Iso 27001 Auditor / Lead Auditor: Certiprof Certified

CERTIPROF CERTIFIED
ISO 27001 AUDITOR / LEAD AUDITOR

(I27001A/LA)
O F C E RT O F C E RT
PR IF PR IF
TI TI
R
R
IE
IE
CE
CE
D
D
(I27001A/LA) VERSIÓN 072018
ISO 27001 AUDITOR ISO 27001 LEAD AUDITOR
I27001A I27
001LA
www.certiprof.com
ANEXO A.1 OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA - ISO 27001
5. Políticas de seguridad de la información 12.2 Protección contra el software malicioso (malware)
5.1 Directrices de gestión de la seguridad de la información 12.2.1 Controles contra el código malicioso
5.1.1 Políticas para la seguridad de la información 12.3 Copias de seguridad
5.1.2 Revisión de las políticas para la seguridad de la información 12.3.1 Copias de seguridad de la información
12.4 Registros y supervisión
12.4.1 Registro de eventos
6. Organización de la seguridad de la información 12.4.2 Protección de la información del registro
6.1 Organización interna
12.4.3 Registros de administración y operación
6.1.1 Roles y responsabilidades en seguridad de la información
12.4.4 Sincronización del reloj
6.1.2 Segregación de tareas
12.5 Control del software en explotación
6.1.3 Contacto con las autoridades
12.5.1 Instalación del software en explotación
6.1.4 Contacto con grupos de interés especial
12.6 Gestión de la vulnerabilidad técnica
6.1.5 Seguridad de la información en la gestión de proyectos
12.6.1 Gestión de las vulnerabilidades técnicas
6.2 Los dispositivos móviles y el teletrabajo
12.6.2 Restricción en la instalación de software
6.2.1 Política de dispositivos móviles
12.7 Consideraciones sobre la auditoria de sistemas de información
6.2.2 Teletrabajo
12.7.1 Controles de auditoría de sistemas de información
7. Seguridad relativa a los recursos humanos 13. Seguridad de las comunicaciones

7.1 Antes del empleo
13.1 Gestión de la seguridad de las redes
7.1.1 Investigación de antecedentes
13.1.1 Controles de red
7.1.2 Términos y condiciones del empleo
13.1.2 Seguridad de los servicios de red
7.2 Durante el empleo
13.1.3 Segregación en redes
7.2.1 Responsabilidades de gestión
13.2 Intercambio de información
7.2.2 Concienciación, educación y capacitación en seguridad de la
13.2.1 Políticas y procedimientos de intercambio de información
información
13.2.2 Acuerdos de intercambio de información
7.2.3 Proceso disciplinario
13.2.3 Mensajería electrónica
7.3 Finalización del empleo o cambio en el puesto de trabajo
13.2.4 Acuerdos de confidencialidad o no revelación
7.3.1 Responsabilidades ante la finalización o cambio
8. Gestión de activos 14. Adquisición, desarrollo y mantenimiento de los sistemas de información

