ISO27001:2013 - ANEXO A

OBJETIVOS DE CONTROL Y CONTROLES ###

A.5.1. Orientacin de la Direccin A.5.1.1. Polticas para la Seguridad de la Informacin. Se debe definir un
para la Gestin de la Seguridad de conjunto de polticas para la seguridad de la informacin, aprobada por la
la Informacin. Direccin, publicada y comunicada a los empleados y partes interesadas.
A.5. POLTICA DE LA
SEGURIDAD DE LA
INFORMACIN. Objetivo. Brindar orientacin y A.5.1.2. Revisin de las Polticas para seguridad de la informacin. Las Polticas
soporte, por parte de la direccin,
de acuerdo con los requisitos del para Seguridad de la Informacin se deben revisar a intervalos planificados o si
ocurren cambios significativos, para asegurar su idoneidad, adecuacin y
negocio y con las leyes y eficacia continas.
reglamentos pertinentes.

A.6.1.1. Seguridad de la Informacin Roles y Responsabilidades. Se deben

A.6.1. Organizacin Interna. definir y asignar todas las responsabilidades de la seguridad de la informacin.

Objetivo. Establecer un marco de A.6.1.2. Separacin de deberes. Las tareas y reas de responsabilidad en
referencia de gestin para iniciar y
controlar la implementacin y conflicto se deben separar para reducir las posibilidades de modificacin no
autorizada o no intencional o el uso indebido de los activos de la organizacin.
operacin del SGSI.

A.6.1.3. Contacto con las autoridades. Se debe mantener contactos apropiados

con las autoridades pertinentes.
A.6. ORGANIZACIN DE A.6.1.4. Contacto con grupos de inters especial. Se deben mantener controles
LA SEGURIDAD DE LA apropiados con grupos de inters especial u otros foros y asociaciones
INFORMACIN. profesionales especializadas en seguridad.
A.6.1.5. Seguridad de la informacin en Gestin de Proyectos. La seguridad de la
informacin se debe tratar en la gestin de proyectos, independiente del tipo
de proyecto,
A.6.2.1. Poltica para dispositivos mviles. Se deben adoptar una poltica y unas
A.6.2. Dispositivos Mviles y medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
Teletrabajo.
uso de dispositivos mviles.

Objetivo. Garantizar la seguridad A.6.2.2. Teletrabajo. Se deben implementar una poltica y medidas de seguridad
del teletrabajo y el uso de de soporte para proteger la informacin a la que se tiene acceso, que es
dispositivos mviles. procesada o almacenada en los lugares en los que se realiza teletrabajo.

