicionado, pueden generar temperaturas adversas tanto
Perdidad de
Falla del sistema de aire AM11 para personal y equipos, lo que puede ocasionar que las servicios
acondicionado personas ya no pueden trabajar en el edificio o en la escenciales
operación de TI o que los equipos operen en condiciones que
puedan producir daños en los mismos.
Las conexiones de comunicación tales como teléfono, fax,

correo electrónico u otros servicios que utilizan redes de área
local o amplia, son escenciales, si alguna de estas no están
disponibles durante un período de tiempo más largo, el
resultado puede ser, por ejemplo, que los procesos de
negocios no pueden continuar más porque la información
requerida no se puede recuperar, los usuarios ya no pueden
contactar a la institución para consultas, los pedidos no se
pueden encargar ni completar. Si las aplicaciones de tiempo Perdidad de
Falla de los equipos de AM12 crítico se ejecutan en sistemas de TI que están conectados a servicios
Telecomunicaciones través de redes de área amplia, las posibles pérdidas y daños escenciales
consecuentes debido a una falla de la red son
proporcionalmente altas si no hay alternativas disponibles
(por ejemplo, conexión a otra red de comunicaciones).
Pueden surgir problemas similares si las redes de
comunicaciones requeridas se alteran aunque no hayan
fallado por completo. Los enlaces de comunicación pueden
mostrar mayores tasas de error u otras deficiencias de
calidad.
Las tecnologías de la información consisten en componentes
electrónicos en gran medida. Aunque la tecnología de
transmisión óptica se usa cada vez más, las computadoras,
los elementos de acoplamiento de red y los sistemas de
almacenamiento, por ejemplo, generalmente contienen
muchos componentes electrónicos, los cuales debido a la
interferencia electromagnética, pueden verse afectados en
su funcionamiento o incluso dañados. Como consecuencia,
pueden ocurrir interrupciones, resultados de procesamiento
incorrectos o errores de comunicación, entre otras fallas. La
comunicación inalámbrica también puede verse afectada por
la radiación interferente. En este caso, una interrupción
suficientemente fuerte de las bandas de frecuencia utilizadas
es suficiente en ciertas circunstancias. Además, la
información que se guarda en los medios de almacenamiento Perturbación
Radiación AM13 de datos de ciertos tipos puede, cuando está bajo la debido a
electromagnética
influencia de radiación interferente, ser eliminada o radicación
distorsionada. Esto se refiere en particular a medios de
almacenamiento de datos sensibles magnéticamente (discos
duros, cintas magnéticas, etc.) y memoria de
semiconductores. También es posible dañar dichos medios
de almacenamiento de datos debido a la radiación
interferente. Existen muchas fuentes diferentes de campos
electromagnéticos o radiación, por ejemplo, redes
inalámbricas (como WLAN), Bluetooth, GSM, UMTS, etc.,
imanes permanentes y radiación cósmica. Además, cada
dispositivo eléctrico emite ondas electromagnéticas de
intensidad variable, que pueden propagarse entre otras a
través del aire y a lo largo de conductores metálicos (por
ejemplo, cables, conductos de aire acondicionado, tuberías
de calefacción, etc.)
Cada ser humano y cada aparato técnico tiene un rango de

temperatura, dentro del cual se garantiza el funcionamiento
normal o el funcionamiento adecuado. Siempre que la
temperatura ambiente exceda el límite inferior o superior de
este rango, puede causar ausencias del trabajo
(interrupciones), interrupciones operativas o fallas del Perturbación
dispositivo.
Radiación termica AM14 debido a
Por ejemplo, la energía eléctrica se convierte en calor en una
radicación
sala de servidores debido a los dispositivos en el interior y,
por lo tanto, calienta la sala. En casos de ventilación
insuficiente, se puede exceder la temperatura de
funcionamiento permisible de los dispositivos en el interior.
Bajo exposición solar, la temperatura en la habitación puede
alcanzar los 50 grados centígrados.
Un pulso electromagnético, también llamado a veces
perturbación electromagnética transitoria, es una breve
explosión de energía electromagnética. El origen de dicho
pulso puede ser un hecho natural o artificial y puede ocurrir
como un campo radiado, eléctrico o magnético o una
corriente eléctrica conducida, dependiendo de la fuente. La
Perturbación
Pulsos interferencia EMP es generalmente perjudicial o dañina para
AM15 debido a
electromagnéticos los equipos electrónicos, y a niveles de energía más altos, un radicación
evento EMP potente como un rayo puede dañar objetos
físicos como edificios y estructuras de aviones. La gestión de
los efectos EMP es una rama importante de la ingeniería de
compatibilidad electromagnética (EMC).
Se han desarrollado armas para ofrecer los efectos dañinos
del EMP de alta energía.
Los dispositivos eléctricos emiten ondas electromagnéticas.

En los casos de equipos que procesan información (por
ejemplo, computadoras, pantallas, elementos de
acoplamiento de red, impresoras), esta radiación también
puede transportar la información que se está procesando
actualmente. Dicha radiación portadora de información se
denomina emisiones de exposición o comprometedoras. Un
atacante, por ejemplo en una casa vecina o en un vehículo
estacionado en las proximidades, puede intentar interceptar
esta radiación y reconstruir la información procesada que se
transporta allí. La confidencialidad de la información se pone
así en tela de juicio. Un posible motivo para tal ataque es el
espionaje industrial.
Interceptación de Los valores límite de la Ley de compatibilidad Compromiso de
AM16
emisiones de exposición electromagnética de recursos (EMVG) generalmente no son Información
suficientes para evitar la intercepción de las emisiones
comprometedoras. Si no se puede aceptar este riesgo, se
deben tomar medidas de protección adicionales.
Las emisiones comprometedoras no se limitan a las ondas
electromagnéticas. A veces se puede recuperar información
útil de las ondas de sonido producidas por impresoras o
teclados, por ejemplo.
Además, debe tenerse en cuenta que las emisiones
comprometedoras pueden ser, en algunos casos, causadas o
amplificadas por la manipulación externa de los dispositivos.
Si un dispositivo está expuesto a la radiación con ondas
electromagnéticas, puede ocurrir que las ondas reflejadas
transporten información confidencial.
El espionaje se define como ataques dirigidos a recopilar,
evaluar y presentar información sobre empresas, personas,
productos u objetivo. La información presentada se puede
utilizar, por ejemplo, para proporcionar ciertas ventajas
competitivas a otra empresa, chantajear a las personas o
crear una copia de un producto.
Además de una variedad de ataques técnicamente
Interceptación de AM17 complejos, a menudo también hay métodos mucho más Compromiso de
información - Espionaje simples para obtener información valiosa, por ejemplo, al Información
reunir información de varias fuentes de acceso público, que
parece información inofensiva aisladamente, pero puede ser
comprometedora en otros contextos. Dado que los datos
confidenciales con frecuencia no están suficientemente
protegidos, esto a menudo puede ser interceptado por
medios visuales, acústicos o electrónicos.
Los ataques dirigidos a conexiones de comunicación,

