ISO 27001:2013, Anexo A
He aquí el anexo A de la norma 27001:2013 en español.
Índice:
A.5 Políticas de Seguridad de la Información
A.6 Organización de la Seguridad de la Información
A.7 Seguridad de los Recursos Humanos
A.8 Gestión de Activos
A.9 Control de Accesos
A.10 Criptografía
A.11 Seguridad Física y de Ambiente de Trabajo
A.12 Seguridad en las Operaciones
A.13 Seguridad en las Comunicaciones
A.14 Compra, desarrollo y mantenimiento de Sistemas
A.15 Relacionamiento con Proveedores
A.16 Gestión de Incidentes de Seguridad de la Información
A.17 Aspectos de Seguridad de la Información en la gestión
de la continuidad del Negocio
A.15 Cumplimiento
Detalle:
| 5.1 | Estrategia de la Dirección para la Seguridad de la Información |
| A.5.1.1 | Políticas de Seguridad de Información |
| A.5.1.2 | Revisión de las Políticas de Seguridad de Información |
| 6.1 | Organización Interna |
| A.6.1.1 | Roles y Responsabilidades para la Seguridad de la Información |
| A.6.1.2 | Segregación de servicios |
| A.6.1.3 | Contacto con autoridades |
| A.6.1.4 | Contacto con grupos especiales |
| A.6.1.5 | Seguridad de la Información en la Administración de Proyectos |
| 6.2 | Dispositivos Móviles y Trabajo a Distancia (teleworking) |
| A.6.2.1 | Política de dispositivos móviles |
| A.6.2.2 | Teletrabajo |
| 7.1 | Previo a la contratación |
| A.7.1.1 | Investigación |
| A.7.1.2 | Términos y condiciones de empleo |
| 7.2 | Durante a la contratación |
| A.7.2.1 | Administración de responsabilidades |
| A.7.2.2 | Concientización, educación y capacitación de la seguridad de la información |
| A.7.2.3 | Proceso Disciplinario |
| 7.3 | Terminación o cambio de la contratación |
| A.7.3.1 | Terminación o cambio de las responsabilidades en el empleo |
| 8.1 | Responsabilidad de los activos |
| A.8.1.1 | Inventario de Activos |
| A.8.1.2 | Responsables de activos |
| A.8.1.3 | Uso adecuado de los activos |
| A.8.1.4 | Regreso de Activos |
| 8.2 | Clasificación de la Información |
| A.8.2.1 | Clasificación de la Información |
| A.8.2.2 | Etiquetado de la información |
| A.8.2.3 | Manejo de Activos |
| 8.3 | Manejo de Medios |
| A.8.3.1 | Administración en medios removibles |
| A.8.3.2 | Disposición de medios |
| A.8.3.3 | Transferencia de medios físicos |
| 9.1 | Requisitos de la organización para el control de accesos |
| A.9.1.1 | Política de control de accesos |
| A.9.1.2 | Acceso a redes y servicios de red |
| 9.2 | Gestión del acceso a usuarios |
| A.9.2.1 | Registro de usuarios y des-registro (baja de registro) |
| A.9.2.2 | Acceso provisional a usuarios |
| A.9.2.3 | Administración de acceso de derechos privilegiados |
| A.9.2.4 | Administración de la información de autenticación secreta de los usuarios |
| A.9.2.5 | Revisión de los derechos de acceso de usuarios |
| A.9.2.6 | Retiro y ajuste de derechos de acceso |
| 9.3 | Responsabilidades del usuario |
| A.9.3.1 | Uso de la información de autenticación secreta |
| 9.4 | El control del sistema y la solicitud de acceso |
| A.9.4.1 | Restricción en el acceso de información |
| A.9.4.2 | Procedimientos para inicio de sesión seguro |
| A.9.4.3 | Sistema de Administración de claves de acceso |
| A.9.4.4 | Uso de programas de servicios privilegiados |
| A.9.4.5 | Control de Acceso al código fuente |
| 10.1 | Controles Criptográficos |
| A.10.1.1 | Política en el uso de controles criptográficos |
| A.10.1.2 | Administración de llaves |
| 11.1 | Seguridad física y ambiental |
| A.11.1.1 | Seguridad física perimetral |
| A.11.1.2 | Controles de físicos de entrada |
| A.11.1.3 | Seguridad de oficinas, cuartos y servicios |
| A.11.1.4 | Protección contra amenazas externas y ambientales |
| A.11.1.5 | Trabajo en áreas seguras |
| A.11.1.6 | Áreas de envío y descarga |
| 11.2 | Equipo |
| A.11.2.1 | Equipo en sitio y protección |
| A.11.2.2 | Servicios de soporte |
| A.11.2.3 | Seguridad del cableado |
| A.11.2.4 | Mantenimiento del equipo |
| A.11.2.5 | Traslado de activos |
| A.11.2.6 | Seguridad de los activos y equipo fuera de las instalaciones. |
| A.11.2.7 | Disposición segura o re-uso de equipo |
| A.11.2.8 | Equipo desatendido por el usuario |
| A.11.2.9 | Escritorio limpio y política de pantalla limpia |
| 12.1 | Procedimientos y responsabilidades operacionales |
| A.12.1.1 | Documentación de procedimientos de operación. |
| A.12.1.2 | Administración del Cambio |
| A.12.1.3 | Administración de la Capacidad |