A.7.1.1. Seleccin. Las verificaciones de los antecedentes de todos los

candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes,
A.7.1. Antes de asumir el empleo. reglamentos y tica pertinentes, y deben ser proporcionales a los requisitos de
negocio, a la clasificacin de la informacin a que se va a tener acceso, y a los
riesgos percibidos.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES
Objetivo. Asegurar que los
empleados y contratistas
comprenden sus
responsabilidades y son idneos
en los roles para los que se
consideran.
A.7.2. Durante la ejecucin del
empleo.
A.7. SEGURIDAD DE
LOS RECURSOS Objetivo. Asegurarse que los
HUMANOS. empleados y contratistas tomen
conciencia de sus
responsabilidades de seguridad
de la informacin y las cumplan.
A.7.3. Terminacin y cambio de
empleo.
Objetivo. Proteger los intereses de
la organizacin como parte del
proceso de cambio o terminacin
del empleo.
A.8.1. Responsabilidad por los
Activos.
Objetivo. Identificar los activos
organizacionales y definir las
responsabilidades de proteccin
apropiada.
A.8. GESTIN DE
ACTIVOS.
###
A.7.1.2. Trminos y condiciones del empleo. Los acuerdos contractuales con
empleados y contratistas deben establecer sus responsabilidades y las de la
organizacin en cuanto a seguridad de la informacin.
A.7.2.1. Responsabilidades de la Direccin. La direccin debe exigir a todos los
empleados y contratistas la aplicacin de la seguridad de la informacin de
acuerdo con las polticas y procedimientos establecidos de la organizacin.
A.7.2.2. Toma de conciencia, educacin y formacin de la Seguridad de la
Informacin. Todos los empleados de la organizacin y donde sea pertinente,
los contratistas deben recibir educacin y la formacin en toma de conciencia
apropiada, y actualizaciones regulares sobre las polticas y procedimientos
pertinentes para su cargo.
A.7.2.3. Proceso disciplinario. Se debe contar con un proceso formal y
comunicado para emprender acciones contra empleados que hayan cometido
una violacin a la seguridad de la informacin.
A.7.3.1. Terminacin o cambio de responsabilidades de empleo. Las
responsabilidades y los deberes de seguridad de la informacin que
permanecen vlidos despus de la terminacin o cambio de empleo se deben
definir, comunicar al empleado o contratista y se deben hacer cumplir.
A.8.1.1. Inventario de Activos. Se deben identificar los activos asociados con
informacin e instalaciones de procesamiento de informacin, y se debe
elaborar y mantener un inventario de estos activos.
A.8.1.2. Propiedad de los activos. Los activos mantenidos en el inventario deben
ser propios.
A.8.1.3. Uso Aceptable de los Activos. Se deben identificar, documentar e
implementar reglas para el uso aceptable de informacin y de activos asociados
con informacin e instalaciones de procesamiento de informacin.
A.8.1.4. Devolucin de Activos. Todos los empleados y usuarios de partes
externas deben devolver todos los activos de la organizacin que se encuentren
a su cargo, al terminar su empleo, contrato o acuerdo.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES
A.8.2. Clasificacin de la
Informacin.
A.8. GESTIN DE Objetivo. Asegurar que la
ACTIVOS. organizacin recibe un nivel
apropiado de proteccin de
acuerdo con su importancia para
la organizacin.
A.8.3. Manejo de medios de
soporte.
Objetivo. Prevenir la divulgacin,
la modificacin, el retiro o la
destruccin de informacin
almacenada en medios de
soporte.
A.9.1. Requisitos del Negocio para una poltica de control de acceso con base en los requisitos del negocio y de
Control de Acceso.
Objetivo. Limitar el acceso a
informacin y a instalaciones de
procesamiento de informacin.
A.9.2. Gestin de Acceso de
Usuarios.
Objetivo. Asegurar el acceso de
los usuarios autorizados e impedir
el acceso no autorizado a sistemas suministro de acceso formal de usuarios para asignar o cancelar los derechos de
y servicios.
A.9. CONTROL DE
ACCESO.
###
A.8.2.1. Clasificacin de la Informacin. La informacin se debe clasificar en
funcin de los requisitos legales, valor, criticidad y susceptibilidad a divulgacin
o a modificacin no autorizada.
A.8.2.2. Etiquetado de la Informacin. Se debe desarrollar e implementar un
