 00. Cláusulas |
05. Política de Seguridad |
06. Organización de la Seguridad de Información |
| 07. Gestión de Activos |
08. Seguridad ligada a los Recursos Humanos |
09. Seguridad Física y del Entorno |
| 10.1.1. Documentación de procedimientos operativos |
10.1.2. Control de cambios operacionales |
10.1.3. Segregación de tareas |
| 10.1.4. Separación de los recursos para desarrollo y producción |
10 1 Procedimientos y responsabilidades de operación |
10. 10. 1. Registro de incidencias |
| 10. 10. 2. Supervisión del uso de los sistemas |
10. 10. 3. Protección de los registros de incidencias |
10. 10. 4. Diarios de operación del administrador y operador |
| 10. 10. 5. Registro de fallos |
10. 10. 6. Sincronización del reloj |
10 10 Monitorización |
| 10.2.1. Prestación de servicios |
10.2.2. Monitorización y revisión de los servicios contratados |
10.2.3. Gestión de los cambios en los servicios contratados |
| 10 2 Supervisión de los servicios contratados a terceros |
10. 3. 1. Planificación de capacidades |
10. 3. 2. Aceptación del sistema |
| 10 3 Planificación y aceptación del sistema |
10. 4. 1. Medidas y controles contra software malicioso |
10. 4. 2. Medidas y controles contra código móvil |
| 10 4 Protección contra software malicioso y código móvil |
10. 5. 1. Recuperación de la información |
10 5 Gestión interna de soportes y recuperación |
| 10. 6. 1. Controles de red |
10. 6. 2. Seguridad en los servicios de red |
10 6 Gestión de redes |
| 10. 7. 1. Gestión de soportes extraíbles |
10. 7. 2. Eliminación de soportes |
10. 7. 3. Procedimientos de utilización de la información |
| 10. 7. 4. Seguridad de la documentación de sistemas |
10 7 Utilización y seguridad de los soportes de información |
10. 8. 1. Políticas y procedimientos de intercambio de información |
| 10. 8. 2. Acuerdos de intercambio |
10. 8. 3. Soportes físicos en tránsito |
10. 8. 4. Mensajería electrónica |
| 10. 8. 5. Sistemas de información empresariales |
10 8 Intercambio de información y software |
10. 9. 1. Seguridad en comercio electrónico |
| 10. 9. 2. Seguridad en transacciones en línea |
10 9 3 Seguridad en información pública |
10 9 Servicios de comercio electrónico |
| 10. Gestión de Comunicaciones y Operaciones |
11.1.1. Política de control de accesos |
11 1 Requerimientos de negocio para el control de accesos |
| 11.2.1. Registro de usuario |
11.2.2. Gestión de privilegios |
11.2.3. Gestión de contraseñas de usuario |
| 11.2.4. Revisión de los derechos de acceso de los usuarios |
11 2 Gestión de acceso de usuario |
11.3.1. Uso de contraseña |
| 11.3.2. Equipo informático de usuario desatendido |
11.3.3. Políticas para escritorios y monitores sin información |
11 3 Responsabilidades del usuario |
| 11.4.1. Política de uso de los servicios de red |
11.4.2. Autenticación de usuario para conexiones externas |
11.4.3. Autenticación de nodos de la red |
| 11.4.4. Protección a puertos de diagnóstico remoto |
11.4.5. Segregación en las redes |
11.4.6. Control de conexión a las redes |
| 11.4.7. Control de encaminamiento en la red |
11 4 Control de acceso en red |
11.5.1. Procedimientos de conexión de terminales |
| 11.5.2. Identificación y autenticación de usuario |
11.5.3. Sistema de gestión de contraseñas |
11.5.4. Uso de los servicios del sistema |
| 11.5.5. Desconexión automática de terminales |
11.5.6. Limitación del tiempo de conexión |
11 5 Control de acceso al sistema operativo |
| 11.6.1. Restricción de acceso a la información |
11 6 2 Aislamiento de sistemas sensibles |
11 6 Control de acceso a las aplicaciones |
| 11 7 1 Informática móvil |
11.7.2. Tele trabajo |
11 7 Informática móvil y tele trabajo |
| 11. Control de Accesos |
12.1.1. Análisis y especificación de los requisitos de seguridad |
12 1 Requisitos de seguridad de los sistemas |
| 12.2.1. Validación de los datos de entrada |
12.2.2. Control del proceso interno |
12.2.3. Autenticación de mensajes |
| 12.2.4. Validación de los datos de salida |
12 2 Seguridad de las aplicaciones del sistema |
12.3.1. Política de uso de los controles criptográficos |
| 12.3.2. Cifrado |
12 3 Controles criptográficos |
12.4.1. Control del software en explotación |
| 12.4.2. Protección de los datos de prueba del sistema |
12.4.3. Control de acceso a la librería de programas fuente |
12 4 Seguridad de los ficheros del sistema |
| 12.5.1. Procedimientos de control de cambios |
12.5.2. Revisión técnica de los cambios en el sistema operativo |
12.5.3. Restricciones en los cambios a los paquetes de software |
