ISO 27001 Control y Objetivos Poltica de seguridad de la informacin Objetivo: Proporcionar orientacin y apoyo a la gestin de seguridad de la informacin en acuerdo

con los requerimientos del negocio y las leyes y reglamentos pertinentes. Organizacin interna Administrar la seguridad de la informacin dentro de la organizacin. Los acuerdos de confidencialidad Requisitos de confidencialidad o de no divulgacin acuerdos reflejan que t necesidades de la organizacin para la proteccin de la informacin debern ser identificados y regularmente opinin. Las partes externas Objetivo: Mantener L a seguridad de la informacin y la informacin de la organizacin instalaciones de procesamiento que se accede, procesan, comunican a, o gestionados por partes externas. Identificacin de los riesgos relacionados con los agentes externos Los riesgos para la informacin de la organizacin y las instalaciones de procesamiento de informacin de los procesos de negocio relacionados con las partes externas deben ser identificados y los controles apropiados implementado antes de conceder el acceso. Abordar la seguridad cuando se trata de clientes Todos los requisitos de seguridad identificados debern dirigirse antes de dar a los clientes acceso a informacin de la organizacin o s activo. Abordar la seguridad en contratos de terceros Acuerdos con terceros relacionados con el acceso, tratamiento, comunicacin o gestin de la informacin de la organizacin o las instalaciones de procesamiento de informacin, o la adicin de productos o servicios a las instalaciones de procesamiento de informacin se referirn a todos los de seguridad pertinentes requisitos. Gestin de activos Objetivo: Lograr y mantener la proteccin adecuada de los activos de la organizacin. Inventario de activos Todo s activo deber estar claramente identificado y un inventario de todos los activos importantes elaborado y mantenido.

La propiedad de los activos Toda la informacin y los activos asociados a las instalaciones de tratamiento de la informacin sern "Propiedad" de una parte designada de la organizacin. Uso aceptable de los activos Normas para el uso aceptable de la informacin y los activos asociados a la informacin instalaciones de procesamiento sern identificados, documentados e implementados. Clasificacin de la informacin Objetivo: Asegurar que la informacin reciba un nivel adecuado de proteccin. Normativas de Clasificacin La informacin se clasificar en funcin de su valor, los requisitos legales, la sensibilidad y criticidad para la organizacin. Roles y responsabilidades Los roles y responsabilidades de seguridad de los empleados, ORS contrato y usuarios de terceras partes sern definido y documentado con arreglo a seguridad de la informacin de la organizacin poltica. Trminos y condiciones de empleo Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes debern acordar y firmar camisetas que los trminos y condiciones de su contrato de trabajo, que deber estar motivada sus responsabilidades y f o informacin de seguridad de la organizacin. Responsabilidades de gestin Administracin exigir a los empleados, contratistas y usuarios de terceras partes para aplicar la seguridad de conformidad con las polticas y procedimientos establecidos de la organizacin. conciencia de seguridad de informacin, educacin y formacin Todos los empleados de la organizacin y, en su caso, ors contractuales pertinentes y usuarios de terceras partes recibir la formacin adecuada y la conciencia actualizaciones regulares en las polticas organizacionales y procedimientos, segn sea pertinente para su funcin laboral. Proceso disciplinario Habr formales a procesos disciplinarios o empleados que hayan cometido un violacin de la seguridad.

La terminacin o cambio de empleo Objetivo: Asegurar t empleados sombrero, contratistas y terceros usuarios salir de una organizacin o cambio el empleo de una manera ordenada. Responsabilidades de terminacin Las responsabilidades para la realizacin de la terminacin del empleo o cambio de empleo deber estar claramente definidas y asignadas. Seguridad fsica y ambiental Objetivo: impedir el acceso fsico no autorizado, dao e interferencia de t l locales e informacin de la organizacin. Permetro de seguridad fsica Permetros de seguridad (barreras, como paredes, puertas de entrada de tarjetas controladas o tripulados mostradores de recepcin) se utilizan para proteger reas que contienen informacin y la informacin instalaciones de procesamiento. Control de entrada fsicas Zonas seguras se protegern mediante controles de entrada adecuados para garantizar que slo personas autorizadas pueden acceder. Proteccin contra amenazas externas y ambientales La proteccin fsica contra daos por incendio, inundacin, terremoto, explosin, disturbios civiles, y otras formas de desastres naturales o de origen humano deben ser diseadas y aplicadas. El trabajo en las reas de seguridad Proteccin fsica y directrices para trabajar en las reas de seguridad debern disearse y aplicada. Acceso pblico, de entrega y carga Los puntos de acceso, tales como las reas de entrega y carga y otros puntos donde no autorizada personas pueden entrar en t que los locales ser controlado y, si es posible, aislados de instalaciones de procesamiento de informacin para evitar el acceso no autorizado. Seguridad de los equipos Objetivo: Prdida evento por dao, robo o el compromiso de los activos y la interrupcin de t l actividades de la organizacin. Seguridad Cableado