14.1 Requisitos de seguridad en los sistemas de información
8.1 Responsabilidad sobre los activos
14.1.1 Análisis de requisitos y especificaciones de seguridad de la información
8.1.1 Inventario de activos
14.1.2 Asegurar los servicios de aplicaciones en redes públicas
8.1.2 Propiedad de los activos
14.1.3 Protección de las transacciones de servicios de aplicaciones
8.1.3 Uso aceptable de los activos
14.2 Seguridad en el desarrollo y en los procesos de soporte
8.1.4 Devolución de activos
14.2.1 Política de desarrollo seguro
8.2 Clasificación de la información
14.2.2 Procedimiento de control de cambios en sistemas
8.2.1 Clasificación de la información
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
8.2.2 Etiquetado de la información
14.2.4 Restricciones a los cambios en los paquetes de software
8.2.3 Manipulado de la información
14.2.5 Principios de ingeniería de sistemas seguros
8.3 Manipulación de los soportes
14.2.6 Entorno de desarrollo seguro
8.3.1 Gestión de soportes extraíbles
14.2.7 Externalización del desarrollo de software
8.3.2 Eliminación de soportes
14.2.8 Pruebas funcionales de seguridad de sistemas
8.3.3 Soportes físicos en tránsito
14.2.9 Pruebas de aceptación de sistemas
14.3 Datos de prueba
9. Control de acceso 14.3.1 Protección de los datos de prueba
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control de acceso
9.1.2 Acceso a las redes y a los servicios de red
15. Relación con proveedores
15.1 Seguridad en las relaciones con proveedores
9.2 Gestión de acceso de usuario
15.1.1 Política de seguridad de la información en las relaciones con los proveedores
9.2.1 Registro y baja de usuario
15.1.2 Requisitos de seguridad en contratos con terceros
9.2.2 Provisión de acceso de usuario
15.1.3 Cadena de suministro de tecnología de la información y de las comunicaciones
9.2.3 Gestión de privilegios de acceso
15.2 Gestión de la provisión de servicios del proveedor
9.2.4 Gestión de la información secreta de autenticación de los
15.2.1 Control y revisión de la provisión de servicios del proveedor
usuarios
15.2.2 Gestión de cambios en la provisión del servicio del proveedor
9.2.5 Revisión de los derechos de acceso de usuario
9.2.6 Retirada o reasignación de los derechos de acceso
9.3 Responsabilidades del usuario 16. Gestión de incidentes de seguridad de la información
9.3.1 Uso de la información secreta de autenticación 16.1 Gestión de incidentes de seguridad de la información y mejoras
9.4 Control de acceso a sistemas y aplicaciones 16.1.1 Responsabilidades y procedimientos
9.4.1 Restricción del acceso a la información 16.1.2 Notificación de los eventos de seguridad de la información
9.4.2 Procedimientos seguros de inicio de sesión 16.1.3 Notificación de puntos débiles de la seguridad
9.4.3 Sistema de gestión de contraseñas 16.1.4 Evaluación y decisión sobre los eventos de seguridad de información
9.4.4 Uso de utilidades con privilegios del sistema 16.1.5 Respuesta a incidentes de seguridad de la información
9.4.5 Control de acceso al código fuente de los programas 16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencias
10. Criptografía
10.1 Controles criptográficos 17. Aspectos de seguridad de la información para la gestión de la
10.1.1 Política de uso de los controles criptográficos continuidad de negocio
10.1.2 Gestión de claves 17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información
11. Seguridad física y del entorno 17.1.2 Implementar la continuidad de la seguridad de la información
11.1 Áreas seguras 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
11.1.1 Perímetro de seguridad física información
11.1.2 Controles físicos de entrada 17.2 Redundancias.
11.1.3 Seguridad de oficinas, despachos y recursos 17.2.1 Disponibilidad de los recursos de tratamiento de la información
11.1.4 Protección contra las amenazas externas y ambientales
11.1.5 El trabajo en áreas seguras 18. Cumplimiento
11.1.6 Áreas de carga y descarga 18.1 Cumplimiento de los requisitos legales y contractuales
11.2 Seguridad de los equipos 18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
11.2.1 Emplazamiento y protección de equipos 18.1.2 Derechos de Propiedad Intelectual (DPI)
11.2.2 Instalaciones de suministro 18.1.3 Protección de los registros de la organización
11.2.3 Seguridad del cableado 18.1.4 Protección y privacidad de la información de carácter personal
11.2.4 Mantenimiento de los equipos 18.1.5 Regulación de los controles criptográficos
11.2.5 Retirada de materiales propiedad de la empresa 18.2 Revisiones de la seguridad de la información
11.2.6 Seguridad de los equipos fuera de las instalaciones 18.2.1 Revisión independiente de la seguridad de la información
11.2.7 Reutilización o eliminación segura de equipos 18.2.2 Cumplimiento de las políticas y normas de seguridad
11.2.8 Equipo de usuario desatendido 18.2.3 Comprobación del cumplimiento técnico
11.2.9 Política de puesto de trabajo despejado y pantalla limpia
12. Seguridad de las operaciones

