ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 10. CI# CI#RAD RADO. O. 5. POLÍTIC POLÍTICAS AS DE SEGRI SEGRIDAD DAD.. 18.1 Controles criptogr3ficos. 5.1 Directrices de la Dirección en seguridad de la información. información. 18.1.1 'olítica de uso de los controles controles criptogr3ficos. criptogr3ficos. 5.1.1 5.1. 1 Conju Conjunto nto de polític políticas as para la segurid seguridad ad de la informac información. ión. 18.1.2 18.1. 2 est estión ión de claves claves.. 5.1.2 5.1. 2 Revis Revisión ión de las políticas políticas para para la seguridad seguridad de la informac información. ión. SEGRIDAD DAD #ÍSICA Y AMBIENTAL. AMBIENTAL. !. ASPECTO ASPECTOS S ORGANI"ATIVOS ORGANI"ATIVOS DE LA SEGRIDA SEGRIDAD D DE LA IN#ORMAC. IN#ORMAC. 11. SEGRI 11.1 9reas seguras. 6.1 Organ Organizaci ización ón inter interna. na. 11.1.1 11.1. 1 'erímetr 'erí metro o de segurida seguridad d física. 6.1.1 6.1. 1 sign signación ación de responsa responsa!ilidad !ilidades es para la segur. segur. de la informació información. n. 11.1.2 11.1. 2 Contr Controles oles físicos físicos de entrada. entrada. 6.1.2 6.1 .2 "eg "egreg regaci ación ón de de tarea tareas. s. 11.1.# 11.1. # "egur "eguridad idad de oficinas+ oficinas+ despacos despacos & recursos. recursos. 6.1.# 6.1 .# Con Contac tacto to con las autor autorida idades des.. 11.1.$ 'rotección contra contra las amenazas eternas eternas & am!ientales. 6.1.$ 6.1. $ Cont Contacto acto con con grupos grupos de de inter%s inter%s especi especial. al. 11.1.5 11.1. 5 l tra!ajo tra!ajo en 3reas 3reas seguras. seguras. 6.1.5 6.1. 5 "egur "eguridad idad de la inform información ación en la gestión gestión de pro&ecto pro&ectos. s. 11.1.6 11.1. 6 9reas de acceso acceso p:!lico+ p:!lico+ carga & descarga. descarga. 6.2 Dispos Dispositivos itivos para para movilidad & teletra!ajo teletra!ajo.. 11.2 "eguridad de los e/uipos. 6.2.1 6.2. 1 'olít 'olítica ica de uso de disposit dispositivos ivos para movilidad movilidad.. 11.2.1 11.2. 1 mpla mplazamie zamiento nto & protección protección de e/uipos. 6.2. 6. 2.2 2 (e (elet letra ra!a !ajo jo.. 11.2.2 11.2. 2 *nst *nstalacio alaciones nes de suministro. stro. 7. SEGRID SEGRIDAD AD LIGADA LIGADA A LOS RECRS RECRSOS OS $MANOS. $MANOS. 11.2.# 11.2. # "egur "eguridad idad del del ca!leado. ca!leado. ).1 nte ntess de la contr contrataci atación. ón. 11.2.$ 11.2. $ 0ant 0antenimie enimiento nto de los e/uipos. e/uipos. ).1.1 ).1. 1 *nve *nvestigac stigación ión de ante anteceden cedentes. tes. 11.2.5 "alida de activos fuera de las dependencias de la empresa. ).1.2 ).1. 2 (%rm (%rminos inos & condic condiciones iones de contrat contratación ación.. 11.2.6 "eguridad de los e/uipos & activos fuera de las instalaciones. ).2 Duran Durante te la contra contratación tación.. 11.2.) Reutilización o retirada segura segura de dispositivos de almacenamiento. ).2.1 ).2 .1 Res Respon ponsa! sa!ilid ilidade adess de gestión gestión.. 11.2., 11.2. , /uip /uipo o inform3tico inform3tico de usuario desatendido. desatendido. ).2.2 ).2. 2 Concie Concienciaci nciación+ ón+ educación educación & capacitación capacitación en segur. segur. de la informac. informac. 11.2.4 'olítica de puesto puesto de tra!ajo tra!ajo despejado & !lo/ueo de pantalla. pantalla. ).2.# ).2 .# 'ro 'roces ceso o disciplin s ciplinari ario. o. 12. SEGRI SEGRIDAD DAD EN LA OPERATIVA. OPERATIVA. ).# Cese o cam!io cam!io de puesto puesto de de tra!ajo. tra!ajo. 12.1 Responsa!ilidades & procedimientos procedimientos de operación. ).#.1 ).#. 1 Cese o cam!io cam!io de puesto puesto de tra!aj tra!ajo. o. 12.1.1 12.1. 1 Docum Documenta entación ción de proce procedimien dimientos tos de oper operación. ación. %. GES GESTI& TI&N N DE ACTI ACTIVOS VOS.. 12.1.2 12.1. 2 est estión ión de de cam!ios cam!ios.. ,.1 Respo Responsa!i nsa!ilidad lidad so!re so!re los activos. vos. 12.1.# 12.1. # est estión ión de capac capacidades idades.. ,.1.1 ,.1 .1 *nv *nvent entari ario o de acti activos vos.. 12.1.$ "eparación de entornos de desarrollo+ prue!a prue!a & producción. ,.1.2 ,.1 .2 'ro 'ropie piedad dad de de los acti activos. v os. 12.2 'rotección contra código malicioso. ,.1.# ,.1 .# -so acept acepta!l a!le e de los activ activos. os. 12.2.1 12.2. 