1. Seguridad de los recursos humanos
1.1. Antes del empleo
1.1.1. Selección
1.1.2. Términos y condiciones del empleo
1.2. Durante el empleo
1.2.1. Responsabilidades de la gerencia
1.2.2. Conciencia, educación y capacitación sobre la seguridad de la información
1.2.3. Proceso disciplinario
1.3. Terminación y cambio de empleo
1.3.1. Terminación y cambio de empleo
2. Gestión de activos
2.1. Responsabilidad por los activos
2.1.1. Inventario de activos
2.1.2. Propiedad de los activos
2.1.3. Uso aceptable de los activos
2.1.4. Retorno de activos
2.2. Clasificación de la información
2.2.1. Clasificación de la información
2.2.2. Etiquetado de la información
2.2.3. Manejo de activos
2.3. Manejo de los medios
2.3.1. Gestión de medios removibles
2.3.2. Disposición de medios
2.3.3. Transferencia de medios físicos
3. Control de acceso
3.1. Requisitos de la empresa para el control de acceso
3.1.1. Política de control de acceso
3.1.2. Acceso a redes y servicios de red
3.2. Gestión de acceso de usuario
3.2.1. Registro y baja de usuarios
3.2.2. Aprovisionamiento de acceso a usuario
3.2.3. Gestión de derechos de acceso privilegiados
3.2.4. Gestión de información de autentificación secreta de usuarios
3.2.5. Revisión de derechos de acceso de usuarios
3.2.6. Remoción o ajuste de derechos de acceso
3.3. Responsabilidades de los usuarios
3.3.1. Uso de información de autentificación secreta
3.4. Control de acceso a sistema y aplicación
3.4.1. Restricción de acceso a la información
3.4.2. Procedimientos de ingreso seguro
3.4.3. Sistema de gestión de contraseñas
3.4.4. Uso de programas utilitarios privilegiados
3.4.5. Control de acceso al código fuente de los programas
4. Seguridad física y ambiental
4.1. Áreas seguras
4.1.1. Perímetro de seguridad física
4.1.2. Controles de ingreso físico
4.1.3. Asegurar oficinas, áreas e instalaciones
4.1.4. Protección contra amenazas externas y ambientales
4.1.5. Trabajo en áreas seguras
4.1.6. Áreas de despacho y carga
4.2. Equipos
4.2.1. Emplazamiento y protección de los equipos
4.2.2. Servicios de suministro
4.2.3. Seguridad del cableado
4.2.4. Mantenimiento de equipos
4.2.5. Remoción de activos
4.2.6. Seguridad de equipos y activos fuera de las instalaciones
4.2.7. Disposición o reutilización segura de equipos
4.2.8. Equipos de usuario desatendidos
4.2.9. Política de escritorio limpio y pantalla limpia
5. Seguridad de las comunicaciones
5.1. Gestión de seguridad de la red
5.1.1. Controles de la red
5.1.2. Seguridad de servicios de red
5.1.3. Segregación en redes
5.2. Transferencia de información
5.2.1. Políticas y procedimientos de transferencia de la información
5.2.2. Acuerdo sobre transferencia de información
5.2.3. Mensajes electrónicos
5.2.4. Acuerdos de confidencialidad o no divulgación
6. Relaciones con los proveedores
6.1. Seguridad de la información en las relaciones con los proveedores
6.1.1. Política de seguridad de la información para las relaciones con los proveedores
6.1.2. Abordar la seguridad dentro de los acuerdos con proveedores
6.1.3. Cadena de suministro de tecnología de información y comunicación
6.2. Gestión de entrega de servicios del proveedor
6.2.1. Monitoreo y revisión de servicios de los proveedores
6.2.2. Gestión de cambios a los servicios de proveedores
7. Aspectos de seguridad de la información en la gestión de continuidad del negocio
7.1. Continuidad de seguridad de la información
7.1.1. Planificación de continuidad de seguridad de la información
7.1.2. Implementación de continuidad de seguridad de la información
7.1.3. Verificación, revisión y evaluación de continuidad de seguridad de la información
7.2. Redundancias
7.2.1. Instalaciones de procesamiento de la información
