232787821-iso27001-2013-anexo-a-en-tabla-excel

8/19/2019 232787821-ISO27001-2013-Anexo-a-En-Tabla-Excel

http://slidepdf.com/reader/full/232787821-iso27001-2013-anexo-a-en-tabla-excel 1/11

ISO27001:2013 - ANEXO AOBJETIVOS DE CONTROL Y CONTROLES

A.6.1. Organización Interna.

A.7.1. Antes de asumir el empleo.

A.5. POLÍTICA DE LASEGURIDAD DE LA

INOR!ACI"N.

A.5.1. Orientación de la Dirección

para la Gestión de la Seguridad dela Información.

A.5.1.1. Polticas para la Seguridad de la Información. Se de!e de"nir un con#unto

de polticas para la seguridad de la información$ apro!ada por la Dirección$pu!licada % comunicada a los empleados % partes interesadas.

O!#eti&o. 'rindar orientación %soporte$ por parte de la dirección$de acuerdo con los re(uisitos delnegocio % con las le%es %reglamentos pertinentes.

A.5.1.). *e&isión de las Polticas para seguridad de la información. +as Polticaspara Seguridad de la Información se de!en re&isar a inter&alos plani"cados o siocurren cam!ios signi"cati&os$ para asegurar su idoneidad$ adecuación % e"caciacontin,as.

A.. ORGANI$ACI"NDE LA SEGURIDAD DE

LA INOR!ACI"N.

A.6.1.1. Seguridad de la Información *oles % *esponsa!ilidades. Se de!en de"nir% asignar todas las responsa!ilidades de la seguridad de la información.

O!#eti&o. -sta!lecer un marco dereferencia de gestión para iniciar %controlar la implementación %operación del SGSI.

A.6.1.). Separación de de!eres. +as tareas % reas de responsa!ilidad encon/icto se de!en separar para reducir las posi!ilidades de modi"cación noautorizada o no intencional o el uso inde!ido de los acti&os de la organización.

A.6.1.0. ontacto con las autoridades. Se de!e mantener contactos apropiadoscon las autoridades pertinentes.

A.6.1.2. ontacto con grupos de inter3s especial. Se de!en mantener controlesapropiados con grupos de inter3s especial u otros foros % asociaciones

profesionales especializadas en seguridad.A.6.1.5. Seguridad de la información en Gestión de Pro%ectos. +a seguridad de lainformación se de!e tratar en la gestión de pro%ectos$ independiente del tipo depro%ecto$

A.6.). Dispositi&os 4ó&iles % eletra!a#o.

A.6.).1. Poltica para dispositi&os mó&iles. Se de!en adoptar una poltica % unasmedidas de seguridad de soporte$ para gestionar los riesgos introducidos por eluso de dispositi&os mó&iles.

O!#eti&o. Garantizar la seguridaddel teletra!a#o % el uso dedispositi&os mó&iles.

A.6.).). eletra!a#o. Se de!en implementar una poltica % medidas de seguridadde soporte para proteger la información a la (ue se tiene acceso$ (ue esprocesada o almacenada en los lugares en los (ue se realiza teletra!a#o.

A.7.1.1. Selección. +as &eri"caciones de los antecedentes de todos los candidatosa un empleo se de!en lle&ar a ca!o de acuerdo con las le%es$ reglamentos %3tica pertinentes$ % de!en ser proporcionales a los re(uisitos de negocio$ a laclasi"cación de la información a (ue se &a a tener acceso$ % a los riesgosperci!idos.




A.7. SEGURIDAD DELOS RECURSOS

%U!ANOS.

O!#eti&o. Asegurar (ue losempleados % contratistas

comprenden sus responsa!ilidades% son idóneos en los roles para los(ue se consideran.

A.7.1.). 3rminos % condiciones del empleo. +os acuerdos contractuales con

empleados % contratistas de!en esta!lecer sus responsa!ilidades % las de laorganización en cuanto a seguridad de la información.

A.7.). Durante la e#ecución delempleo.

A.7.).1. *esponsa!ilidades de la Dirección. +a dirección de!e eigir a todos losempleados % contratistas la aplicación de la seguridad de la información deacuerdo con las polticas % procedimientos esta!lecidos de la organización.