conjunto apropiado de procedimientos para el etiquetado de la informacin, de
acuerdo con el esquema de clasificacin de informacin adoptado por la
organizacin.
A.8.2.3. Manejo de Activos. Se deben desarrollar e implementar procedimientos
para el manejo de activos, de acuerdo con el esquema de clasificacin de
informacin adoptado por la organizacin.
A.8.3.1. Gestin de medios de Soporte Removibles. Se deben implementar
procedimientos para la gestin de medios de soporte removibles, de acuerdo
con el esquema de clasificacin adoptado por la organizacin.
A.8.3.2. Disposicin de los medios de soporte. Se debe disponer en forma
segura de los medios de soporte cuando ya no se requieran, utilizando
procedimientos formales.
A.8.3.3. Transferencia de medios de soporte fsicos. Los medios que contienen
informacin se deben proteger contra acceso no autorizado, uso indebido o
corrupcin durante el transporte.
A.9.1.1. Poltica de Control de Acceso. Se debe establecer, documentar y revisar
seguridad de la informacin.
A.9.1.2. Acceso a redes y a servicios en red. Solo se debe permitir acceso de los
usuarios a la red y a los servicios de red para los que hayan sido autorizados
especficamente.
A.9.2.1. Registro y cancelacin del registro de usuarios. Se debe implementar un
proceso formal de registro y de cancelacin del registro para posibilitar la
asignacin de los derechos de acceso.
A.9.2.2. Suministro de acceso de usuarios. Se debe implementar un proceso de
acceso a todo tipo de usuarios para todos los sistemas y servicios.
A.9.2.3. Gestin de derechos de acceso privilegiado. Se debe restringir y
controlar la asignacin y uso de derechos de acceso privilegiado.
A.9.2.4. Gestin de informacin de autenticacin secreta de usuarios. La
asignacin de informacin de autenticacin secreta se debe controlar por
medio de un procedimiento de gestin formal.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES
A.9. CONTROL DE
ACCESO.
A.9.3. Responsabilidades de los
usuarios.
Objetivo. Hacer que los usuarios
rindan cuentas por la custodia de
su informacin de autenticacin.
A.9.4. Control de Acceso a
Sistemas y Aplicaciones.
Objetivo. Prevenir el uso no
autorizado de sistemas y
aplicaciones.
A.10.1. Controles Criptogrficos.
A.10. CRIPTOGRAFA Objetivo. Asegurar el uso
apropiado y eficaz de la
criptografa para proteger la
confiabilidad, la autenticidad y/o
la integridad de la informacin.
###
A.9.2.5. Revisin de los derechos de acceso de usuarios. Los dueos de los
activos deben revisar los derechos de acceso de los usuarios a intervalos
regulares.
A.9.2.6. Cancelacin o ajuste de los derechos de acceso. Los derechos de acceso
de todos los empleados y de usuarios externos a la informacin y a las
instalaciones de procedimiento de informacin se deben cancelar al terminar su
empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
A.9.3.1.Uso de informacin secreta. Se debe exigir a los usuarios que cumplan
las prcticas de la organizacin para el uso de informacin de autenticacin
secreta.
A.9.4.1. Restriccin de acceso a informacin. El acceso a la informacin y a las
funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con
la poltica de control de acceso.
A.9.4.2. Procedimiento de Conexin Segura. Cuando lo requiere la poltica de
control de acceso, el acceso a sistemas y aplicaciones se debe controlar
mediante un proceso de conexin segura.
A.9.4.3. Sistema de Gestin de Contraseas.los sistemas de gestin de
contraseas deben ser interactivos y deben asegurar contraseas de calidad.
A.9.4.4. Uso de programas utilitarios privilegiados. Se debe restringir y controlar
estrechamente el uso de programas utilitarios que podran tener capacidad de
anular el sistema y los controles de las aplicaciones.
A.9.4.5. Control de Acceso a Cdigos Fuente de Programas. Se debe restringir el
acceso a cdigos fuente de programas.
A.10.1.1. Poltica sobre el uso de controles Criptogrficos. Se debe desarrollar e
implementar una poltica sobre el uso de controles criptogrficos para
proteccin de informacin.
A.10.1.2. Gestin de Claves. Se debe desarrollar e implementar una poltica
sobre el uso, proteccin y tiempo de vida de claves criptogrficas, durante todo
su ciclo de vida.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###