12.1 Procedimientos y responsabilidades operacionales
12.1.1 Documentación de procedimientos operacionales
12.1.2 Gestión de cambios
12.1.3 Gestión de capacidades
12.1.4 Separación de los recursos de desarrollo, prueba y operación
CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. Mayo 2017
certiprof.com
Anexo A (Normativo)
S
Objetivos de control y controles de referencia
O
Los objetivos de control y controles que se enumeran en la tabla A.1 se corresponden
I C
directamente con los que figuran en la Norma ISO/IEC 27002:2013[1], capítulos 5 a 18, y
T
deben ser empleados en el contexto del apartado 6.1.3.
C
Tabla A.1 – Objetivos de control y controles
Á
A.5 Políticas de seguridad de la información
A.5.1 Directrices de gestión de la seguridad de la información
I D
Objetivo: Proporcionar orientación y apoyo a la gestión de la seguridad de la información de acuerdo
con los requisitos del negocio, las leyes y normativa pertinentes.
D
Control
Políticas para la seguridad
A.5.1.1 Un conjunto de políticas para la seguridad de la información debe ser
S
de la información
definido, aprobado por la dirección, publicado y comunicado a los
empleados y partes externas relevantes.
E
Control
N
Revisión de las políticas
Las políticas de seguridad de la información deben revisarse a
I
A.5.1.2 para la seguridad de la
información intervalos planificados o siempre que se produzcan cambios
significativos, a fin de asegurar que se mantenga su idoneidad,
F
adecuación y eficacia.
A.6 Organización de la seguridad de la información
A
A.6.1 Organización interna
R
Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de la
seguridad de la información dentro de la organización.
A
Control
Roles y responsabilidades
P
A.6.1.1 en seguridad de la Todas las responsabilidades en seguridad de la información deben ser
información definidas y asignadas.
Control
L O
Las funciones y áreas de responsabilidad deben segregarse para
A.6.1.2 Segregación de tareas
reducir la posibilidad de que se produzcan modificaciones no
autorizadas o no intencionadas o usos indebidos de los activos de la
O
organización.
Control
S
Contacto con las
A.6.1.3 autoridades Deben mantenerse los contactos apropiados con las autoridades
pertinentes.
Control
Contacto con grupos de
A.6.1.4 interés especial
Deben mantenerse los contactos apropiados con grupos de interés
especial, u otros foros y asociaciones profesionales especializados en
seguridad
20 Queda prohibido el uso o publicación total o parcial de este material con fines de lucro.
Únicamente está autorizado su uso para fines académicos e investigativos.
Control
S
Seguridad de la
A.6.1.5 información en la gestión La seguridad de la información debe tratarse dentro de la gestión de
de proyectos
O
proyectos, independientemente de la naturaleza del proyecto.
A.6.2 Los dispositivos móviles y el teletrabajo
I C
Objetivo: Garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles.
Control
T
Contacto con las
A.6.2.1 autoridades Se debe adoptar una política y unas medidas de seguridad adecuadas
C
para la protección contra los riesgos de la utilización de dispositivos
móviles.
Á
Control
D
A.6.2.2 Teletrabajo Se debe implementar una política y unas medidas de seguridad
I
adecuadas para proteger la información accedida, tratada o
almacenada en emplazamientos de teletrabajo.
D
A.7 Seguridad relativa a los recursos humanos
A.7.1 Antes del empleo
S
Objetivo: Para asegurarse que los empleados y contratistas entiendan sus responsabilidades y son
adecuados para las funciones para las que se consideran.
E
Control
N
La comprobación de los antecedentes de todos los candidatos al
I
A.7.1.1 Investigación de puesto de trabajo se debe llevar a cabo de acuerdo con las leyes,
antecedentes normativa y códigos éticos que sean de aplicación y debe ser
F
proporcional a las necesidades del negocio, la clasificación de la
información a la que se accede y los riesgos percibidos.
A
Control
Términos y condiciones
R
A.7.1.2 Cómo parte de sus obligaciones contractuales, los empleados y
del empleo contratistas deben establecer los términos y condiciones en su
contrato de trabajo en lo que respecta a la seguridad de la
A
información, tanto hacia el empleado como hacia la organización.
P
A.7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades
en seguridad de la información.
O
Control
L
A.7.2.1 Responsabilidades de La dirección debe exigir a los empleados y contratistas, que apliquen
gestión la seguridad de la información de acuerdo con las políticas y
O
procedimientos establecidos en la organización.
S
Control
Concienciación, Todos los empleados de la organización y, cuando corresponda, los
educación y capacitación
A.7.2.2 en seguridad de la
contratistas, deben recibir una adecuada educación, concienciación y
capacitación con actualizaciones periódicas sobre las políticas y
información procedimientos de la organización, según corresponda a su puesto de
trabajo.
Control
S
A.7.2.3 Proceso disciplinario Debe existir un proceso disciplinario formal que haya sido comunicado
O
a los empleados, que recoja las acciones a tomar ante aquellos que
hayan provocado alguna brecha de seguridad.
C
A.7.3 Finalización del empleo o cambio en el puesto de trabajo
I
Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o finalización del empleo.
T
Control
Responsabilidades ante la Las responsabilidades en seguridad de la información y obligaciones
C
A.7.3.1
finalización o cambio que siguen vigentes después del cambio o finalización del empleo se
deben definir, comunicar al empleado o contratista y se deben cumplir.
Á
A.8 Gestión de activos
D
A.8.1 Responsabilidad sobre los activos
I
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuadas.
D
Control