O!#eti&o. Asegurarse (ue losempleados % contratistas tomen

conciencia de susresponsa!ilidades de seguridad dela información % las cumplan.

A.7.).). oma de conciencia$ educación % formación de la Seguridad de laInformación. odos los empleados de la organización % donde sea pertinente$ los

contratistas de!en reci!ir educación % la formación en toma de concienciaapropiada$ % actualizaciones regulares so!re las polticas % procedimientospertinentes para su cargo.

A.7.).0. Proceso disciplinario. Se de!e contar con un proceso formal %comunicado para emprender acciones contra empleados (ue a%an cometidouna &iolación a la seguridad de la información.

A.7.0. erminación % cam!io deempleo.

A.7.0.1. erminación o cam!io de responsa!ilidades de empleo. +asresponsa!ilidades % los de!eres de seguridad de la información (ue permanecen&lidos despu3s de la terminación o cam!io de empleo se de!en de"nir$comunicar al empleado o contratista % se de!en acer cumplir.

O!#eti&o. Proteger los intereses dela organización como parte delproceso de cam!io o terminacióndel empleo.

A.8.1. *esponsa!ilidad por losActi&os.

A.8.1.1. In&entario de Acti&os. Se de!en identi"car los acti&os asociados coninformación e instalaciones de procesamiento de información$ % se de!e ela!orar% mantener un in&entario de estos acti&os.

O!#eti&o. Identi"car los acti&osorganizacionales % de"nir las

responsa!ilidades de protecciónapropiada.

A.8.1.). Propiedad de los acti&os. +os acti&os mantenidos en el in&entario de!en

ser propios.

A.8.1.0. 9so Acepta!le de los Acti&os. Se de!en identi"car$ documentar eimplementar reglas para el uso acepta!le de información % de acti&os asociadoscon información e instalaciones de procesamiento de información.

A.8.1.2. De&olución de Acti&os. odos los empleados % usuarios de parteseternas de!en de&ol&er todos los acti&os de la organización (ue se encuentrena su cargo$ al terminar su empleo$ contrato o acuerdo.




A.&. GESTI"N DEACTIVOS.

A.8.). lasi"cación de laInformación.

A.8.).1. lasi"cación de la Información. +a información se de!e clasi"car enfunción de los re(uisitos legales$ &alor$ criticidad % suscepti!ilidad a di&ulgación oa modi"cación no autorizada.

O!#eti&o. Asegurar (ue laorganización reci!e un ni&elapropiado de protección deacuerdo con su importancia parala organización.

A.8.).). -ti(uetado de la Información. Se de!e desarrollar e implementar uncon#unto apropiado de procedimientos para el eti(uetado de la información$ deacuerdo con el es(uema de clasi"cación de información adoptado por laorganización.

A.8.).0. 4ane#o de Acti&os. Se de!en desarrollar e implementar procedimientospara el mane#o de acti&os$ de acuerdo con el es(uema de clasi"cación deinformación adoptado por la organización.

A.8.0. 4ane#o de medios de

soporte.

A.8.0.1. Gestión de medios de Soporte *emo&i!les. Se de!en implementar

procedimientos para la gestión de medios de soporte remo&i!les$ de acuerdo conel es(uema de clasi"cación adoptado por la organización.

O!#eti&o. Pre&enir la di&ulgación$ lamodi"cación$ el retiro o ladestrucción de informaciónalmacenada en medios de soporte.

A.8.0.). Disposición de los medios de soporte. Se de!e disponer en forma segurade los medios de soporte cuando %a no se re(uieran$ utilizando procedimientosformales.

A.8.0.0. ransferencia de medios de soporte fsicos. +os medios (ue contieneninformación se de!en proteger contra acceso no autorizado$ uso inde!ido ocorrupción durante el transporte.

A.:.1. *e(uisitos del ;egocio paraontrol de Acceso.

A.:.1.1. Poltica de ontrol de Acceso. Se de!e esta!lecer$ documentar % re&isaruna poltica de control de acceso con !ase en los re(uisitos del negocio % deseguridad de la información.

O!#eti&o. +imitar el acceso ainformación % a instalaciones deprocesamiento de información.

A.:.1.). Acceso a redes % a ser&icios en red. Solo se de!e permitir acceso de losusuarios a la red % a los ser&icios de red para los (ue a%an sido autorizadosespec"camente.

