NTP-ISO/IEC 27001 - 2014

Jetzt loslegen. Gratis!
oder registrieren mit Ihrer E-Mail-Adresse
NTP-ISO/IEC 27001 - 2014 von Mind Map: NTP-ISO/IEC 27001 - 2014

1. A.5 Políticas de seguridad de la información

1.1. A.5.1 Dirección de la gerencia para la seguridad de la información

1.1.1. Objetivo: Proporcionar dirección y apoyo de la gerencia para la seguridad de la información en concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.

1.1.1.1. A.5.1.1 Políticas para la seguridad de la información A.5.1.2 Revisión de las políticas para la seguridad de la información

2. A.6 Organización de la seguridad de la información

2.1. A.6.1 Organización interna

2.1.1. Objetivo: establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.

2.1.1.1. A.6.1.1 Roles y responsabilidades para la seguridad de la información A.6.1.2 Segregación de funciones A.6.1.3 Contacto con autoridades A.6.1.4 Contacto con grupos especiales de interés A.6.1.5 Seguridad de la información en la gestión de proyectos

2.2. A.6.2 Dispositivos móviles y teletrabajo

2.2.1. Objetivo: Asegurar la seguridad del teletrabajo y el uso de los dispositivos móviles.

2.2.1.1. A.6.2.1 Política de dispositivos móviles A.6.2.2 Teletrabajo

3. A.7 Seguridad de los recursos humanos

3.1. A.7.1 Antes del empleo

3.1.1. Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son convenientes para los roles para los que se les considera.

3.1.1.1. A.7.1.1 Selección A.7.1.2 Términos y condiciones del empleo

3.2. A.7.2 Durante el empleo

3.2.1. Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seguridad de la información.

3.2.1.1. A.7.2.1 Responsabilidades de la gerencia A.7.2.2 Conciencia, educación y capacitación sobre la seguridad de la información A.7.2.3 Proceso disciplinario

3.3. A.7.3 Terminación y cambio de empleo

3.3.1. Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo.

3.3.1.1. A.7.3.1 Terminación o cambio de responsabilidades del empleo.

4. A.8 Gestión de activos

4.1. A.8.1 Responsabilidad por los activos

4.1.1. Objetivo: Identificar los activos de la organización y definir responsabilidades de protección apropiadas.

4.1.1.1. A.8.1.1 Inventario de activos A.8.1.2 Propiedad de los activos A.8.1.3 Uso aceptable de los activos A.8.1.4 Retorno de activos

4.2. A.8.2 Clasificación de la información

4.2.1. Objetivo: Asegurar que la información recibe un nivel apropiado de protección en concordancia con su importancia para la organización.

4.2.1.1. A.8.2.1 Clasificación de la información A.8.2.2 Etiquetado de la información A.8.2.3 Manejo de activos

4.3. A.8.3 Manejo de los medios

4.3.1. Objetivo: Prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en medios.

4.3.1.1. A.8.3.1 Gestión de medios removibles A.8.3.2 Disposición de medios A.8.3.3 Transferencia de medios físicos

5. A.9 Control de acceso

5.1. A.9.1 Requisitos de la empresa para el control de acceso

5.1.1. Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información

5.1.1.1. A.9.1.1 Política de control de acceso A.9.1.2 Acceso a redes y servicios de red

5.2. A.9.2 Gestión de acceso de usuario

5.2.1. Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas y servicios.

5.2.1.1. A.9.2.1 Registro y baja de usuarios A.9.2.2 Aprovisionamiento de acceso a usuario A.9.2.3 Gestión de derechos de acceso privilegiados A.9.2.4 Gestión de información de autentificación secreta de usuarios A.9.2.5 Revisión de derechos de acceso de usuarios A.9.2.6 Remoción o ajuste de derechos de acceso

5.3. A.9.3 Responsabilidades de los usuarios

5.3.1. Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de autentificación.

5.3.1.1. A.9.3.1 Uso de información de autentificación secreta

5.4. A.9.4 Control de acceso a sistema y aplicación

5.4.1. Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.

