NTP-ISO/IEC 27001 - 2008

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
NTP-ISO/IEC 27001 - 2008 por Mind Map: NTP-ISO/IEC 27001 - 2008

1. A.7 Gestión de activos

1.1. A.7.1 Responsabilidad por los activos Objetivo de control: Mantener la protección apropiada de los activos de la organización.

1.1.1. A.7.1.1 Inventario de activos A.7.1.2 Propiedad de los activos A.7.1.3 Uso aceptable de los activos

1.2. A.7.2 Clasificación de la información Objetivo de control: Asegurar que los activos de información reciban un nivel de protección adecuado.

1.2.1. A.7.2.1 Guías de clasificación A.7.2.2 Etiquetado y tratamiento de la información

2. A.8 Seguridad en recursos humanos

2.1. A.8.1 Previo al empleo Objetivo de control: Asegurar que los empleados, contratistas y usuarios externos entiendan sus responsabilidades y que estos sean adecuados a los roles para los cuales han sido considerados y reducir así el riesgo de estafa, fraude o mal uso de las instalaciones.

2.1.1. A.8.1.1 Roles y responsabilidades A.8.1.2 Investigación A.8.1.3 Términos y condiciones de la relación laboral

2.2. A.8.2 Durante el empleo Objetivo de control: Asegurar que todos los empleados, contratistas y usuarios externos sean conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que estén preparados para aplicar la política de seguridad de la organización en el curso de trabajo normal y reducir el riesgo de error humano.

2.2.1. A.8.2.1 Gestión de responsabilidades A.8.2.2 Concientización, educación y entrenamiento en la seguridad de información A.8.2.3 Proceso disciplinario

2.3. A.8.3 Finalización o cambio de empleo Objetivo de control: Asegurar que los empleados, contratistas y usuarios externos dejen o cambien de organización de una forma ordenada.

2.3.1. A.8.3.1 Responsabilidades de finalización A.8.3.2 Devolución de activos A.8.3.3 Retiro de los derechos de acceso

3. A.9 Seguridad física y del entorno

3.1. A.9.1 Áreas seguras Objetivo de control: Prevenir accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

3.1.1. A.9.1.1 Seguridad física perimetral A.9.1.2 Controles físicos de entradas A.9.1.3 Seguridad de oficinas, espachos y recursos A.9.1.4 Protección contra amenazas externas y ambientales A.9.1.5 El trabajo en las áreas seguras A.9.1.6 Áreas de carga, descarga y acceso público

3.2. A.9.2 Seguridad de los equipos Objetivo de control: Prevenir pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización

3.2.1. A.9.2.1 Ubicación y protección de equipos A.9.2.2 Suministro eléctrico A.9.2.3 Seguridad del cableado A.9.2.4 Mantenimiento de equipos A.9.2.5 Seguridad de equipos fuera de los locales de la organización A.9.2.6 Seguridad en el re-uso o eliminación de equipos A.9.2.7 Retiro de propiedad

4. A.11 Control de accesos

4.1. A.11.1 Requisitos de negocio para el control de accesos Objetivo de control: Controlar los accesos a la información.

4.1.1. A.11.1.1 Política de control de accesos

4.2. A.11.2 Gestión de acceso de usuarios Objetivo de control: Asegurar que el acceso de usuarios es autorizado y prevenir el acceso no autorizado a los sistemas de información.

4.2.1. A.11.2.1 Registro de usuarios A.11.2.2 Gestión de privilegios A.11.2.3 Gestión de contraseñas de usuario A.11.2.4 Revisión de los derechos de acceso de los usuarios

4.3. A.11.3 Responsabilidades de los usuarios Objetivo de control: Prevenir el acceso no autorizado de usuarios y el compromiso o robo de la información o de las instalaciones de procesamiento.

4.3.1. A.11.3.1 Uso de contraseñas A.11.3.2 Equipo informático de usuario desatendido A.11.3.3 Política de pantalla y escritorio limpio

4.4. A.11.4 Control de acceso a la red Objetivo de control: Prevenir el acceso no autorizado a los servicios de red.

4.4.1. A.11.4.1 Política de uso de los servicios de la red A.11.4.2 Autenticación de usuarios para conexiones externas A.11.4.3 Autenticación de equipos en la red A.11.4.4 Protección para la configuración de puertos y diagnóstico remoto A.11.4.5 Segregación en las redes A.11.4.6 Control de conexión a las redes A.11.4.7 Control de enrutamiento en la red

4.5. A.11.5 Control de acceso al sistema operativo Objetivo de control: Prevenir accesos no autorizados a los sistemas operativos.

4.5.1. A.11.5.1 Procedimientos seguros de conexión A.11.5.2 Identificación y autenticación del usuario A.11.5.3 Sistema de gestión de contraseñas A.11.5.4 Uso de los programas utilitarios del sistema A.11.5.5 Desconexión automática de terminales A.11.5.6 Limitación del tiempo de conexión

4.6. A.11.6 Control de acceso a las aplicaciones e información Objetivo de control: Evitar el acceso no autorizado a la información contenida en los sistemas

4.6.1. A.11.6.1 Restricción de acceso a la información A.11.6.2 Aislamiento de sistemas sensibles

4.7. A.11.7 Informática móvil y teletrabajo Objetivo de control: Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y facilidades de teletrabajo.

