ISO 27001-2014

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
ISO 27001-2014 por Mind Map: ISO 27001-2014

1. Políticas de seguridad de la información

1.1. Políticas de seguridad de la información

1.1.1. Políticas para la seguridad de la información

1.1.2. Revisión de las políticas para la seguridad de la información

2. Organización de la seguridad de la información

2.1. Organización interna

2.1.1. Roles y responsabilidades para la seguridad de la información

2.1.1.1. Segregación de funciones

2.1.1.2. Contacto con autoridades

2.1.1.3. Contacto con grupos especiales de interés

2.1.1.4. Seguridad de la información en la gestión de proyectos

2.2. Dispositivos móviles y teletrabajo

2.2.1. Política de dispositivos móviles Teletrabajo

3. Seguridad de los recursos humanos

3.1. Antes del empleo

3.1.1. Selección

3.1.2. Términos y condiciones del empleo

3.2. Durante el empleo

3.2.1. Responsabilidades de la gerencia

3.2.2. Conciencia, educación y capacitación sobre la seguridad de la información

3.2.3. Proceso disciplinario

3.3. Terminación y cambio de empleo

3.3.1. Terminación y cambio de empleo

4. Gestión de activos

4.1. Responsabilidad por los activos

4.1.1. Inventario de activos

4.1.2. Propiedad de los activos

4.1.3. Uso aceptable de los activos

4.1.4. Retorno de activos

4.2. Clasificación de la información

4.2.1. Clasificación de la información

4.2.2. Etiquetado de la información

4.2.3. Manejo de activos

4.3. Manejo de los medios

4.3.1. Gestión de medios removibles

4.3.2. Disposición de medios

4.3.3. Transferencia de medios físicos

5. Control de acceso

5.1. Requisitos de la empresa para el control de acceso

5.1.1. Política de control de acceso

5.1.2. Acceso a redes y servicios de red

5.2. Gestión de acceso de usuario

5.2.1. Registro y baja de usuarios

5.2.2. Aprovisionamiento de acceso a usuario

5.2.3. Gestión de derechos de acceso privilegiados

5.2.4. Gestión de información de autentificación secreta de usuarios

5.2.5. Revisión de derechos de acceso de usuarios

5.2.6. Remoción o ajuste de derechos de acceso

5.3. Responsabilidades de los usuarios

5.3.1. Uso de información de autentificación secreta

5.4. Control de acceso a sistema y aplicación

5.4.1. Restricción de acceso a la información

5.4.2. Procedimientos de ingreso seguro

5.4.3. Sistema de gestión de contraseñas

5.4.4. Uso de programas utilitarios privilegiados

5.4.5. Control de acceso al código fuente de los programas

6. Criptografía

6.1. Controles criptográficos

6.1.1. Política sobre el uso de controles criptográficos

6.1.2. Gestión de claves

7. Seguridad física y ambiental

7.1. Áreas seguras

7.1.1. Perímetro de seguridad física

7.1.2. Controles de ingreso físico

7.1.3. Asegurar oficinas, áreas e instalaciones

7.1.4. Protección contra amenazas externas y ambientales

7.1.5. Trabajo en áreas seguras

7.1.6. Áreas de despacho y carga

7.2. Equipos

7.2.1. Emplazamiento y protección de los equipos

7.2.2. Servicios de suministro

7.2.3. Seguridad del cableado

7.2.4. Mantenimiento de equipos

7.2.5. Remoción de activos

7.2.6. Seguridad de equipos y activos fuera de las instalaciones

7.2.7. Disposición o reutilización segura de equipos

7.2.8. Equipos de usuario desatendidos

7.2.9. Política de escritorio limpio y pantalla limpia

8. Seguridad de las operaciones

8.1. Procedimientos y responsabilidades operativas

8.1.1. Procedimientos operativos documentados

8.1.2. Gestión del cambio

8.1.3. Gestión de la capacidad

8.1.4. Separación de los entornos de desarrollo, pruebas y operaciones

8.2. Protección contra códigos maliciosos

8.2.1. Controles contra códigos maliciosos

8.3. Respaldo

8.3.1. Respaldo de la información

8.4. Registros y monitoreo

8.4.1. Registro de eventos

8.4.2. Protección de información de registros.