5.4.1.1. A.9.4.1 Restricción de acceso a la información A.9.4.2 Procedimientos de ingreso seguro A.9.4.3 Sistema de gestión de contraseñas A.9.4.4 Uso de programas utilitarios privilegiados A.9.4.5 Control de acceso al código fuente de los programas

6. A.10 Criptografía

6.1. A.10.1 Controles criptográficos

6.1.1. Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.

6.1.1.1. A.10.1.1 Política sobre el uso de controles criptográficos A.10.1.2 Gestión de claves

7. A.11 Seguridad física y ambiental

7.1. A.11.1 Áreas seguras

7.1.1. Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a las instalaciones de procesamiento de la información de la organización.

7.1.1.1. A.11.1.1 Perímetro de seguridad física A.11.1.2 Controles de ingreso físico A.11.1.3 Asegurar oficinas, áreas e instalaciones A.11.1.4 Protección contra amenazas externas y ambientales A.11.1.5 Trabajo en áreas seguras A.11.1.6 Áreas de despacho y carga

7.2. A.11.2 Equipos

7.2.1. Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos e interrupción de las operaciones de la organización.

7.2.1.1. A.11.2.1 Emplazamiento y protección de los equipos A.11.2.2 Servicios de suministro A.11.2.3 Seguridad del cableado A.11.2.4 Mantenimiento de equipos A.11.2.5 Remoción de activos A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones A.11.2.7 Disposición o reutilización segura de equipos A.11.2.8 Equipos de usuario desatendidos A.11.2.9 Política de escritorio limpio y pantalla limpia

8. A.12 Seguridad de las operaciones

8.1. A.12.1 Procedimientos y responsabilidades operativas

8.1.1. Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la información sean correctas y seguras.

8.1.1.1. A.12.1.1 Procedimientos operativos documentados A.12.1.2 Gestión del cambio A.12.1.3 Gestión de la capacidad A.12.1.4 Separación de los entornos de desarrollo, pruebas y operaciones

8.2. A.12.2 Protección contra códigos maliciosos

8.2.1. Objetivo: Asegurar que la información y las instalaciones de procesamiento de la información estén protegidas contra códigos maliciosos.

8.2.1.1. A.12.2.1 Controles contra códigos maliciosos

8.3. A.12.3 Respaldo

8.3.1. Objetivo: Proteger contra la pérdida de datos

8.3.1.1. A.12.3.1 Respaldo de la información

8.4. A.12.4 Registros y monitoreo

8.4.1. Objetivo: Registrar eventos y generar evidencia

8.4.1.1. A.12.4.1 Registro de eventos A.12.4.2 Protección de información de registros. A.12.4.3 Registros del administrador y del operador A.12.4.4 Sincronización de reloj

8.5. A.12.5 Control del software operacional

8.5.1. Objetivo: Asegurar la integridad de los sistemas operacionales

8.5.1.1. A.12.5.1 Instalación de software en sistemas operacionales

8.6. A.12.6 Gestión de vulnerabilidad técnica

8.6.1. Objetivo: Prevenir la explotación de vulnerabilidades técnicas

8.6.1.1. A.12.6.1 Gestión de vulnerabilidades técnicas A.12.6.2 Restricciones sobre la instalación de software

8.7. A.12.7 Consideraciones para la auditoría de los sistemas de información

8.7.1. Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operacionales

8.7.1.1. A.12.7.1 Controles de auditoría de sistemas de información

9. A.13 Seguridad de las comunicaciones

9.1. A.13.1 Gestión de seguridad de la red

9.1.1. Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de procesamiento de la información de apoyo.

9.1.1.1. A.13.1.1 Controles de la red A.13.1.2 Seguridad de servicios de red A.13.1.3 Segregación en redes

9.2. A.13.2 Transferencia de información

9.2.1. Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.

9.2.1.1. A.13.2.1 Políticas y procedimientos de transferencia de la información A.13.2.2 Acuerdo sobre transferencia de información A.13.2.3 Mensajes electrónicos A.13.2.4 Acuerdos de confidencialidad o no divulgación

10. A.14 Adquisición, desarrollo y mantenimiento de sistemas

10.1. A.14.1 Requisitos de seguridad de los sistemas de información

10.1.1. Objetivo: Garantizar que la seguridad de la información es una parte integral de los sistemas de información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de información que proporcionen servicios sobre redes públicas.

