ISO 27000

Iso 27000

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
ISO 27000 por Mind Map: ISO 27000

1. A5 Politicas de Seguridad de la Informacion

1.1. A5.1 Directrices de Gestion de Seguridad de la Informacion

1.1.1. A5.1.1 Politicas para la seguridad de la Información

1.1.2. A5.1.2 Revisión de las políticas para la seguirdad de la información

2. A6 Organización de la seguiridad de la información

2.1. A6.1 Organización Interna

2.1.1. A6.1.1 Roles y responsabilidades en seguridad de la información

2.1.2. A6.1.2 Segregación de tareas

2.1.3. A6.1.3 Contacto con las autoridades

2.1.4. A6.1.4 Contactos con grupos de interes

2.1.5. A6.1.5 Seguridad de la información en gestión de proyectos

2.2. A6.2 Los dispositivos moviles y el teletrabajo

2.2.1. A6.2.1 Politica de dispositivos moviles

2.2.2. A6.2.2 Teletrabajo

3. A7 Seguridad relativa a los recursos humanos

3.1. A7.1 Antes del empleo

3.1.1. A7.1.1 Investigación de antecedentes

3.1.2. A7.1.2 Terminos y condiciones del empleo

3.2. A7.2 Durante el empleo

3.2.1. A7.2.1 Responsabiloidades de gestión

3.2.2. A7.2.2 Concienciación, educación y capacitación en seguridad de la información

3.2.3. A7.2.3 Proceso disciplinario

3.3. A7.3 Finalización del empleo o cambio en el puesto de trabajo

3.3.1. A7.3.1 Responsabilidades ante la finalización o cambio

4. A8 Gestión de activos

4.1. A8.1 Responsabilidad sobre los activos

4.1.1. A8.1.1 Inventario de activos

4.1.2. A8.1.2 Propiedad de los activos

4.1.3. A8.1.3 Uso aceptable de los activos

4.1.4. A8.1.4 Devolución de activos

4.2. A8.2 Clasificación de la información

4.2.1. A8.2.1 Clasificación de la información

4.2.2. A8.2.2 Etiquetado de la información

4.2.3. A8.2.3 Manipulado de la información

4.3. A8.3 Manipulación de los soportes

4.3.1. A8.3.1 Gestión de soportes extraíbles

4.3.2. A8.3.2 Eliminación de soportes

4.3.3. A8.3.3 Soportes físicos en tránsito

5. A9 Control de acceso

5.1. A9.1 Requisitos de negocio para el control de acceso

5.1.1. A9.1.1 Política de control de acceso

5.1.2. A9.1.2 Acceso a las redes y a los servicios de red

5.2. A9.2 Gestión de acceso de usuario

5.2.1. A9.2.1 Registro y baja de usuario

5.2.2. A9.2.2 Provisión de acceso de usuario

5.2.3. A9.2.3 Gestión de privilegios de acceso

5.2.4. A9.2.4 Gestión de la información secreta de autenticación de los usuarios

5.2.5. A9.2.5 Revisión de los derechos de acceso de usuario

5.2.6. A9.2.6 Retirada o reasignación de los derechos de acceso

5.3. A9.3 Responsabilidades del usuario

5.3.1. A9.3.1 Uso de la información secreta de autenticación

5.4. A9.4 Control de acceso a sistemas y aplicaciones

5.4.1. A9.4.1 Restricción del acceso a la información

5.4.2. A9.4.2 Procedimientos seguros de inicio de sesión

5.4.3. A9.4.3 Sistema de gestión de contraseñas

5.4.4. A9.4.4 Uso de utilidades con privilegios del sistema

5.4.5. A9.4.5 Control de acceso al código fuente de los programas

6. A10 Criptografía

6.1. A10.1 Controles criptográficos

6.1.1. A10.1.1 Política de uso de los controles criptográficos

6.1.2. A10.1.2 Gestión de claves

7. A11 Seguridad física y del entorno

7.1. A11.1 Áreas seguras

7.1.1. A11.1.1 Perímetro de seguridad física

7.1.2. A11.1.2 Controles físicos de entrada

7.1.3. A11.1.3 Seguridad de oficinas, despachos y recursos

7.1.4. A11.1.4 Protección contra las amenazas externas y ambientales

7.1.5. A11.1.5 El trabajo en áreas seguras

7.1.6. A11.1.6 Áreas de carga y descarga

7.2. A11.2 Seguridad de los equipos

7.2.1. A11.2.1 Emplazamiento y protección de equipos

7.2.2. A11.2.2 Instalaciones de suministro

7.2.3. A11.2.3 Seguridad del cableado

7.2.4. A11.2.4 Mantenimiento de los equipos

7.2.5. A11.2.5 Retirada de materiales propiedad de la empresa

7.2.6. A11.2.6 Seguridad de los equipos fuera de las instalaciones

7.2.7. A11.2.7 Reutilización o eliminación segura de equipos

7.2.8. A11.2.8 Equipo de usuario desatendido

7.2.9. A11.2.9 Política de puesto de trabajo despejado y pantalla limpia

8. A12 Seguridad de las operaciones

8.1. A12.1 Procedimientos y responsabilidades operacionales

8.1.1. A12.1.1 Documentación de procedimientos operacionales

8.1.2. A12.1.2 Gestión de cambios

8.1.3. A12.1.3 Gestión de capacidades

8.1.4. A12.1.4 Separación de los recursos de desarrollo, prueba y operación

8.2. A12.2 Protección contra el software malicioso (malware)

8.2.1. A12.2.1 Controles contra el código malicioso

8.3. A12.3 Copias de Seguridad

8.3.1. A12.3.1 Copias de seguridad de la información

