Unlock the full potential of your projects.
Ver mapa completo
Copiar y editar mapa Copiar

OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA

Otros
Joel Popayan
Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Mapas Mentales Similares Esbozo del Mapa Mental
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA por Mind Map: OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA

1. Seguridad de los recursos humanos

1.1. Selección

1.1.1. Las verificaciones de los antecedentes de todos los candidatos a ser empleados deben ser llevadas a cabo en concordancia con las leyes, regulaciones y ética relevantes

1.2. Términos y condiciones del empleo

1.2.1. Los acuerdos contractuales con los empleados y contratistas deben estipular responsabilidades de éstos y de la organización respecto de la seguridad de la información.

1.3. Responsabilidades de la gerencia

1.3.1. La gerencia debe requerir a todos los empleados y contratistas aplicar la seguridad de la información en concordancia con las políticas y procedimientos establecidos por la organización.

2. Gestión de activos

2.1. Inventario de activos

2.1.1. Información, Otros activos asociados con información e instalaciones de procesamiento de información deben ser identificados y un inventario de estos activos debe ser elaborado y mantenido.

2.2. Propiedad de los activos

2.2.1. Los activos mantenidos en el inventario deben ser propios.

2.3. Retorno de activos

2.3.1. Todos los empleados y usuarios de partes externas deben retornar todos los activos de la organización en su posesión a la conclusión de su empleo, contrato o acuerdo.

3. Control de acceso

3.1. Política de control de acceso

3.1.1. Una política de control de acceso debe ser establecida, documentada y revisada basada en requisitos del negocio y de seguridad de la información.

3.2. Acceso a redes y servicios de red

3.2.1. Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido específicamente autorizados a usar.

3.3. Registro y baja de usuarios

3.3.1. Un proceso formal de registro y baja de usuarios debe ser implementado para permitir la asignación de derechos de acceso.

3.4. Gestión de derechos de acceso privilegiados

3.4.1. La asignación y uso de derechos de acceso privilegiado debe ser restringida y controlada.

4. Seguridad física y ambiental

4.1. Perímetro de seguridad física

4.1.1. Perímetros de seguridad deben ser definidos y utilizados para proteger áreas que contienen información sensible o crítica e instalaciones de procesamiento de la información.

4.2. Controles de ingreso físico

4.2.1. Las áreas seguras deben ser protegidas por medio de controles apropiados de ingreso para asegurar que se le permite el acceso sólo al personal autorizado.

4.3. Asegurar oficinas, áreas e instalaciones

4.3.1. Seguridad física para oficinas, áreas e instalaciones debe ser diseñada e implementada.

4.4. Protección contra amenazas externas y ambientales

4.4.1. Protección física contra desastres naturales, ataque malicioso o accidentes debe ser diseñada y aplicada.

5. Seguridad de las comunicaciones

5.1. Controles de la red

5.1.1. Las redes deben ser gestionadas y controladas para proteger la información en los sistemas y las aplicaciones.

5.2. Seguridad de servicios de red

5.2.1. Mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red deben ser identificados e incluidos en acuerdos de servicios de red, ya sea que estos servicios se provean internamente o sean tercerizados.

5.3. Segregación en redes

5.3.1. Grupos de servicios de información, usuarios y sistemas de información deben ser segregados en redes.

6. Relaciones con los proveedores

6.1. Política de seguridad de la información para las relaciones con los proveedores

6.1.1. Requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso por parte del proveedor a los activos de la organización deben ser acordados con el proveedor y documentados.

6.2. Monitoreo y revisión de servicios de los proveedores

6.2.1. Las organizaciones deben monitorear, revisar y auditar regularmente la entrega de servicios por parte de los proveedores.

7. Aspectos de seguridad de la información en la gestión de continuidad del negocio

7.1. Planificación de continuidad de seguridad de la información

7.1.1. La organización debe determinar sus requisitos de seguridad de la información y continuidad de la gestión de seguridad de la información en situaciones adversas, por ejemplo durante una crisis o desastre.

7.2. Implementación de continuidad de seguridad de la información

7.2.1. La organización debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel requerido de continuidad de seguridad de la información durante una situación adversa.

