Unlock the full potential of your projects.
Montrer carte totale
Copier éditer carte Copier

ISO/IEC 27002

Autre
KM
KEVIN MAURICIO MUENALA OLMEDO
Lancez-Vous. C'est gratuit
ou s'inscrire avec votre adresse e-mail
Cartes mentales similaires Plan de carte mentale
ISO/IEC 27002 par Mind Map: ISO/IEC 27002

1. Seguridad de los recursos humanos

1.1. Antes del empleo

1.1.1. Poner en pantalla

1.1.2. Términos y condiciones de empleo

1.2. Durante el empleo

1.2.1. Responsabilidades de gestión

1.2.2. ensibilización, educación y formación en seguridad de la información

1.2.3. Proceso Disciplinario

1.3. Terminación y cambio de empleo

1.3.1. erminación o cambio de responsabilidades laborales

2. Gestión de activos

2.1. Responsabilidad por activos

2.1.1. Inventario de activos

2.1.2. Propiedad de activos

2.1.3. Uso aceptable de activos

2.2. Clasificación de la información

2.2.1. Clasificación de la información

2.2.2. Etiquetado de información

2.2.3. Manejo de activos

2.3. Manejo de medios

2.3.1. Gestión de medios extraíbles

2.3.2. Eliminación de medios

2.3.3. Transferencia de medios físicos

3. Control de acceso

3.1. Requisitos comerciales de control de acceso

3.1.1. Política de control de acceso

3.1.2. Acceso a redes y servicios de red

3.2. Gestión de acceso de usuarios

3.2.1. Registro y baja de usuario

3.2.2. Aprovisionamiento de acceso de usuario

3.2.3. Gestión de derechos de acceso privilegiado

3.2.4. Gestión de la información secreta de autenticación de los usuarios

3.2.5. Revisión de los derechos de acceso de los usuarios

3.2.6. Eliminación o ajuste de derechos de acceso

3.3. Responsabilidades del usuario

3.3.1. Uso de información de autenticación secreta

3.4. Control de acceso a sistemas y aplicaciones

3.4.1. Restricción de acceso a la información

3.4.2. Procedimientos de inicio de sesión seguros

3.4.3. Sistema de gestión de contraseñas

3.4.4. Uso de programas de utilidad privilegiados

3.4.5. Control de acceso al código fuente del programa

4. Seguridad física y ambiental

4.1. Áreas seguras

4.1.1. Perímetro de seguridad física

4.1.2. Controles de entrada física

4.1.3. Asegurar oficinas, salas e instalaciones

4.1.4. Protección contra amenazas externas y ambientales

4.1.5. Trabajando en áreas seguras

4.1.6. Áreas de entrega y carga

4.2. Equipo

4.2.1. Ubicación y protección de equipos

4.2.2. Utilidades de apoyo

4.2.3. Seguridad del cableado

4.2.4. Mantenimiento de equipo

4.2.5. Retiro de activos

4.2.6. Seguridad de equipos y activos fuera de las instalaciones

4.2.7. Eliminación o reutilización segura de equipos

4.2.8. Equipo de usuario desatendido

4.2.9. Política de escritorio despejado y pantalla despejada

5. Seguridad de las comunicaciones

5.1. Gestión de la seguridad de la red

5.1.1. Controles de red

5.1.2. Seguridad de los servicios de red

5.1.3. Segregación en redes

5.2. Transferencia de información

5.2.1. Políticas y procedimientos de transferencia de información

5.2.2. Acuerdos sobre transferencia de información

5.2.3. Mensajería electrónica

5.2.4. Acuerdos de confidencialidad o no divulgación

6. Datos de prueba

6.1. Protección de datos de prueba

7. Gestión de incidentes de seguridad de la información

7.1. Gestión de incidencias y mejoras de seguridad de la información

7.1.1. Responsabilidades y procedimientos

7.1.2. Informar eventos de seguridad de la información

7.1.3. Informar las debilidades de la seguridad de la información

7.1.4. Evaluación y decisión sobre eventos de seguridad de la información

7.1.5. Respuesta a incidentes de seguridad de la información

7.1.6. Aprendiendo de los incidentes de seguridad de la información

7.1.7. Recolección de evidencia

8. Cumplimiento

8.1. Cumplimiento de requisitos legales y contractuales

8.1.1. Identificación de la legislación aplicable y los requisitos contractuales.

8.1.2. Derechos de propiedad intelectual

8.1.3. Protección de registros

8.1.4. Privacidad y protección de la información de identificación personal

8.1.5. Regulación de controles criptográficos

8.2. Revisiones de seguridad de la información

8.2.1. Revisión independiente de la seguridad de la información

8.2.2. Cumplimiento de políticas y estándares de seguridad

8.2.3. Revisión de cumplimiento técnico

9. Políticas de seguridad de la información

9.1. Dirección de gestión para la seguridad de la información

9.1.1. Proporcionar dirección de gestión y apoyo para la seguridad de la información de acuerdo con requisitos comerciales y leyes y reglamentos pertinentes.