A.8.1.1 Inventario de activos La información y otros activos asociados a la información y a los-
S
recursos para el tratamiento de la información deben estar claramente
identificados y debe elaborarse y mantenerse un inventario.
E
Control
N
A.8.1.2 Propiedad de los activos Todos los activos que figuran en el inventario deben tener un
I
propietario.
F
Control
Uso aceptable de los Se deben identificar, documentar e implementar las reglas de uso
A.8.1.3 activos
A
aceptable de la información y de los activos asociados con los recursos
para el tratamiento de la información.
R
Control
Todos los empleados y terceras partes deben devolver todos los activos
A
A.8.1.4 Devolución de activos
de la organización que estén en su poder al finalizar su empleo,
contrato o acuerdo.
P
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel adecuado de protección de acuerdo con su
O
importancia para la organización.
L
Control
Clasificación de la La información debe ser clasificada en términos de la importancia de su
A.8.2.1
O
información revelación frente a requisitos legales, valor, sensibilidad y criticidad
ante revelación o modificación no autorizadas.
S
Control
Etiquetado de la
A.8.2.2 Debe desarrollarse e implantarse un conjunto adecuado de
información
procedimientos para etiquetar la información, de acuerdo con el
esquema de clasificación adoptado por la organización.
Control
S
Manipulado de la
A.8.2.3 Debe desarrollarse e implantarse un conjunto adecuado de
información procedimientos para la manipulación de la información, de acuerdo
O
con el esquema de clasificación adoptado por la organización.
A.8.3 Manipulación de los soportes
I C
Objetivo: Evitar la revelación, modificación, eliminación o destrucción no autorizadas de la
información almacenada en soportes.
T
Control
C
Gestión de soportes
A.8.3.1 Se deben implementar procedimientos para la gestión de los soportes
extraíbles extraíbles, de acuerdo con el esquema de clasificación adoptado por
Á
la organización.
Control
I D
A.8.3.2 Eliminación de soportes Los soportes deben eliminarse de forma segura cuando ya no vayan a
ser necesarios, mediante procedimientos formales.
D
Control
Soportes físicos en
A.8.3.3 Durante el transporte fuera de los límites físicos de la organización,
S
tránsito los soportes que contengan información deben estar protegidos
contra accesos no autorizados, usos indebidos o deterioro.
E
A.9 Control de acceso
N
A.9.1 Requisitos de negocio para el control de acceso
I
Objetivo: Limitar el acceso a los recursos de tratamiento de la información y a la información.
F
Control
Política de control de
A.9.1.1 Durante el transporte fuera de los límites físicos de la organización,
A
acceso los soportes que contengan información deben estar protegidos
R
Control
A
Acceso a las redes y a los
A.9.1.2 servicios de red
Durante el transporte fuera de los límites físicos de la organización,
los soportes que contengan información deben estar protegidos
P
A.9.2 Gestión de acceso de usuario
O
Objetivo: Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas
y servicios.
L
Control
O
A.9.2.1 Registro y baja de usuario Debe implantarse un procedimiento formal de registro y retirada de
usuarios que haga posible la asignación de los derechos de acceso.
S
Control
Provisión de acceso de
A.9.2.2 usuario
Debe implantarse un procedimiento formal para asignar o revocar los
derechos de acceso para todos los tipos de usuarios de todos los
sistemas y servicios.
Control
Gestión de privilegios de
A.9.2.3 acceso La asignación y el uso de privilegios de acceso debe estar restringida y
controlada.
Control
S
Gestión de la información
A.9.2.4 secreta de autenticación La asignación de la información secreta de autenticación debe ser
de los usuarios controlada a través de un proceso formal de gestión.
O
Control
C
A.9.2.5 Revisión de los derechos
Los propietarios de los activos deben revisar los derechos de acceso
I
de acceso de usuario
de usuario a intervalos regulares.
T
Control
C
Retirada o reasignación Los derechos de acceso de todos los empleados y terceras partes, a la
A.9.2.6
de los derechos de acceso información y a los recursos de tratamiento de la información deben
ser retirados a la finalización del empleo, del contrato o del acuerdo, o
Á
ajustados en caso de cambio.
A.9.3 Responsabilidades del usuario
I D
Objetivo: Para que los usuarios se hagan responsables de salvaguardar su información de autenticación.
Control
D
A.9.3.1 Uso de la información
secreta de autenticación Se debe requerir a los usuarios que sigan las prácticas de la
organización en el uso de la información secreta de autenticación.
S
A.9.4 Control de acceso a sistemas y aplicaciones
E
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
Control
I N
A.9.4.1 Restricción del acceso a la
información Se debe restringir el acceso a la información y a las funciones de las
aplicaciones, de acuerdo con la política de control de acceso definida.
F
Control
A
A.9.4.2 Procedimientos seguros Cuando así se requiera en la política de control de acceso, el acceso a
de inicio de sesión los sistemas y a las aplicaciones se debe controlar por medio de un
procedimiento seguro de inicio de sesión.
R
Control
A
A.9.4.3 Sistema de gestión de
contraseñas Los sistemas para la gestión de contraseñas deben ser interactivos y
P
establecer contraseñas seguras y robustas.
Control
Uso de utilidades con
O
A.9.4.4 Se debe restringir y controlar rigurosamente el uso de utilidades que
privilegios del sistema puedan ser capaces de invalidar los controles del sistema y de la
L
aplicación.
Control de acceso al Control
O
A.9.4.5 código fuente de los
programas Se debe restringir el acceso al código fuente de los programas.
S
A.10 Criptografía