9
A.11.1.1. Permetro de Seguridad Fsica. Se deben definir y usar permetros de .
A.11.1. reas Seguras. seguridad, y usarlos para proteger reas que contengan informacin 1
confidencial o crtica, e instalaciones de manejo de informacin. .
1

Objetivo. Prevenir el acceso fsico 9

no autorizado, el dao y la
interferencia a la informacin y a A.11.1.2. Controles Fsicos de entrada. Las reas seguras se deben proteger .
mediante controles de entrada apropiados para asegurar que solamente se 1
las instalaciones de permite el acceso a personal autorizado. .
procesamiento de informacin de
la organizacin. 2

A.11.1.3. Seguridad de oficinas, salones e instalaciones. Se debe disear y

aplicar seguridad fsica a oficinas, salones e instalaciones.

9
A.11.1.4. Proteccin contra amenazas externas y ambientales. Se debe disear y .
aplicar proteccin fsica contra desastres naturales, ataques maliciosos o 1
accidentes. .
4

9
.
A.11.1.5. Trabajo en reas seguras. Se deben disear y aplicar procedimientos 1
para trabajo en reas seguras.
.
5

A.11.1.6. reas de despacho y carga. Se deben controlar los puntos de acceso 9

.
tales como reas de despacho y de carga y otros puntos en donde pueden 1
entrar personas no autorizadas, y si es posible, aislarlos de las instalaciones de
A.11. SEGURIDAD procesamiento de informacin para evitar el acceso no autorizado. .
FSICA Y AMBIENTAL. 6
9
A.11.2.1. Ubicacin y proteccin de los equipos. Los equipos deben estar .
A.11.2. Equipos. ubicados y protegidos para reducir los riesgos de amenazas y peligros 2
ambientales y las posibilidades de acceso no autorizado. .
1
 A.11. SEGURIDAD
FSICA Y AMBIENTAL.

ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
9
Objetivo. Prevenir la prdida, 9
.
A.11.2.2. Servicios Pblicos de soporte. Los equipos se deben proteger de fallas .2
dao, robo o compromiso de de potencia y otras interrupciones causadas por fallas en los servicios pblicos
activos, y la interrupcin de las .2
operaciones de la organizacin. de soporte. .
5
9
2
.9
S2
A.11.2.3. Seguridad del cableado. El cableado de potencia y de .e
telecomunicaciones que porta datos o brinda soporte a los servicios de .2
g7
informacin se debe proteger contra interceptaciones, interferencia o dao. .u
3
r9
R
i.e
A.11.2.4. Mantenimiento de equipos. Los equipos se deben mantener d
2
t
correctamente para asegurar su disponibilidad e integridad continuas. ai.
d
r4
o
A.11.2.5. Retiro de Activos. Los equipos, informacin o software no se deben d
retirar de su sitio sin autorizacin previa. ed
le
A.11.2.6. Seguridad de equipos y activos fuera del predio. Se deben aplicar
medidas de seguridad a los activos que se encuentran fuera de los predios de la ep
organizacin, teniendo en cuenta los diferentes riesgos de trabajar fuera de q
r
dichos predios. u
o
ip
p
i9
A.11.2.7. Disposicin segura o reutilizacin de equipos. Se deben verificar todos o .e
los elementos de equipos que contengan medios de almacenamiento para d
asegurar que cualquier dato confidencial o software con licencia haya sido 2
f.a
retirado o sobre escrito en forma segura antes de su disposicin o reuso. u
d
6
e
r
a
A.11.2.8. Equipos sin supervisin de los usuarios. Los usuarios deben asegurarse
de que el equipo sin supervisin tenga la proteccin apropiada. d
e
A.11.2.9. Poltica de escritorio limpio y pantalla limpia. Se debe adoptar una l
poltica de escritorio limpio para los papeles y medios de almacenamiento
removibles, y una poltica de pantalla limpia para las instalaciones de l
procesamiento de informacin. o
c
a
A.12.1. Procedimientos A.12.1.1. Procedimientos de operacin documentadas. Los procedimientos operativos l
operacionales y responsabilidades. se deben documentar y poner a disposicin de todos los usuarios que los necesitan.

Objetivo. Asegurar las operaciones A.12.1.2. Gestin de Cambios. Se deben controlar los cambios en la organizacin, en
correctas y seguras de las
instalaciones de procesamiento de los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de
informacin. informacin que afectan la seguridad de la informacin.

A.12.1.3. Gestin de Capacidad. Se debe hacer seguimiento al uso de recursos, hacer

