Beruflich Dokumente
Kultur Dokumente
A.5.1. Orientacin de la Direccin A.5.1.1. Polticas para la Seguridad de la Informacin. Se debe definir un
para la Gestin de la Seguridad de conjunto de polticas para la seguridad de la informacin, aprobada por la
la Informacin. Direccin, publicada y comunicada a los empleados y partes interesadas.
A.5. POLTICA DE LA
SEGURIDAD DE LA
INFORMACIN. Objetivo. Brindar orientacin y A.5.1.2. Revisin de las Polticas para seguridad de la informacin. Las Polticas
soporte, por parte de la direccin,
de acuerdo con los requisitos del para Seguridad de la Informacin se deben revisar a intervalos planificados o si
ocurren cambios significativos, para asegurar su idoneidad, adecuacin y
negocio y con las leyes y eficacia continas.
reglamentos pertinentes.
Objetivo. Establecer un marco de A.6.1.2. Separacin de deberes. Las tareas y reas de responsabilidad en
referencia de gestin para iniciar y
controlar la implementacin y conflicto se deben separar para reducir las posibilidades de modificacin no
autorizada o no intencional o el uso indebido de los activos de la organizacin.
operacin del SGSI.
Objetivo. Garantizar la seguridad A.6.2.2. Teletrabajo. Se deben implementar una poltica y medidas de seguridad
del teletrabajo y el uso de de soporte para proteger la informacin a la que se tiene acceso, que es
dispositivos mviles. procesada o almacenada en los lugares en los que se realiza teletrabajo.
A.7. SEGURIDAD DE
LOS RECURSOS Objetivo. Asegurarse que los A.7.2.2. Toma de conciencia, educacin y formacin de la Seguridad de la
HUMANOS. empleados y contratistas tomen Informacin. Todos los empleados de la organizacin y donde sea pertinente,
conciencia de sus los contratistas deben recibir educacin y la formacin en toma de conciencia
responsabilidades de seguridad apropiada, y actualizaciones regulares sobre las polticas y procedimientos
de la informacin y las cumplan. pertinentes para su cargo.
A.8. GESTIN DE
ACTIVOS.
ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
A.8.2.1. Clasificacin de la Informacin. La informacin se debe clasificar en
A.8.2. Clasificacin de la funcin de los requisitos legales, valor, criticidad y susceptibilidad a divulgacin
Informacin.
o a modificacin no autorizada.
A.8. GESTIN DE Objetivo. Asegurar que la A.8.2.2. Etiquetado de la Informacin. Se debe desarrollar e implementar un
ACTIVOS. organizacin recibe un nivel
apropiado de proteccin de conjunto apropiado de procedimientos para el etiquetado de la informacin, de
acuerdo con el esquema de clasificacin de informacin adoptado por la
acuerdo con su importancia para organizacin.
la organizacin.
A.8.3. Manejo de medios de A.8.3.1. Gestin de medios de Soporte Removibles. Se deben implementar
procedimientos para la gestin de medios de soporte removibles, de acuerdo
soporte. con el esquema de clasificacin adoptado por la organizacin.
Objetivo. Limitar el acceso a A.9.1.2. Acceso a redes y a servicios en red. Solo se debe permitir acceso de los
informacin y a instalaciones de usuarios a la red y a los servicios de red para los que hayan sido autorizados
procesamiento de informacin. especficamente.
Objetivo. Asegurar el acceso de A.9.2.2. Suministro de acceso de usuarios. Se debe implementar un proceso de
los usuarios autorizados e impedir
el acceso no autorizado a sistemas suministro de acceso formal de usuarios para asignar o cancelar los derechos de
acceso a todo tipo de usuarios para todos los sistemas y servicios.
y servicios.
A.9. CONTROL DE
ACCESO.
ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
A.9.2.5. Revisin de los derechos de acceso de usuarios. Los dueos de los
activos deben revisar los derechos de acceso de los usuarios a intervalos
regulares.
A.9. CONTROL DE A.9.2.6. Cancelacin o ajuste de los derechos de acceso. Los derechos de acceso
ACCESO. de todos los empleados y de usuarios externos a la informacin y a las
instalaciones de procedimiento de informacin se deben cancelar al terminar su
empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
9
A.11.1.1. Permetro de Seguridad Fsica. Se deben definir y usar permetros de .
A.11.1. reas Seguras. seguridad, y usarlos para proteger reas que contengan informacin 1
confidencial o crtica, e instalaciones de manejo de informacin. .
1
9
A.11.1.4. Proteccin contra amenazas externas y ambientales. Se debe disear y .
aplicar proteccin fsica contra desastres naturales, ataques maliciosos o 1
accidentes. .
4
9
.
A.11.1.5. Trabajo en reas seguras. Se deben disear y aplicar procedimientos 1
para trabajo en reas seguras.
.
5
ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
9
Objetivo. Prevenir la prdida, 9
.
A.11.2.2. Servicios Pblicos de soporte. Los equipos se deben proteger de fallas .2
dao, robo o compromiso de de potencia y otras interrupciones causadas por fallas en los servicios pblicos
activos, y la interrupcin de las .2
operaciones de la organizacin. de soporte. .