9.2. Políticas de seguridad de la información

9.2.1. Control

9.2.1.1. conjunto de políticas para la seguridad de la información

9.2.2. Guía de implementación

9.2.2.1. política de seguridad de la información

9.3. Revisión de las políticas de seguridad de la información

9.3.1. Control

9.3.1.1. deben revisarse a intervalos planificados

9.3.1.2. cambios significativos para asegurar su conveniencia, adecuación y eficacia continuas

9.3.2. Guía de implementación

9.3.2.1. Cada póliza debe tener un propietario que tenga la responsabilidad de gestión aprobada para el desarrollo, revisión y evaluación de las políticas.

9.3.2.2. La revisión debe incluir la evaluación de oportunidades de mejora.

10. Organización de la seguridad de la información

10.1. Organización interna

10.1.1. Roles y responsabilidades de seguridad de la información

10.1.1.1. Establecer un marco de gestión para iniciar y controlar la implementación

10.1.2. Segregación de deberes

10.1.2.1. Todas las responsabilidades de seguridad de la información deben definirse y asignarse.

10.1.3. Contacto con autoridades

10.1.3.1. Deben mantenerse los contactos adecuados con las autoridades pertinentes.

10.1.4. Contacto con grupos de interés especial

10.1.4.1. Contactos adecuados con grupos de intereses especiales

10.1.5. Seguridad de la información en la gestión de proyectos

10.1.5.1. La seguridad de la información debe abordarse en la gestión de proyectos

10.2. Dispositivos móviles y teletrabajo

10.2.1. Política de dispositivos móviles

10.2.1.1. Debería adoptarse una política y medidas de seguridad de apoyo para gestionar los riesgos introducidos por el uso de dispositivos móviles.

10.3. Teletrabajo

10.3.1. Se debe implementar una política y medidas de seguridad de apoyo para proteger la información a la que se accede, procesados ​​o almacenados en sitios de teletrabajo.

11. Criptografía

11.1. Controles criptográficos

11.1.1. Política sobre el uso de controles criptográficos

11.1.2. Gestión de claves

12. Seguridad de las operaciones

12.1. Procedimientos operativos y responsabilidades

12.1.1. Procedimientos operativos documentados

12.1.2. Gestión del cambio

12.1.3. Gestión de capacidad

12.1.4. Separación de entornos operativos, de prueba y de desarrollo

12.2. Protección contra malware

12.2.1. Controles contra malware

12.3. Respaldo

12.3.1. Respaldo de información

12.4. Registro y seguimiento

12.4.1. El registro de eventos

12.4.2. Protección de la información del registro

12.4.3. Registros de administrador y operador

12.4.4. Sincronización de reloj

12.5. Control de software operativo

12.5.1. Instalación de software en sistemas operativos

12.6. Gestión de vulnerabilidades técnicas

12.6.1. Gestión de vulnerabilidades técnicas

12.6.2. Restricciones en la instalación de software

12.7. Consideraciones de auditoría de sistemas de información

12.7.1. Controles de auditoría de sistemas de información

13. Adquisición, desarrollo y mantenimiento de sistemas

13.1. Requisitos de seguridad de los sistemas de información

13.1.1. Análisis y especificación de requisitos de seguridad de la información

13.1.2. Protección de los servicios de aplicaciones en redes públicas

13.1.3. Protección de las transacciones de servicios de aplicaciones

13.2. Seguridad en los procesos de desarrollo y soporte

13.2.1. Política de desarrollo seguro

13.2.2. Procedimientos de control de cambios del sistema

13.2.3. Revisión técnica de aplicaciones después de cambios de plataforma operativa

13.2.4. Restricciones sobre cambios en paquetes de software

13.2.5. Principios de ingeniería de sistemas seguros

13.2.6. Entorno de desarrollo seguro

13.2.7. Desarrollo subcontratado

13.2.8. Prueba de seguridad del sistema

13.2.9. Prueba de aceptación del sistema

14. Relaciones con proveedores

14.1. Seguridad de la información en las relaciones con los proveedores

14.1.1. Política de seguridad de la información para las relaciones con los proveedores

14.1.2. Abordar la seguridad dentro de los acuerdos con proveedores

14.1.3. Cadena de suministro de tecnología de la información y las comunicaciones

14.2. Gestión de la prestación de servicios de proveedores

14.2.1. Seguimiento y revisión de los servicios de los proveedores

14.2.2. Gestión de cambios en los servicios de proveedores

15. Aspectos de seguridad de la información de la gestión de la continuidad del negocio

15.1. Continuidad de la seguridad de la información

15.1.1. Planificación de la continuidad de la seguridad de la información

15.1.2. Implementar la continuidad de la seguridad de la información

15.1.3. Verificar, revisar y evaluar la continuidad de la seguridad de la información.

15.2. Redundancias

15.2.1. Disponibilidad de instalaciones de procesamiento de información