4.7.1. A.11.7.1 Informática y comunicaciones móviles A.11.7.2 Teletrabajo

5. A.13 Gestión de incidentes en la seguridad de información

5.1. A.13.1 Reportando eventos y debilidades en la seguridad de información Objetivo de control: Asegurar que los eventos y debilidades en la seguridad de información asociados con los sistemas de información sean comunicados de manera tal que permitan tomar una acción correctiva a tiempo.

5.1.1. A.13.1.1 Reportando eventos de la seguridad de información A.13.1.2 Reportando debilidades de seguridad

5.2. A.13.2 Gestión de los incidentes y mejoras en la seguridad de información Objetivo de control: Asegurar que un alcance consistente y efectivo sea aplicado en la gestión de incidentes de la seguridad de información.

5.2.1. A.13.2.1 Responsabilidades y procedimientos A.13.2.2 Aprendiendo de los incidentes en la seguridad de información A.13.2.3 Recolección de evidencia

6. A.15 Cumplimiento

6.1. A.15.1 Cumplimiento de los requisitos legales Objetivo de control: Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulación u obligación contractual, y de cualquier requisito de seguridad.

6.1.1. A.15.1.1 Identificación de la legislación aplicable A.15.1.2 Derechos de propiedad intelectual (DPI) A.15.1.3 Salvaguarda de los registros de la organización A.15.1.4 Protección de los datos y privacidad de la información personal A.15.1.5 Prevención en el mal uso de las instalaciones de procesamiento de la información A.15.1.6 Regulación de los controles criptográficos

6.2. A.15.2 Cumplimiento con las políticas y estándares de seguridad y del cumplimiento técnico Objetivo de control: Asegurar el cumplimiento de los sistemas con las políticas y normas de seguridad organizacionales.

6.2.1. A.15.2.1 Cumplimiento con los estándares y la política de seguridad A.15.2.2 Comprobación del cumplimiento técnico

6.3. A.15.3 Consideraciones sobre la auditoría de sistemas Objetivo de control: Maximizar la efectividad y minimizar las interferencias en el proceso de auditoría del sistema.

6.3.1. A.15.3.1 Controles de auditoría de sistemas A.15.3.2 Protección de las herramientas de auditoría de sistemas

7. A.5 Política de seguridad

7.1. A.5.1 Política de seguridad de la información Objetivo de control: Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requisitos del negocio, las leyes y las regulaciones

7.1.1. A.5.1.1 Documentos de política de seguridad de la información A.5.1.2 Revisión de la política de seguridad de información

8. A.6 Seguridad organizacional

8.1. A.6.1 Organización interna Objetivo de control: Gestionar la seguridad de la información dentro de la organización.

8.1.1. A.6.1.1 Comité de Gestión de seguridad de la información A.6.1.2 Coordinación de la seguridad de la información A.6.1.3 Asignación de responsabilidades sobre seguridad de la información A.6.1.4 Proceso de autorización para las nuevas instalaciones de procesamiento de información A.6.1.5 Acuerdos de confidencialidad A.6.1.6 Contacto con autoridades A.6.1.7 Contacto con grupos de interés especial A.6.1.8 Revisión independiente de seguridad de la información

8.2. A.6.2 Seguridad del acceso a terceras partes Objetivo de control: Mantener la seguridad de las instalaciones de procesamiento de la información organizacional que acceden, procesan, comunican o gestionan terceros.

8.2.1. A.6.2.1 Identificación de riesgos por el acceso de terceros A.6.2.2 Requisitos de seguridad cuando se trata con clientes A.6.2.3 Requisitos de seguridad en contratos con terceros

9. A.10 Gestión de comunicaciones y operaciones

9.1. A.10.1 Procedimientos y responsabilidades de operación Objetivo de control: Asegurar la operación correcta y segura de los recursos de procesamiento de información.

9.1.1. A.10.1.1 Documentación de procedimientos operativos A.10.1.2 Gestión de cambios A.10.1.3 Segregación de tareas A.10.1.4 Separación de las instalaciones de desarrollo, prueba y operación

9.2. A.10.2 Gestión de entrega de servicios externos Objetivo de control: Implementar y mantener un nivel apropiado de seguridad de información y servicios de entrega en concordancia con los acuerdos de servicios de entrega por parte de terceros.

9.2.1. A.10.2.1 Entrega de servicios A.10.2.2 Monitoreo y revisión de los servicios externos A.10.2.3 Gestión de cambios de los servicios externos

9.3. A.10.3 Planificación y aceptación del sistema Objetivo de control: Minimizar el riesgo de fallas de los sistemas.

9.3.1. A.10.3.1 Gestión de la capacidad A.10.3.2 Aceptación del sistema

9.4. A.10.4 Protección contra software malicioso Objetivo de control: Proteger la integridad del software y de la información.