A.:.). Gestión de Acceso de9suarios.

A.:.).1. *egistro % cancelación del registro de usuarios. Se de!e implementar unproceso formal de registro % de cancelación del registro para posi!ilitar laasignación de los derecos de acceso.

O!#eti&o. Asegurar el acceso de losusuarios autorizados e impedir elacceso no autorizado a sistemas %ser&icios.

A.:.).). Suministro de acceso de usuarios. Se de!e implementar un proceso desuministro de acceso formal de usuarios para asignar o cancelar los derecos deacceso a todo tipo de usuarios para todos los sistemas % ser&icios.

A.:.).0. Gestión de derecos de acceso pri&ilegiado. Se de!e restringir %controlar la asignación % uso de derecos de acceso pri&ilegiado.

A.:.).2. Gestión de información de autenticación secreta de usuarios. +aasignación de información de autenticación secreta se de!e controlar por mediode un procedimiento de gestión formal.




A.10. CRIPTOGRAÍA

A.1<.1. ontroles riptogr"cos.

A.'. CONTROL DEACCESO.

A.:.).5. *e&isión de los derecos de acceso de usuarios. +os due=os de losacti&os de!en re&isar los derecos de acceso de los usuarios a inter&alosregulares.

A.:.).6. ancelación o a#uste de los derecos de acceso. +os derecos de accesode todos los empleados % de usuarios eternos a la información % a lasinstalaciones de procedimiento de información se de!en cancelar al terminar suempleo$ contrato o acuerdo$ o se de!en a#ustar cuando se agan cam!ios.

A.:.0. *esponsa!ilidades de losusuarios.

A.:.0.1.9so de información secreta. Se de!e eigir a los usuarios (ue cumplan lasprcticas de la organización para el uso de información de autenticación secreta.

O!#eti&o. >acer (ue los usuarios

rindan cuentas por la custodia desu información de autenticación.

A.:.2. ontrol de Acceso aSistemas % Aplicaciones.

A.:.2.1. *estricción de acceso a información. -l acceso a la información % a lasfunciones de los sistemas de las aplicaciones se de!e restringir de acuerdo con lapoltica de control de acceso.

O!#eti&o. Pre&enir el uso noautorizado de sistemas %aplicaciones.

A.:.2.). Procedimiento de oneión Segura. uando lo re(uiere la poltica decontrol de acceso$ el acceso a sistemas % aplicaciones se de!e controlarmediante un proceso de coneión segura.

A.:.2.0. Sistema de Gestión de ontrase=as.los sistemas de gestión decontrase=as de!en ser interacti&os % de!en asegurar contrase=as de calidad.

A.:.2.2. 9so de programas utilitarios pri&ilegiados. Se de!e restringir % controlarestrecamente el uso de programas utilitarios (ue podran tener capacidad deanular el sistema % los controles de las aplicaciones.

A.:.2.5. ontrol de Acceso a ódigos ?uente de Programas. Se de!e restringir elacceso a códigos fuente de programas.

A.1<.1.1. Poltica so!re el uso de controles riptogr"cos. Se de!e desarrollar eimplementar una poltica so!re el uso de controles criptogr"cos para protecciónde información.

O!#eti&o. Asegurar el usoapropiado % e"caz de lacriptografa para proteger lacon"a!ilidad$ la autenticidad %@o laintegridad de la información.

A.1<.1.). Gestión de la&es. Se de!e desarrollar e implementar una poltica so!reel uso$ protección % tiempo de &ida de cla&es criptogr"cas$ durante todo su ciclode &ida.




A.11.1. reas Seguras.

A.11.). -(uipos.

A.11. SEGURIDADÍSICA Y A!BIENTAL.

A.11.1.1. Permetro de Seguridad ?sica. Se de!en de"nir % usar permetros deseguridad$ % usarlos para proteger reas (ue contengan información con"dencialo crtica$ e instalaciones de mane#o de información.

O!#eti&o. Pre&enir el acceso fsicono autorizado$ el da=o % lainterferencia a la información % alas instalaciones de procesamiento

de información de la organización.

A.11.1.). ontroles ?sicos de entrada. +as reas seguras se de!en protegermediante controles de entrada apropiados para asegurar (ue solamente sepermite el acceso a personal autorizado.

