OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA por Mind Map: OBJETIVOS DE CONTROL Y CONTROLES DE  REFERENCIA

1. Políticas de seguridad de la información

1.1. Políticas para la seguridad de la información

1.1.1. Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por la gerencia, publicado y comunicado a los empleados y a las partes externas relevantes.

1.2. Revisión de las políticas para la seguridad de la información

1.2.1. Las políticas para la seguridad de la información deben ser revisadas a intervalos planificados

2. Organización de la seguridad de la información

2.1. Roles y responsabilidades para la seguridad de la información

2.1.1. Todas las responsabilidades de seguridad de la información deben ser definidas y asignadas.

2.2. Segregación de funciones

2.2.1. áreas de responsabilidad en conflicto deben ser segregadas para reducir oportunidades de modificación no autorizada o no intencional o mal uso de los activos de laorganización.

2.3. Contacto con autoridades

2.3.1. Contactos apropiados con autoridades relevantes deben ser mantenidos.

3. Seguridad de los recursos humanos

3.1. Selección

3.1.1. Las verificaciones de los antecedentes de todos los candidatos a ser empleados deben ser llevadas a cabo en concordancia con las leyes, regulaciones y ética relevantes

3.2. Términos y condiciones del empleo

3.2.1. Los acuerdos contractuales con los empleados y contratistas deben estipular responsabilidades de éstos y de la organización respecto de la seguridad de la información.

3.3. Responsabilidades de la gerencia

3.3.1. La gerencia debe requerir a todos los empleados y contratistas aplicar la seguridad de la información en concordancia con las políticas y procedimientos establecidos por la organización.

4. Gestión de activos

4.1. Inventario de activos

4.1.1. Información, Otros activos asociados con información e instalaciones de procesamiento de información deben ser identificados y un inventario de estos activos debe ser elaborado y mantenido.

4.2. Propiedad de los activos

4.2.1. Los activos mantenidos en el inventario deben ser propios.

4.3. Retorno de activos

4.3.1. Todos los empleados y usuarios de partes externas deben retornar todos los activos de la organización en su posesión a la conclusión de su empleo, contrato o acuerdo.

5. Control de acceso

5.1. Política de control de acceso

5.1.1. Una política de control de acceso debe ser establecida, documentada y revisada basada en requisitos del negocio y de seguridad de la información.

5.2. Acceso a redes y servicios de red

5.2.1. Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido específicamente autorizados a usar.

5.3. Registro y baja de usuarios

5.3.1. Un proceso formal de registro y baja de usuarios debe ser implementado para permitir la asignación de derechos de acceso.

5.4. Gestión de derechos de acceso privilegiados

5.4.1. La asignación y uso de derechos de acceso privilegiado debe ser restringida y controlada.

6. Criptografía

6.1. Política sobre el uso de controles criptográficos

6.1.1. Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollada e implementada.

6.2. Gestión de claves

6.2.1. Una política sobre el uso, protección y tiempo de vida de las claves criptográficas debe ser desarrollada e implementada a través de todo su ciclo de vida.

7. Seguridad física y ambiental

7.1. Perímetro de seguridad física

7.1.1. Perímetros de seguridad deben ser definidos y utilizados para proteger áreas que contienen información sensible o crítica e instalaciones de procesamiento de la información.

7.2. Controles de ingreso físico

7.2.1. Las áreas seguras deben ser protegidas por medio de controles apropiados de ingreso para asegurar que se le permite el acceso sólo al personal autorizado.

7.3. Asegurar oficinas, áreas e instalaciones

7.3.1. Seguridad física para oficinas, áreas e instalaciones debe ser diseñada e implementada.

7.4. Protección contra amenazas externas y ambientales

7.4.1. Protección física contra desastres naturales, ataque malicioso o accidentes debe ser diseñada y aplicada.

8. Seguridad de las operaciones

8.1. Procedimientos operativos documentados

8.1.1. Los procedimientos operativos deben ser documentados y puestos a disposición de todos los usuarios que los necesitan.

8.2. Gestión del cambio

8.2.1. Los cambios en la organización, procesos de negocio, instalaciones de procesamiento de la información y sistemas que afecten la seguridad de la información deben ser controlados.

