ISO/IEC 27002:2013.

14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES

1. POLTICAS DE SEGURIDAD. 5.2.3 Gestin de los derechos de acceso con privilegios
1.1 Directrices de la Direccin en seguridad de la especiales.
informacin. 5.2.4 Gestin de informacin confidencial de autenticacin
1.1.1 Conjunto de polticas para la seguridad de la de usuarios.
informacin. 5.2.5 Revisin de los derechos de acceso de los usuarios.
1.1.2 Revisin de las polticas para la seguridad de la 5.2.6 Retirada o adaptacin de los derechos de acceso
informacin. 5.3 Responsabilidades del usuario.
5.3.1 Uso de informacin confidencial para la autenticacin.
2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE 5.4 Control de acceso a sistemas y aplicaciones.
LA INFORMACION.. 5.4.1 Restriccin del acceso a la informacin.
2.1 Organizacin interna. 5.4.2 Procedimientos seguros de inicio de sesin.
2.1.1 Asignacin de responsabilidades para la seguridad de 5.4.3 Gestin de contraseas de usuario.
la informacin. 5.4.4 Uso de herramientas de administracin de sistemas.
2.1.2 Segregacin de tareas. 5.4.5 Control de acceso al cdigo fuente de los programas
2.1.3 Contacto con las autoridades.
2.1.4 Contacto con grupos de inters especial. 6. CIFRADO.
2.1.5 Seguridad de la informacin en la gestin de 6.1 Controles criptogrficos.
proyectos. 6.1.1 Poltica de uso de los controles criptogrficos.
2.2 Dispositivos para movilidad y teletrabajo. 6.1.2 Gestin de claves.
2.2.1 Poltica de uso de dispositivos para movilidad.
2.2.2 Teletrabajo. 7. SEGURIDAD FSICA Y AMBIENTAL.
7.1 reas seguras.
3. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 7.1.1 Permetro de seguridad fsica.
3.1 Antes de la contratacin. 7.1.2 Controles fsicos de entrada.
3.1.1 Investigacin de antecedentes. 7.1.3 Seguridad de oficinas, despachos y recursos.
3.1.2 Trminos y condiciones de contratacin. 7.1.4 Proteccin contra las amenazas externas y
3.2 Durante la contratacin. ambientales.
3.2.1 Responsabilidades de gestin. 7.1.5 El trabajo en reas seguras.
3.2.2 Concienciacin, educacin y capacitacin en 7.1.6 reas de acceso pblico, carga y descarga.
seguridad de la informacin 7.2 Seguridad de los equipos.
3.2.3 Proceso disciplinario. 7.2.1 Emplazamiento y proteccin de equipos.
3.3 Cese o cambio de puesto de trabajo. 7.2.2 Instalaciones de suministro.
3.3.1 Cese o cambio de puesto de trabajo. 7.2.3 Seguridad del cableado.
7.2.4 Mantenimiento de los equipos.
4. GESTIN DE ACTIVOS. 7.2.5 Salida de activos fuera de las dependencias de la
4.1 Responsabilidad sobre los activos. empresa.
4.1.1 Inventario de activos. 7.2.6 Seguridad de los equipos y activos fuera de las
4.1.2 Propiedad de los activos. instalaciones.
4.1.3 Uso aceptable de los activos. 7.2.7 Reutilizacin o retirada segura de dispositivos de
4.1.4 Devolucin de activos. almacenamiento.
4.2 Clasificacin de la informacin. 7.2.8 Equipo informtico de usuario desatendido.
4.2.1 Directrices de clasificacin. 7.2.9 Poltica de puesto de trabajo despejado y bloqueo de
4.2.2 Etiquetado y manipulado de la informacin. pantalla.
4.2.3 Manipulacin de activos.
4.3 Manejo de los soportes de almacenamiento. 8. SEGURIDAD EN LA OPERATIVA.
4.3.1 Gestin de soportes extrables. 8.1 Responsabilidades y procedimientos de operacin.
4.3.2 Eliminacin de soportes. 8.1.1 Documentacin de procedimientos de operacin.
4.3.3 Soportes fsicos en trnsito. 8.1.2 Gestin de cambios.
8.1.3 Gestin de capacidades.
5. CONTROL DE ACCESOS. 8.1.4 Separacin de entornos de desarrollo, prueba y
5.1 Requisitos de negocio para el control de accesos. produccin.
5.1.1 Poltica de control de accesos. 8.2 Proteccin contra cdigo malicioso.
5.1.2 Control de acceso a las redes y servicios asociados. 8.2.1 Controles contra el cdigo malicioso.
5.2 Gestin de acceso de usuario. 8.3 Copias de seguridad.
5.2.1 Gestin de altas/bajas en el registro de usuarios. 8.3.1 Copias de seguridad de la informacin.
5.2.2 Gestin de los derechos de acceso asignados a 8.4 Registro de actividad y supervisin.
usuarios. 8.4.1 Registro y gestin de eventos de actividad.