A.10.1 Controles criptográficos
Objetivo: Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.
Control
A.10.1.1 Política de uso de los Se debe desarrollar e implementar una política sobre el uso de los
controles criptográficos
controles criptográficos para proteger la información.
Control
S
A.10.1.2 Gestión de claves Se debe desarrollar e implementar una política sobre el uso, la
protección y la duración de las claves de cifrado a lo largo de todo su
O
ciclo de vida.
C
A.11 Seguridad física y del entorno
I
A.11.1 Áreas seguras
T
Objetivo: Prevenir el acceso físico no autorizado, los daños e interferencia a la información de la organización y
a los recursos de tratamiento de la información.
C
Control
Perímetro de seguridad
Á
A.11.1.1 física Se deben utilizar perímetros de seguridad para proteger las áreas que
contienen información sensible así como los recursos de tratamiento
de la información.
I D
Control
Controles físicos de
D
A.11.1.2 entrada Las áreas seguras deben estar protegidas mediante controles de
entrada adecuados, para asegurar que únicamente se permite el
acceso al personal autorizado.
S
Control
Seguridad de oficinas,
A.11.1.3
E
despachos y recursos Para las oficinas, despachos y recursos, se debe diseñar y aplicar la
seguridad física.
N
Control
I
Protección contra las
A.11.1.4 amenazas externas y Se debe diseñar y aplicar una protección física contra desastres
ambientales
F
naturales, ataques provocados por el hombre o accidentes.
Control
El trabajo en áreas
A
A.11.1.5 seguras Se deben diseñar e implementar procedimientos para trabajar en las
áreas seguras.
R
Control
A
Deben controlarse los puntos de acceso tales como las áreas de carga y
A.11.1.6 Áreas de carga y descarga descarga y otros puntos, donde pueda acceder personal no autorizado a las
P
instalaciones, y si es posible, aislar dichos puntos de los recursos de
tratamiento de la información para evitar accesos no autorizados.
A.11.2 Seguridad de los equipos
O
Objetivo: Evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la
L
organización.
Control
O
Emplazamiento y
A.11.2.1 protección de equipos Los equipos deben situarse o protegerse de forma que se reduzcan los
S
riesgos de las amenazas y los riesgos ambientales así como las
oportunidades de que se produzcan accesos no autorizados.
Control
Instalaciones de
A.11.2.2 suministro Los equipos deben estar protegidos contra fallos de alimentación y
otras alteraciones causadas por fallos en las instalaciones de
suministro.
Control
S
A.11.2.3 Seguridad del cableado El cableado eléctrico y de telecomunicaciones que transmite datos o
que sirve de soporte a los servicios de información debe estar
O
protegido frente a interceptaciones, interferencias o daños.
Control
C
Mantenimiento de los
I
A.11.2.4 equipos Los equipos deben recibir un mantenimiento correcto que asegure su
T
disponibilidad y su integridad continuas.
Control
Retirada de materiales
C
A.11.2.5 propiedad de la empresa Sin autorización previa, los equipos, la información o el software no
deben sacarse de las instalaciones.
Á
Control
D
Seguridad de los equipos
A.11.2.6 fuera de las instalaciones
I
Deben aplicarse medidas de seguridad a los equipos situados fuera las
instalaciones de la organización, teniendo en cuenta los diferentes
riesgos que conlleva trabajar fuera de dichas instalaciones.
D
Control
Reutilización o
A.11.2.7 eliminación segura de
S
Todos los soportes de almacenamiento deben ser comprobados para
equipos confirmar que todo dato sensible y software bajo licencia se ha
eliminado de manera segura, antes de deshacerse de ellos.
E
Control
Equipo de usuario
N
A.11.2.8 desatendido Los usuarios deben asegurarse que el equipo desatendido tiene la
I
protección adecuada.
F
Control
Política de puesto de
A.11.2.9 trabajo despejado y Debe adoptarse una política de puesto de trabajo despejado de
A
pantalla limpia papeles y medios de almacenamiento desmontables y una política de
pantalla limpia para los recursos de tratamiento de la información.
R
A.12 Seguridad de las operaciones
A.12.1 Procedimientos y responsabilidades operacionales
A
Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.
P
Documentación de Control
A.12.1.1 procedimientos operacio-
Deben documentarse y mantenerse procedimientos operacionales y
O
nales
ponerse a disposición de todos los usuarios que los necesiten.
L
Control
A.12.1.2 Gestión de cambios Los cambios en la organización, los procesos de negocio, instalaciones
O
de tratamiento de la información y los sistemas que afectan a la
seguridad de la información deben ser controlados.
S
Control
A.12.1.3 Gestión de capacidades Se debe supervisar y ajustar la utilización de los recursos, así como
realizar proyecciones de los requisitos futuros de capacidad, para
garantizar el rendimiento requerido del sistema.
Control
S
Separación de los
A.12.1.4 recursos de desarrollo, Deben separarse los recursos de desarrollo, pruebas y operación, para
prueba y operación reducir los riesgos de acceso no autorizado o los cambios del sistema
O
en producción.
A.12.2 Protección contra el software malicioso (malware)
I C
Objetivo: Asegurar que los recursos de tratamiento de información y la información están protegidos contra el
malware.
T
Control
C
Controles contra el
A.12.2.1 código malicioso Se deben implementar los controles de detección, prevención y
recuperación que sirvan como protección contra el código malicioso,
Á
así como procedimientos adecuados de concienciación al usuario.
A.12.3 Copias de seguridad
I D
Objetivo: Evitar la pérdida de datos
Control
D
Copias de seguridad de la
A.12.3.1 información Se deben realizar copias de seguridad de la información, del software
y del sistema y se deben verificar periódicamente de acuerdo a la