1 Contr Controles oles contra contra el código malicioso. malicioso. ,.1.$ ,.1 .$ Dev Devolu olució ción n de act activo ivos. s. 12.# Copias de seguridad. ,.2 Clasif Clasificació icación n de la informac información. ión. 12.#.1 12.#. 1 Copias de de seguridad seguridad de la información información.. ,.2.1 ,.2 .1 Dir Direct ectric rices es de cla clasif sifica icació ción. n. 12.$ Registro de actividad & supervisión. ,.2.2 ,.2. 2 ti/u ti/uetado etado & manipulad manipulado o de la informac información. ión. 12.$.1 12.$. 1 Regist Registro ro & gestión de eventos eventos de actividad. actividad. ,.2.# ,.2 .# 0a 0anip nipulac ulación ión de act activos ivos.. 12.$.2 12.$. 2 'rot 'rotección ección de los registros registros de información. información. ,.# 0ane 0anejo jo de los soportes soportes de almacenamient almacenamiento. o. 12.$.# Registros de actividad actividad del administrador administrador & operador operador del sistema. sistema. ,.#.1 ,.#. 1 estión ón de sopor soportes tes etr etraí!le aí!les. s. 12.$.$ 12.$. $ "incr "incronizac onización ión de relojes relojes.. ,.#.2 ,.# .2 li limin minaci ación ón de sopo soport rtes. es. 12.5 Control del soft;ar soft;are e en eplotación. ,.#.# ,.# .# "op "oport ortes es físicos físicos en tr3ns tr3nsito ito.. 12.5.1 *nstalación del soft;are soft;are en sistemas en producción. '. CON CONTRO TROL L DE ACC ACCESO ESOS. S. 12.6 estión de la vulnera!ilidad t%cnica. 4.1 Re/uis Re/uisitos itos de negocio negocio para el control control de accesos. accesos. 12.6.1 12.6. 1 est estión ión de las vulnera!ilidades idades t%cnicas. t%cnicas. 4.1.1 4.1. 1 'olít 'olítica ica de cont control rol de acces accesos. os. 12.6.2 12.6. 2 Restr Restriccion icciones es en la insta instalación lación de soft;are. soft;are. 4.1.2 4.1. 2 Cont Control rol de acceso acceso a las redes redes & servicios servicios asociad asociados. os. 12.) Consideraciones de las auditorías de los sistemas sistemas de información. 4.2 est estión ión de acceso acceso de de usuario. usuario. 12.).1 Controles de auditoría de los sistemas sistemas de información. 4.2.1 4.2. 1 estión ón de altas!ajas tas!ajas en en el registro registro de usuarios. usuarios. 13. SEGRI SEGRIDAD DAD EN LAS TELECOMNICACIO TELECOMNICACIONES. NES. 4.2.2 4.2. 2 estión ón de los dereco derecoss de acceso acceso asignados asignados a usuarios. usuarios. 1#.1 estión de la seguridad en en las redes. 4.2.# 4.2. # estión ón de los derecos derecos de acceso acceso con privilegio privilegioss especiales. especiales. 1#.1.1 1#.1. 1 Controles Contr oles de r red. ed. 4.2.$ 4.2. $ estión ón de información información confiden confidencial cial de autenticació autenticación n de usuarios. usuarios. 1#.1.2 0ecanismos de de seguridad asociados a servicios en red. 4.2.5 4.2. 5 Revis Revisión ión de los los derecos derecos de de acceso acceso de los los usuarios. usuarios. 1#.1.# 1#.1. # "egre "egregació gación n de redes redes.. 4.2.6 4.2. 6 Retir Retirada ada o adaptac adaptación ión de los los derecos derecos de de acceso acceso 1#.2 *ntercam!io de informac información ión con partes eternas. 4.# Respo Responsa!i nsa!ilidades lidades del usuario. usuario. 1#.2.1 'olíticas & procedimientos de intercam!io intercam!io de información. información. 4.#.1 4.#. 1 -so de informa información ción confiden confidencial cial para para la autentica autenticación. ción. 1#.2.2 1#.2. 2 cuer cuerdos dos de intercam!i ntercam!io. o. 4.$ Cont Control rol de acceso a sistemas sistemas & aplicaciones aplicaciones.. 1#.2.# 1#.2. # 0ens 0ensajerí ajería a electrónica electrónica.. 4.$.1 4.$. 1 Rest Restricció ricción n del acceso acceso a la inform información. ación. 1#.2.$ 1#.2. $ cuer cuerdos dos de confidencialid confidencialidad ad & secreto. 4.$.2 4.$. 2 'roce 'rocedimie dimientos ntos segur seguros os de inicio de sesión. sesión. 4.$.# 4.$. # estión ón de de contras contrase7as e7as de usuari usuario. o. ISO27002.() PATROCINADO POR: 4.$.$ 4.$. $ -so de erram erramienta ientass de administra administración ción de sistema sistemas. s. 4.$.5 4.$. 5 Cont Control rol de acceso acceso al código código fuente fuente de los progr programas. amas.
