1. A5 Politicas de Seguridad de la Informacion
1.1. A5.1 Directrices de Gestion de Seguridad de la Informacion
1.1.1. A5.1.1 Politicas para la seguridad de la Información
1.1.2. A5.1.2 Revisión de las políticas para la seguirdad de la información
2. A6 Organización de la seguiridad de la información
2.1. A6.1 Organización Interna
2.1.1. A6.1.1 Roles y responsabilidades en seguridad de la información
2.1.2. A6.1.2 Segregación de tareas
2.1.3. A6.1.3 Contacto con las autoridades
2.1.4. A6.1.4 Contactos con grupos de interes
2.1.5. A6.1.5 Seguridad de la información en gestión de proyectos
2.2. A6.2 Los dispositivos moviles y el teletrabajo
2.2.1. A6.2.1 Politica de dispositivos moviles
2.2.2. A6.2.2 Teletrabajo
3. A7 Seguridad relativa a los recursos humanos
3.1. A7.1 Antes del empleo
3.1.1. A7.1.1 Investigación de antecedentes
3.1.2. A7.1.2 Terminos y condiciones del empleo
3.2. A7.2 Durante el empleo
3.2.1. A7.2.1 Responsabiloidades de gestión
3.2.2. A7.2.2 Concienciación, educación y capacitación en seguridad de la información
3.2.3. A7.2.3 Proceso disciplinario
3.3. A7.3 Finalización del empleo o cambio en el puesto de trabajo
3.3.1. A7.3.1 Responsabilidades ante la finalización o cambio
4. A8 Gestión de activos
4.1. A8.1 Responsabilidad sobre los activos
4.1.1. A8.1.1 Inventario de activos
4.1.2. A8.1.2 Propiedad de los activos
4.1.3. A8.1.3 Uso aceptable de los activos
4.1.4. A8.1.4 Devolución de activos
4.2. A8.2 Clasificación de la información
4.2.1. A8.2.1 Clasificación de la información
4.2.2. A8.2.2 Etiquetado de la información
4.2.3. A8.2.3 Manipulado de la información
4.3. A8.3 Manipulación de los soportes
4.3.1. A8.3.1 Gestión de soportes extraíbles
4.3.2. A8.3.2 Eliminación de soportes
4.3.3. A8.3.3 Soportes físicos en tránsito
5. A9 Control de acceso
5.1. A9.1 Requisitos de negocio para el control de acceso
5.1.1. A9.1.1 Política de control de acceso
5.1.2. A9.1.2 Acceso a las redes y a los servicios de red
5.2. A9.2 Gestión de acceso de usuario
5.2.1. A9.2.1 Registro y baja de usuario
5.2.2. A9.2.2 Provisión de acceso de usuario
5.2.3. A9.2.3 Gestión de privilegios de acceso
5.2.4. A9.2.4 Gestión de la información secreta de autenticación de los usuarios
5.2.5. A9.2.5 Revisión de los derechos de acceso de usuario
5.2.6. A9.2.6 Retirada o reasignación de los derechos de acceso
5.3. A9.3 Responsabilidades del usuario
5.3.1. A9.3.1 Uso de la información secreta de autenticación
5.4. A9.4 Control de acceso a sistemas y aplicaciones
5.4.1. A9.4.1 Restricción del acceso a la información
5.4.2. A9.4.2 Procedimientos seguros de inicio de sesión
5.4.3. A9.4.3 Sistema de gestión de contraseñas
5.4.4. A9.4.4 Uso de utilidades con privilegios del sistema
5.4.5. A9.4.5 Control de acceso al código fuente de los programas
6. A10 Criptografía
6.1. A10.1 Controles criptográficos
6.1.1. A10.1.1 Política de uso de los controles criptográficos
6.1.2. A10.1.2 Gestión de claves
7. A11 Seguridad física y del entorno
7.1. A11.1 Áreas seguras
7.1.1. A11.1.1 Perímetro de seguridad física
7.1.2. A11.1.2 Controles físicos de entrada
7.1.3. A11.1.3 Seguridad de oficinas, despachos y recursos
7.1.4. A11.1.4 Protección contra las amenazas externas y ambientales
7.1.5. A11.1.5 El trabajo en áreas seguras
7.1.6. A11.1.6 Áreas de carga y descarga
7.2. A11.2 Seguridad de los equipos
7.2.1. A11.2.1 Emplazamiento y protección de equipos
7.2.2. A11.2.2 Instalaciones de suministro
7.2.3. A11.2.3 Seguridad del cableado
7.2.4. A11.2.4 Mantenimiento de los equipos
7.2.5. A11.2.5 Retirada de materiales propiedad de la empresa
7.2.6. A11.2.6 Seguridad de los equipos fuera de las instalaciones
7.2.7. A11.2.7 Reutilización o eliminación segura de equipos
7.2.8. A11.2.8 Equipo de usuario desatendido
7.2.9. A11.2.9 Política de puesto de trabajo despejado y pantalla limpia
8. A12 Seguridad de las operaciones
8.1. A12.1 Procedimientos y responsabilidades operacionales
8.1.1. A12.1.1 Documentación de procedimientos operacionales
8.1.2. A12.1.2 Gestión de cambios
8.1.3. A12.1.3 Gestión de capacidades
8.1.4. A12.1.4 Separación de los recursos de desarrollo, prueba y operación
8.2. A12.2 Protección contra el software malicioso (malware)
8.2.1. A12.2.1 Controles contra el código malicioso
8.3. A12.3 Copias de Seguridad
8.3.1. A12.3.1 Copias de seguridad de la información
8.4. A12.4 Registros y supervisión
