Beruflich Dokumente
Kultur Dokumente
Updated for the 2013 release of the standards and translated into Spanish by White Hat C
Control numbering and text corrected: April/July 2015
German version contributed by Comma Soft AG: August 2015
This is a template or skeleton SOA, a starting point for use in ISO27k implementations. Ot
to do it. Feel free to customize or adapt the template to suit your unique circumstances.
Please consult the ISO/IEC 27000-series standards for more detail about the con
Security Management System used to manage them. This SoA alone is woefully ina
the controls, ISO/IEC 27002 provides additional explanation including useful implementatio
and decide how to treat your information risks: it is not necessarily appropriate to mitigate
controls. Furthermore, you may need additional or alternative controls, other than those l
Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27
Copyright
This work is copyright 2015, ISO27k Forum, some rights reserved. It is licensed under t
Alike 3.0 License. You are welcome to reproduce, circulate, use and create derivative work
incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum a
published or shared, derivative works are shared under the same terms as this.
The copyright in parts of this document belong to ISO/IEC. They own the standards! We a
the goodwill of ISO/IEC to reproduce a small part of their content here.
Statement of Applicability
Control Objective/Control
Sec
5.1 Management direction for information security
5.1.1 Policies for information
5.1.2 Review of the policies for information security
7 Human
resource
security
Current
controls
Remarks (with
justification for
exclusions)
9 Access
control
acquisition,
development
and
maintenance 14.2.5 Secure system engineering principles
14.2.6 Secure development environment
14.2.7 Outsourced development
14.2.8 System security testing
14.2.9 System acceptance testing
14.3 Test data
14.3.1 Protection of test data
15.1 Information security in supplier relationships
15.1.1 Information security policy for supplier relationships
Addressing security
within supplier
agreements
15.1.2 Information
and communication
technology
supply
15 Supplier
15.1.3 chain
relationships
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services
Management of information security incidents and
16.1 improvements
16.1.1
16 Information 16.1.2
security
16.1.3
incident
16.1.4
management
16.1.5
16.1.6
16.1.7
Remarks (overview of
implementation)
Declaracin de Aplicabilidad
Leyenda
(para la seleccin
controles
y razn
por la que seBR/BP:
seleccionaron):
LR: requerimientos
legales,de
CO:
obligaciones
contractuales,
requerimientos del neg
riesgos;
TSE: hasta cierto punto
8 Gestin de
Activos
8 Gestin de
Clasificacin de la informacin
8.2.1
Activos
Etiquetado de la informacin
8.2.2
Manejo de activos
8.2.3
8.3 Manejo de medios
Gestin de medios removibles
8.3.1
Eliminacin de medios
8.3.2
Transporte de medios fsicos
8.3.3
Requerimientos de negocio para el control de
9.1 acceso
Poltica de control de acceso
9.1.1
Acceso a redes y servicios de red
9.1.2
9.2 Gestin de accesos de usuario
Registro y baja del usuario
9.2.1
Provisin de acceso a usuarios
9.2.2
Gestin de derechos de acceso privilegiados
9.2.3
Gestin de informacin de autenticacin secreta de
9.2.4
usuarios
Revisin de derechos de acceso de usuarios
9 Control de Acceso
9.2.5
Eliminacin o ajuste de derechos de acceso
9.2.6
9.3 Responsabilidades del usuario
Uso de informacin de autenticacin secreta