conversaciones, fuentes de ruido de todo tipo o sistemas de
TI con el objetivo de recopilar información se conocen como
interceptciones tecnológicas. Va desde espionaje clandestino
y desapercibido en una conversación hasta ataques
complejos altamente especializados para interceptar señales
transmitidas por radio o líneas de transmisión,con la ayuda
Espionaje por de antenas o sensores. Particularmente crítico es la
Compromiso de
intereptaciones AM18 transmisión desprotegida de datos de autenticación en
tecnológicas protocolos de texto plano como HTTP, FTP o telnet, ya que Información
pueden analizarse fácilmente de forma automática debido a
la estructura clara de los datos. La decisión de espiar
información en alguna parte está determinada, en principio,
por la cuestión de si la información vale el esfuerzo técnico o
financiero respectivo y el riesgo de ser descubierta. La
respuesta a esta pregunta depende esencialmente de las
posibilidades e intereses individuales del atacante.
El robo de medios de almacenamiento de datos, sistemas de

TI, accesorios, software o datos, por un lado, genera costos
para el reemplazo y la restauración del estado operativo. Por
otro lado, hay pérdidas debido a la falta de disponibilidad. Si
se divulga información confidencial debido al robo, esto
Robo de medios, puede ocasionar daños adicionales. Además de los servidores Compromiso de
AM19
equipos o documentos. y otros costosos sistemas de TI, también se roban con Información
frecuencia los sistemas de TI móviles, que se transportan de
manera discreta y fácil. Sin embargo, también hay casos en
los que los medios de almacenamiento de datos como
documentos o memorias USB fueron robados a propósito
para acceder a la información confidencial almacenada allí.
Hay una variedad de causas que pueden conducir a la
pérdida de equipos, medios de almacenamiento de datos o
documentos. Directamente, la disponibilidad es una
preocupación. Pero también puede significar que la
información confidencial cae en manos equivocadas si los
medios de almacenamiento de datos no se han cifrado por
completo. El reemplazo de equipos o medios de
almacenamiento de datos incurre en costos, pero también si
Perdidad de medios, AM20 emergen nuevamente, se puede divulgar información o Compromiso de
equipos o documentos. pueden residir en ellos programas no deseados. Información
El equipo de terminal móvil y los medios de almacenamiento
de datos móviles pueden perderse particularmente
fácilmente. Hoy, en pequeñas tarjetas de memoria, se
pueden almacenar cantidades gigantescas de datos. Sin
embargo, también sucede una y otra vez que los documentos
impresos se dejan inadvertidamente en algún lugar, por
ejemplo en restaurantes o en transporte público.
Al momento de descartar equipos o medios, se deben tomar

la medidas que impidan que de la manipulación de estos
Recuperación de
elementos, se pueda reconstruir o acceder a información Compromiso de
información de medios AM21
reciclados o descartados confidencial. De los dispositivos y medios de Información
almacenamiento puede recuperar información con tecnicas y
equipos espcializados.
Si los procesos organizativos que sirven al procesamiento de

información directo o indirecto no están diseñados
adecuadamente, puede provocar problemas de seguridad.
Aunque cada paso del proceso se lleva a cabo
correctamente, el daño a menudo ocurre porque los
procesos se definen de manera incorrecta.
Otra posible razón para los problemas de seguridad es la
dependencia de otros procesos que no tienen ninguna
relación aparente con el procesamiento de la información.
Tales dependencias pueden ser fácilmente ignoradas durante
la planificación y desencadenar impedimentos durante la
Mala planeación o falta operación. Compromiso de
AM22
de adaptación Además, pueden surgir problemas de seguridad cuando las funciones
tareas, roles o responsabilidades no están claramente
asignados. Esto puede causar, entre otras cosas, retrasar los
procesos, descuidar los procedimientos de seguridad o
ignorar las regulaciones.
Un peligro surge cuando los equipos, productos,
procedimientos u otros medios para la implementación del
procesamiento de la información no se implementan
adecuadamente. La elección de productos inadecuados o
puntos débiles en la arquitectura de la aplicación o en el
diseño de la red, por ejemplo, puede generar problemas de
seguridad.
Los datos e información confidenciales solo deben ser
accesibles para las personas que tienen derecho a recibir
dicha información. Además de la integridad y la
disponibilidad, la confidencialidad pertenece a los
Divulgación de AM23 parámetros básicos de seguridad de la información. Para la Compromiso de
información confidencial información confidencial (como contraseñas, datos Información
personales, secretos comerciales o oficiales, datos de
desarrollo) existe el peligro inherente de que estos sean
revelados por fallas técnicas, descuidos o también por
acciones deliberadas.
Si se utiliza información, software o equipos que provienen

de fuentes poco confiables o cuyo origen y corrección no se
verificaron suficientemente, su implementación puede
presentar riesgos elevados. Puede llevar a que la información
Datos de fuentes no Compromiso de
AM24 relevante del negocio descanse en la base de datos
confiables incorrecta, los cálculos que proporcionen resultados Información
incorrectos o se tomen decisiones incorrectas, entre otras
cosas. Además, la integridad y la disponibilidad de los
sistemas de TI pueden verse afectados por ello.
La manipulación se define como cualquier forma de

