ISO/IEC 27002:2013.

14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES

5. POLTICAS DE SEGRIDAD.
5.1 Directrices de la Direccin en seguridad de la informacin.
5.1.1 Conjunto de polticas para la seguridad de la informacin.
5.1.2 Revisin de las polticas para la seguridad de la informacin.
!. ASPECTOS ORGANI"ATIVOS DE LA SEGRIDAD DE LA IN#ORMAC.
6.1 Organizacin interna.
6.1.1 signacin de responsa!ilidades para la segur. de la informacin.
6.1.2 "egregacin de tareas.
6.1.# Contacto con las autoridades.
6.1.$ Contacto con grupos de inter%s especial.
6.1.5 "eguridad de la informacin en la gestin de pro&ectos.
6.2 Dispositivos para movilidad & teletra!ajo.
6.2.1 'oltica de uso de dispositivos para movilidad.
6.2.2 (eletra!ajo.
7. SEGRIDAD LIGADA A LOS RECRSOS $MANOS.
).1 ntes de la contratacin.
).1.1 *nvestigacin de antecedentes.
).1.2 (%rminos & condiciones de contratacin.
).2 Durante la contratacin.
).2.1 Responsa!ilidades de gestin.
).2.2 Concienciacin+ educacin & capacitacin en segur. de la informac.
).2.# 'roceso disciplinario.
).# Cese o cam!io de puesto de tra!ajo.
).#.1 Cese o cam!io de puesto de tra!ajo.
%. GESTI&N DE ACTIVOS.
,.1 Responsa!ilidad so!re los activos.
,.1.1 *nventario de activos.
,.1.2 'ropiedad de los activos.
,.1.# -so acepta!le de los activos.
,.1.$ Devolucin de activos.
,.2 Clasificacin de la informacin.
,.2.1 Directrices de clasificacin.
,.2.2 .ti/uetado & manipulado de la informacin.
,.2.# 0anipulacin de activos.
,.# 0anejo de los soportes de almacenamiento.
,.#.1 1estin de soportes e2tra!les.
,.#.2 .liminacin de soportes.
,.#.# "oportes fsicos en tr3nsito.
'. CONTROL DE ACCESOS.
4.1 Re/uisitos de negocio para el control de accesos.
4.1.1 'oltica de control de accesos.
4.1.2 Control de acceso a las redes & servicios asociados.
4.2 1estin de acceso de usuario.
4.2.1 1estin de altas5!ajas en el registro de usuarios.
4.2.2 1estin de los derec6os de acceso asignados a usuarios.
4.2.# 1estin de los derec6os de acceso con privilegios especiales.
4.2.$ 1estin de informacin confidencial de autenticacin de usuarios.
4.2.5 Revisin de los derec6os de acceso de los usuarios.
4.2.6 Retirada o adaptacin de los derec6os de acceso
4.# Responsa!ilidades del usuario.
4.#.1 -so de informacin confidencial para la autenticacin.
4.$ Control de acceso a sistemas & aplicaciones.
4.$.1 Restriccin del acceso a la informacin.
4.$.2 'rocedimientos seguros de inicio de sesin.
4.$.# 1estin de contrase7as de usuario.
4.$.$ -so de 6erramientas de administracin de sistemas.
4.$.5 Control de acceso al cdigo fuente de los programas.
10. CI#RADO.
18.1 Controles criptogr3ficos.
18.1.1 'oltica de uso de los controles criptogr3ficos.
18.1.2 1estin de claves.
11. SEGRIDAD #SICA Y AMBIENTAL.
11.1 9reas seguras.
11.1.1 'ermetro de seguridad fsica.
11.1.2 Controles fsicos de entrada.
11.1.# "eguridad de oficinas+ despac6os & recursos.
11.1.$ 'roteccin contra las amenazas e2ternas & am!ientales.
11.1.5 .l tra!ajo en 3reas seguras.
11.1.6 9reas de acceso p:!lico+ carga & descarga.
11.2 "eguridad de los e/uipos.
11.2.1 .mplazamiento & proteccin de e/uipos.
11.2.2 *nstalaciones de suministro.
11.2.# "eguridad del ca!leado.
11.2.$ 0antenimiento de los e/uipos.
11.2.5 "alida de activos fuera de las dependencias de la empresa.
11.2.6 "eguridad de los e/uipos & activos fuera de las instalaciones.
11.2.) Reutilizacin o retirada segura de dispositivos de almacenamiento.
11.2., ./uipo inform3tico de usuario desatendido.
11.2.4 'oltica de puesto de tra!ajo despejado & !lo/ueo de pantalla.
12. SEGRIDAD EN LA OPERATIVA.
12.1 Responsa!ilidades & procedimientos de operacin.
12.1.1 Documentacin de procedimientos de operacin.
12.1.2 1estin de cam!ios.
12.1.# 1estin de capacidades.
12.1.$ "eparacin de entornos de desarrollo+ prue!a & produccin.
12.2 'roteccin contra cdigo malicioso.
12.2.1 Controles contra el cdigo malicioso.
12.# Copias de seguridad.
12.#.1 Copias de seguridad de la informacin.