S
política de copias de seguridad acordada.
A.12.4 Registros y supervisión
E
Objetivo: Registrar eventos y generar evidencias.
N
Control
I
A.12.4.1 Registro de eventos Se deben registrar, proteger y revisar periódicamente las actividades
F
de los usuarios, excepciones, fallos y eventos de seguridad de la
información.
A
Control
Protección de la
A.12.4.2 información del registro Los dispositivos de registro y la información del registro deben estar
R
protegidos contra manipulaciones indebidas y accesos no autorizados.
A
Control
Registros de
A.12.4.3 administración y
P
Se deben registrar, proteger y revisar regularmente las actividades del
operación administrador del sistema y del operador del sistema.
Control
O
A.12.4.4 Sincronización del reloj Los relojes de todos los sistemas de tratamiento de la información dentro de
L
una organización o de un dominio de seguridad, deben estar sincronizados
con una única fuente de tiempo precisa y acordada.
O
A.12.5 Control del software en explotación
Objetivo: Asegurar la integridad del software en explotación.
S
Control
Instalación del software
A.12.5.1 en explotación Se deben implementar procedimientos para controlar la instalación
del software en explotación.
A.12.6 Gestión de la vulnerabilidad técnica
S
Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas.
O
Control
Gestión de las Se debe obtener información oportuna acerca de las vulnerabilidades
C
A.12.6.1 técnicas de los sistemas de información utilizados, evaluar la exposición
I
vulnerabilidades técnicas
de la organización a dichas vulnerabilidades y adoptar las medidas
T
adecuadas para afrontar el riesgo asociado.
Control
C
Restricción en la
A.12.6.2 Se deben establecer y aplicar reglas que rijan la instalación de software
instalación de software
por parte de los usuarios.
Á
A.12.7 Consideraciones sobre la auditoria de sistemas de información
D
Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operativos.
I
Control
D
Controles de auditoría de Los requisitos y las actividades de auditoría que impliquen
A.12.7.1 comprobaciones en los sistemas operativos deben ser
sistemas de información
cuidadosamente planificados y acordados para minimizar el riesgo de
S
interrupciones en los procesos de negocio.
E
A.13 Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de las redes
I N
Objetivo: Asegurar la protección de la información en las redes y los recursos de tratamiento de la información.
Control
F
A.13.1.1 Controles de red Las redes deben ser gestionadas y controladas para proteger la
información en los sistemas y aplicaciones.
A
Control
R
Seguridad de los servicios Se deben identificar los mecanismos de seguridad, los niveles de
A.13.1.2 servicio, y los requisitos de gestión de todos los servicios de red y se
de red
A
deben incluir en cualquier acuerdo de servicios de red, tanto si estos
servicios se prestan dentro de la organización como si se subcontratan.
P
Control
A.13.1.3 Segregación en redes Los grupos de servicios de información, los usuarios y los sistemas de
O
información deben estar segregados en redes distintas.
L
A.13.2 Intercambio de información
Objetivo: Mantener la seguridad de la información que se transfiere dentro de una organización y con cualquier
O
entidad externa.
Control
S
Políticas y procedimientos
A.13.2.1 de intercambio de Deben establecerse políticas, procedimientos y controles formales que
información protejan el intercambio de información mediante el uso de todo tipo de
recursos de comunicación.
Control
Acuerdos de intercambio
A.13.2.2 Deben establecerse acuerdos para el intercambio seguro de
de información
información del negocio y software entre la organización y terceros.
Control
S
A.13.2.3 Mensajería electrónica La información que sea objeto de mensajería electrónica debe estar
O
adecuadamente protegida.
Control
Acuerdos de
C
A.13.2.4 confidencialidad o no Deben identificarse, documentarse y revisarse regularmente los
I
revelación requisitos de los acuerdos de confidencialidad o no revelación
T
A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.14.1 Requisitos de seguridad en los sistemas de información
C
Objetivo: Garantizar que la seguridad de la información sea parte integral de los sistemas de información a
Á
través de todo el ciclo de vida. Esto también incluye los requisitos para los sistemas de información que
proporcionan los servicios a través de redes públicas.
D
Análisis de requisitos y Control
I
especificaciones de Los requisitos relacionados con la seguridad de la información deben
A.14.1.1
seguridad de la
D
incluirse en los requisitos para los nuevos sistemas de información o
información mejoras a los sistemas de información existentes.
Control
S
Asegurar los servicios de
A.14.1.2 aplicaciones en redes La información involucrada en aplicaciones que pasan a través de redes
E
públicas públicas debe ser protegida de cualquier actividad fraudulenta, disputa
de contrato, revelación y modificación no autorizadas.
N
Control
I
Protección de las La información involucrada en las transacciones de servicios de
A.14.1.3 transacciones de servicios aplicaciones debe ser protegida para prevenir la transmisión
F
de aplicaciones incompleta, errores de enrutamiento, alteración no autorizada del mensaje,
revelación, duplicación, o reproducción de mensaje no autorizadas.
A
A.14.2 Seguridad en el desarrollo y en los procesos de soporte
R
Objetivo: Garantizar la seguridad de la información que se ha diseñado e implementado en el ciclo de vida de
desarrollo de los sistemas de información.
A
Control
Política de desarrollo
P
A.14.2.1 Se deben establecer y aplicar reglas dentro de la organización para el
seguro
desarrollo de aplicaciones y sistemas.
Control