intervención dirigida pero secreta con el objetivo de cambiar
objetivo de todo tipo de una manera inadvertida. La
manipulación de hardware o software se puede realizar,
entre otras situaciones, cuando está influenciado por el
deseo de venganza, para generar daño deliberadamente,
para obtener ventajas o ganancias personales. Puede
centrarse en todo tipo de dispositivos, accesorios, medios de
almacenamiento de datos (por ejemplo, DVD, memorias
USB), aplicaciones y bases de datos o similares.
Manipulación de AM25 La manipulación de hardware y software no siempre conduce Compromiso de
hardware o software a una pérdida directa. Sin embargo, si dicha información Información
procesada se ve afectada, esto puede conducir a todo tipo de
implicaciones de seguridad (pérdida de confidencialidad,
integridad o disponibilidad). De este modo, las
manipulaciones pueden ser más efectivas cuanto más tarde
se descubran, más amplio es el conocimiento que tienen los
perpetradores y cuán más profundos serán los efectos en un
proceso de trabajo. Los efectos van desde la inspección no
autorizada de datos confidenciales hasta la destrucción de
medios de almacenamiento de datos o TI
La información puede ser manipulada de varias maneras,
mediante el registro incorrecto o intencionalmente falso de
datos, cualquier cambio en el contenido de los campos de la
base de datos o por correspondencia. En principio, esto no
solo concierne a la información digital, sino también a los
documentos en papel. Sin embargo, un perpetrador solo
puede manipular la información a la que tiene acceso.
Cuantos más derechos de acceso a los archivos y directorios
de los sistemas informáticos tenga una persona o más
posibilidades de acceder a la información que tiene, más
manipulaciones significativas puede realizar. Si las
Manipulación de AM26 manipulaciones no se detectan temprano, el progreso suave Compromiso de
información de los procesos comerciales y las tareas profesionales puede Información
verse seriamente interrumpido.
Los documentos archivados generalmente contienen
información confidencial. La manipulación de dichos
documentos es particularmente grave porque, bajo ciertas
circunstancias, pueden pasar años antes de que se note la
manipulación y la verificación ya no será posible.
La manipulación de la información se puede realizar cuando
está influenciado por el deseo de venganza, para generar
daño deliberadamente u obtener ventajas personales o
enriquecimiento, entre otras razones.
Cuando un atacante consigue hacerse pasar por un usuario

autorizado, disfruta de los privilegios de este para sus fines
Acceso no autorizado a Acciones no
AM27 propios. Esta amenaza puede ser perpetrada por personal
sistemas informáticos interno, por personas ajenas a la Organización o por personal autorizadas
contratado temporalmente.
Los perpetradores externos y también internos pueden, por

diferentes razones (venganza, malicia, frustración), intentar
destruir equipos, accesorios, documentos y otros medios de
almacenamiento de datos (por ejemplo, DVD, memorias
USB) o medios similares. La destrucción de los medios de
almacenamiento de datos o los sistemas de TI puede dar
Destrucción de lugar a tiempos de inactividad Significativos para los procesos
Acciones no
dispositivos o medios de AM28 empresariales.
autorizadas
almacenamiento Debido a negligencia, uso indebido y también por manejo no
capacitado, puede ocurrir la destrucción de dispositivos y
medios de almacenamiento de datos, lo que perjudica
seriamente el funcionamiento de los sistemas de TI.
También existe el riesgo de que, junto con la destrucción, se
pierda información importante, que no se puede reconstruir
en absoluto o solo con gran esfuerzo.
La falla de un solo componente de un sistema de TI puede
conducir a una falla de toda la operación de TI y, por lo tanto,
a la falla de los procesos críticos. En particular, los
componentes clave de un sistema de TI, por ejemplo,
Falla de dispositivos o
AM29 servidores y elementos de acoplamiento de red, pueden Falla técnica
sistemas causar tales fallas. Si las aplicaciones de tiempo crítico se
ejecutan en un sistema de TI sin ninguna alternativa, los
daños consecuentes después de una interrupción del sistema
son respectivamente altos.
Los dispositivos y sistemas que sirven para el procesamiento

de información, hoy en día a menudo tienen muchas
funciones y, por lo tanto, tienen un diseño en consecuencia
complejo. Esto se aplica generalmente a los componentes de
hardware y software. Debido a esta complejidad, hay muchas
fuentes diferentes de error en dichos componentes. Como
consecuencia, sucede que los dispositivos y sistemas no
funcionan como estaban destinados y esto genera problemas
de seguridad.
Hay muchas causas de mal funcionamiento, como fatiga del
Mal funcionamiento de material, tolerancias de fabricación, debilidades de diseño,
AM30 Falla técnica
dispositivos o sistemas límites excedidos, condiciones de uso no deseadas o falta de
mantenimiento, por ejemplo. Como no hay dispositivos y
sistemas perfectos, siempre se debe aceptar alguna
probabilidad residual de mal funcionamiento.
Un mal funcionamiento de un dispositivo o sistema puede
afectar todos los parámetros básicos de seguridad de la
información (confidencialidad, integridad, disponibilidad).
Además, el mal funcionamiento puede pasar desapercibido
bajo ciertas circunstancias por un período más largo. Por lo
tanto, puede suceder que, por ejemplo, los resultados de los
cálculos sean falsos y no se corrijan a tiempo.
Si los recursos disponibles en un área dada son insuficientes,
pueden ocurrir cuellos de botella en el suministro atendido
por estos recursos o incluso congestión y fallas. Dependiendo
del tipo de recursos en cuestión, incluso un pequeño evento
que se predijo que podría suceder, al final puede afectar una
gran cantidad de procesos misionales. La falta de recursos
puede ocurrir en las operaciones y comunicaciones de TI,
pero también en otras áreas de una institución. Esto puede
conducir a una variedad de efectos negativos si para ciertas
tareas, se dispone de personal, tiempo y recursos financieros
Compromiso de
Falta de recursos AM31 insuficientes. Puede suceder, por ejemplo, que los roles
necesarios en los proyectos no estén llenos de personas funciones
calificadas. Si los recursos como el hardware o el software no
cumplen suficientemente con los requisitos, en
determinadas circunstancias, las tareas técnicas no se
pueden procesar con éxito.
Sin embargo, la escasez de personal, de tiempo, financiera,
técnica y de otro tipo en la operación normal a menudo se
puede compensar por un período limitado. Sin embargo,
bajo una presión de tiempo extrema, por ejemplo en
situaciones de emergencia, se vuelven aún más obvias.
Si la información, los procesos misionales y los sistemas de TI