| A.12.1.4 | Separación de los ambientes de desarrollo, prueba y operación |
| 12.2 | Protección contra el malware |
| A.12.2.1 | Controles contra malware |
| 12.3 | Backup (reserva) |
| A.12.3.1 | Respaldo de Información |
| 12.4 | Registro y supervisión |
| A.12.4.1 | Logeo de Eventos |
| A.12.4.2 | Protección del log de información |
| A.12.4.3 | Administrador y operador de logs |
| A.12.4.4 | Sincronización de Relojes |
| 12.5 | El control de software operativo |
| A.12.5.1 | Instalación de software en los sistemas operacionales |
| 12.6 | Gestión de vulnerabilidades técnicas |
| A.12.6.1 | Administración de vulnerabilidades técnicas |
| A.12.6.2 | Restricciones en la instalación de software |
| 12.7 | Consideraciones de auditoría de sistemas de información |
| A.12.7.1 | Controles de auditoría de sistemas de información |
| 13.1 | Gestión de la seguridad de la red |
| A.13.1.1 | Controles en Red |
| A.13.1.2 | Seguridad de los servicios de Red |
| A.13.1.3 | Segregación en las Redes |
| 13.2 | La transferencia de información |
| A.13.2.1 | Políticas y procedimientos para la transmisión de información |
| A.13.2.2 | Acuerdos de la transferencia de información |
| A.13.2.3 | Mensaje electrónico |
| A.13.2.4 | Acuerdos de confidencialidad o de no divulgación |
| 14.1 | Los requisitos de seguridad de los sistemas de información |
| A.14.1.1 | Requerimientos de Seguridad de la información y especificaciones |
| A.14.1.2 | Seguridad en las aplicaciones de los servicios en las redes públicas |
| A.14.1.3 | Protección de las aplicaciones de los servicios de transacción |
| 14.2 | Seguridad en los procesos de desarrollo y soporte |
| A.14.2.1 | Política de desarrollo seguro |
| A.14.2.2 | Procedimientos del sistema de control de cambios |
| A.14.2.3 | Revisión técnica de las aplicaciones después de los cambios en la plataforma de operación |
| A.14.2.4 | Restricciones de cambios a los software |
| A.14.2.5 | Principios para los sistemas de seguridad |
| A.14.2.6 | Seguridad para el ambiente de desarrollo |
| A.14.2.7 | Desarrollo por externos |
| A.14.2.8 | Prueba del sistema de seguridad |
| A.14.2.9 | Sistema de aceptación de pruebas |
| 14.3 | Test data (datos de prueba) |
| A.14.3.1 | Protección de los datos de prueba |
| 15.1 | Seguridad de la información en relación con los proveedores |
| A.15.1.1 | Política de seguridad de la información para las relaciones con proveedores |
| A.15.1.2 | Lineamientos de seguridad dentro de los acuerdos con proveedores |
| A.15.1.3 | Información y comunicación tecnológica en la cadena de suministro |
| 15.2 | Gestión de la prestación de servicios del proveedor |
| A.15.2.1 | Monitoreo y revisión de los servicios de los proveedores |
| A.15.2.2 | Administración de los cambios de los servicios de proveedores |
| 16.1 | Gestión de incidentes de seguridad de la información y mejoras |
| A.16.1.1 | Responsabilidades y procedimientos |
| A.16.1.2 | Reporte de los eventos de seguridad de la información |
| A.16.1.3 | Reporte de las debilidades en la seguridad de la información |
| A.16.1.4 | Evaluaciones y decisiones sobre los eventos de seguridad de la información |
| A.16.1.5 | Respuesta a los incidentes de seguridad de la información |
| A.16.1.6 | Aprendizaje de los incidentes de seguridad de la información |
| A.16.1.7 | Colección de evidencia |
| 17.1 | Información de la continuidad de seguridad. |
| A.17.1.1 | Planeación de la continuidad de la seguridad de la información |
| A.17.1.2 | Implementación de la continuidad de la seguridad de la información |
| A.17.1.3 | Verificación, revisión y evaluación de la continuidad de la seguridad de la información |
| 17.2 | Redundancia |
| A.17.2.1 | Disponibilidad de la información en el procesamiento de los servicios |
| 18.1 | Cumplimiento de los requisitos legales y contractuales |
| A.18.1.1 | Identificación de la legislación aplicable y requerimientos contractuales |
| A.18.1.2 | Derechos de propiedad intelectual |
| A.18.1.3 | Protección de registros |
| A.18.1.4 | Privacidad y protección de datos personales |
| A.18.1.5 | Regulación de controles criptográficos |
| 18.2 | Revisiones de seguridad de información |
| A.18.2.1 | Revisión independiente de la seguridad de la información |
| A.18.2.2 | Cumplimiento con las políticas y estándares |
| A.18.2.3 | Revisión del Cumplimiento Técnico |
No hay comentarios:
Publicar un comentario