O
Procedimiento de control La implantación de cambios a lo largo del ciclo de vida del desarrollo
A.14.2.2
L
de cambios en sistemas debe controlarse mediante el uso de procedimientos formales de
control de cambios.
O
Control
Revisión técnica de las
S
aplicaciones tras efectuar Cuando se modifiquen los sistemas operativos, las aplicaciones de
A.14.2.3 negocio críticas deben ser revisadas y probadas para garantizar que no
cambios en el sistema
operativo existen efectos adversos en las operaciones o la seguridad de la
organización.
Control
Restricciones a los
A.14.2.4 cambios en los paquetes Se deben desaconsejar las modificaciones en los paquetes de software,
de software limitándose a los cambios necesarios, y todos los cambios deben ser
objeto de un control riguroso.
Control
S
Principios de ingeniería de Principios de ingeniería de sistemas seguros se deben establecer,
A.14.2.5
sistemas seguros documentar, mantener y aplicarse a todos los esfuerzos de
O
implementación de sistemas de información.
C
Control
I
Entorno de desarrollo Las organizaciones deben establecer y proteger adecuadamente los
A.14.2.6 entornos de desarrollo seguro para el desarrollo del sistema y los
T
seguro
esfuerzos de integración que cubren todo el ciclo de vida de desarrollo
del sistema.
C
Control
Á
Externalización del
A.14.2.7 El desarrollo de software externalizado debe ser supervisado y
desarrollo de software
controlado por la organización.
I D
Control
Pruebas funcionales de
A.14.2.8 Se deben llevar a cabo pruebas de la seguridad funcional durante el
seguridad de sistemas
D
desarrollo.
Control
S
Pruebas de aceptación de Se deben establecer programas de pruebas de aceptación y criterios
A.14.2.9
sistemas relacionados para nuevos sistemas de información, actualizaciones y
E
nuevas versiones.
N
A.14.3 Datos de prueba
I
Objetivo: Asegurar la protección de los datos de prueba
F
Control
Protección de los datos
A.14.3.1 Los datos de prueba se deben seleccionar con cuidado y deben ser
de prueba
A
protegidos y controlados.
A.15 Relación con proveedores
R
A.15.1 Seguridad en las relaciones con proveedores
A
Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
Control
P
Política de seguridad de la
información en las Los requisitos de seguridad de la información para la mitigación de los
A.15.1.1
relaciones con los riesgos asociados con el acceso del proveedor a los activos de la
O
proveedores organización deben acordarse con el proveedor y quedar documentados.
L
Control
Requisitos de seguridad Todos los requisitos relacionados con la seguridad de la información
O
A.15.1.2 deben establecerse y acordarse con cada proveedor que puede acceder,
en contratos con
terceros tratar, almacenar, comunicar, o proporcionar componentes de la
S
infraestructura de Tecnología de la Información.
Control
Cadena de suministro de
tecnología de la Los acuerdos con proveedores deben incluir requisitos para hacer
A.15.1.3 frente a los riesgos de seguridad de la información relacionados con las
información y de las
comunicaciones tecnologías de la información y las comunicaciones y con la cadena de
suministro de productos.
A.15.2 Gestión de la provisión de servicios del proveedor
S
Objetivo: Mantener un nivel acordado de seguridad y de provisión de servicios en línea con acuerdos con
proveedores
O
Control y revisión de la Control
C
A.15.2.1 provisión de servicios del Las organizaciones deben controlar, revisar y auditar regularmente la
I
proveedor provisión de servicios del proveedor
T
Control
Se deben gestionar los cambios en la provisión del servicio, incluyendo
C
Gestión de cambios en la
A.15.2.2 provisión del servicio del el mantenimiento y la mejora de las políticas, los procedimientos y
controles de seguridad de la información existentes, teniendo en cuenta
Á
proveedor
la criticidad de los procesos y sistemas de negocio afectados así como la
reapreciación de los riesgos.
I D
A.16 Gestión de incidentes de seguridad de la información
A.16.1 Gestión de incidentes de seguridad de la información y mejoras
D
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información,
incluida la comunicación de eventos de seguridad y debilidades.
S
Control
Responsabilidades y
E
A.16.1.1 Se deben establecer las responsabilidades y procedimientos de gestión
procedimientos para garantizar una respuesta rápida, efectiva y adecuada a los
N
incidentes de seguridad de la información.
I
Notificación de los Control
F
A.16.1.2 eventos de seguridad de Los eventos de seguridad de la información se deben notificar por los
la información canales de gestión adecuados lo antes posible.
A
Control
Notificación de puntos Todos los empleados, contratistas, terceras partes usuarias de los
R
A.16.1.3 sistemas y servicios de información deben ser obligados a anotar y
débiles de la seguridad
notificar cualquier punto débil que observen o que sospechen que
A
exista, en los sistemas o servicios.
P
Control
Evaluación y decisión
A.16.1.4 sobre los eventos de Los eventos de seguridad de la información deben ser evaluados y debe
seguridad de información decidirse si se clasifican como incidentes de seguridad de la
O
información.
L
Respuesta a incidentes de Control
A.16.1.5 seguridad de la Los incidentes de seguridad de la información deben ser respondidos
O
información de acuerdo con los procedimientos documentados.
Control
S
Aprendizaje de los
A.16.1.6 incidentes de seguridad de El conocimiento obtenido a partir del análisis y la resolución de
la información incidentes de seguridad de la información debe utilizarse para reducir
la probabilidad o el impacto de los incidentes en el futuro.
Control
A.16.1.7 Recopilación de evidencias La organización debe definir y aplicar procedimientos para la