de una institución no están suficientemente protegidos (por
ejemplo, por una gestión de seguridad inadecuada), esto
puede conducir a violaciones de las leyes relacionadas con el
Violación de leyes o procesamiento de información o de los contratos existentes. Compromiso de
AM32
regulaciones Las leyes que deben observarse allí dependen del tipo de funciones
institución y de sus procesos y servicios. Dependiendo de
dónde se encuentren los sitios de una institución, también es
posible que se tengan que observar una serie de
regulaciones nacionales.
El uso incorrecto o inadecuado de dispositivos, sistemas y
aplicaciones puede afectar su seguridad, especialmente
cuando se ignoran o se eluden las medidas de seguridad
existentes. Esto a menudo conduce a interrupciones o fallas.
Dependiendo de qué tipos de dispositivos o sistemas se usan
de manera incorrecta, también se puede violar la
confidencialidad y la integridad de la información.
Un caso especial particularmente prominente de uso
indebido es la administración inadecuada. Los errores en la
instalación, configuración, servicio y mantenimiento de
componentes de hardware o software pueden provocar
daños graves.
Erro de uso, uso o Por ejemplo, los derechos de acceso demasiado generosos,
administración AM33 las contraseñas fáciles de adivinar, los medios de Compromiso de
incorrectos de almacenamiento de datos protegidos inadecuadamente que funciones
dispositivos y sistemas contienen copias de seguridad o terminales que no se
bloquean durante una ausencia temporal pueden provocar
incidentes de seguridad.
Del mismo modo, los datos también se pueden eliminar o
cambiar accidentalmente debido al uso incorrecto de los
sistemas o aplicaciones de TI. Por lo tanto, la información
confidencial puede estar disponible al público si, por
ejemplo, los permisos se configuran incorrectamente.
Si los cables de alimentación o de red se colocan sin
protección, pueden dañarse inadvertidamente, lo que puede
provocar una interrupción. Se puede desconectar una
conexión de cable cuando el personal o los visitantes
tropiezan con ella.
Dependiendo de sus roles y tareas, a las personas se les

otorgan los derechos de entrada, admisión y acceso
correspondientes. De esta forma, el acceso a la información
se controla y supervisa, por un lado, y, por otro lado, las
personas pueden realizar ciertas tareas. Por ejemplo, los
individuos o grupos necesitan permisos específicos para usar
aplicaciones o editar información.
Se produce un mal uso de los privilegios cuando los permisos
Abuso de derechos o obtenidos de manera intencional, legal o ilegal, se usan fuera Compromiso de
AM34
autorizaciones del alcance del uso previsto. Por lo tanto, el objetivo es funciones
obtener beneficios personales o dañar a una persona o
institución específica.
En muchos casos, debido a razones históricas, relacionadas
con el sistema u otras, las personas tienen derechos de
entrada, admisión y acceso más altos o más completos de lo
que necesitan para realizar sus actividades. Estos derechos
pueden ser mal utilizados para ataques bajo ciertas
circunstancias.
Un ataque puede constituir una amenaza para una
institución, ciertas áreas de la institución o individuos. Las
posibilidades técnicas para perpetrar un ataque son
numerosas: lanzamiento de ladrillos, explosiones con
explosivos, uso de armas de fuego o incendio provocado. Si
una institución está expuesta al peligro de un ataque y en
qué medida depende no solo de la ubicación y el entorno del
edificio, sino también de las actividades de la institución y del
clima sociopolítico. Las empresas y organismos públicos que
operan en áreas políticamente controvertidas están más en
riesgo que otros. Las instituciones cercanas a las áreas de
demostración habituales están en mayor riesgo que aquellas
en ubicaciones remotas. Para evaluar el nivel de amenaza o
Ataque AM35 al sospechar la amenaza de ataques políticamente Acciones no
motivados, se puede consultar a las autoridades de autorizadas
investigación criminal.
En el caso de los archivos, la evaluación de amenazas debe
tener en cuenta una circunstancia especial: almacenan una
gran cantidad de documentos y datos en un espacio
relativamente pequeño. Esto puede ser, por ejemplo,
registros médicos, contratos, escrituras o testamentos. Su
destrucción puede tener implicaciones de largo alcance, no
solo para el archivo, sino también para otros usuarios. Por
ejemplo, puede ser necesario en tal caso, que los datos
perdidos se deben volver a recopilar o volver a registrar con
gran esfuerzo. En ciertas circunstancias, algunos datos
incluso se perderán irrevocablemente.
La coerción, la extorsión o la corrupción pueden afectar la