8.4.2 Proteccin de los registros de informacin.
 ISO/IEC 27002:2013.
8.4.3 Registros de actividad del administrador y operador 11.1 Seguridad de la informacin en las relaciones con
del sistema. suministradores.
8.4.4 Sincronizacin de relojes. 11.1.1 Poltica de seguridad de la informacin para
8.5 Control del software en explotacin. suministradores.
8.5.1 Instalacin del software en sistemas en produccin. 11.1.2 Tratamiento del riesgo dentro de acuerdos de
8.6 Gestin de la vulnerabilidad tcnica. suministradores.
8.6.1 Gestin de las vulnerabilidades tcnicas. 11.1.3 Cadena de suministro en tecnologas de la
8.6.2 Restricciones en la instalacin de software. informacin y comunicaciones.
8.7 Consideraciones de las auditoras de los sistemas de 11.2 Gestin de la prestacin del servicio por
informacin. suministradores.
8.7.1 Controles de auditora de los sistemas de informacin. 11.2.1 Supervisin y revisin de los servicios prestados por
terceros.
9. SEGURIDAD EN LAS TELECOMUNICACIONES. 11.2.2 Gestin de cambios en los servicios prestados por
9.1 Gestin de la seguridad en las redes. terceros.
9.1.1 Controles de red.
9.1.2 Mecanismos de seguridad asociados a servicios en 12. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA
red. INFORMACIN.
9.1.3 Segregacin de redes. 12.1 Gestin de incidentes de seguridad de la informacin
9.2 Intercambio de informacin con partes externas. y mejoras.
9.2.1 Polticas y procedimientos de intercambio de 12.1.1 Responsabilidades y procedimientos.
informacin. 12.1.2 Notificacin de los eventos de seguridad de la
9.2.2 Acuerdos de intercambio. informacin.
9.2.3 Mensajera electrnica. 12.1.3 Notificacin de puntos dbiles de la seguridad.
9.2.4 Acuerdos de confidencialidad y secreto 12.1.4 Valoracin de eventos de seguridad de la informacin
y toma de decisiones.
10. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE 12.1.5 Respuesta a los incidentes de seguridad.
LOS SISTEMAS DE INFORMACIN. 12.1.6 Aprendizaje de los incidentes de seguridad de la
10.1 Requisitos de seguridad de los sistemas de informacin.
informacin. 12.1.7 Recopilacin de evidencias.
10.1.1 Anlisis y especificacin de los requisitos de
seguridad. 13. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN
10.1.2 Seguridad de las comunicaciones en servicios LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO.
accesibles por redes pblicas. 13.1 Continuidad de la seguridad de la informacin.
10.1.3 Proteccin de las transacciones por redes 13.1.1 Planificacin de la continuidad de la seguridad de la
telemticas. informacin.
10.2 Seguridad en los procesos de desarrollo y soporte. 13.1.2 Implantacin de la continuidad de la seguridad de la
10.2.1 Poltica de desarrollo seguro de software. informacin.
10.2.2 Procedimientos de control de cambios en los 13.1.3 Verificacin, revisin y evaluacin de la continuidad
sistemas. de la seguridad de la informacin.
10.2.3 Revisin tcnica de las aplicaciones tras efectuar 13.2 Redundancias.
cambios en el sistema operativo. 13.2.1 Disponibilidad de instalaciones para el procesamiento
10.2.4 Restricciones a los cambios en los paquetes de de la informacin.
software.
10.2.5 Uso de principios de ingeniera en proteccin de 14. CUMPLIMIENTO.
sistemas.
10.2.6 Seguridad en entornos de desarrollo. 14.1 Cumplimiento de los requisitos legales y contractuales.
10.2.7 Externalizacin del desarrollo de software. 14.1.1 Identificacin de la legislacin aplicable.
10.2.8 Pruebas de funcionalidad durante el desarrollo de los 14.1.2 Derechos de propiedad intelectual (DPI).
sistemas. 14.1.3 Proteccin de los registros de la organizacin.
10.2.9 Pruebas de aceptacin. 14.1.4 Proteccin de datos y privacidad de la informacin personal.
10.3 Datos de prueba. 14.1.5 Regulacin de los controles criptogrficos.
10.3.1 Proteccin de los datos utilizados en pruebas. 14.2 Revisiones de la seguridad de la informacin.
14.2.1 Revisin independiente de la seguridad de la informacin.
11. RELACIONES CON SUMINISTRADORES. 14.2.2 Cumplimiento de las polticas y normas de seguridad.
14.2.3 Comprobacin del cumplimiento.
ISO/IEC 27002:2013.