8.4. A12.4 Registros y supervisión

8.4.1. A12.4.1 Registro de eventos

8.4.2. A12.4.2 Protección de la información del registro

8.4.3. A12.4.3 Registros de administración y operación

8.4.4. A12.4.4 Sincronización del reloj

8.5. A12.5 Control del software en explotación

8.5.1. A12.5.1 Instalación del software en explotación

8.6. A12.6 Gestión de la vulnerabilidad técnica

8.6.1. A12.6.1 Gestión de las vulnerabilidades técnicas

8.6.2. A12.6.2 Restricción en la instalación de software

8.7. A12.7 Consideraciones sobre la auditoria de sistemas de información

8.7.1. A12.7.1 Controles de auditoría de sistemas de información

9. A13 Seguridad de las comunicaciones

9.1. A13.1 Gestion de seguridad de las redes

9.1.1. A13.1.1 Controles de red

9.1.2. A13.1.2 Seguridad de los servicios de red

9.1.3. A13.1.3 Segregación en redes

9.2. A13.2 Intercambio de información

9.2.1. A13.2.1 Políticas y procedimientos de intercambio de información

9.2.2. A13.2.2 Acuerdos de intercambio de información

9.2.3. A13.2.3 Mensajería electrónica

9.2.4. A13.2.4 Acuerdos de confidencialidad o no revelación

10. A14 Adquisición, desarrollo y mantenimiento de los sistemas de información

10.1. A14.1 Requisitos de seguridad en los sistemas de información

10.1.1. A14.1.1 Análisis de requisitos y especificaciones de seguridad de la información

10.1.2. A14.1.2 Asegurar los servicios de aplicaciones en redes públicas

10.1.3. A14.1.3 Protección de las transacciones de servicios de aplicaciones

10.2. A14.2 Seguridad en el desarrollo y en los procesos de soporte

10.2.1. A14.2.1 Política de desarrollo seguro

10.2.2. A14.2.2 Procedimiento de control de cambios en sistemas

10.2.3. A14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo

10.2.4. A14.2.4 Restricciones a los cambios en los paquetes de software

10.2.5. A14.2.5 Principios de ingeniería de sistemas seguros

10.2.6. A14.2.6 Entorno de desarrollo seguro

10.2.7. A14.2.7 Externalización del desarrollo de software

10.2.8. A14.2.8 Pruebas funcionales de seguridad de sistemas

10.2.9. A14.2.9 Pruebas de aceptación de sistemas

10.3. A14.3 Datos de prueba

10.3.1. A14.3.1 Protección de los datos de prueba

11. A15 Relación con proveedores

11.1. A15.1 Seguridad en las relaciones con proveedores

11.1.1. A15.1.1 Política de seguridad de la información en las relaciones con los proveedores

11.1.2. A15.1.2 Requisitos de seguridad en contratos con terceros

11.1.3. A15.1.3 Cadena de suministro de tecnología de la información y de las comunicaciones

11.2. A15.2 Gestión de la provisión de servicios del proveedor

11.2.1. A15.2.1 Control y revisión de la provisión de servicios del proveedor

11.2.2. A15.2.2 Gestión de cambios en la provisión del servicio del proveedor

12. A16 Gestión de incidentes de seguridad de la información

12.1. A16.1 Gestión de incidentes de seguridad de la información y mejoras

12.1.1. A16.1.1 Responsabilidades y procedimientos

12.1.2. A16.1.2 Notificación de los eventos de seguridad de la información

12.1.3. A16.1.3 Notificación de puntos débiles de la seguridad

12.1.4. A16.1.4 Evaluación y decisión sobre los eventos de seguridad de información

12.1.5. A16.1.5 Respuesta a incidentes de seguridad de la información

12.1.6. A16.1.6 Aprendizaje de los incidentes de seguridad de la información

12.1.7. A16.1.7 Recopilación de evidencias

13. A17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio

13.1. A17.1 Continuidad de la seguridad de la información

13.1.1. A17.1.1 Planificación de la continuidad de la seguridad de la información

13.1.2. A17.1.2 Implementar la continuidad de la seguridad de la información

13.1.3. A17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información

13.2. A17.2 Redundancias

13.2.1. A17.2.1 Disponibilidad de los recursos de tratamiento de la información

14. A18 Cumplimiento

14.1. A18.1 Cumplimiento de los requisitos legales y contractuales

14.1.1. A18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales

14.1.2. A18.1.2 Derechos de Propiedad Intelectual (DPI)

14.1.3. A18.1.3 Protección de los registros de la organización

14.1.4. A18.1.4 Protección y privacidad de la información de carácter personal

14.1.5. A18.1.5 Regulación de los controles criptográficos

14.2. A18.2 Revisiones de la seguridad de la información

14.2.1. A18.2.1 Revisión independiente de la seguridad de la información

14.2.2. A18.2.2 Cumplimiento de las políticas y normas de seguridad

14.2.3. A18.2.3 Comprobación del cumplimiento técnico