seguridad de la información y los procesos de la entidad.
Usando amenazas de violencia u otros perjuicios, un
atacante puede, por ejemplo, tratar de hacer que la víctima
no tenga en cuenta las pautas de seguridad o eludir las
medidas de seguridad (coerción).
En lugar de amenazar, los atacantes también pueden ofrecer
a propósito dinero de los empleados u otras personas u otros
beneficios para convertirlos en un instrumento para las
violaciones de seguridad (corrupción). Por ejemplo, existe el
Coerción, Extorsión o AM36 riesgo de que un empleado corrupto envíe documentos Compromiso de
Corrupción confidenciales a personas no autorizadas. funciones
En principio, por coerción o corrupción, todos los parámetros
básicos de seguridad de la información pueden verse
afectados. Los ataques pueden estar dirigidos, entre otras
cosas, a enviar información confidencial a personas no
autorizadas, manipular información crítica del negocio o
interrumpir la ejecución sin problemas de los procesos
comerciales.
Existe un peligro particular si tales ataques están dirigidos
contra ejecutivos de alto perfil o personas en puestos
especiales de confianza.
En el caso de robo de identidad, un atacante asume una
identidad falsa, aprovecha la información sobre otra persona
para actuar en su nombre. Aquí, los datos como la fecha de
nacimiento, dirección, tarjeta de crédito o números de
cuenta bancaria se utilizan para, por ejemplo, acceder a un
proveedor de Internet o obtener beneficios financieros de
otras maneras. El robo de identidad a menudo conduce
directa o indirectamente al daño de la reputación, pero
Robo de identidad AM37 también dilucidar las causas y prevenir las consecuencias Compromiso de
negativas para los afectados es costoso. Algunas formas de Información
fraude de identidad también se conocen como disfraces.
El robo de identidad ocurre con mayor frecuencia cuando la
verificación de identidad se maneja de manera descuidada,
especialmente si los servicios caros se basan en ella.
Una persona que ha sido engañada con respecto a la
identidad de su compañero de comunicación puede ser
fácilmente persuadida para que revele información
confidencial.
Las personas pueden negar, por diversas razones, haber

cometido ciertos actos, por ejemplo, porque estos actos
violan instrucciones, pautas de seguridad o incluso leyes.
Pero también podrían negar haber recibido una notificación,
por ejemplo, porque han olvidado una fecha límite o una
cita. El campo de la seguridad de la información se centra en
la responsabilidad, una propiedad predestinada para
garantizar que los actos cometidos no se puedan negar sin
justificación. En general, el término no repudio se usa aquí.
En una comunicación hay una distinción adicional, si un
Compromiso de
Repudio de acciones AM38 participante de la comunicación niega la recepción de
funciones
mensajes (Repudio de recibo) o el envío de mensajes
(Repudio de origen). Rechazar la recepción de mensajes
puede ser relevante para, entre otras cosas, transacciones
financieras cuando alguien niega haber recibido una factura
en la fecha de vencimiento. Del mismo modo, puede suceder
que un participante de comunicación niegue el envío de
mensajes, e. sol. niega haber emitido una orden de compra.
Los mensajes que envían o reciben correo pueden ser
repudiados en el caso de mensajes posteriores, así como de
fax o correo electrónico.
El software malicioso es un software desarrollado con el
objetivo de realizar operaciones no deseadas y a menudo
perjudiciales. Los tipos típicos de software malicioso incluyen
virus, gusanos, troyanos y malware. El software malicioso
generalmente actúa de manera secreta sin el conocimiento o
consentimiento del usuario.
Hoy en día, el software malicioso ofrece a un atacante
Distribuión de software AM39 posibilidades integrales de comunicación y control, y pone a Compromiso de
malicioso disposición una variedad de funciones. Entre otras cosas, el funciones
software malicioso puede revelar a propósito contraseñas,
sistemas de control remoto, desactivar el software de
protección de datos y espiar datos.
El daño más significativo aquí es la pérdida o corrupción de
información o aplicaciones. Pero también la pérdida de
reputación y daños financieros, causados por software
malicioso, son de gran importancia.
Hay una variedad de diferentes formas de ataque, todas con

el objetivo de interrumpir el uso previsto de ciertos servicios,
funciones o dispositivos. El término genérico para tales
ataques es "Denegación de servicio". A menudo se usa el
término "ataque DoS".
Tales ataques pueden provenir, entre otros, de empleados o
clientes descontentos, pero también de competidores,
extorsionistas o perpetradores con motivaciones políticas. El
objetivo de los ataques puede ser valores relevantes para la
empresa de cualquier tipo. Las formas típicas de ataques DoS
son:
–Interrupciones de los procesos comerciales, por ejemplo, al
Ataque de denegación
AM40 inundar el procesamiento de pedidos con pedidos Falla técnica
de servicios
incorrectos,
–Daño a la infraestructura, por ejemplo bloqueando las
puertas de la institución,
–Provocando fallas de TI por e. sol. servicios de sobrecarga
intencionados de un servidor en la red.
Este tipo de ataque a menudo se asocia con recursos
distribuidos, el atacante genera una demanda tan alta de
estos recursos que ya no están disponibles para los usuarios
reales. En los ataques basados en TI, los siguientes recursos
pueden hacerse artificialmente escasos: procesos, tiempo de
CPU, memoria, espacio en disco y capacidad de
transferencia.
El sabotaje es la manipulación o daño deliberado de objetos
o procesos con el objetivo de infligir daño a la víctima
actuando de esta manera. Los objetivos particularmente
atractivos pueden ser los centros de datos y las conexiones
de comunicación de organismos públicos o empresas, ya que
se puede lograr un gran efecto con relativamente pocos
recursos.
La compleja infraestructura de un centro de computadoras
puede verse afectada por la manipulación selectiva, cuando Compromiso de
Sabotaje AM41
posiblemente los perpetradores externos, pero también funciones
principalmente los intrusos del interior, influyan activamente
en componentes importantes para provocar interrupciones
operativas. A este respecto, los sistemas de construcción
técnica y la infraestructura de comunicación
insuficientemente protegidos, así como los puntos centrales
de suministro, están particularmente amenazados si no se
observan en términos organizativos y técnicos y los externos
pueden acceder fácilmente sin que se noten.
La ingeniería social es un método para obtener acceso no