| 12.5.4. Canales encubiertos y código Troyano |
12.5.5. Desarrollo externalizado del software |
12 5 Seguridad en los procesos de desarrollo y soporte |
| 12.6.1. Control de las vulnerabilidades técnicas |
12 6 Gestión de las vulnerabilidades técnicas |
12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información |
| 13 1 1 Comunicación de eventos en seguridad |
13.1.2. Comunicación de debilidades en seguridad |
13 1 Comunicación de eventos y debilidades en la seguridad de la información |
| 13.2.1. Identificación de responsabilidades y procedimientos |
13.2.2. Evaluación de incidentes en seguridad |
13.2.3. Recogida de pruebas |
| 13 2 Gestión de incidentes y mejoras en la seguridad de la información |
13. Gestión de Incidentes de Seguridad de la Información |
14.1.1. Proceso de la gestión de continuidad del negocio |
| 14.1.2. Continuidad del negocio y análisis de impactos |
14.1.3. Redacción e implantación de planes de continuidad |
14.1.4. Marco de planificación para la continuidad del negocio |
| 14.1.5. Prueba, mantenimiento y reevaluación de planes de continuidad |
14 1 Aspectos de la gestión de continuidad del negocio |
14. Gestión de Continuidad del Negocio |
| 15.1.1. Identificación de la legislación aplicable |
15.1.2. Derechos de propiedad intelectual (IPR) |
15.1.3. Salvaguarda de los registros de la Organización |
| 15.1.4. Protección de datos de carácter personal y de la intimidad de las personas |
15.1.5. Evitar mal uso de los dispositivos de tratamiento de la información |
15.1.6. Reglamentación de los controles de cifrados |
| 15 1 Conformidad con los requisitos legales |
15.2.1. Conformidad con la política de seguridad |
15.2.2. Comprobación de la conformidad técnica |
| 15 2 Revisiones de la política de seguridad y de la conformidad técnica |
15.3.1. Controles de auditoria de sistemas |
15.3.2. Protección de las herramientas de auditoria de sistemas |
| 15 3 Consideraciones sobre la auditoría de sistemas |
15. Conformidad |
5.1.1 Documento de política de seguridad de la información |
| 5.1.2 Revisión de la política de seguridad de la información |
5 1 Política de seguridad de la información |
6.1.1. Compromiso de la Dirección con la Seguridad de la Información |
| 6.1.2. Coordinación de la Seguridad de la Información |
6.1.3. Asignación de responsabilidades |
6.1.4. Proceso de Autorización de Recursos para el Tratamiento de la Información |
| 6.1.5. Acuerdos de Confidencialidad |
6.1.6. Contacto con las Autoridades |
6.1.7. Contacto con Grupos de Interés Especial |
| 6.1.8. Revisión Independiente de la Seguridad de la Información |
6 1 Organización Interna |
6.2.1. Identificación de los riesgos derivados del acceso de terceros |
| 6.2.2. Tratamiento de la seguridad en la relación con los clientes |
6.2.3. Tratamiento de la seguridad en contratos con terceros |
6 2 Terceros |
| 7.1.1. Inventario de Activos |
7.1.2. Responsable de los activos |
7 1 3 Acuerdos sobre el uso adecuado de los activos |
| 7 1 Responsabilidad sobre los activos |
7.2.1 Directrices de Clasificación |
7.2.2 Marcado y tratamiento de la información |
| 7 2 Clasificación de la Información |
8.1.1. Inclusión de la seguridad en las responsabilidades laborales |
8.1.2. Selección y política de personal |
| 8.1.3. Términos y condiciones de la relación laboral |
8 1 Seguridad en la definición del trabajo y los recursos |
8.2.1. Supervisión de las obligaciones |
| 8.2.2. Formación y capacitación en seguridad de la información |
8.2.3. Procedimiento disciplinario |
8 2 Seguridad en el desempeño de las funciones del empleo |
| 8.3.1. Cese de responsabilidades |
8.3.2. Restitución de activos |
8.3.3. Cancelación de permisos de acceso |
| 8 3 Finalización o cambio del puesto de trabajo |
9.1.1. Perímetro de seguridad física |
9.1.2. Controles físicos de entrada |
| 9.1.3. Seguridad de oficinas, despachos y recursos |
9.1.4. Protección contra amenazas externas y del entorno |
9.1.5. El trabajo en áreas seguras |
| 9.1.6. Áreas aisladas de carga y descarga |
9 1 Áreas seguras |
9.2.1. Instalación y protección de equipos |
| 9.2.2. Suministro eléctrico |
9.2.3. Seguridad del cableado |
9.2.4. Mantenimiento de equipos |
| 9 2 5 Seguridad de equipos fuera de los locales de la Organización |
9.2.6. Seguridad en la reutilización o eliminación de equipos |
9.2.7. Traslado de activos |
| 9 2 Seguridad de los equipos |
99.1.1 |
99 1 Cloud Computing |
| 99. Adicionales |
Aviso Legal |
ISO 27002 |
| Objetivos |
|
|
Uploading ....