12.$ Registro de actividad & supervisin.
12.$.1 Registro & gestin de eventos de actividad.
12.$.2 'roteccin de los registros de informacin.
12.$.# Registros de actividad del administrador & operador del sistema.
12.$.$ "incronizacin de relojes.
12.5 Control del soft;are en e2plotacin.
12.5.1 *nstalacin del soft;are en sistemas en produccin.
12.6 1estin de la vulnera!ilidad t%cnica.
12.6.1 1estin de las vulnera!ilidades t%cnicas.
12.6.2 Restricciones en la instalacin de soft;are.
12.) Consideraciones de las auditoras de los sistemas de informacin.
12.).1 Controles de auditora de los sistemas de informacin.
13. SEGRIDAD EN LAS TELECOMNICACIONES.
1#.1 1estin de la seguridad en las redes.
1#.1.1 Controles de red.
1#.1.2 0ecanismos de seguridad asociados a servicios en red.
1#.1.# "egregacin de redes.
1#.2 *ntercam!io de informacin con partes e2ternas.
1#.2.1 'olticas & procedimientos de intercam!io de informacin.
1#.2.2 cuerdos de intercam!io.
1#.2.# 0ensajera electrnica.
1#.2.$ cuerdos de confidencialidad & secreto.
ISO27002.() PATROCINADO POR:
14. AD*ISICI&N, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE IN#ORMACI&N.
1$.1 Re/uisitos de seguridad de los sistemas de informacin.
1$.1.1 n3lisis & especificacin de los re/uisitos de seguridad.
1$.1.2 "eguridad de las comunicaciones en servicios accesi!les por redes
p:!licas.
1$.1.# 'roteccin de las transacciones por redes telem3ticas.
1$.2 "eguridad en los procesos de desarrollo & soporte.
1$.2.1 'oltica de desarrollo seguro de soft;are.
1$.2.2 'rocedimientos de control de cam!ios en los sistemas.
1$.2.# Revisin t%cnica de las aplicaciones tras efectuar cam!ios en el
sistema operativo.
1$.2.$ Restricciones a los cam!ios en los pa/uetes de soft;are.
1$.2.5 -so de principios de ingeniera en proteccin de sistemas.
1$.2.6 "eguridad en entornos de desarrollo.
1$.2.) .2ternalizacin del desarrollo de soft;are.
1$.2., 'rue!as de funcionalidad durante el desarrollo de los sistemas.
1$.2.4 'rue!as de aceptacin.
1$.# Datos de prue!a.
1$.#.1 'roteccin de los datos utilizados en prue!as.
15. RELACIONES CON SMINISTRADORES.
15.1 "eguridad de la informacin en las relaciones con suministradores.
15.1.1 'oltica de seguridad de la informacin para suministradores.
15.1.2 (ratamiento del riesgo dentro de acuerdos de suministradores.
15.1.# Cadena de suministro en tecnologas de la informacin &
comunicaciones.
15.2 1estin de la prestacin del servicio por suministradores.
15.2.1 "upervisin & revisin de los servicios prestados por terceros.
15.2.2 1estin de cam!ios en los servicios prestados por terceros.
1!. GESTI&N DE INCIDENTES EN LA SEGRIDAD DE LA IN#ORMACI&N.
16.1 1estin de incidentes de seguridad de la informacin & mejoras.
16.1.1 Responsa!ilidades & procedimientos.
16.1.2 <otificacin de los eventos de seguridad de la informacin.
16.1.# <otificacin de puntos d%!iles de la seguridad.
16.1.$ =aloracin de eventos de seguridad de la informacin & toma de
decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 prendizaje de los incidentes de seguridad de la informacin.
16.1.) Recopilacin de evidencias.
17. ASPECTOS DE SEGRIDAD DE LA IN#ORMACION EN LA GESTI&N DE
LA CONTINIDAD DEL NEGOCIO.
1).1 Continuidad de la seguridad de la informacin.
1).1.1 'lanificacin de la continuidad de la seguridad de la informacin.
1).1.2 *mplantacin de la continuidad de la seguridad de la informacin.
1).1.# =erificacin+ revisin & evaluacin de la continuidad de la seguridad
de la informacin.
1).2 Redundancias.
1).2.1 Disponi!ilidad de instalaciones para el procesamiento de la
informacin.
1%. CMPLIMIENTO.
1,.1 Cumplimiento de los re/uisitos legales & contractuales.
1,.1.1 *dentificacin de la legislacin aplica!le.
1,.1.2 Derec6os de propiedad intelectual >D'*?.
1,.1.# 'roteccin de los registros de la organizacin.
1,.1.$ 'roteccin de datos & privacidad de la informacin personal.
1,.1.5 Regulacin de los controles criptogr3ficos.
1,.2 Revisiones de la seguridad de la informacin.
1,.2.1 Revisin independiente de la seguridad de la informacin.
1,.2.2 Cumplimiento de las polticas & normas de seguridad.
1,.2.# Compro!acin del cumplimiento.
*so2)888.es@ Documento slo para uso did3ctico. Aa norma oficial de!e ad/uirirse en las entidades autorizadas para su venta. Octu!reB281#