los ajustes, y hacer proyecciones de los requisitos de capacidad futura, para asegurar el
desempeo requerido del sistema.
A.12.1.4. Separacin de los ambientes de desarrollo, ensayo y operacin. Se deben
separar los ambientes de desarrollo, ensayo y operativos, para reducir los riesgos de
acceso o cambios no autorizados al ambiente operacional.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES
A.12.2. Proteccin contra cdigos
maliciosos.
Objetivo. Asegurarse de que la
informacin y las instalaciones de
procesamiento de informacin estn
protegidas contra cdigos maliciosos.
A.12.3. Copias de Respaldo.
Objetivo. Proteger contra la prdida
de datos.
A.12. SEGURIDAD DE LAS A.12.4. Registro y Seguimiento.
OPERACIONES.
Objetivo. Registrar eventos y generar A.12.4.2. Proteccin de la informacin de registro. Las instalaciones y la informacin de
evidencia.
A.12.5. Control de Software
Operacional.
Objetivo. Asegurarse de la integridad
de los sistemas operacionales.
A.12.6. Gestin de vulnerabilidad
tcnica.
Objetivo. Prevenir el
aprovechamiento de las
vulnerabilidades tcnicas.
A.12.7. Consideraciones sobre
auditoras de sistemas de
informacin.
Objetivo. Minimizar el impacto de las
actividades de auditora sobre los
sistemas operativos.
A.13.1. Gestin de Seguridad de
Redes.
###
A.12.2.1. Controles contra cdigos maliciosos. Se deben implementar controles de
deteccin, de prevencin y de recuperacin, combinarlos con la toma de conciencia
apropiada de los usuarios, para proteger contra cdigos maliciosos.
A.12.3.1. Copias de respaldo de la informacin. Se deben hacer copias de respaldo de
la informacin, software e imgenes de los sistemas y ponerlas a prueba regularmente
de acuerdo con una poltica de copias de respaldo acordadas.
A.12.4.1. Registro de eventos. Se deben elaborar, conservar y revisar regularmente los
registros de eventos acerca de actividades del usuario, excepcionales, fallas y eventos
de seguridad de la informacin.
registro se deben proteger contra alteracin y acceso no autorizado.
A.12.4.3. Registros del administrador y del operador. Las actividades del administrador
y del operador del sistema se deben registrar y los registros se deben proteger y revisar
con regularidad.
A.12.4.4. Sincronizacin de relojes. Los relojes de todos los sistemas de procesamiento
de informacin pertinentes dentro de una organizacin o mbito de seguridad se
deben sincronizar con una nica fuente de referencia de tiempo.
A.12.5.1. Instalacin de software en sistemas operativos. Se deben implementar
procedimientos para controlar la instalacin de software en sistemas operativos.
A.12.6.1. Gestin de las vulnerabilidades tcnicas. Se debe obtener oportunamente
informacin acerca de las vulnerabilidades tcnicas de los sistemas de informacin que
se usen; evaluar la exposicin de la organizacin a estas vulnerabilidades, y tomar las
medidas apropiadas para tratar el riesgo asociado.
A.12.6.2. Restricciones sobre la instalacin de Software. Se debe establecer e
implementar el reglamento de instalacin de software por parte de los usuarios.
A.12.7.1. Controles sobre auditoras de Sistemas de Informacin. Los requisitos y
actividades de auditora que involucran la verificacin de los sistemas operativos se
deben planificar y acordar cuidadosamente para minimizar las interrupciones en los
procesos del negocio.
A.13.1.1. Controles de redes. Las redes se deben gestionar y controlar para proteger la
informacin en sistemas y aplicaciones.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###

Objetivo. Asegurar la proteccin de
la informacin en las redes, y sus
instalaciones de procesamiento de
informacin de soporte.
A.13.1.2. Seguridad de los servicios de red. Se deben identificar los mecanismos de
seguridad y los niveles de servicio y los requisitos de gestin de todos los servicios de
red, e incluirlos en los acuerdos de servicios de red, e incluirlos en los acuerdos de
servicio de red, ya sea que los servicios se presten internamente o se contraten
externamente.

A.13.1.3. Separacin en las redes. Los grupos de servicios de informacin, usuarios y

sistemas de informacin se deben separar en las redes.
A.13.2.1. Polticas y procedimientos de transferencia de informacin. Se debe contar
con polticas, procedimientos y controles de transferencia formales para proteger la
A.13. SEGURIDAD DE LAS A.13.2. Transferencia de informacin. transferencia de informacin, mediante el uso de todo tipo de instalaciones de
COMUNICACIONES. comunicaciones.