A.11.1.0. Seguridad de o"cinas$ salones e instalaciones. Se de!e dise=ar %aplicar seguridad fsica a o"cinas$ salones e instalaciones.

A.11.1.2. Protección contra amenazas eternas % am!ientales. Se de!e dise=ar %aplicar protección fsica contra desastres naturales$ ata(ues maliciosos oaccidentes.

A.11.1.5. ra!a#o en reas seguras. Se de!en dise=ar % aplicar procedimientospara tra!a#o en reas seguras.

A.11.1.6. reas de despaco % carga. Se de!en controlar los puntos de accesotales como reas de despaco % de carga % otros puntos en donde pueden entrarpersonas no autorizadas$ % si es posi!le$ aislarlos de las instalaciones deprocesamiento de información para e&itar el acceso no autorizado.

A.11.).1. 9!icación % protección de los e(uipos. +os e(uipos de!en estaru!icados % protegidos para reducir los riesgos de amenazas % peligrosam!ientales % las posi!ilidades de acceso no autorizado.




O!#eti&o. Pre&enir la p3rdida$ da=o$ro!o o compromiso de acti&os$ % la

interrupción de las operaciones dela organización.

A.11.).). Ser&icios P,!licos de soporte. +os e(uipos se de!en proteger de fallasde potencia % otras interrupciones causadas por fallas en los ser&icios p,!licos

de soporte.

A.11.).0. Seguridad del ca!leado. -l ca!leado de potencia % detelecomunicaciones (ue porta datos o !rinda soporte a los ser&icios deinformación se de!e proteger contra interceptaciones$ interferencia o da=o.

A.11.).2. 4antenimiento de e(uipos. +os e(uipos se de!en mantenercorrectamente para asegurar su disponi!ilidad e integridad continuas.

A.11.).5. *etiro de Acti&os. +os e(uipos$ información o softBare no se de!en

retirar de su sitio sin autorización pre&ia.

A.11.).6. Seguri a e e(uipos % acti&os uera e pre io. Se e en ap icarmedidas de seguridad a los acti&os (ue se encuentran fuera de los predios de laorganización$ teniendo en cuenta los diferentes riesgos de tra!a#ar fuera dedicos redios.

A.11.).7. Disposición segura o reutilización de e(uipos. Se de!en &eri"car todoslos elementos de e(uipos (ue contengan medios de almacenamiento paraasegurar (ue cual(uier dato con"dencial o softBare con licencia a%a sidoretirado o so!re escrito en forma segura antes de su disposición o reuso.

A.11.).8. -(uipos sin super&isión de los usuarios. +os usuarios de!en asegurarsede (ue el e(uipo sin super&isión tenga la protección apropiada.

A.11.).:. Poltica de escritorio limpio % pantalla limpia. Se de!e adoptar unapoltica de escritorio limpio para los papeles % medios de almacenamientoremo&i!les$ % una poltica de pantalla limpia para las instalaciones deprocesamiento de información.

A.1).1. Procedimientos operacionales

% responsa!ilidades.

A.1).1.1. Procedimientos de operación documentadas. +os procedimientos operati&os se

de!en documentar % poner a disposición de todos los usuarios (ue los necesitan.O!#eti&o. Asegurar las operacionescorrectas % seguras de lasinstalaciones de procesamiento deinformación.

A.1).1.). Gestión de am!ios. Se de!en controlar los cam!ios en la organización$ en losprocesos de negocio$ en las instalaciones % en los sistemas de procesamiento deinformación (ue afectan la seguridad de la información.

A.1).1.0. Gestión de apacidad. Se de!e acer seguimiento al uso de recursos$ acer losa#ustes$ % acer pro%ecciones de los re(uisitos de capacidad futura$ para asegurar eldesempe=o re(uerido del sistema.

A.1).1.2. Separación de los am!ientes de desarrollo$ ensa%o % operación. Se de!enseparar los am!ientes de desarrollo$ ensa%o % operati&os$ para reducir los riesgos deacceso o cam!ios no autorizados al am!iente operacional.




A.1).0. opias de *espaldo.

A.1).2. *egistro % Seguimiento.A.12. SEGURIDAD DELAS OPERACIONES.

A.1).). Protección contra códigosmaliciosos.

