ISO / IEC 27001

TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – REQUERIMIENTOS

A.5 POLITICAS DE SEGURIDAD DE INFORMACIÓN

A.5.1 Dirección de la gestión de seguridad de la información
Objetivo: Proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los
requerimientos del negocio, leyes y reglamentos pertinentes.
A.5.1.1 Políticas para la seguridad Control
de la información. Un conjunto de políticas de seguridad de la información se deberá
definir, aprobar por la administración, ser publicada y comunicada a los
empleados y colaboradores externos.
A.5.1.2 Revisión de las políticas Control
de seguridad de la Las políticas de seguridad de la información se revisarán en intervalos
información. planificados o si se producen cambios significativos para asegurar su
conveniencia, adecuación y eficacia.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACÓN
A.6.1 Organización interna
Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de
la información dentro de la organización,
A.6.1.1 Funciones de seguridad control
de la Información y las Todas las responsabilidades de seguridad de la información deben ser
responsabilidades definidas y asignadas.
A.6.1.2 La segregación de control
funciones Las funciones en conflicto y áreas de responsabilidad deben estar
separados para reducir las oportunidades para la modificación o mal
uso de los activos de la organización no autorizado o involuntario.
A.6.1.3 Póngase en contacto con control
las autoridades Se mantendrán los contactos apropiados con las autoridades
pertinentes.
A.6.1.4 Póngase en contacto con control
los grupos de interés Se mantendrán los contactos apropiados con los grupos de interés
especial especial u otros foros de seguridad especializados y asociaciones
profesionales.

A.6.1.5 Seguridad de la control

información en la gestión Seguridad de la información se dirigirá en dirección de proyectos,
de proyectos independientemente del tipo de proyecto.
A.6.2 Dispositivos móviles y el tele trabajadores
Objetivo: Garantizar la seguridad del tele trabajador y el uso de dispositivos móviles.
A.6.2.1 Política de dispositivo control
móvil. Una política de apoyo a las medidas de seguridad serán adoptadas
para gestionar los riesgos introducidos por el uso de dispositivos
móviles.
A.6.2.2 Teletrabajo control
Una política y el apoyo a las medidas de seguridad se aplicarán para
proteger la información visitada, tratados o almacenados en los sitios
de trabajo a distancia.
A.7 La seguridad de los recursos humanos
A.7.1 Antes del empleo
Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y sean adecuados a las
funciones a las que se le consideran.
A.7.1.1 Proyección Control
Los controles de verificación de antecedentes a todos los candidatos a
empleo se llevarán a cabo de conformidad con las leyes, regulaciones
y ética y serán proporcionales a los requerimientos del negocio, la
clasificación de la información para ser accedido y los riesgos
percibidos.
A.7.1.2 Términos y condiciones Control
de empleo Los acuerdos contractuales con los empleados y los contratistas
deberán declarar las responsabilidades en la organización para la
seguridad de la información.
A.7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades de
seguridad de la información.
A.7.2.1 Responsabilidades de Control
gestión Manejo de todos los empleados y contratistas a aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos por la
organización.