Objetivo. Mantener la seguridad de A.13.2.2. Acuerdos sobre transferencia de informacin. Los acuerdos deben tratar la
la informacin transferida dentro de transferencia segura de informacin del negocio entre la organizacin y las partes
una organizacin y con cualquier
entidad externa. externas.

A.13.2.3. Mensajes electrnicos. Se debe proteger apropiadamente la informacin

incluida en los mensajes electrnicos.
A.13.2.4. Acuerdos de confidencialidad o de no divulgacin. Se deben identificar,
revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad
o no divulgacin que reflejen las necesidades de la organizacin para la proteccin de
la informacin.

A.14.1.1. Anlisis y especificacin de requisitos de seguridad de la informacin. Los

A.14.1. Requisitos de seguridad de requisitos relacionados con seguridad de la informacin se deben incluir en los
los sistemas de informacin. requisitos para nuevos sistemas de informacin o para mejoras a los sistemas de
informacin existentes.

Objetivo. Garantizar que la seguridad

de la informacin sea una parte
integral de los sistemas de
informacin durante todo el ciclo de
vida. Esto incluye los requisitos para
sistemas de informacin que prestan
servicios sobre redes pblicas.
A.14.1.2. Seguridad de servicios de las aplicaciones en redes pblicas. La informacin
involucrada en servicios de aplicaciones que pasan sobre redes pblicas se debe
proteger de actividades fraudulentas, disputas contractuales y divulgacin y
modificacin no autorizadas.

A.14.1.3. Proteccin de transacciones de servicios de aplicaciones. La informacin

involucrada en las transacciones de servicios de aplicaciones se debe proteger para
prevenir la transmisin incompleta, el enrutamiento errado, la alteracin no autorizada
de mensajes. La divulgacin no autorizada y la duplicacin o reproduccin de mensajes
no autorizados.

A.14.2. Seguridad en los procesos de A.14.2.1. Poltica de desarrollo seguro. Se deben establecer y aplicar reglas para el
desarrollo y de soporte. desarrollo de software y de sistemas a los desarrollos dentro de la organizacin.