5
9
2
.9
S2
A.11.2.3. Seguridad del cableado. El cableado de potencia y de .e
telecomunicaciones que porta datos o brinda soporte a los servicios de .2
g7
informacin se debe proteger contra interceptaciones, interferencia o dao. .u
3
r9
R
i.e
A.11.2.4. Mantenimiento de equipos. Los equipos se deben mantener d
2
t
correctamente para asegurar su disponibilidad e integridad continuas. ai.
d
r4
o
A.11.2.5. Retiro de Activos. Los equipos, informacin o software no se deben d
retirar de su sitio sin autorizacin previa. ed
le
A.11.2.6. Seguridad de equipos y activos fuera del predio. Se deben aplicar
medidas de seguridad a los activos que se encuentran fuera de los predios de la ep
organizacin, teniendo en cuenta los diferentes riesgos de trabajar fuera de q
r
dichos predios. u
o
ip
p
i9
A.11.2.7. Disposicin segura o reutilizacin de equipos. Se deben verificar todos o .e
los elementos de equipos que contengan medios de almacenamiento para d
asegurar que cualquier dato confidencial o software con licencia haya sido 2
f.a
retirado o sobre escrito en forma segura antes de su disposicin o reuso. u
d
6
e
r
a
A.11.2.8. Equipos sin supervisin de los usuarios. Los usuarios deben asegurarse
de que el equipo sin supervisin tenga la proteccin apropiada. d
e
A.11.2.9. Poltica de escritorio limpio y pantalla limpia. Se debe adoptar una l
poltica de escritorio limpio para los papeles y medios de almacenamiento
removibles, y una poltica de pantalla limpia para las instalaciones de l
procesamiento de informacin. o
c
a
A.12.1. Procedimientos A.12.1.1. Procedimientos de operacin documentadas. Los procedimientos operativos l
operacionales y responsabilidades. se deben documentar y poner a disposicin de todos los usuarios que los necesitan.
Objetivo. Asegurar las operaciones A.12.1.2. Gestin de Cambios. Se deben controlar los cambios en la organizacin, en
correctas y seguras de las
instalaciones de procesamiento de los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de
informacin. informacin que afectan la seguridad de la informacin.
Objetivo. Asegurar la proteccin de A.13.1.2. Seguridad de los servicios de red. Se deben identificar los mecanismos de
seguridad y los niveles de servicio y los requisitos de gestin de todos los servicios de
la informacin en las redes, y sus
red, e incluirlos en los acuerdos de servicios de red, e incluirlos en los acuerdos de
instalaciones de procesamiento de servicio de red, ya sea que los servicios se presten internamente o se contraten
informacin de soporte.
externamente.
Objetivo. Mantener la seguridad de A.13.2.2. Acuerdos sobre transferencia de informacin. Los acuerdos deben tratar la
la informacin transferida dentro de transferencia segura de informacin del negocio entre la organizacin y las partes
una organizacin y con cualquier
entidad externa. externas.
A.14.2. Seguridad en los procesos de A.14.2.1. Poltica de desarrollo seguro. Se deben establecer y aplicar reglas para el
desarrollo y de soporte. desarrollo de software y de sistemas a los desarrollos dentro de la organizacin.
A.14.3. Datos de ensayo. A.14.3.1. Proteccin de datos de ensayo. Los datos de ensayo se deben seleccionar,
proteger y controlar cuidadosamente.
Objetivo. Asegurar la proteccin de
los datos usados para ensayos.
A.15.1.1. Poltica de seguridad de la informacin para las relaciones con proveedores.
A.15.1. Seguridad de la informacin Los requisitos de seguridad de la informacin para mitigar los riesgos asociados con el
en las relaciones con los acceso de proveedores a los activos de la organizacin se deben acordar con estos y se
proveedores.
deben documentar.
A.15. RELACIONES CON A.15.1.3. Cadena de suministro de tecnologa de informacin y comunicacin. Los
LOS PROVEEDORES. acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad
de la informacin asociados con la cadena de suministro de productos y servicios de
tecnologa de informacin y comunicacin.
A.15.2. Gestin de la prestacin de A.15.2.1. Seguimiento y revisin de los servicios de los proveedores. Las organizaciones
deben hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios
servicios de proveedores. de los proveedores.
A.15.2.2. Gestin de cambios a los servicios de los proveedores. Se deben gestionar los
Objetivo. Mantener el nivel acordado cambios en el suministro de servicios por parte de los proveedores, incluido el
de seguridad de la informacin y de mantenimiento y la mejora de las polticas, procedimientos y controles de seguridad de
prestacin del servicio en lnea con la informacin existentes, teniendo en cuenta la criticidad de la informacin, sistemas y
los acuerdos con los proveedores. procesos del negocio involucrados y la reevaluacin de los riesgos.
ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
A.16.1. Gestin de incidentes y A.16.1.1. Responsabilidades y procedimientos. Se deben establecer las
mejoras en la seguridad de la responsabilidades y procedimientos de gestin para asegurar una respuesta rpida,
informacin. eficaz y ordenada a los incidentes de seguridad de la informacin.
Objetivo. La continuidad de
A.17.1.2. Implementacin de la continuidad de la seguridad de la informacin. La
seguridad de la informacin se debe organizacin debe establecer, documentar, implementar y mantener procesos,
incluir en los sistemas de gestin de
la continuidad de negocio de la procedimientos y controles para asegurar el nivel de continuidad requerido para la
A.17. ASPECTOS DE seguridad de la informacin durante una situacin adversa.
SEGURIDAD DE LA organizacin.
INFORMACIN DE LA
GESTIN DE LA A.17.1.3. Verificacin, revisin y evaluacin de la continuidad de la seguridad de la
CONTINUIDAD DE informacin. La organizacin debe verificar a intervalos regulares los controles de
NEGOCIO. continuidad de la seguridad de la informacin implementados con el fin de asegurar
que los vlidos y eficaces durante situaciones adversas.
Objetivo. Asegurar que la seguridad A.18.2.2. Cumplimiento con las polticas y normas de seguridad. Los directores deben
de la informacin se implemente y revisar con regularidad el cumplimiento del procesamiento y procedimientos de
opere de acuerdo con las polticas y informacin dentro de su rea de responsabilidad, con las polticas y normas de
procedimiento organizacionales. seguridad apropiadas y cualquier otro requisito de seguridad.