autorizado a información o sistemas de TI a través de la
acción social. En la ingeniería social se aprovechan las
cualidades humanas de tales como la amabilidad, confianza,
miedo o respeto por la autoridad. Como resultado, los
empleados pueden ser manipulados para que actúen de
manera inadmisible. Otra estrategia para la ingeniería social
sistemática es desarrollar una relación más larga con la
víctima. Sin importancia, pero numerosas llamadas
telefónicas por adelantado sirven al atacante para obtener Compromiso de
Ingeniería Social AM42
conocimiento y aumentar la confianza de que puede funciones
utilizarlo más adelante.
Dichos ataques también pueden ser ataques de etapas
múltiples, donde en pasos posteriores se utilizan
conocimientos y técnicas que se han adquirido en las etapas
anteriores.
Muchos usuarios saben que no deben revelar sus
contraseñas a nadie. Los ingenieros sociales lo saben y, por lo
tanto, deben alcanzar el objetivo deseado utilizando otras
formas.
ACROPROCESO ESTRATEGICO Código: E-SIN-FM-012
O SEGURIDAD DE LA INFORMACIÓN Versión: 3.0
NZASAS DE SEGURIDAD DE LA INFORMACIÓN
Orígen Riesgo asociado
Deliberado Accidental Ambiental Confidencialidad Integridad
X X X X
X X X X
X X X
X X X X
X
X X
X X X X
X X X X
X X
X X
X X X
X X X X
X X X
X X X X
X X
X X
X X
X X
X X
X X
X X X X
X X X
X X X X
X X X X
X X
X X X
X X
X
X X X
X X
X X X
X X X X
X X X X
X X X
X X X
X X X
X X X
X X X
X X
X
X X X
go: E-SIN-FM-012
ión: 3.0
ncia: Octubre de 2021
ociado
Disponibilidad
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
MACROPROCESO ESTRATEGICO Código: E-SIN-FM-012
PROCESO SEGURIDAD DE LA INFORMACIÓN Versión: 3.0
LISTADO DE VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN
Vulnerabilidad Código Tipo de Activo
Arquitectura de red insegura VL02 Componente de Red
Colocación o instalación de cables eléctricos sin protección VL06 Componente de Red
Conexiones de red pública sin protección VL07 Componente de Red
Falta de control en datos de entrada y salida y emisor y receptor VL15 Componente de Red
Inadecuada gestión de redes VL28 Componente de Red
Mala gestión de contraseñas VL37 Componente de Red
Punto único de fallas VL43 Componente de Red
Redes accesibles a personas no autorizadas VL44 Componente de Red
Sobredependencia en un dispositivo o sistema VL50 Componente de Red
Trafico sensible desprotegido VL58 Componente de Red
Almacenamiento desprotegido VL01 Hardware
Falta de cuidado en la disposición VL17 Hardware
Falta de esquemas de reemplazo periódico VL20 Hardware
Inadecuado control de cambios VL32 Hardware
Mantenimiento inadecuado o instalación defectuosa de medios de almacenamiento VL38 Hardware
Sistemas desprotegidos ante acceso no autorizado VL49 Hardware
Susceptibilidad del equipamiento a alteraciones en el voltaje VL53 Hardware
Susceptibilidad del equipamiento a la humedad, contaminación, polvo, corrosión o congelamiento VL54 Hardware
Susceptibilidad del equipamiento a la temperatura VL55 Hardware
Susceptibilidad del equipamiento a la radiación electromagnética VL56 Hardware
Uso de equipamiento obsoleto VL62 Hardware
Copiado sin control VL09 Información
Nivel de confidencialidad no definido con claridad VL39 Información
Reglas para control de acceso no definidos con claridad VL46 Información
Única copia, sólo una copia de la información VL61 Información
Acceso no restringido a instalaciones VL03 Información
Falta de protección física del edificio, puertas y ventanas. VL25 Instalaciones
Ubicación susceptible a desastres naturales VL59 Instalaciones
Ubicación susceptible a pérdidas de agua VL60 Instalaciones
Falta de auditorías regulares (supervisión) VL14 Organizacional
Falta de informes de fallas registradas en los registros de administrador y operador VL18 Organizacional
Falta de procedimientos de identificación y evaluación de riesgos VL23 Organizacional
Falta de un proceso formal para la autorización de la información pública disponible. VL24 Organizacional
Falta o disposiciones insuficientes (relativas a la seguridad) en los contratos con clientes y / o terceros VL27 Organizacional
Acceso no restringido a instalaciones VL03 Persona
Ausencia de personal VL04 Persona
Empleados desmotivados o inconformes VL13 Persona
Falta de un proceso formal para la revisión del derecho de acceso (supervisión) VL19 Persona
Falta de mecanismos de monitoreo VL22 Persona
Inadecuada supervisión de proveedores externos VL30 Persona
Inadecuada supervisión del trabajo de los empleados VL31 Persona
Inadecuado nivel de conocimiento y/o concienciación de empleados VL33 Persona
Procedimientos inadecuados de reclutamiento VL42 Persona
Reglas organizacionales no definidas con claridad VL45 Persona
Bases de datos con protección desactualizada contra códigos maliciosos VL05 Software
Contraseñas inseguras VL08 Software
Defectos bien conocidos en el software VL10 Software
Descarga y uso incontrolado de software VL11 Software
Eliminación de soportes de almacenamiento sin borrado de datos VL12 Software
Falta de copias de respaldo VL16 Software
Falta de mecanismos de identificación y autenticación VL21 Software
Falta de separación de entornos de prueba y operativos VL26 Software
Inadecuada o falta de implementación de auditoría interna VL29 Software
Inadecuado control de cambios VL32 Software
Inadecuados derechos de usuario VL34 Software
Incorrecta configuración de parámetros VL35 Software
Interfaz de usuario complicada VL36 Software
Mala gestión de contraseñas VL37 Software
Nulo o insuficiente protocolo de prueba de software VL40 Software
Poderes de gran alcance VL41 Software
Requisitos para desarrollo de software no definidos con claridad VL47 Software
Sesiones activas después del horario laboral o al dejar la estación de trabajo VL48 Software
Software inmaduro o nuevo VL51 Software
Software no documentado VL52 Software
Tablas de contraseña desprotegidas VL57 Software
Uso no controlado de sistemas de información VL63 Software
Instrumento en el que se desarrolla
Manual de la Estrategia de Seguridad Digital

Manual de la Estrategia de Seguridad Digital
Gestión de riesgos
Política de Desarrollo Seguro
Procedimiento de gestión de incidentes de

seguridad
Procedimiento de gestión de incidentes de
seguridad
Procedimiento Control de Accesos
Gestión de activos de información
Varios GESTION TIC