Objetivo. Asegurar que la seguridad

de la informacin est diseada e A.14.2.2. Procedimiento de control de cambios en sistemas. Los cambios a los sistemas
implementada dentro del ciclo de dentro del ciclo de vida de desarrollo de software y de sistemas a los desarrollos dentro
vida de desarrollo de los sistemas de de la organizacin.
A.14. ADQUISICIN, informacin.
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
 ISO27001:2013 - ANEXO A
A.14. ADQUISICIN, OBJETIVOS DE CONTROL Y CONTROLES
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS.
A.14.3. Datos de ensayo.
Objetivo. Asegurar la proteccin de
los datos usados para ensayos.
A.15.1. Seguridad de la informacin
en las relaciones con los
proveedores.
Objetivo. Asegurar la proteccin de
los activos de la organizacin que
sean accesibles a los proveedores.
A.15. RELACIONES CON
LOS PROVEEDORES.
A.15.2. Gestin de la prestacin de
servicios de proveedores.
Objetivo. Mantener el nivel acordado
de seguridad de la informacin y de
prestacin del servicio en lnea con
los acuerdos con los proveedores.
###
A.14.2.3. Revisin tcnica de aplicaciones despus de cambios en la plataforma de
operaciones. Cuando se cambian las plataformas de operacin, se deben revisar las
aplicaciones crticas del negocio, y poner a prueba para asegurar que no haya impacto
adverso en las operaciones o seguridad organizacionales.
A.14.2.4. Restricciones sobre los cambios de paquetes de software. Se deben
desalentar las modificaciones a los paquetes de software, que se deben limitar a los
cambios necesarios, y todos los cambios se deben controlar estrictamente.
A.14.2.5. Principios de construccin de sistemas de seguros. Se deben establecer,
documentar y mantener principios para la organizacin de sistemas seguros, y
aplicarlos a cualquier trabajo de implementacin de sistemas de informacin.
A.14.2.6. Ambiente de desarrollo seguro. Las organizaciones deben establecer y
proteger adecuadamente los ambientes de desarrollo seguros para las tareas de
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de
desarrollo de sistemas.
A.14.2.7. Desarrollo contratado externamente. La organizacin debe supervisar y hacer
seguimiento de la actividad de desarrollo de sistemas subcontratados.
A.14.2.8. Pruebas de seguridad de sistemas. Durante el desarrollo se deben llevar a
cabo ensayos de funcionalidad de la seguridad.
A.14.2.9. Pruebas de aceptacin de sistemas. Para los sistemas de informacin nuevos,
actualizaciones y nuevas versiones se deben establecer programas de ensayo y criterios
relacionados.
A.14.3.1. Proteccin de datos de ensayo. Los datos de ensayo se deben seleccionar,
proteger y controlar cuidadosamente.
A.15.1.1. Poltica de seguridad de la informacin para las relaciones con proveedores.
Los requisitos de seguridad de la informacin para mitigar los riesgos asociados con el
acceso de proveedores a los activos de la organizacin se deben acordar con estos y se
deben documentar.
A.15.1.2. Tratamiento de la seguridad dentro de los acuerdos con proveedores. Se
deben establecer y acordar todos los requisitos de seguridad de la informacin
pertinentes con cada proveedor que puedan tener acceso, procesar, almacenar,
comunicar o suministrar componentes de infraestructura de TI para la informacin de
la organizacin.
A.15.1.3. Cadena de suministro de tecnologa de informacin y comunicacin. Los
acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad
de la informacin asociados con la cadena de suministro de productos y servicios de
tecnologa de informacin y comunicacin.
A.15.2.1. Seguimiento y revisin de los servicios de los proveedores. Las organizaciones
deben hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios
de los proveedores.
A.15.2.2. Gestin de cambios a los servicios de los proveedores. Se deben gestionar los
cambios en el suministro de servicios por parte de los proveedores, incluido el
mantenimiento y la mejora de las polticas, procedimientos y controles de seguridad de
la informacin existentes, teniendo en cuenta la criticidad de la informacin, sistemas y
procesos del negocio involucrados y la reevaluacin de los riesgos.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###
A.16.1. Gestin de incidentes y A.16.1.1. Responsabilidades y procedimientos. Se deben establecer las
mejoras en la seguridad de la responsabilidades y procedimientos de gestin para asegurar una respuesta rpida,
informacin. eficaz y ordenada a los incidentes de seguridad de la informacin.

Objetivo. Asegurar un enfoque

coherente y eficaz para la gestin de
incidentes de seguridad de la A.16.1.2. Informe de eventos de seguridad de la informacin. Los eventos de seguridad
de la informacin se deben informar a travs de los canales de gestin apropiados tan
informacin, incluida la pronto como sea posible.
comunicacin sobre eventos de
seguridad y debilidad.

A.16.1.3. Informe de debilidades de seguridad de la informacin. Se debe exigir a todos

los empleados y contratistas que usan los servicios y sistemas de informacin de la
organizacin, que se observen e informen cualquier debilidad de seguridad de la
A.16. GESTIN DE informacin observada o sospechada en los sistemas o servicios.
INCIDENTES DE
SEGURIDAD DE LA A.16.1.4. Evaluacin de eventos de seguridad de la informacin y decisiones sobre
INFORMACIN. ellos. Los eventos de seguridad de la informacin se deben evaluar y se debe decidir si
se van a clasificar como incidentes de seguridad de la informacin.
A.16.1.5. Respuesta a incidentes de seguridad de la informacin. Se debe dar respuesta
a los incidentes de seguridad de la informacin de acuerdo con procedimientos
documentados.

A.16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la informacin. El

conocimiento adquirido al analizar y resolver incidentes de seguridad de la informacin
se debe usar para reducir la posibilidad o el impacto de incidentes futuros.

A.16.1.7. Recoleccin de evidencia. La organizacin debe definir y aplicar

procedimientos para la identificacin, recoleccin, adquisicin y preservacin de
informacin que pueda servir como evidencia.