A.1).).1. ontroles contra códigos maliciosos. Se de!en implementar controles dedetección$ de pre&ención % de recuperación$ com!inarlos con la toma de conciencia

apropiada de los usuarios$ para proteger contra códigos maliciosos.

O!#eti&o. Asegurarse de (ue lainformación % las instalaciones deprocesamiento de información est3nprotegidas contra códigos maliciosos.

A.1).0.1. opias de respaldo de la información. Se de!en acer copias de respaldo de lainformación$ softBare e imgenes de los sistemas % ponerlas a prue!a regularmente deacuerdo con una poltica de copias de respaldo acordadas.

O!#eti&o. Proteger contra la p3rdida

de datos.A.1).2.1. *egistro de e&entos. Se de!en ela!orar$ conser&ar % re&isar regularmente losregistros de e&entos acerca de acti&idades del usuario$ ecepcionales$ fallas % e&entosde seguridad de la información.

O!#eti&o. *egistrar e&entos % generare&idencia.

A.1).2.). Protección de la información de registro. +as instalaciones % la información deregistro se de!en proteger contra alteración % acceso no autorizado.

A.1).2.0. *egistros del administrador % del operador. +as acti&idades del administrador %del operador del sistema se de!en registrar % los registros se de!en proteger % re&isarcon regularidad.

A.1).2.2. Sincronización de relo#es. +os relo#es de todos los sistemas de procesamiento

de información pertinentes dentro de una organización o m!ito de seguridad se de!ensincronizar con una ,nica fuente de referencia de tiempo.

A.1).5. ontrol de SoftBareOperacional.

A.1).5.1. Instalación de softBare en sistemas operati&os. Se de!en implementarprocedimientos para controlar la instalación de softBare en sistemas operati&os.

O!#eti&o. Asegurarse de la integridadde los sistemas operacionales.

A.1).6. Gestión de &ulnera!ilidadt3cnica.

A.1).6.1. Gestión de las &ulnera!ilidades t3cnicas. Se de!e o!tener oportunamenteinformación acerca de las &ulnera!ilidades t3cnicas de los sistemas de información (uese usenC e&aluar la eposición de la organización a estas &ulnera!ilidades$ % tomar lasmedidas apropiadas para tratar el riesgo asociado.

O!#eti&o. Pre&enir el apro&ecamientode las &ulnera!ilidades t3cnicas.

A.1).6.). *estricciones so!re la instalación de SoftBare. Se de!e esta!lecer eimplementar el reglamento de instalación de softBare por parte de los usuarios.

A.1).7. onsideraciones so!reauditoras de sistemas deinformación.

A.1).7.1. ontroles so!re auditoras de Sistemas de Información. +os re(uisitos %acti&idades de auditora (ue in&olucran la &eri"cación de los sistemas operati&os sede!en plani"car % acordar cuidadosamente para minimizar las interrupciones en losprocesos del negocio.

O!#eti&o. 4inimizar el impacto de lasacti&idades de auditora so!re lossistemas operati&os.

A.10.1. Gestión de Seguridad de*edes.

A.10.1.1. ontroles de redes. +as redes se de!en gestionar % controlar para proteger lainformación en sistemas % aplicaciones.




A.10.). ransferencia de información.A.13. SEGURIDAD DELAS CO!UNICACIONES.

O!#eti&o. Asegurar la protección de lainformación en las redes$ % susinstalaciones de procesamiento deinformación de soporte.

A.10.1.). Seguridad de los ser&icios de red. Se de!en identi"car los mecanismos deseguridad % los ni&eles de ser&icio % los re(uisitos de gestión de todos los ser&icios de

red$ e incluirlos en los acuerdos de ser&icios de red$ e incluirlos en los acuerdos deser&icio de red$ %a sea (ue los ser&icios se presten internamente o se contrateneternamente.

A.10.1.0. Separación en las redes. +os grupos de ser&icios de información$ usuarios %sistemas de información se de!en separar en las redes.

A.10.).1. Polticas % procedimientos de transferencia de información. Se de!e contar conpolticas$ procedimientos % controles de transferencia formales para proteger latransferencia de información$ mediante el uso de todo tipo de instalaciones decomunicaciones.

O!#eti&o. 4antener la seguridad de la

información transferida dentro de unaorganización % con cual(uier entidadeterna.

A.10.).). Acuerdos so!re transferencia de información. +os acuerdos de!en tratar latransferencia segura de información del negocio entre la organización % las parteseternas.