*so2)888.es@@ Do *so2)888.es Documento sólo para uso did3ctico. Aa norma oficial de!e ad/uirirse en las entidades autorizadas para su venta.
14. AD*ISICI&N, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE IN#ORMACI&N. 1$.1 Re/uisitos de seguridad de los sistemas de información. información. 1$.1.1 n3lisis & especificación especificación de los re/uisitos de seguridad. 1$.1.2 "eguridad de las comunicaciones en servicios accesi!les por redes p:!licas. 1$.1.# 'rotección de las transacciones por redes telem3ticas. 1$.2 "eguridad en los procesos de desarrollo & soporte. soporte. 1$.2.1 1$.2 .1 'olít 'olítica ica de desarrollo lo seguro de soft;are. soft;are. 1$.2.2 'rocedimientos de de control de cam!ios en los sistemas. 1$.2.# Revisión t%cnica de las aplicaciones tras tras efectuar cam!ios en el sistema operativo. 1$.2.$ Restricciones a los los cam!ios en los pa/uetes de soft;are. 1$.2.5 -so de principios de ingeniería en protección de sistemas. 1$.2.6 1$.2 .6 "egur "eguridad idad en entornos entornos de desarrollo. desarrollo. 1$.2.) ternalización del desarrollo desarrollo de soft;are. 1$.2., 'rue!as de funcionalidad durante durante el desarrollo desarrollo de los sistemas. 1$.2.4 1$.2 .4 'rue! 'rue!as as de acept aceptación. ación. 1$.# Datos de prue!a. 1$.#.1 'rotección de los datos utilizados utilizados en prue!as. 15. RELACIO RELACIONES NES CON SMINIS SMINISTRADOR TRADORES. ES. 15.1 "eguridad de la información en las relaciones con suministradores. suministradores. 15.1.1 'olítica de seguridad de la información para suministradores. suministradores. 15.1.2 (ratamiento del riesgo dentro de acuerdos de suministradores. 15.1.# Cadena de suministro suministro en tecnologías tecnologías de la información & comunicaciones. 15.2 estión de la prestación del servicio por suministradores. suministradores. 15.2.1 "upervisión & revisión revisión de los servicios servicios prestados por terceros. terceros. 15.2.2 estión de cam!ios cam!ios en los servicios servicios prestados por terceros. 1!. GESTI&N DE INCIDENTES EN LA SEGRIDAD DE LA IN#ORMACI&N. 16.1 estión de incidentes de seguridad de la información & mejoras. mejoras. 16.1.1 16.1 .1 Respo Responsa!il nsa!ilidades idades & proce procedimien dimientos. tos. 16.1.2 D'*?. 1,.1.# 1,.1 .# 'rote 'rotección cción de los registros registros de la organ organizació ización. n. 1,.1.$ 'rotección de datos & privacidad de la información personal. 1,.1.5 1,.1 .5 Regula Regulación ción de los cont controles roles criptogr3f criptogr3ficos. icos. 1,.2 Revisiones de la seguridad de de la información. 1,.2.1 Revisión independiente de la seguridad de la información. 1,.2.2 Cumplimiento de las políticas & normas normas de seguridad. seguridad. 1,.2.# 1,.2 .# Compr Compro!ació o!ación n del cumplimiento. cumplimiento.
Octu!reB281#