A.7.2.2 Concienciación sobre la Control

seguridad de la
información, la educación
y la formación
A.7.2.3 Proceso disciplinario
A.7.3 Terminación y cambio de empleo
Objetivo: proteger los intereses de la organización como parte del proceso de cambiar o terminar el empleo
A.7.3.1 La terminación o el
cambio de las
responsabilidades
laborales
A.8 Gestión de activos
A.8.1 La responsabilidad de los activos
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuados.
A.8.1.1 Inventario de activos
A.8.1.2 Propiedad de los bienes
A.8.1.3 Uso aceptable de
los activos
A.8.1.4 Retorno de los activos
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel adecuado de protección, de acuerdo con su importancia
para la organización.
Todos los empleados de la organización y, en su caso, los contratistas
deberán recibir una educación adecuada de sensibilización, formación,
actualizaciones periódicas de políticas y procedimientos en la
organización, que sea relevante para su función de trabajo.
Control
Habrá un proceso disciplinario formal y comunicado, en lugar de tomar
medidas contra los empleados que han cometido alguna violación de la
seguridad de la información.
Control
Las responsabilidades de seguridad de la Información y deberes que
siguen vigentes después de la rescisión o cambio de empleo se deben
definir, comunicadas al empleado o contratista y se hacen cumplir.
Control
Activos relacionados con las instalaciones de procesamiento de la
información, siendo identificadas en un inventario de bienes que serán
elaborados y mantenido.
control
Los activos mantenidos en el inventario deberán tener propiedad.
Control
Normas para el uso aceptable de la información y de los activos
asociados a esta, el procesamiento de la información deben ser
identificadas, documentadas e implementadas.
Control
Todos los empleados y usuario externos deberán devolver todos los
activos en su posesión a la organización a la terminación de su
empleo, contrato o acuerdo.
A.8.2.1 Clasificación de la control
información La información se clasificará en función a los requisitos legales, el
valor, criticidad y sensibilidad a la divulgación o modificación no
autorizada.
A.8.2.2 Etiquetado de la control
información Un conjunto apropiado de los procedimientos para el etiquetado de
información será elaborado y aplicado de acuerdo con el esquema de
clasificación de la información aprobada por la organización.
A.8.2.3 Manejo de activos control
Procedimientos para el manejo de los activos deberán desarrollarse y
aplicarse de conformidad con el esquema de clasificación de la
información aprobada por la organización.
A.8.3 Manejo del soporte
Objetivo: Evitar la divulgación no autorizada, modificación, eliminación o destrucción de la información
almacenada en los medios de comunicación.
A.8.3.1 Gestión de soportes control
extraíbles Procedimientos se aplicarán para la gestión de medios extraíbles de
acuerdo con el esquema de clasificación adoptado por la organización.
A.8.3.2 La eliminación de los control
medios de comunicación Medios deberán ser desechados de forma segura cuando ya no es
necesario, utilizando procedimientos
formales.
A.8.3.3 Transferencia de medios control
físicos Los medios que contienen información deben estar protegidos contra el
acceso no autorizado, mal uso o corrupción durante el transporte.
A.9 El control de acceso
A.9.1 Los requerimientos del negocio al control de acceso
Objetivo: limitar el acceso a las instalaciones de procesamiento de la información y de la información.
A.9.1.1 Política de control de control
acceso Se establecerá una política de control de acceso, documentado y
revisado en base a los requisitos de seguridad de negocios y de
información.
A.9.1.2 El acceso a las redes y control
los servicios de red Los usuarios sólo deberán disponer de acceso a los servicios de red y
que han sido específicamente autorizados para su uso.
A.9.2 Gestión de acceso de los usuarios
Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a los sistemas y
servicios.
A.9.2.1 Registro de usuarios y de control
la matrícula Un registro de usuario formal y proceso de cancelación de la matrícula
se aplicarán para permitir la asignación de derechos de acceso.
A.9.2.2 El acceso del usuario control
aprovisionamiento Un proceso de provisión de acceso de usuarios formales se aplicará
para asignar o revocar los derechos de acceso para todos los tipos de
usuario a todos los sistemas y servicios.
A.9.2.3 Gestión de derechos de control
acceso privilegiado La asignación y el uso de derechos de acceso privilegiados serán
restringidos y controlados.
A.9.2.4 Gestión de la información control
de autenticación de La asignación de la información secreta de autenticación se controla a
secreto de usuario través de un proceso de
gestión formal.
A.9.2.5 Revisión de los derechos control
de acceso de usuario Los propietarios de activos revisarán los derechos de acceso del
 usuario a intervalos regulares,