8.4.1. A12.4.1 Registro de eventos
8.4.2. A12.4.2 Protección de la información del registro
8.4.3. A12.4.3 Registros de administración y operación
8.4.4. A12.4.4 Sincronización del reloj
8.5. A12.5 Control del software en explotación
8.5.1. A12.5.1 Instalación del software en explotación
8.6. A12.6 Gestión de la vulnerabilidad técnica
8.6.1. A12.6.1 Gestión de las vulnerabilidades técnicas
8.6.2. A12.6.2 Restricción en la instalación de software
8.7. A12.7 Consideraciones sobre la auditoria de sistemas de información
8.7.1. A12.7.1 Controles de auditoría de sistemas de información
9. A13 Seguridad de las comunicaciones
9.1. A13.1 Gestion de seguridad de las redes
9.1.1. A13.1.1 Controles de red
9.1.2. A13.1.2 Seguridad de los servicios de red
9.1.3. A13.1.3 Segregación en redes
9.2. A13.2 Intercambio de información
9.2.1. A13.2.1 Políticas y procedimientos de intercambio de información
9.2.2. A13.2.2 Acuerdos de intercambio de información
9.2.3. A13.2.3 Mensajería electrónica
9.2.4. A13.2.4 Acuerdos de confidencialidad o no revelación
10. A14 Adquisición, desarrollo y mantenimiento de los sistemas de información
10.1. A14.1 Requisitos de seguridad en los sistemas de información
10.1.1. A14.1.1 Análisis de requisitos y especificaciones de seguridad de la información
10.1.2. A14.1.2 Asegurar los servicios de aplicaciones en redes públicas
10.1.3. A14.1.3 Protección de las transacciones de servicios de aplicaciones
10.2. A14.2 Seguridad en el desarrollo y en los procesos de soporte
10.2.1. A14.2.1 Política de desarrollo seguro
10.2.2. A14.2.2 Procedimiento de control de cambios en sistemas
10.2.3. A14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
10.2.4. A14.2.4 Restricciones a los cambios en los paquetes de software
10.2.5. A14.2.5 Principios de ingeniería de sistemas seguros
10.2.6. A14.2.6 Entorno de desarrollo seguro
10.2.7. A14.2.7 Externalización del desarrollo de software
10.2.8. A14.2.8 Pruebas funcionales de seguridad de sistemas
10.2.9. A14.2.9 Pruebas de aceptación de sistemas
10.3. A14.3 Datos de prueba
10.3.1. A14.3.1 Protección de los datos de prueba
11. A15 Relación con proveedores
11.1. A15.1 Seguridad en las relaciones con proveedores
11.1.1. A15.1.1 Política de seguridad de la información en las relaciones con los proveedores
11.1.2. A15.1.2 Requisitos de seguridad en contratos con terceros
11.1.3. A15.1.3 Cadena de suministro de tecnología de la información y de las comunicaciones
11.2. A15.2 Gestión de la provisión de servicios del proveedor
11.2.1. A15.2.1 Control y revisión de la provisión de servicios del proveedor
11.2.2. A15.2.2 Gestión de cambios en la provisión del servicio del proveedor
12. A16 Gestión de incidentes de seguridad de la información
12.1. A16.1 Gestión de incidentes de seguridad de la información y mejoras
12.1.1. A16.1.1 Responsabilidades y procedimientos
12.1.2. A16.1.2 Notificación de los eventos de seguridad de la información
12.1.3. A16.1.3 Notificación de puntos débiles de la seguridad
12.1.4. A16.1.4 Evaluación y decisión sobre los eventos de seguridad de información
12.1.5. A16.1.5 Respuesta a incidentes de seguridad de la información
12.1.6. A16.1.6 Aprendizaje de los incidentes de seguridad de la información
12.1.7. A16.1.7 Recopilación de evidencias
13. A17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio
13.1. A17.1 Continuidad de la seguridad de la información
13.1.1. A17.1.1 Planificación de la continuidad de la seguridad de la información
13.1.2. A17.1.2 Implementar la continuidad de la seguridad de la información
13.1.3. A17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
13.2. A17.2 Redundancias
13.2.1. A17.2.1 Disponibilidad de los recursos de tratamiento de la información
14. A18 Cumplimiento
14.1. A18.1 Cumplimiento de los requisitos legales y contractuales
14.1.1. A18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
14.1.2. A18.1.2 Derechos de Propiedad Intelectual (DPI)
14.1.3. A18.1.3 Protección de los registros de la organización
14.1.4. A18.1.4 Protección y privacidad de la información de carácter personal
14.1.5. A18.1.5 Regulación de los controles criptográficos
14.2. A18.2 Revisiones de la seguridad de la información
14.2.1. A18.2.1 Revisión independiente de la seguridad de la información
14.2.2. A18.2.2 Cumplimiento de las políticas y normas de seguridad
14.2.3. A18.2.3 Comprobación del cumplimiento técnico