9.3.1
9.4 Control de acceso de sistemas y aplicaciones
Restriccin de acceso a la informacin
9.4.1
Procedimientos de inicio de sesin seguro
9.4.2
Sistema de gestin de contraseas
9.4.3
Uso de programas y utilidades privilegiadas
9.4.4
Control de acceso al cdigo fuente del programa
9.4.5
10.1 Controles criptogrficos
10 Criptografa10.1.1 Poltica en el uso de controles criptogrficos
10.1.2 Gestin de llaves
11.1 reas seguras
11.1.1 Permetro de seguridad fsico
11.1.2 Controles fsicos de entrada
Seguridad de
oficinas,
habitaciones
y facilidades
11.1.3 Proteccin
contra
amenazas
externas
y del
11.1.4 ambiente
11.1.5 Trabajo en reas seguras
11.1.6 reas de entrega y carga
11.2 Equipo
11 Seguridad
Fsica y del 11.2.1 Instalacin y proteccin de equipo
Entorno
11.2.2 Servicios de soporte
11.2.3 Seguridad en el cableado
11 Seguridad
Fsica y del
Entorno
11.2.4
11.2.5
11.2.6
11.2.7
11.2.8
11.2.9
Mantenimiento de equipos
Retiro de activos
Seguridad
del equipo y activos fuera de las
instalaciones
Eliminacin segura o reuso del equipo
Equipo de usuario desatendido
Poltica de escritorio limpio y pantalla limpia
16.1
16.1.1
16.1.2
16 Gestin de 16.1.3
Incidentes de
Seguridad de 16.1.4
la Informacin
16.1.5
16.1.6
16.1.7
17 Aspectos
de Seguridad
de la
Informacin
para la
Gestin de la
Continuidad
del Negocio
ionaron):
requerimientos del negocio/mejores prcticas adoptadas , RRA: resultado de la valoracin de
Controle
s
actuales
Comentarios
(justificacin de
exclusin)
Controles
seleccionados y
razones de seleccin
LR
CO BR/BP RRA
Comentarios (visin
general de la
implementacin)
7.3.1
9.4.3
9.4.4
9.4.5
System
zurvon
Verwaltung
von Kennwrtern
Gebrauch
Hilfsprogrammen
mit privilegierten
Rechten
Zugangssteuerung fr Quellcode von Programmen
Manahmen
10.1 Kryptographische
Richtlinie zum Gebrauch
von kryptographischen
10
10.1.1 Manahmen
Kryptographie
10.1.2 Schlsselverwaltung
11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
Sichernvor
vonexternen
Bros, Rumen
und Einrichtungen
11.1.3 Schutz
und umweltbedingten
11.1.4 Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
und und
Betriebsmittel
11.2 Gerte
Platzierung
Schutz von Gerten und
11 Physische 11.2.1 Betriebsmitteln
und
11.2.2 Versorgungseinrichtungen
umgebungsbe
11.2.3 Sicherheit der Verkabelung
zogene
11.2.4 Instandhaltung von Gerten und Betriebsmitteln
Sicherheit
11.2.5 Entfernen von Werten
Sicherheit von Gerten, Betriebsmitteln und Werten
11.2.6
auerhalb der Rumlichkeiten
Sichere Entsorgung oder Wiederverwendung von
11.2.7
Gerten und Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergerte
Richtlinie fr eine aufgerumte Arbeitsumgebung und
11.2.9
Bildschirmsperren
12.1 Betriebsablufe und -verantwortlichkeiten
12.1.1 Dokumentierte Bedienablufe
12.1.2 nderungssteuerung
12.1.3 Kapazittssteuerung
14
14
Anschaffung,
Entwicklung
und
Instandhalten
von Systemen
16.1.1
16.1.2
16.1.3
16.1.4
von
Informationssi
cherheitsvorf
llen
16.1.5 Reaktion auf Informationssicherheitsvorflle
16.1.6 Erkenntnisse aus Informationssicherheitsvorfllen
16.1.7 Sammeln von Beweismaterial
17
Informationssi
cherheitsaspe
kte beim
Business
Continuity
Management
der Informationssicherheit
17.1 Aufrechterhaltung
Planung zur Aufrechterhaltung
der
17.1.1 Informationssicherheit
Umsetzen der Aufrechterhaltung der
17.1.2 Informationssicherheit
berprfen und Bewerten der Aufrechterhaltung der
17.1.3
Informationssicherheit
Redundanzen von informationsverarbeitenden
17.2 Verfgbarkeit
17.2.1 Einrichtungen