A.9.2.6 La eliminación o de Ajuste control

de derechos de acceso Los derechos de acceso de todos los empleados y los usuarios parte
externa a las instalaciones de procesamiento de la información y de la
información del reglamento será eliminado después de la terminación
de su empleo, contrato o acuerdo, o se ajustan al cambio.
A.9.3 Responsabilidades del usuario
Objetivo: hacer que los usuarios responsables de salvaguardar su información de autenticación.
A.9.3.1 El uso de la información Se exigirá a los usuarios que siguen las prácticas de la organización en
secreta de autenticación el uso de información secreta de autenticación.
control
A.9.4 El control del sistema y la aplicación de acceso
Objetivo: evitar el acceso no autorizado a los sistemas y aplicaciones.
A.9.4.1 Restricción de acceso control
Información El acceso a las funciones de información y sistema de aplicación se
limitará de acuerdo con la política de control de acceso.
A.9.4.2 Asegurar los control
procedimientos de Cuando lo exija la política de control de acceso, el acceso a los
entrada sistemas y aplicaciones se controla mediante un procedimiento de
inicio de sesión seguro.
A.9.4.3 Sistema de gestión de Control
contraseñas Sistemas de gestión de contraseña deben ser interactivas y se asegurarán de
contraseñas de calidad.
A.9.4.4 Utilización de programas Control
de utilidad privilegiados. El uso de programas de utilidades que podrían ser capaces de sistema
y de aplicación controles primordiales será restringido y estrechamente
controlado.
A.9.4.5 Control de acceso al Control
código fuente del El acceso al código fuente del programa se limitará
programa.

A.10 Criptografía
A.10.1 Controles de criptografía
Objetivo: asegurar el uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y
/ o integridad de la información.
A.10.1 Política sobre el uso de Control
0.1 controles criptográficos Una política sobre el uso de controles criptográficos para la protección
de la información debe ser desarrollada e implementada.
A.10.1.2 Gestión de claves Control
Una política sobre el uso, la protección y la duración de las claves
criptográficas se desarrolló e implementó a través de todo su ciclo de
vida.
A.11 La seguridad física y ambiental
A.11.1 Las áreas seguras
Objetivo: evitar el acceso no autorizado física, daño e interferencia a la información ya las instalaciones de
procesamiento de información de la organización.
A.11.1.1 Perímetro de seguridad Control
física Perímetros de protección se definen y se utilizan para proteger áreas
que contienen información o instalaciones de procesamiento de
información, ya sea sensibles o críticos.
A.11.1.2 Controles de entrada Control
física Las áreas seguras se protegerán mediante controles de entrada

A.11.1.3 Asegurar oficinas, salas e
. instalaciones
A.11.1.4 La protección contra
amenazas externas y
ambientales
adecuados para garantizar que se le permite el acceso únicamente al
personal autorizado.
Control
La seguridad física para oficinas, salas e instalaciones deberá ser
diseñada y aplicada
Control
La protección física frente a los desastres naturales, ataques
maliciosos o accidentes debe ser diseñada y aplicada.