A.10.).0. 4ensa#es electrónicos. Se de!e proteger apropiadamente la informaciónincluida en los mensa#es electrónicos.

A.10.).2. Acuerdos de con"dencialidad o de no di&ulgación. Se de!en identi"car$ re&isarregularmente % documentar los re(uisitos para los acuerdos de con"dencialidad o nodi&ulgación (ue re/e#en las necesidades de la organización para la protección de lainformación.

A.1(. AD)UISICI"N*

A.12.1. *e(uisitos de seguridad de lossistemas de información.

A.12.1.1. Anlisis % especi"cación de re(uisitos de seguridad de la información. +os

re(uisitos relacionados con seguridad de la información se de!en incluir en los re(uisitospara nue&os sistemas de información o para me#oras a los sistemas de informacióneistentes.

O!#eti&o. Garantizar (ue la seguridadde la información sea una parteintegral de los sistemas deinformación durante todo el ciclo de&ida. -sto inclu%e los re(uisitos parasistemas de información (ue prestanser&icios so!re redes p,!licas.

A.12.1.). Seguridad de ser&icios de las aplicaciones en redes p,!licas. +a informaciónin&olucrada en ser&icios de aplicaciones (ue pasan so!re redes p,!licas se de!eproteger de acti&idades fraudulentas$ disputas contractuales % di&ulgación %modi"cación no autorizadas.

A.12.1.0. Protección de transacciones de ser&icios de aplicaciones. +a informaciónin&olucrada en las transacciones de ser&icios de aplicaciones se de!e proteger parapre&enir la transmisión incompleta$ el enrutamiento errado$ la alteración no autorizadade mensa#es. +a di&ulgación no autorizada % la duplicación o reproducción de mensa#esno autorizados.

A.12.). Seguridad en los procesos dedesarrollo % de soporte.

A.12.).1. Poltica de desarrollo seguro. Se de!en esta!lecer % aplicar reglas para eldesarrollo de softBare % de sistemas a los desarrollos dentro de la organización.

O!#eti&o. Asegurar (ue la seguridadde la información est3 dise=ada eimplementada dentro del ciclo de&ida de desarrollo de los sistemas deinformación.

A.12.).). Procedimiento de control de cam!ios en sistemas. +os cam!ios a los sistemasdentro del ciclo de &ida de desarrollo de softBare % de sistemas a los desarrollos dentrode la organización.




A.12.0. Datos de ensa%o.

!ANTENI!IENTO DESISTE!AS.

A.12.).0. *e&isión t3cnica de aplicaciones despu3s de cam!ios en la plataforma deoperaciones. uando se cam!ian las plataformas de operación$ se de!en re&isar las

aplicaciones crticas del negocio$ % poner a prue!a para asegurar (ue no a%a impactoad&erso en las operaciones o seguridad organizacionales.

A.12.).2. *estricciones so!re los cam!ios de pa(uetes de softBare. Se de!en desalentarlas modi"caciones a los pa(uetes de softBare$ (ue se de!en limitar a los cam!iosnecesarios$ % todos los cam!ios se de!en controlar estrictamente.

A.12.).5. Principios de construcción de sistemas de seguros. Se de!en esta!lecer$documentar % mantener principios para la organización de sistemas seguros$ % aplicarlosa cual(uier tra!a#o de implementación de sistemas de información.

A.12.).6. Am!iente de desarrollo seguro. +as organizaciones de!en esta!lecer %proteger adecuadamente los am!ientes de desarrollo seguros para las tareas de

desarrollo e integración de sistemas (ue comprendan todo el ciclo de &ida de desarrollode sistemas.

A.12.).7. Desarrollo contratado eternamente. +a organización de!e super&isar % acerseguimiento de la acti&idad de desarrollo de sistemas su!contratados.

A.12.).8. Prue!as de seguridad de sistemas. Durante el desarrollo se de!en lle&ar aca!o ensa%os de funcionalidad de la seguridad.

A.12.).:. Prue!as de aceptación de sistemas. Para los sistemas de información nue&os$actualizaciones % nue&as &ersiones se de!en esta!lecer programas de ensa%o % criteriosrelacionados.