8.3. Gestión de la capacidad

8.3.1. El uso de recursos debe ser monitoreado, afinado y se debe hacer proyecciones de los futuros requisitos de capacidad para asegurar el desempeño requerido del sistema.

8.4. Separación de los entornos de desarrollo, pruebas y operaciones

8.4.1. Los entornos de desarrollo, pruebas y operaciones deben ser separados para reducir los riesgos de acceso no autorizado o cambios al entorno operativo

9. Seguridad de las comunicaciones

9.1. Controles de la red

9.1.1. Las redes deben ser gestionadas y controladas para proteger la información en los sistemas y las aplicaciones.

9.2. Seguridad de servicios de red

9.2.1. Mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red deben ser identificados e incluidos en acuerdos de servicios de red, ya sea que estos servicios se provean internamente o sean tercerizados.

9.3. Segregación en redes

9.3.1. Grupos de servicios de información, usuarios y sistemas de información deben ser segregados en redes.

10. Adquisición, desarrollo y mantenimiento de sistemas

10.1. Análisis y especificación de requisitos de seguridad de la información

10.1.1. Requisitos relacionados a la seguridad de la información deben ser incluidos dentro de los requisitos para nuevos sistemas de información o mejoras a los sistemas de información existentes.

10.2. Aseguramiento de servicios de aplicaciones sobre redes públicas

10.2.1. La información involucrada en servicios de aplicaciones que pasa sobre redes públicas debe ser protegida de actividad fraudulenta, disputa de contratos o divulgación no autorizada y modificación.

10.3. Política de desarrollo seguro

10.3.1. Reglas para el desarrollo de software y sistemas deben ser establecidas y aplicadas a desarrollos dentro de la organización.

11. Relaciones con los proveedores

11.1. Política de seguridad de la información para las relaciones con los proveedores

11.1.1. Requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso por parte del proveedor a los activos de la organización deben ser acordados con el proveedor y documentados.

11.2. Monitoreo y revisión de servicios de los proveedores

11.2.1. Las organizaciones deben monitorear, revisar y auditar regularmente la entrega de servicios por parte de los proveedores.

12. Gestión de incidentes de seguridad de la información

12.1. Responsabilidades y procedimientos

12.1.1. Las responsabilidades de gestión y los procedimientos deben ser establecidos para asegurar una respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la información.

12.2. Reporte de eventos de seguridad de la información

12.2.1. Los eventos de seguridad de la información deben ser reportados a través de canales de gestión apropiados tan rápido como sea posible.

12.3. Evaluación y decisión sobre eventos de seguridad de la información

12.3.1. Los eventos de seguridad de la información deben ser evaluados y debe decidirse si son clasificados como incidentes de seguridad de la información.

13. Aspectos de seguridad de la información en la gestión de continuidad del negocio

13.1. Planificación de continuidad de seguridad de la información

13.1.1. La organización debe determinar sus requisitos de seguridad de la información y continuidad de la gestión de seguridad de la información en situaciones adversas, por ejemplo durante una crisis o desastre.

13.2. Implementación de continuidad de seguridad de la información

13.2.1. La organización debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel requerido de continuidad de seguridad de la información durante una situación adversa.

13.3. Verificación, revisión y evaluación de continuidad de seguridad de la información

13.3.1. La organización debe verificar los controles de continuidad de seguridad de la información que han establecido e implementado a intervalos regulares para asegurarse que son válidos y efectivos durante situaciones adversas.

14. Cumplimiento

14.1. Identificación de requisitos contractuales y de legislación aplicables

14.1.1. Todos los requisitos legislativos, estatutarios, regulatorios y contractuales relevantes así como el enfoque de la organización para cumplir con estos requisitos deben ser explícitamente identificados, documentados y mantenidos al día para cada sistema de información y para la organización.

14.2. Privacidad y protección de datos personales.

14.2.1. La privacidad y la protección de datos personales deben ser aseguradas tal como se requiere en la legislación y regulación relevantes donde sea aplicable.

14.3. Regulación de controles criptográficos

14.3.1. Controles criptográficos deben ser utilizados en cumplimiento con todos los acuerdos, legislación y regulación relevantes.