A.11.1.5 Trabajar en zonas Control

seguras
A.11.1.6 Zonas de entrega y carga
A.11.2 Equipo
Objetivo: Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción a las operaciones
de la organización,
A.11.2.1 Emplazamiento y
Protección del equipo
A.11.2.2 Apoyo a los servicios
. públicos
A.11.2.3 Seguridad del cableado
A.11.2.4 El mantenimiento del
equipo
A.11.2.5 La eliminación de los
activos
A.11.2.6 Seguridad de los equipos
y de los activos fuera del
establecimiento
A.11.2.7 La eliminación segura o la Control
. reutilización de los
equipos
A.11.2.8 Equipos de usuario
desatendido
A.11.2.9 Política de escritorio y
pantalla limpias
Despejado
Procedimientos para trabajar en las áreas de seguridad deben ser
diseñados y aplicados.
Control
Los puntos de acceso, tales como las zonas de entrega y de carga y
otros puntos en los que las personas no autorizadas puedan entrar en
los locales se deberán controlar y, si es posible, aisladas, instalaciones
de procesamiento de información del formulario para evitar el acceso
no autorizado.
Control
El equipo deberá estar situado y protegido para reducir los riesgos de
las amenazas ambientales y los riesgos y las oportunidades de acceso
no autorizado.
Control
El equipo deberá estar protegida contra fallas de energía y otras
interrupciones causadas por fallas en el apoyo a los servicios públicos
Control
Energía y telecomunicaciones cableadas que transporta datos o el
apoyo a los servicios de información debe ser protegido contra la
intercepción, interferencia o daños.
Control
El equipo debe mantenerse correctamente para asegurar su continua
disponibilidad e integridad
Control
Equipo, la información o el software no se tomarán fuera del sitio sin la
previa autorización.
Control
Seguridad se aplicará a los activos fuera de las instalaciones, teniendo
en cuenta los diferentes riesgos de trabajar fuera de la organización `s
locales
Todos los elementos del equipo que contiene los medios de
almacenamiento deberán ser verificados para garantizar que los datos
sensibles de software con licencia se han eliminado o sobrescrito de
forma segura antes de su eliminación o reutilización
Control
Los usuarios deberán asegurarse de que el equipo desatendido tiene la
protección adecuada
Control
Se adoptarán una política de escritorio limpio de papeles y soportes de
almacenamiento extraíbles y una pantalla clara política de instalaciones
de procesamiento de información
A.12 Operaciones de seguridad
A.12.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar operaciones correctas y seguras de las instalaciones de procesamiento de información
A.12.1.1 Procedimientos Control
operacionales, Los procedimientos de operación deberán ser documentados y puestos
adecuadamente a disposición de todos los usuarios que necesitan entonces
documentados

A.12.1.2 Gestión del cambio Control

A.12.1.3 Gestión de la capacidad
A.12.1.4 Separación de desarrollo,
prueba y entorno
operativo
A.12.2 Protección contra el malware
Objetivo: asegurar que las instalaciones de procesamiento de la información y la información están protegidos
contra el malware.
A.12.2.1 Controles contra el
malware
A.12.3 Reserva
Objetivo: proteger contra la pérdida de datos
A.12.3.1 Copia de seguridad de la
información
A.12.4 Registro y supervisión
Objetivo: registrar eventos y generar evidencia
A.12.4.1 El registro de eventos
A.12.4.2 Protección de la
información de registro
A.12.4.3 Registros de
administrador y operador
A.12.4.4 Sincronización de reloj
A.12.5 El control de software operativo
Objetivo: Asegurar la integridad de los sistemas operativos
Los cambios en la organización, los procesos de negocio, instalaciones
y sistemas que afectan a la seguridad de información tratamiento de la
información deberán ser controlados
Control
El uso de los recursos será supervisada, se ajusta y proyecciones
hecha de futuro rendimiento del sistema la capacidad requerida
Control
Desarrollo, pruebas y entornos operativos estarán separados para
reducir los riesgos de acceso no autorizado o cambios en el entorno
operativo.
Control
Controles de detección, prevención y recuperación para proteger
contra el malware se aplicarán, en combinación con el conocimiento
del usuario correspondiente.
Control
Las copias de seguridad de la información, software y sistemas
imágenes se tomarán y se prueban regularmente de acuerdo con una
política de copia de seguridad acordado.
Control
Los registros de eventos de grabación de las actividades del usuario,
cuidados y los eventos de seguridad de información se produce
mantienen y regularmente revisado
Control
Instalaciones de registro y la información de registro se protegerán
contra la manipulación y acceso no autorizado
Control
Actividades del administrador del sistema y gestor de la red serán
registrados y sus troncos protegidos y revisados con regularidad
Control
Los relojes de todos los sistemas de procesamiento de información
pertinentes dentro de una organización o dominio de seguridad se
sincronizan con fuente de tiempo de referencia única
A.12.5.1 La instalación del software Control
en los sistemas operativos Procedimientos deberán
A.12.6 Gestión de vulnerabilidades técnicas
Objetivo: Prevenir la explotación de vulnerabilidades técnicas
A.12.6.1 Gestión de Control
vulnerabilidades técnicas Información acerca de las vulnerabilidades técnicas de los sistemas de
información que se utilizan se obtendrá en el momento oportuno, la
exposición de la organización de tales vulnerabilidades evaluado y
tomado las medidas adecuadas también aborda el riesgo asociado
A.12.6.2 Las restricciones a la Control
instalación de software Norma que rige la instalación de software de los usuarios, se establece
y ejecuta
A.12.7 Consideraciones de auditoría de sistemas de información
Objetivo: Para reducir al mínimo el impacto de las actividades de auditoría en los sistemas operativos
A.12.7.1 Controles de auditoría de Control
sistemas de información Requisitos de auditoría y las actividades relacionadas con la
verificación de los sistemas operativos ser cuidadosamente
planificadas y acordadas para minimizar las interrupciones de los
procesos de negocio
A.13 Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de la red
Para garantizar la protección de la información en las redes y sus instalaciones de apoyo de procesamiento de
información
A.13.1.1 Controles de red Control
Redes deberán ser gestionadas y controladas para proteger la
información en los sistemas y aplicaciones
A.13.1.2 Seguridad de los servicios Control
de red Los mecanismos de seguridad, niveles de servicio y los requisitos de
gestión de todos los servicios de la red deben ser identificados e
incluidos en los acuerdos de servicios de red, si estos servicios están
dentro de la empresa o subcontratado
A.13.1.3 La segregación en las Control
redes Grupo de servicios de información, los usuarios y los sistemas de
información se puede segregar en las redes
A.13.2 La transferencia de información
Objetivo: Mantener la seguridad de información que se transfiere dentro de una organización y con cualquier
entidad externa.
A.13.2.1 Las políticas y los Control
procedimientos de Formales de transferencia de políticas, procedimientos y controles
transferencia de deberán estar en su lugar para proteger la transferencia de información
información a través del uso de todo tipo de servicios de comunicación