A.12.0.1. Protección de datos de ensa%o. +os datos de ensa%o se de!en seleccionar$

proteger % controlar cuidadosamente.O!#eti&o. Asegurar la protección delos datos usados para ensa%os.

A.15. RELACIONES CONLOS PROVEEDORES.

A.15.1. Seguridad de la informaciónen las relaciones con los pro&eedores.

A.15.1.1. Poltica de seguridad de la información para las relaciones con pro&eedores.+os re(uisitos de seguridad de la información para mitigar los riesgos asociados con elacceso de pro&eedores a los acti&os de la organización se de!en acordar con estos % sede!en documentar.

O!#eti&o. Asegurar la protección delos acti&os de la organización (uesean accesi!les a los pro&eedores.

A.15.1.). ratamiento de la seguridad dentro de los acuerdos con pro&eedores. Se de!enesta!lecer % acordar todos los re(uisitos de seguridad de la información pertinentes concada pro&eedor (ue puedan tener acceso$ procesar$ almacenar$ comunicar o suministrar

componentes de infraestructura de I para la información de la organización.

A.15.1.0. adena de suministro de tecnologa de información % comunicación. +osacuerdos con pro&eedores de!en incluir re(uisitos para tratar los riesgos de seguridadde la información asociados con la cadena de suministro de productos % ser&icios detecnologa de información % comunicación.

A.15.). Gestión de la prestación deser&icios de pro&eedores.

A.15.).1. Seguimiento % re&isión de los ser&icios de los pro&eedores. +as organizacionesde!en acer seguimiento$ re&isar % auditar con regularidad la prestación de ser&icios delos pro&eedores.

O!#eti&o. 4antener el ni&el acordado

de seguridad de la información % deprestación del ser&icio en lnea conlos acuerdos con los pro&eedores.

A.15.).). Gestión de cam!ios a los ser&icios de los pro&eedores. Se de!en gestionar loscam!ios en el suministro de ser&icios por parte de los pro&eedores$ incluido elmantenimiento % la me#ora de las polticas$ procedimientos % controles de seguridad dela información eistentes$ teniendo en cuenta la criticidad de la información$ sistemas %procesos del negocio in&olucrados % la ree&aluación de los riesgos.




A.17.). *edundancia

A.1. GESTI"N DE

INCIDENTES DESEGURIDAD DE LAINOR!ACI"N.

A.16.1. Gestión de incidentes %me#oras en la seguridad de la

información.

A.16.1.1. *esponsa!ilidades % procedimientos. Se de!en esta!lecer lasresponsa!ilidades % procedimientos de gestión para asegurar una respuesta rpida$

e"caz % ordenada a los incidentes de seguridad de la información.O!#eti&o. Asegurar un enfo(uecoerente % e"caz para la gestión deincidentes de seguridad de lainformación$ incluida la comunicaciónso!re e&entos de seguridad %de!ilidad.

A.16.1.). Informe de e&entos de seguridad de la información. +os e&entos de seguridadde la información se de!en informar a tra&3s de los canales de gestión apropiados tanpronto como sea posi!le.

A.16.1.0. Informe de de!ilidades de seguridad de la información. Se de!e eigir a todoslos empleados % contratistas (ue usan los ser&icios % sistemas de información de laorganización$ (ue se o!ser&en e informen cual(uier de!ilidad de seguridad de la

información o!ser&ada o sospecada en los sistemas o ser&icios.A.16.1.2. -&aluación de e&entos de seguridad de la información % decisiones so!re ellos.+os e&entos de seguridad de la información se de!en e&aluar % se de!e decidir si se &ana clasi"car como incidentes de seguridad de la información.

A.16.1.5. *espuesta a incidentes de seguridad de la información. Se de!e dar respuestaa los incidentes de seguridad de la información de acuerdo con procedimientosdocumentados.

A.16.1.6. Aprendiza#e o!tenido de los incidentes de seguridad de la información. -lconocimiento ad(uirido al analizar % resol&er incidentes de seguridad de la informaciónse de!e usar para reducir la posi!ilidad o el impacto de incidentes futuros.

A.16.1.7. *ecolección de e&idencia. +a organización de!e de"nir % aplicarprocedimientos para la identi"cación$ recolección$ ad(uisición % preser&ación deinformación (ue pueda ser&ir como e&idencia.