identificación recogida, adquisición y preservación de la información
que puede servir de evidencia.
A.17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio
S
A.17.1 Continuidad de la seguridad de la información
O
Objetivo: La continuidad de la seguridad de la información debe formar parte de los sistemas de gestión de la
continuidad de negocio de la organización.
C
Control
I
Planificación de la
continuidad de la La organización debe determinar sus necesidades de seguridad de la
T
A.17.1.1 información y de continuidad para la gestión de la seguridad de la
seguridad de la
información información en situaciones adversas, por ejemplo, durante una crisis o
C
desastre.
Control
Á
Implementar la
continuidad de la La organización debe establecer, documentar, implementar y mantener
A.17.1.2
D
seguridad de la procesos, procedimientos y controles para asegurar el nivel requerido
I
información de continuidad de la seguridad de la información durante una situación
adversa.
D
Verificación, revisión y Control
evaluación de la
A.17.1.3 continuidad de la La organización debe comprobar los controles establecidos e
S
seguridad de la implementados a intervalos regulares para asegurar que son válidos y
información eficaces durante situaciones adversas.
E
A.17.2 Redundancias.
N
Objetivo: Asegurar la disponibilidad de los recursos de tratamiento de la información.
I
Control
Disponibilidad de los
F
A.17.2.1 recursos de tratamiento Los recursos de tratamiento de la información deben ser
de la información implementados con la redundancia suficiente para satisfacer los
A
requisitos de disponibilidad.
A.18 Cumplimiento
R
A.18.1 Cumplimiento de los requisitos legales y contractuales
A
Objetivo: Evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales
relativas a la seguridad de la información o de los requisitos de seguridad.
P
Control
Identificación de la Todos los requisitos pertinentes, tanto legales como regulatorios,
legislación aplicable y de
O
A.18.1.1 estatutarios o contractuales, y el enfoque de la organización para
los requisitos cumplirlos, deben definirse de forma explícita, documentarse y
L
contractuales mantenerse actualizados para cada sistema de información de la
organización.
O
Control
S
Deben implementarse procedimientos adecuados para garantizar el
Derechos de Propiedad cumplimiento de los requisitos legales, regulatorios y contractuales
A.18.1.2
Intelectual (DPI) sobre el uso de materiales, con respecto a los cuales puedan existir
derechos de propiedad intelectual y sobre el uso de productos de
software patentados.
Control
Protección de los registros Los registros deben estar protegidos contra la pérdida, destrucción,
A.18.1.3
de la organización falsificación, revelación o acceso no autorizados de acuerdo con los
requisitos legales, regulatorios, contractuales y de negocio.
Protección y privacidad de Control
S
A.18.1.4 la información de carácter Debe garantizarse la protección y la privacidad de los datos, según se
personal
O
requiera en la legislación y la reglamentación aplicables.
Control
C
Regulación de los
A.18.1.5
I
controles criptográficos Los controles criptográficos se deben utilizar de acuerdo con todos los
contratos, leyes y regulaciones pertinentes.
T
A.18.2 Revisiones de la seguridad de la información
Objetivo: Garantizar que la seguridad de la información se implementa y opera de acuerdo con las políticas y
C
procedimientos de la organización.
Á
Control
El enfoque de la organización para la gestión de la seguridad de la
D
Revisión independiente de información y su implantación, es decir, objetivos de control,
I
A.18.2.1 la seguridad de la controles, políticas, procesos y procedimientos para la seguridad de la
información información, debe someterse a una revisión independiente a
D
intervalos planificados o siempre que se produzcan cambios
significativos en la implantación de la seguridad.
S
Control
Cumplimiento de las Los directivos deben asegurarse que todos los procedimientos de
E
A.18.2.2 políticas y normas de seguridad dentro de su área de responsabilidad se realizan
seguridad correctamente con el fin de cumplir las políticas y normas de
N
seguridad y cualquier otro requisito de seguridad aplicable
I
Control
F
Comprobación del Debe comprobarse periódicamente que los sistemas de información
A.18.2.3
cumplimiento técnico cumplen las políticas y normas de seguridad de la información de la
A
organización.
A R
P
L O
S O

Iso 27001 Auditor / Lead Auditor: Certiprof Certified

Cargado por

Copyright:

Formatos disponibles

Iso 27001 Auditor / Lead Auditor: Certiprof Certified

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27001 Auditor / Lead Auditor: Certiprof Certified

Cargado por

Copyright:

Formatos disponibles

CERTIPROF CERTIFIED

ISO 27001 AUDITOR / LEAD AUDITOR

ISO 27001 AUDITOR ISO 27001 LEAD AUDITOR

7. Seguridad relativa a los recursos humanos 13. Seguridad de las comunicaciones

8. Gestión de activos 14. Adquisición, desarrollo y mantenimiento de los sistemas de información

12. Seguridad de las operaciones

A.8.1.1 Inventario de activos La información y otros activos asociados a la información y a los-

A.11.2 Seguridad de los equipos

Gestión de las Se debe obtener información oportuna acerca de las vulnerabilidades

Requisitos de seguridad Todos los requisitos relacionados con la seguridad de la información

Se deben gestionar los cambios en la provisión del servicio, incluyendo

A.16.1.7 Recopilación de evidencias La organización debe deﬁnir y aplicar procedimientos para la

El enfoque de la organización para la gestión de la seguridad de la

También podría gustarte