A.13.2.2 Los acuerdos sobre la Control

transferencia de Dichos acuerdos deberán dirigirse a la transferencia segura de
información información comercial entre la organización y las partes externas
A.13.2.3 La mensajería electrónica Control
Información involucrada en la mensajería electrónica deberán estar
protegidos adecuadamente
A.13.2.4 Los acuerdos de Control
confidencialidad o de no Requisitos para los acuerdos de confidencialidad o de no divulgación
divulgación que reflejen las necesidades de la organización para la protección de la
información deben ser identificados, revisado y documentado
 regularmente.
A.14 Sistema de adquisición, desarrolló y mantenimiento
A.14.1 Los requisitos de seguridad de los sistemas de información
Objetivo: Garantizar que la seguridad informática es una parte integral de los sistemas de información a través
de todo el ciclo de vida. Esto también incluye los requisitos para el sistema de información que proporcionan los
servicios a través de redes públicas.
A.14.1.1 Análisis de los requisitos Control
de seguridad de la Requisitos relacionados con la seguridad de la información se incluirá
información en los requisitos para los nuevos sistemas de información o mejoras a
y la especificación los sistemas de información existentes.
A.14.1.2 Asegurando los servicios Control
de aplicaciones en público Información participan en los servicios de aplicaciones que pasan a
redes través de redes públicas, serán protegidos de la actividad fraudulenta,
el contrato de disputa y de divulgación y modificación no autorizada.
A.14.1.3 La protección de las Control
transacciones de servicios Información involucrada en las transacciones de servicios de aplicación
de aplicación debe ser protegido para prevenir la transmisión incompleta, mal
enrutamiento, alteración mensaje no autorizado, la divulgación no
autorizada, la duplicación de mensajes no autorizada o la reproducción.
A.14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo: Garantizar que la seguridad informática se ha diseñado e implementado en el ciclo de vida de
desarrollo de sistemas de información.
A.14.2.1 desarrollo seguro política Control
Reglas para el desarrollo de software y sistemas se establecerán y
aplicarán a la evolución de la organización.
A.14.2.2 Procedimientos de control Control
de cambios del sistema Los cambios en los sistemas dentro del ciclo de desarrollo deberá
realizarse mediante el uso de procedimientos formales de control de
cambios.
A.14.2.3 revisión técnica de las Control
aplicaciones después de Cuando se cambian las plataformas de operación, aplicación crítica de
operar cambios de negocio deberá ser revisado y probado para asegurar que no haya
plataforma cambios impacto adverso en las operaciones de la organización o de la
seguridad.
A.14.2.4 restricciones a los Control
cambios en el software modificaciones a los paquetes de software se pondrán trabas, otros, las
modificaciones necesarias y todos los cambios serán estrictamente
controlados
A.14.2.5 principios de ingeniería de Control
sistemas seguros Principios para sistemas seguros de ingeniería serán establecidos,
documentados, mantenidos y aplicados a todos los esfuerzos de
implementación de sistemas de información.
A.14.2.6 Entorno de desarrollo Control
seguro Las organizaciones deberán establecer y proteger adecuadamente los
entornos de desarrollo seguro para los esfuerzos de desarrollo e
integración de sistemas que cubren todo el ciclo de vida de desarrollo
del sistema.
A.14.2.7 desarrollo externalizado Control
la organización supervisará
y supervisar la actividad de desarrollo del sistema tercerizado
A.14.2.8 pruebas de la seguridad control
del sistema las pruebas de funcionalidad de seguridad se llevará a cabo durante el
desarrollo.
A.14.2.9 pruebas de aceptación del control
sistema programas de pruebas de aceptación y los criterios conexos se
establecerán para los nuevos sistemas de información, actualizaciones
y nuevas versiones
A.14.3 Los datos sobre el
Objetivo: Garantizar la Protección de datos utilizada para la prueba
A.14.3.1 protección de datos de control
prueba los datos de prueba deben seleccionarse cuidadosamente, protegidos
y controlados
A.15 Relaciones con los proveedores
A.15.1 Seguridad de la información en relación con los proveedores
objetivo: Para garantizar la protección de los activos de la organización que sea accesible por los proveedores
A.15.1.1 Información Aviso legal control
Pago seguro seguridad requisitos de seguridad de la información para la mitigación de los
para relaciones con los riesgos asociados con el acceso del proveedor a los activos de la
proveedores organización se acordarán con el proveedor y documentados