9.4.1. A.10.4.1 Controles contra software malicioso A.10.4.2 Controles contra software móvil

9.5. A.10.5 Gestión interna de respaldo y recuperación Objetivo de control: Mantener la integridad y disponibilidad del procesamiento de información y servicios de comunicación.

9.5.1. A.10.5.1 Recuperación de la información

9.6. A.10.6 Gestión de seguridad de redes Objetivo de control: Asegurar la salvaguarda de información en las redes y la protección de la infraestructura de soporte.

9.6.1. A.10.6.1 Controles de red A.10.6.2 Seguridad de los servicios de red

9.7. A.10.7 Utilización y seguridad de los medios de información Objetivo de control: Prevenir daños, modificaciones o destrucciones a los activos e interrupciones de las actividades del negocio.

9.7.1. A.10.7.1 Gestión de medios removibles A.10.7.2 Eliminación de medios A.10.7.3 Procedimientos de manipulación de la información A.10.7.4 Seguridad de la documentación de sistemas

9.8. A.10.8 Intercambio de información Objetivo de control: Mantener la seguridad de información y el intercambio de software dentro de la organización y con entidades externas.

9.8.1. A.10.8.1 Políticas y procedimientos para el intercambio de información A.10.8.2 Acuerdos de intercambio A.10.8.3 Seguridad de medios físicos en tránsito A.10.8.4 Seguridad del correo electrónico A.10.8.5 Seguridad en los sistemas de información de negocio

9.9. A.10.9 Servicios de comercio electrónico Objetivo de control: Mantener la seguridad en los servicios de comercio electrónico y la seguridad en su uso.

9.9.1. A.10.9.1 Seguridad en comercio electrónico A.10.9.2 Seguridad en las transacciones en línea A.10.9.3 Información disponible públicamente

9.10. A.10.10 Monitoreo Objetivo de control: Detectar actividades de procesamiento de información no autorizadas.

9.10.1. A.10.10.1 Registro de auditoría A.10.10.2 Uso del sistema de monitoreo A.10.10.3 Protección de la información de registro A.10.10.4 Registros de administrador y operador A.10.10.5 Registros con faltas A.10.10.6 Sincronización de reloj

10. A.12 Adquisición de sistemas de información, desarrollo y mantenimiento

10.1. A.12.1 Requisitos de seguridad de los sistemas de información Objetivo de seguridad: Garantizar que la seguridad esté incluida dentro de los sistemas de información.

10.1.1. A.12.1.1 Análisis y especificación de los requisitos de seguridad

10.2. A.12.2 Proceso correcto en aplicaciones Objetivo de control: Prevenir errores, pérdidas, modificaciones no autorizadas o mal uso de los datos del usuario en las aplicaciones.

10.2.1. A.12.2.1 Validación de los datos de entrada A.12.2.2 Control del proceso interno A.12.2.3 Integridad de mensajes A.12.2.4 Validación de los datos de salida

10.3. A.12.3 Controles criptográficos Objetivo de control: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos.

10.3.1. A.12.3.1 Política de uso de los controles criptográficos A.12.3.2 Gestión de claves

10.4. A.12.4 Seguridad de los archivos del sistema Objetivo de control: Asegurar la seguridad de los archivos del sistema.

10.4.1. A.12.4.1 Control del software en producción A.12.4.2 Protección de los datos de prueba del sistema A.12.4.3 Control de acceso a la librería de programas fuente

10.5. A.12.5 Seguridad en los procesos de desarrollo y soporte Objetivo de control: Mantener la seguridad del software de aplicación y la información.

10.5.1. A.12.5.1 Procedimientos de control de cambios A.12.5.2 Revisión técnica de los cambios en el sistema operativo A.12.5.3 Restricciones en los cambios a los paquetes de software A.12.5.4 Fuga de información A.12.5.5 Desarrollo externo del software

10.6. A.12.6 Gestión de vulnerabilidades técnicas Objetivo de control: Reducir los riesgos que son el resultado de la explotación de vulnerabilidades técnicas publicadas.

10.6.1. A.12.6.1 Control de vulnerabilidades técnicas

11. A.14 Gestión de la continuidad del negocio

11.1. A.14.1 Aspectos de la gestión de continuidad del negocio en la seguridad de información Objetivo de control: Neutralizar las interrupciones a las actividades del negocio y proteger los procesos críticos del negocio de los efectos de fallas mayores o desastres en los sistemas de información y asegurar su reanudación oportuna.

11.1.1. A.14.1.1 Incluyendo la seguridad de la información en la gestión de la continuidad del negocio A.14.1.2 Continuidad del negocio y evaluación de riesgos A.14.1.3 Desarrollando e implementando planes de continuidad que incluyen la seguridad de la información A.14.1.4 Marco de planificación de la continuidad del negocio A.14.1.5 Probando, manteniendo y reevaluando los planes de continuidad del negocio