8. Políticas de seguridad de la información
8.1. Políticas de seguridad de la información
8.1.1. Políticas para la seguridad de la información
8.1.2. Revisión de las políticas para la seguridad de la información
9. Organización de la seguridad de la información
9.1. Organización interna
9.1.1. Roles y responsabilidades para la seguridad de la información
9.1.1.1. Segregación de funciones
9.1.1.2. Contacto con autoridades
9.1.1.3. Contacto con grupos especiales de interés
9.1.1.4. Seguridad de la información en la gestión de proyectos
9.2. Dispositivos móviles y teletrabajo
9.2.1. Política de dispositivos móviles Teletrabajo
10. Criptografía
10.1. Controles criptográficos
10.1.1. Política sobre el uso de controles criptográficos
10.1.2. Gestión de claves
11. Seguridad de las operaciones
11.1. Procedimientos y responsabilidades operativas
11.1.1. Procedimientos operativos documentados
11.1.2. Gestión del cambio
11.1.3. Gestión de la capacidad
11.1.4. Separación de los entornos de desarrollo, pruebas y operaciones
11.2. Protección contra códigos maliciosos
11.2.1. Controles contra códigos maliciosos
11.3. Respaldo
11.3.1. Respaldo de la información
11.4. Registros y monitoreo
11.4.1. Registro de eventos
11.4.2. Protección de información de registros.
11.4.3. del administrador y del operador
11.4.4. Sincronización de reloj
11.5. Control del software operacional
11.5.1. Instalación de software en sistemas operacionales
11.6. Gestión de vulnerabilidad técnica
11.6.1. Gestión de vulnerabilidades técnicas
11.6.2. Restricciones sobre la instalación de software
11.7. Consideraciones para la auditoría de los sistemas de información
11.7.1. Controles de auditoría de sistemas de información
12. Adquisición, desarrollo y mantenimiento de sistemas
12.1. Requisitos de seguridad de los sistemas de información
12.1.1. Análisis y especificación de requisitos de seguridad de la información
12.1.2. Aseguramiento de servicios de aplicaciones sobre redes públicas
12.1.3. Protección de transacciones en servicios de aplicación
12.2. Seguridad en los procesos de desarrollo y soporte
12.2.1. Política de desarrollo seguro
12.2.2. Procedimientos de control de cambio del sistema
12.2.3. Revisión técnica de aplicaciones después de cambios a la plataforma operativa
12.2.4. Restricciones sobre cambios a los paquetes de software
12.2.5. Principios de ingeniería de sistemas seguros
12.2.6. Ambiente de desarrollo seguro
12.2.7. Desarrollo contratado externamente
12.2.8. Pruebas de seguridad del sistema
12.2.9. Pruebas de aceptación del sistema
12.3. Datos de prueba
12.3.1. Protección de datos de prueba
13. Gestión de incidentes de seguridad de la información
13.1. Gestión de incidentes de seguridad de la información y mejoras
13.1.1. Responsabilidades y procedimientos
13.1.2. Reporte de eventos de seguridad de la información
13.1.3. Reporte de debilidades de seguridad de la información
13.1.4. Evaluación y decisión sobre eventos de seguridad de la información
13.1.5. Respuesta a incidentes de seguridad de la información
13.1.6. Aprendizaje de los incidentes de seguridad de la información
13.1.7. Recolección de evidencia
14. Cumplimiento
14.1. Cumplimiento con requisitos legales y contractuales
14.1.1. Identificación de requisitos contractuales y de legislación aplicables
14.1.2. Derechos de propiedad intelectual
14.1.3. Protección de registros
14.1.4. Privacidad y protección de datos personales.
14.1.5. Regulación de controles criptográficos
14.2. Revisiones de seguridad de la información
14.2.1. Revisión independiente de la seguridad de la información
14.2.2. Cumplimiento de políticas y normas de seguridad
14.2.3. Revisión del cumplimiento técnico