10.1.1.1. A.14.1.1 Análisis y especificación de requisitos de seguridad de la información A.14.1.2 Aseguramiento de servicios de aplicaciones sobre redes públicas A.14.1.3 Protección de transacciones en servicios de aplicación

10.2. A.14.2 Seguridad en los procesos de desarrollo y soporte

10.2.1. Objetivo: Garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información.

10.2.1.1. A.14.2.1 Política de desarrollo seguro A.14.2.2 Procedimientos de control de cambio del sistema A.14.2.3 Revisión técnica de aplicaciones después de cambios a la plataforma operativa A.14.2.4 Restricciones sobre cambios a los paquetes de software A.14.2.5 Principios de ingeniería de sistemas seguros A.14.2.6 Ambiente de desarrollo seguro A.14.2.7 Desarrollo contratado externamente A.14.2.8 Pruebas de seguridad del sistema A.14.2.9 Pruebas de aceptación del sistema

10.3. A.14.3 Datos de prueba

10.3.1. Objetivo: Asegurar la protección de datos utilizados para las pruebas

10.3.1.1. A.14.3.1 Protección de datos de prueba

11. A.15 Relaciones con los proveedores

11.1. A.15.1 Seguridad de la información en las relaciones con los proveedores

11.1.1. Objetivo: Asegurar protección a los activos de la organización que son accesibles por los proveedores

11.1.1.1. A.15.1.1 Política de seguridad de la información para las relaciones con los proveedores A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores A.15.1.3 Cadena de suministro de tecnología de información y comunicación

11.2. A.15.2 Gestión de entrega de servicios del proveedor

11.2.1. Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios acordado en línea con los acuerdos con proveedores

11.2.1.1. A.15.2.1 Monitoreo y revisión de servicios de los proveedores A.15.2.2 Gestión de cambios a los servicios de proveedores

12. A.16 Gestión de incidentes de seguridad de la información

12.1. A.16.1 Gestión de incidentes de seguridad de la información y mejoras

12.1.1. Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la información, incluyendo la comunicación sobre eventos de seguridad y debilidades.

12.1.1.1. A.16.1.1 Responsabilidades y procedimientos A.16.1.2 Reporte de eventos de seguridad de la información A.16.1.3 Reporte de debilidades de seguridad de la información A.16.1.4 Evaluación y decisión sobre eventos de seguridad de la información A.16.1.5 Respuesta a incidentes de seguridad de la información A.16.1.6 Aprendizaje de los incidentes de seguridad de la información A.16.1.7 Recolección de evidencia

13. A.17 Aspectos de seguridad de la información en la gestión de continuidad del negocio

13.1. A.17.1 Continuidad de seguridad de la información

13.1.1. Objetivo: La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización

13.1.1.1. A.17.1.1 Planificación de continuidad de seguridad de la información A.17.1.2 Implementación de continuidad de seguridad de la información A.17.1.3 Verificación, revisión y evaluación de continuidad de seguridad de la información

13.2. A.17.2 Redundancias

13.2.1. Objetivo: Asegurar la disponibilidad de las instalaciones y procesamiento de la información

13.2.1.1. A.17.2.1 Instalaciones de procesamiento de la información

14. A.18 Cumplimiento

14.1. A.18.1 Cumplimiento con requisitos legales y contractuales

14.1.1. Objetivo: Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad.

14.1.1.1. A.18.1.1 Identificación de requisitos contractuales y de legislación aplicables A.18.1.2 Derechos de propiedad intelectual A.18.1.3 Protección de registros A.18.1.4 Privacidad y protección de datos personales. A.18.1.5 Regulación de controles criptográficos

14.2. A.18.2 Revisiones de seguridad de la información

14.2.1. Objetivo: Asegurar que la seguridad de la información está implementada y es operada de acuerdo con las políticas y procedimientos organizativos.

14.2.1.1. A.18.2.1 Revisión independiente de la seguridad de la información A.18.2.2 Cumplimiento de políticas y normas de seguridad A.18.2.3 Revisión del cumplimiento técnico