A.17. ASPECTOS DESEGURIDAD DE LA

INOR!ACI"N DE LAGESTI"N DE LA

CONTINUIDAD DENEGOCIO.

A.17.1. ontinuidad de seguridad dela información

A.17.1.1. Plani"cación de la continuidad de la seguridad de la información. +aorganización de!e determinar sus re(uisitos para la seguridad de la información % lacontinuidad de la gestión de seguridad de la información en situaciones ad&ersas$ pore#emplo$ durante una crisis o desastres.

O!#eti&o. +a continuidad de seguridadde la información se de!e incluir enlos sistemas de gestión de lacontinuidad de negocio de laorganización.

A.17.1.). Implementación de la continuidad de la seguridad de la información. +aorganización de!e esta!lecer$ documentar$ implementar % mantener procesos$

procedimientos % controles para asegurar el ni&el de continuidad re(uerido para laseguridad de la información durante una situación ad&ersa.

A.17.1.0. eri"cación$ re&isión % e&aluación de la continuidad de la seguridad de lainformación. +a organización de!e &eri"car a inter&alos regulares los controles decontinuidad de la seguridad de la información implementados con el "n de asegurar (uelos &lidos % e"caces durante situaciones ad&ersas.

A.17.).1. Disponi!ilidad de instalaciones de procesamiento de información. +asinstalaciones de procesamiento de información se de!en implementar con redundanciasu"ciente para cumplir los re(uisitos de disponi!ilidad.

O!#eti&o. Asegurarse de ladisponi!ilidad de instalaciones deprocesamiento de información.




A.1&. CU!PLI!IENTO.

A.18.1. umplimiento de re(uisitoslegales % contractuales.

A.18.1.1. Identi"cación de los re(uisitos de legislación % contractuales aplica!les. Sede!en identi"car$ documentar % mantener actualizados eplcitamente todos losre(uisitos legislati&os estatutarios$ de reglamentación % contractuales pertinentes$ % elenfo(ue de la organización para cada sistema de información % para la organización.

O!#eti&o. -&itar &iolaciones de laso!ligaciones legales$ estatutarias$ dereglamentación o contractualesrelacionadas con seguridad de lainformación % de cual(uier re(uisitode seguridad.

A.18.1.). Derecos de Propiedad Intelectual. Se de!en implementar procedimientosapropiados para asegurar el cumplimiento de los re(uisitos legislati&os$ dereglamentación % contractuales relacionados con los derecos de propiedad intelectual %el uso de productos de softBare licenciados.

A.18.1.0. Protección de registros. +os registros se de!en proteger contra p3rdida$

destrucción$ falsi"cación$ acceso no autorizado % li!eración no autorizada$ de acuerdocon los re(uisitos legislati&os$ de reglamentación$ contractuales % de negocio.

A.18.1.2. Pri&acidad % protección de la información identi"ca!le personalmente. Sede!en asegurar la pri&acidad % la protección de la información identi"ca!lepersonalmente$ como se eige en la legislación % la reglamentación pertinentes$ cuandosea aplica!le.

A.18.1.5. *eglamentación de ontroles riptogr"cos. Se de!en usar controlescriptogr"cos$ en cumplimiento de todos los acuerdos

A.18.). *e&isiones de seguridad de lainformación

A.18.).1. *e&isión independiente de la seguridad de la información. -l enfo(ue de la

organización para la gestión de la seguridad de la información % su implementación Eesdecir$ los o!#eti&os de control$ los controles$ la polticas$ los procesos % losprocedimientos para seguridad de la información se de!en re&isar independientementea inter&alos plani"cados o cuando ocurran cam!ios signi"cati&os.

O!#eti&o. Asegurar (ue la seguridadde la información se implemente %opere de acuerdo con las polticas %procedimiento organizacionales.

A.18.).). umplimiento con las polticas % normas de seguridad. +os directores de!enre&isar con regularidad el cumplimiento del procesamiento % procedimientos deinformación dentro de su rea de responsa!ilidad$ con las polticas % normas deseguridad apropiadas % cual(uier otro re(uisito de seguridad.

A.18.).0. *e&isión del umplimiento 3cnico. +os Sistemas de información se de!enre&isar con regularidad para determinar el cumplimiento con las polticas % normas deseguridad de la información.

232787821-iso27001-2013-anexo-a-en-tabla-excel

Documents