A.17.1.1. Planificacin de la continuidad de la seguridad de la informacin. La

A.17.1. Continuidad de seguridad de organizacin debe determinar sus requisitos para la seguridad de la informacin y la
la informacin continuidad de la gestin de seguridad de la informacin en situaciones adversas, por
ejemplo, durante una crisis o desastres.

Objetivo. La continuidad de
A.17.1.2. Implementacin de la continuidad de la seguridad de la informacin. La
seguridad de la informacin se debe organizacin debe establecer, documentar, implementar y mantener procesos,
incluir en los sistemas de gestin de
la continuidad de negocio de la procedimientos y controles para asegurar el nivel de continuidad requerido para la
A.17. ASPECTOS DE seguridad de la informacin durante una situacin adversa.
SEGURIDAD DE LA organizacin.
INFORMACIN DE LA
GESTIN DE LA A.17.1.3. Verificacin, revisin y evaluacin de la continuidad de la seguridad de la
CONTINUIDAD DE informacin. La organizacin debe verificar a intervalos regulares los controles de
NEGOCIO. continuidad de la seguridad de la informacin implementados con el fin de asegurar
que los vlidos y eficaces durante situaciones adversas.

A.17.2.1. Disponibilidad de instalaciones de procesamiento de informacin. Las

A.17.2. Redundancia instalaciones de procesamiento de informacin se deben implementar con
redundancia suficiente para cumplir los requisitos de disponibilidad.
Objetivo. Asegurarse de la
disponibilidad de instalaciones de
procesamiento de informacin.
 ISO27001:2013 - ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ###

A.18.1.1. Identificacin de los requisitos de legislacin y contractuales aplicables. Se

A.18.1. Cumplimiento de requisitos deben identificar, documentar y mantener actualizados explcitamente todos los
legales y contractuales. requisitos legislativos estatutarios, de reglamentacin y contractuales pertinentes, y el
enfoque de la organizacin para cada sistema de informacin y para la organizacin.

Objetivo. Evitar violaciones de las

obligaciones legales, estatutarias, de
reglamentacin o contractuales
relacionadas con seguridad de la
informacin y de cualquier requisito
de seguridad.
A.18.1.2. Derechos de Propiedad Intelectual. Se deben implementar procedimientos
apropiados para asegurar el cumplimiento de los requisitos legislativos, de
reglamentacin y contractuales relacionados con los derechos de propiedad intelectual
y el uso de productos de software licenciados.

A.18.1.3. Proteccin de registros. Los registros se deben proteger contra prdida,

destruccin, falsificacin, acceso no autorizado y liberacin no autorizada, de acuerdo
con los requisitos legislativos, de reglamentacin, contractuales y de negocio.

A.18.1.4. Privacidad y proteccin de la informacin identificable personalmente. Se

A.18. CUMPLIMIENTO. deben asegurar la privacidad y la proteccin de la informacin identificable
personalmente, como se exige en la legislacin y la reglamentacin pertinentes,
cuando sea aplicable.
A.18.1.5. Reglamentacin de Controles Criptogrficos. Se deben usar controles
criptogrficos, en cumplimiento de todos los acuerdos

A.18.2.1. Revisin independiente de la seguridad de la informacin. El enfoque de la

organizacin para la gestin de la seguridad de la informacin y su implementacin (es
A.18.2. Revisiones de seguridad de la decir, los objetivos de control, los controles, la polticas, los procesos y los
informacin
procedimientos para seguridad de la informacin se deben revisar
independientemente a intervalos planificados o cuando ocurran cambios significativos.

Objetivo. Asegurar que la seguridad A.18.2.2. Cumplimiento con las polticas y normas de seguridad. Los directores deben
de la informacin se implemente y revisar con regularidad el cumplimiento del procesamiento y procedimientos de
opere de acuerdo con las polticas y informacin dentro de su rea de responsabilidad, con las polticas y normas de
procedimiento organizacionales. seguridad apropiadas y cualquier otro requisito de seguridad.

A.18.2.3. Revisin del Cumplimiento Tcnico. Los Sistemas de informacin se deben

revisar con regularidad para determinar el cumplimiento con las polticas y normas de
seguridad de la informacin.