7.3. Verificación, revisión y evaluación de continuidad de seguridad de la información

7.3.1. La organización debe verificar los controles de continuidad de seguridad de la información que han establecido e implementado a intervalos regulares para asegurarse que son válidos y efectivos durante situaciones adversas.

8. Cumplimiento

8.1. Identificación de requisitos contractuales y de legislación aplicables

8.1.1. Todos los requisitos legislativos, estatutarios, regulatorios y contractuales relevantes así como el enfoque de la organización para cumplir con estos requisitos deben ser explícitamente identificados, documentados y mantenidos al día para cada sistema de información y para la organización.

8.2. Privacidad y protección de datos personales.

8.2.1. La privacidad y la protección de datos personales deben ser aseguradas tal como se requiere en la legislación y regulación relevantes donde sea aplicable.

8.3. Regulación de controles criptográficos

8.3.1. Controles criptográficos deben ser utilizados en cumplimiento con todos los acuerdos, legislación y regulación relevantes.

9. Políticas de seguridad de la información

9.1. Políticas para la seguridad de la información

9.1.1. Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por la gerencia, publicado y comunicado a los empleados y a las partes externas relevantes.

9.2. Revisión de las políticas para la seguridad de la información

9.2.1. Las políticas para la seguridad de la información deben ser revisadas a intervalos planificados

10. Organización de la seguridad de la información

10.1. Roles y responsabilidades para la seguridad de la información

10.1.1. Todas las responsabilidades de seguridad de la información deben ser definidas y asignadas.

10.2. Segregación de funciones

10.2.1. áreas de responsabilidad en conflicto deben ser segregadas para reducir oportunidades de modificación no autorizada o no intencional o mal uso de los activos de laorganización.

10.3. Contacto con autoridades

10.3.1. Contactos apropiados con autoridades relevantes deben ser mantenidos.

11. Criptografía

11.1. Política sobre el uso de controles criptográficos

11.1.1. Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollada e implementada.

11.2. Gestión de claves

11.2.1. Una política sobre el uso, protección y tiempo de vida de las claves criptográficas debe ser desarrollada e implementada a través de todo su ciclo de vida.

12. Seguridad de las operaciones

12.1. Procedimientos operativos documentados

12.1.1. Los procedimientos operativos deben ser documentados y puestos a disposición de todos los usuarios que los necesitan.

12.2. Gestión del cambio

12.2.1. Los cambios en la organización, procesos de negocio, instalaciones de procesamiento de la información y sistemas que afecten la seguridad de la información deben ser controlados.

12.3. Gestión de la capacidad

12.3.1. El uso de recursos debe ser monitoreado, afinado y se debe hacer proyecciones de los futuros requisitos de capacidad para asegurar el desempeño requerido del sistema.

12.4. Separación de los entornos de desarrollo, pruebas y operaciones

12.4.1. Los entornos de desarrollo, pruebas y operaciones deben ser separados para reducir los riesgos de acceso no autorizado o cambios al entorno operativo

13. Adquisición, desarrollo y mantenimiento de sistemas

13.1. Análisis y especificación de requisitos de seguridad de la información

13.1.1. Requisitos relacionados a la seguridad de la información deben ser incluidos dentro de los requisitos para nuevos sistemas de información o mejoras a los sistemas de información existentes.

13.2. Aseguramiento de servicios de aplicaciones sobre redes públicas

13.2.1. La información involucrada en servicios de aplicaciones que pasa sobre redes públicas debe ser protegida de actividad fraudulenta, disputa de contratos o divulgación no autorizada y modificación.

13.3. Política de desarrollo seguro

13.3.1. Reglas para el desarrollo de software y sistemas deben ser establecidas y aplicadas a desarrollos dentro de la organización.

14. Gestión de incidentes de seguridad de la información

14.1. Responsabilidades y procedimientos

14.1.1. Las responsabilidades de gestión y los procedimientos deben ser establecidos para asegurar una respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la información.

14.2. Reporte de eventos de seguridad de la información

14.2.1. Los eventos de seguridad de la información deben ser reportados a través de canales de gestión apropiados tan rápido como sea posible.

14.3. Evaluación y decisión sobre eventos de seguridad de la información

14.3.1. Los eventos de seguridad de la información deben ser evaluados y debe decidirse si son clasificados como incidentes de seguridad de la información.