A.15.1.2 abordar la seguridad Control

dentro de los acuerdos todos los requisitos de seguridad de la información pertinentes se
con proveedores hayan establecido y acordado con cada proveedor que pueda acceder,
procesar, almacenar, comunicar, o proporcionarla componentes de la
infraestructura de información de la organización
A.16 Gestión de incidentes de seguridad de información
A.16.1 Gestión de incidentes de seguridad de la información y mejoras
Objetivo: garantizar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información,
incluidos los de comunicación en los eventos de seguridad y debilidades
A.16.1.1 Responsabilidades y Control
procedimientos Responsabilidades y procedimientos de manejo deberán ser
establecidos para asegurar una respuesta rápida, eficaz y ordenada a
los incidentes de seguridad de la información.
A.16.1.2 Informar sobre los Control
eventos de seguridad de Los eventos de seguridad de información se comunicarán a través de
información canales de gestión adecuadas tan pronto como sea posible

A.16.1.3 Presentación de informes Control

de información Se requiere que los empleados y contratistas que utilizan los sistemas
debilidades de seguridad y servicios de información de la organización para observar y reportar
cualquier debilidad de seguridad de información observadas o
sospechadas en los sistemas o servicios.
A.16.1.4 Evaluación y decisión Control
sobre los eventos de Los eventos de seguridad de la información deben ser evaluados y se
seguridad de la decidirá si han de ser clasificados como incidentes de seguridad de la
información información

A.16.1.5 Respuesta a incidentes de Control

seguridad de la Incidentes de seguridad de información deberán recibir una respuesta
información de conformidad con los procedimientos documentados.