8.4.3. del administrador y del operador

8.4.4. Sincronización de reloj

8.5. Control del software operacional

8.5.1. Instalación de software en sistemas operacionales

8.6. Gestión de vulnerabilidad técnica

8.6.1. Gestión de vulnerabilidades técnicas

8.6.2. Restricciones sobre la instalación de software

8.7. Consideraciones para la auditoría de los sistemas de información

8.7.1. Controles de auditoría de sistemas de información

9. Seguridad de las comunicaciones

9.1. Gestión de seguridad de la red

9.1.1. Controles de la red

9.1.2. Seguridad de servicios de red

9.1.3. Segregación en redes

9.2. Transferencia de información

9.2.1. Políticas y procedimientos de transferencia de la información

9.2.2. Acuerdo sobre transferencia de información

9.2.3. Mensajes electrónicos

9.2.4. Acuerdos de confidencialidad o no divulgación

10. Adquisición, desarrollo y mantenimiento de sistemas

10.1. Requisitos de seguridad de los sistemas de información

10.1.1. Análisis y especificación de requisitos de seguridad de la información

10.1.2. Aseguramiento de servicios de aplicaciones sobre redes públicas

10.1.3. Protección de transacciones en servicios de aplicación

10.2. Seguridad en los procesos de desarrollo y soporte

10.2.1. Política de desarrollo seguro

10.2.2. Procedimientos de control de cambio del sistema

10.2.3. Revisión técnica de aplicaciones después de cambios a la plataforma operativa

10.2.4. Restricciones sobre cambios a los paquetes de software

10.2.5. Principios de ingeniería de sistemas seguros

10.2.6. Ambiente de desarrollo seguro

10.2.7. Desarrollo contratado externamente

10.2.8. Pruebas de seguridad del sistema

10.2.9. Pruebas de aceptación del sistema

10.3. Datos de prueba

10.3.1. Protección de datos de prueba

11. Relaciones con los proveedores

11.1. Seguridad de la información en las relaciones con los proveedores

11.1.1. Política de seguridad de la información para las relaciones con los proveedores

11.1.2. Abordar la seguridad dentro de los acuerdos con proveedores

11.1.3. Cadena de suministro de tecnología de información y comunicación

11.2. Gestión de entrega de servicios del proveedor

11.2.1. Monitoreo y revisión de servicios de los proveedores

11.2.2. Gestión de cambios a los servicios de proveedores

12. Gestión de incidentes de seguridad de la información

12.1. Gestión de incidentes de seguridad de la información y mejoras

12.1.1. Responsabilidades y procedimientos

12.1.2. Reporte de eventos de seguridad de la información

12.1.3. Reporte de debilidades de seguridad de la información

12.1.4. Evaluación y decisión sobre eventos de seguridad de la información

12.1.5. Respuesta a incidentes de seguridad de la información

12.1.6. Aprendizaje de los incidentes de seguridad de la información

12.1.7. Recolección de evidencia

13. Aspectos de seguridad de la información en la gestión de continuidad del negocio

13.1. Continuidad de seguridad de la información

13.1.1. Planificación de continuidad de seguridad de la información

13.1.2. Implementación de continuidad de seguridad de la información

13.1.3. Verificación, revisión y evaluación de continuidad de seguridad de la información

13.2. Redundancias

13.2.1. Instalaciones de procesamiento de la información

14. Cumplimiento

14.1. Cumplimiento con requisitos legales y contractuales

14.1.1. Identificación de requisitos contractuales y de legislación aplicables

14.1.2. Derechos de propiedad intelectual

14.1.3. Protección de registros

14.1.4. Privacidad y protección de datos personales.

14.1.5. Regulación de controles criptográficos

14.2. Revisiones de seguridad de la información

14.2.1. Revisión independiente de la seguridad de la información

14.2.2. Cumplimiento de políticas y normas de seguridad

14.2.3. Revisión del cumplimiento técnico