LISTADO DE INSTRUMENTOS PENDIENTES EN EL PROCESO DE SEGURIDAD DE LA IN
Acciones por realizar o Instrumentos por desarrollar
Definir en el la periodicidad de la actualización de ese mismo documento y de las políticas (Seguridad y Tratamiento de Da
Documentar en el manual de seguridad digital los niveles de autorización que se plasman en la Matriz de Caracterización d
información
Mayor detalle en el manual de seguridad digital, de las configuraciones de la red que se adelantan para afianzar los contro
arquitectura de red del DASCD
Definir en el manual de seguridad digital, los canales de comunicación y colaboración con el CSIRT de gobierno
Complementar el Manual con los directorios de contactos y grupos de interés.
Construir e implementar una metodología de Gestión de proyectos, que incluya las siguientes condiciones de seguridad:
• Si hay activos críticos involucrados en el proyecto
• Si hay información o datos confidenciales que puedan acceder terceros
• Riesgos de seguridad asociados al proyecto
• Condiciones de propiedad intelectual
• Responsabilidad por incidentes de seguridad de terceros.
• En caso de proyectos de adquisición o desarrollo de sistemas de información establecer formalmente los criterios de ace
de seguridad
• Se debe integrar mas la gestión de riesgos de SI en la metodología de gestión de proyectos, definiendolo en el manual de
Definir e implementar controles técnicos que permitan:

- El uso de criptografía para la protección de la información institucional en dispositivos móviles
- La independencia entre el uso personal e instictucional de los dispositivos móviles
- Establecer roles y responsabilidades por la implementación de la política y la gestión de llaves, incluida la generación de
- Establecer las condiciones de protección de contraseñas de acceso a sistemas y demás servicios que requieran autentica
- Definir las condiciones de transmisión de información confidencial al interior de la empresa y fuera de ella.
- Definir los controles criptograficos de los servicios institucionales que recopilen información de terceros.
- Uso de criptografía en la mensajería instantánea institucional.
- Firma digital de documentos y correos electrónicos (cuando aplique).
- Definir políticas criptograficas para el resguardo de información, cuando esta información sea clasificada como confidenc
- Uso de criptografía en portátiles, celulares y medios extraíbles.
- Documentar en el manual de seguridad digital, los controles establecidos para el trabajo en casa en el marco de la pande
- Incluir los Controles de red para uso de equipos móviles corporativos y/o bajo la modalidad BYOD y teletrabajo.
Documentar en el manual de seguridad digital que en los documentos "A-TIC-FM-011-Acuer_confide_ contratista" y "A-TIC
Acuer_confide_ servidores" se evidencia que después de terminada la relación labora, se obliga al funcionario a mantener
sobre la información del DASCD
Actualizar el manual de Seguridad Digital documentando la periodicidad y responsables de la gestión de los activos de info
- Definir en el manual de seguridad digital, como para la seguridad de la información es clave la correcta gestión documen
- Implementar de manera formal la gestión y seguridad de los documentos electrónicos
- Documentar las retricciones de nombramiento, definiendo las longitudes de nombres de archivo no afecten los medios d
procesos de backup
Definir y documentar las políticas para el cambio o reuso de equipos por distintas personas en el DASCD
Actualizar el manual de Seguridad Digital con el estado y despliegue de los controles asociados en el firewall
Documentar en el manual de seguridad digital la fuente y sincronización de los relojes
Documentar en el Manual de Seguridad Digital, las auditorías externas que se realizan.
Actualizar y o verificar en el Manual de Seguridad Digital los siguientes temas:

- Controles de red para la gestión de la seguridad en las comunicaciones
- Controles de red para interconexiones mediante WLAN
- Controles de red para uso de equipos móviles corporativos y/o bajo la modalidad BYOD y teletrabajo
- Controles para manejo de proveedores de servicios de telecomunicaciones, redes de datos y seguridad.
- Segregación de las redes organizacionales
Actualizar lo relacionado con la transferencia de información.
Definir en el Manual de Seguridad Digital la periodicidad de revisión y actualización de los acuerdos de confidencialidad
Definir, formalizar y documentar el uso de firmas electrónicas y/o digitales en el DASCD
Revisar el dominio en el manual de seguridad digital en lo relacionado con responsables del monitoreo de incidentes y a q
debe tener acceso para hacer este monitoreo.
Revisar el dominio en el manual de seguridad digital para establecer los canales de comunicación confidenciales y los proto
para su análisis y acciones
Definir un apartado especial en el Manual de Seguridad Digital para el punto de instalación de software en la entidad
Documentar las actividades relacionadas con el escaneo automático de software y hardware
Actualizar el dominio en el manual de seguridad digital, incluyendo los siguientes ítems:

• Instrumentos ya existentes del proceso de contratación que puedan requerir algún ajuste.
• Gestión de cambios en relación con terceros
• Matriz de ANS por terceros y políticas de ANS
• Políticas de accesos temporales a servicios TIC
• Gestión de riesgos y requisitos de continuidad
• Criterios de aceptación de productos y servicios
• Matrices de evaluaciones de requisitos como insumon para estudios previos: funcionales, técnicos, económicos, de relac
soporte y garantía y reputacionales.
Actualizar y revisar los controles, mejoras a la matriz de riesgos

Se deben documentar mas claramente los requisitos de seguridad y de accesoa los sistemas tanto desarrolados como adq
y complementar la política de desarrollo seguro, también extendiendola a la adquisición de software
Se deben documentar mas claramente los requisitos de seguridad y de acceso a los sistemas tanto desarrolados como adq
y complementar la política de desarrollo seguro, también extendiendola a la adquisición de software
Revisar y/o actualizar el procedimiento de gestión de incidentes de seguridad según resolución 0500 de 2021
Revisar el dominio en el manual de seguridad digital en lo relacionado con responsables del monitoreo de incidentes y a q
debe tener acceso para hacer este monitoreo.
Revisar el dominio en el manual de seguridad digital para establecer los canales de comunicación confidenciales y los proto
para su análisis y acciones
Definir un protocolo con las técnicas a utilizar para la recopilación de evidencia para propósitos de acciones legales y discip
Automatizar los flujos de entrada, salida, actualización y registro de personal, para que de forma automática se reporten y
novedades (desarrollo o funcionalidad)
1. Incluir las condiciones con Gestión de Talento humano de retiros temporales por incapacidades, licencias, vacaciones o
2. Involucrar las políticas de backup de archivos, correo electrónico, limpieza de accesos directos y entrega a paz y salvo de
información frente a retiros.
Se debe crear un procedimiento o documento donde se formalice la Gestión de Activos de Información, el cual es transver
involucrar distintas dependencias e instancias de la entidad
Crear un instructivo para dar de baja los medios de TI
Se debe revisar la pertinenecia y desarrollo de los siguientes instrumentos:

- Seguridad en el uso de equipos personales (BYOD)
- Registro y seguimiento de eventos de Sistemas de información y Comunicaciones
- Creación y gestión de ambientes
- Administración de directorio activo.
- Configuración de dispositivos firewall.
- Configuración de dispositivos switchs.
- Configuración de dispositivos router.
- Configuración de dispositivos Access point.
- Configuración de dispositivos teléfonos IP.
- Gestión de bases de datos.
- Alistamiento de equipos PC.
- Alistamiento de servidores físicos y virtualizados
- Administración de servicio VOIP.
Construir un procedimiento o instructivo de registro, monitoreo y medición de capacidad y desempeño.

Crear un instructivo de creación y gestión de ambientes
Crear un instructivo o procedimiento de registro y seguimiento de eventos de Sistemas de información y Comunicaciones
Crear un protocolo o instructivo de pruebas de software nuevos a instalar para determinar la correcta forma y aprobación
Se debe definir un plan de trabajo con responsables claros y tiempos para el seguimiento de las vulnerabilidades técnica.
Involucrar al comité de cambios en la gestión de las vulnerabilidades técnicas que lo ameriten.
Crear un instructivo de creación y gestión de ambientes
En el marco del Plan de Recuperación de Desastres de TI, se deben crear protocolos para todos los servicios de TI
Versión: 3.0
Estado de la
Número del control asociado acción
A.5.1.1
OK
A.6.1.1
OK
A.6.1.2
OK
A.6.1.3 OK
A.6.1.4 OK
A.6.1.5 ok
A.6.2.1, A.8.3.1 y A.10.1.2 ok
A.6.2.2 OK
A.7.3.1 OK
A.8.1.1 OK
A.8.2.3 OK
A.11.2.7 OK
A.12.2.1 OK
A.12.4.4 OK
A.12.7.1 OK
A.13.1.1 OK
A.13.2.1, A.13.2.2, A.13.2.3 y

OK
A.13.2.1
A.13.2.4 OK
A.14.1.3 OK
A.16.1.1 OK
A.16.1.2 OK
A.18.1.2 OK
Pendiente OK
A.15 Ok
Pendiente
A.14.1.1 Pendiente
A.14.2.7 Pendiente
A.6.1.3 Pendiente
A.16.1.1 ok
A.16.1.2 ok
A.16.1.7 Pendiente
A.7.1.1 Pendiente
A.9.2.6 Pendiente
A.8.1.2, A.8.2.1 y A.8.2.2 Pendiente
A.8.3.2 Pendiente
A.12.1.1 Pendiente
A.12.1.3 Pendiente
A.12.1.4 Pendiente
A.12.4.1, A.12.4.2 y A.12.4.3 Pendiente
A.12.5.1 Pendiente
A.12.6.1 Pendiente
A.14.2.6 Pendiente
A.17.1.1 Pendiente

Matriz Riesgos Seguridad Digital v3 .0 Publicacion

Cargado por

Copyright:

Formatos disponibles

Matriz Riesgos Seguridad Digital v3 .0 Publicacion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Riesgos Seguridad Digital v3 .0 Publicacion

Cargado por

Copyright:

Formatos disponibles

Versión

CDR-01 MODEM HUAWEIHUAWEI-WIFI-E5573

ACTAS / Actas Junta Administradora del Fondo

ACTAS / Actas Junta Administradora del Fondo

DESCRIPCIÓN DEL ACTIVO DE INFORMACIÓN TIPO DE ACTIVO

Dispositivo de internet movil para el acceso a internet fue Componente de Red

Actas son documentos donde se registran las decisiones que

Actas son las evidencias de las decisiones que se toman en Información

LEY 1712 / CLASIFICACIÓN DE LA

Conectividad Componente de Red-Conectividad Información Pública

Documentos Información-Documentos Información Pública Clasificada

Documentos Información-Documentos Información Pública Clasificada

Bajo Medio Bajo Medio Bajo

Medio Medio Medio Bajo

Medio Medio Medio Bajo

Medio Riesgos de Componentes de Red

Medio Riesgos de Información

Medio Riesgos de Información

Se debe definir un conjunto de

Las políticas para seguridad de la

Los deberes y áreas de

Se deben tener procedimientos

Se deben mantener contactos

Se deben adoptar una política y

Se debe implementar una política

Los acuerdos contractuales con

La dirección debe exigir a todos

Todos los empleados de la

Las responsabilidades y los

Se deben identificar los activos

Se deben identificar, documentar

Todos los empleados y usuarios

La información se debe clasificar

Se debe disponer en forma

Los medios que contienen

Se debe establecer, documentar y

Solo se debe permitir acceso de

Se debe implementar un proceso

Se debe implementar un proceso

Revisión de los Los propietarios de los activos

Los derechos de acceso de todos

Se debe exigir a los usuarios que

Cuando lo requiere la política de

Los sistemas de gestión de

Se debe restringir y controlar

Se deben definir y usar

Las áreas seguras se deben

Protección contra Se debe diseñar y aplicar

Se deben diseñar y aplicar

Se deben controlar los puntos de

Los equipos deben estar ubicados

Los equipos se deben proteger

El cableado de energía eléctrica y

Los equipos, información o

Se deben aplicar medidas de

Se deben verificar todos los

Equipos de Los usuarios deben asegurarse de

Se debe adoptar una política de

Se deben controlar los cambios en

Se debe hacer seguimiento al uso