A.16.1.6 Aprendiendo de los Control

incidentes de seguridad Los conocimientos adquiridos a partir del análisis y la resolución de
de la información incidentes de seguridad de información se utilizan para reducir la
probabilidad o el impacto de los incidentes en el futuro.
A.16.1.7 El acopio de pruebas Control
La organización debe definir y aplicar procedimientos para la
identificación, recolección, adquisición y conservación de la
información, que puede servir como evidencia. |
A.17 Los aspectos de seguridad de información de la gestión de la continuidad del negocio
A.17.1 Información de la continuidad de seguridad
Objetivo: Información sobre la continuidad de seguridad deberá estar integrada en los sistemas de gestión de
continuidad de negocio de la organización.
A.17.1.1 Información de Control
planificación de La organización debe determinar sus necesidades de seguridad de la
continuidad de seguridad información y la continuidad de la gestión de seguridad de la
información en situaciones adversas, por ejemplo, durante una crisis o
desastre.
A.17.1.2 La implementación de Control
información de La organización debe establecer, documentar, implementar y mantener
continuidad de seguridad procesos, procedimientos y controles para garantizar el nivel necesario
de continuidad para la seguridad de la información durante una
situación adversa.
A.17.1.3 Verificar , revisar y Control
evaluar la información de La organización debe verificar la información de continuidad de los
seguridad de continuidad controles de seguridad establecidos y aplicados a intervalos regulares
con el fin de asegurarse de que son válidos y eficaces en situaciones
adversas
A.17.2 Despidos
Objetivo: asegurar la disponibilidad de instalaciones de procesamiento de información.
A.17.2.1 Disponibilidad de Control
instalaciones de Instalaciones de procesamiento de la información se aplicarán con
procesamiento de redundancia suficiente para cumplir con regulaciones legales sobre la
información disponibilidad.

A.18. Cumplimiento

A.18.1 Cumplimiento con regulaciones legales y contractuales

Objetivo: evitar el incumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales
relacionadas con la seguridad de la información y de los requisitos de seguridad.
A.18.1.1 Identificación de la Control
legislación aplicable y Todos los requisitos pertinentes, legislativas estatutarias,
regulaciones legales reglamentarias y contractuales enfoque de la organización para cumplir
contractuales con estas regulaciones legales deben ser identificados de manera
explícita, documentan y mantienen actualizados para cada sistema de
información y la organización.
A.18.1.2 Derechos de propiedad Control
intelectual Procedimientos apropiados se aplicarán para garantizar el
cumplimiento de regulaciones legales, reglamentarios y contractuales
relacionados con los derechos de propiedad intelectual y el uso de
productos de software propietario.
A.18.1.3 Protección de registros Control
Los registros deben estar protegidos contra pérdida,
destrucción, falsificación, acceso no autorizado y la divulgación no
autorizada, de conformidad con regulaciones legales, reglamentarias,
contractuales y comerciales.
A.18.1.4 Privacidad y protección de Control
la información Privacidad y protección de la información de identificación personal que
personalmente se garantizará a lo dispuesto en la legislación y la reglamentación
identificable pertinente en su caso.

A.18.1.5 Reglamento de controles Control

criptográficos Controles criptográficos serán utilizados en cumplimiento de todos los
acuerdos pertinentes, la legislación y los reglamentos.
A.18.2 Información revisiones de seguridad
Objetivo: Garantizar que la seguridad informática es implementado y operado de acuerdo con las políticas y
procedimientos de la organización.
A.18.2.1 Revisión independiente de Control
la seguridad de la El enfoque de la organización para la gestión de seguridad de la
información información y su aplicación (es decir, los objetivos de control, controles,
políticas, procesos y procedimientos para la seguridad de la
información) se revisará de forma independiente a intervalos
planificados o cuando se producen cambios significativos.
A.18.2.2 Cumplimiento con las Control
políticas y estándares de Los gerentes deberán comprobar periódicamente el cumplimiento de
seguridad precesión y procedimientos de información dentro de su rea de
responsabilidad con las políticas de seguridad apropiadas, de
estándares una cualesquiera otras regulaciones legales de seguridad
A.18.2.3 Revisión de cumplimiento Control
técnico Los sistemas de información deben ser revisados regularmente por el
cumplimiento de las políticas y normas de seguridad de la información
de la organización