CONTEXTO Y ALCANCE (ISO 27001:2022, CLÁUSULA 4)
1.1. Alcance Formal del SGSI (Cláusula 4.3)
“El Sistema de Gestión de Seguridad de la Información (SGSI) de NGS – SECURITYLOGIC se establece, implementa, mantiene y mejora continuamente para proteger la Confidencialidad, Integridad y Disponibilidad (C-I-D) de la información propia y de sus Clientes, relacionada con la prestación de los siguientes servicios:
1. Servicios Gestionados de Ciberseguridad (SOC 7×24).
2. Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT).
3. Servicios de Consultoría y Proyectos Especializados (Ethical Hacking ySistemas de Gestión).”
Límites Geográficos: CyberSOC (Baquerizo Moreno y Av. 12 de Octubre, Quito).
1.2. Requisitos de Partes Interesadas y Cumplimiento Regulatorio (Cláusula 4.2) Los requisitos críticos considerados para la selección de controles son:
1. Clientes (C-I-D): Proteger logs, informes de vulnerabilidad y Propiedad Intelectual (PI).
2. Regulador Nacional (ECUADOR): Cumplimiento de los requisitos de registro y reporte de incidentes ante la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel) y el Centro de Respuesta a Incidentes Informáticos del Ecuador (ECUCERT).
La siguiente es una lista de políticas de seguridad de la información. El objetivo es extenderla en la medida de lo razonable, para luego articular su necesidad en función de variables de tipo y tamaño de NEXT GENERATION SECURITY NGSEC S.A.S (NGS – SECURITYLOGIC).
Cada política tendría que tener una página asociada, procesos relacionados y tecnologías que permitieran la implantación y eventual automatización del control asociado.
Las políticas existen como artefactos con base en la postura y principios de seguridad, requieren gobierno y son fundamentales para la supervivencia a largo plazo de cualquier organización con base tecnológica o altamente dependiente de ella.
Inventario de Políticas de Seguridad de la Información
| Código | Título | Versión |
| NGS-POL-01 | Política de Uso Aceptable de los Activos | v2.0 |
| NGS-POL-02 | Política de Control de Acceso Lógico | v2.0 |
| NGS-POL-03 | Política de Uso de Controles Criptográficos | v2.0 |
| NGS-POL-04 | Política de Gestión de Usuarios y Contraseñas | v2.0 |
| NGS-POL-05 | Política de Gestión de Accesos Privilegiados | v2.0 |
| NGS-POL-06 | Política de Teletrabajo | v2.0 |
| NGS-POL-07 | Política de Dispositivos Móviles | v2.0 |
| NGS-POL-08 | Política de Acceso Remoto | v2.0 |
| NGS-POL-09 | Política de Uso de Internet | v2.0 |
| NGS-POL-10 | Política de Respaldo de Información | v2.0 |
| NGS-POL-11 | Política de Protección contra Software Malicioso | v2.0 |
| NGS-POL-12 | Política de Clasificación y Tratamiento de la Información | v2.0 |
| NGS-POL-13 | Política de Destrucción de la Información | v2.0 |
| NGS-POL-14 | Política de Registro y Auditoría de Eventos | v2.0 |
| NGS-POL-15 | Política de Relacionamiento con Proveedores | v2.0 |
| NGS-POL-16 | Política de Procesamiento Externo y Servicios Cloud | v2.0 |
| NGS-POL-17 | Política de Seguridad del Equipamiento | v2.0 |
| NGS-POL-18 | Política de Escritorio y Pantalla Limpios | v2.0 |
| NGS-POL-19 | Política de Seguridad en la Adquisición de Tecnología | v2.0 |
| NGS-POL-20 | Política de Separación de Entornos | v2.0 |
| NGS-POL-21 | Política de Control de Acceso Físico a Áreas Seguras | v2.0 |
| NGS-POL-22 | Política de Intercambio de Información | v2.0 |
| NGS-POL-23 | Política de Gestión de Riesgos de SI | v2.0 |
| NGS-POL-24 | Política de Cumplimiento Normativo | v2.0 |
| NGS-POL-25 | Política de Uso Institucional de Redes Sociales | v2.0 |
| NGS-POL-26 | Política de Finalización o Cambio de Relación Laboral | v2.0 |
| NGS-POL-27 | Código de Ética para Proveedores y Colaboradores | v2.0 |
| NGS-POL-28 | Política de Continuidad y DRP | v2.0 |
| NGS-POL-29 | Política de Garantía de Servicios y Proyectos | v2.0 |