Energa y telecomunicaciones cables de transporte de datos o el apoyo a los servicios de informacin deber estar protegido contra interceptacin o daos. Mantenimiento de equipos El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e integridad. Seguridad de los equipos fuera de las instalaciones Seguridad se aplicar a los equipos de fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajo fuera de los locales de la organizacin. Eliminacin segura o la reutilizacin de los equipos Todos los elementos del equipo que contiene los medios de almacenamiento debern ser evaluados para verificar sombrero t cualquier datos sensibles y el software con licencia se ha eliminado o sobrescrito con seguridad antes de disposicin. Gestin de comunicaciones y operaciones Objetivo: garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de informacin. Procedimientos operativos documentados Los procedimientos de operacin debern ser documentados, mantenidos y puestos a disposicin de todos los usuarios que necesitan dobladillo t. Gestin del cambio Se deben los cambios a las instalaciones y los sistemas de procesamiento de informacin. Separacin de las instalaciones de desarrollo, prueba y operacin Instalaciones de desarrollo, prueba y operacin estarn separados para reducir t corre el riesgo de acceso o cambios en el sistema operativo no autorizado. Monitoreo y revisin de los servicios de terceros Los servicios, informes y registros proporcionados por el tercero sern controlados peridicamente y revisada, y la auditora s se llevar a cabo con regularidad.

Gestin de cambios en los servicios de terceros Los cambios en la provisin de los servicios, incluido el mantenimiento y la mejora existente las polticas de seguridad de la informacin, procedimientos y controles, se gestionarn, teniendo en cuenta de la criticidad de los sistemas de negocio y procesos involucrados y re-evaluacin de los riesgos. Planificacin y la aceptacin Objetivo: Para reducir al mnimo el riesgo de fallos de los sistemas. Gestin de la capacidad El uso de los recursos deber ser monitoreada, atentos, y las proyecciones de hecho de la capacidad futura. Requisitos para garantizar el funcionamiento del sistema requerido. Aceptacin del sistema Los criterios de aceptacin para los nuevos sistemas de informacin, actualizaciones y nuevas versiones estarn pruebas establecidas y adecuada del sistema (s) llevaron a cabo durante el desarrollo y antes de la aceptacin. Proteccin contra cdigo malicioso y mvil Objetivo: Proteger la integridad del software y la informacin. Controles contra cdigo malicioso Deteccin, prevencin y recuperacin de los controles de proteccin contra cdigo malicioso y procedimientos de sensibilizacin de los usuarios correspondientes se llevarn a cabo. Controles contra cdigo mvil Donde T l uso de cdigo mvil est autorizado, la configuracin se asegurar de que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad definida, y cdigo mvil autorizado estar impedida de ejecutar. Back-up Mantener la integridad y disponibilidad de la informacin y la informacin instalaciones de procesamiento. Informacin de respaldo

Las copias de seguridad de la informacin y el software sern tomadas y analizadas con regularidad en acuerdo con la poltica de seguridad acordada. Control de la red Redes se gestionarn adecuadamente y controlados, con el fin de ser protegidos de amenazas, y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluyendo informacin en trnsito. De los servicios de red de seguridad Las caractersticas de seguridad, nivel de servicio s, y los requisitos de gestin de todos los servicios de red sern identificadas e incluidas en un contrato de servicios de red, estimular su stas los servicios se prestan en la casa o fuera obtienen. Manejo de los soportes Objetivo: evitar la divulgacin no autorizada, modificacin, eliminacin o destruccin de activos, y la interrupcin de las actividades comerciales. Gestin de soportes extrables Habr procedimientos para la gestin de medios extrables. La eliminacin de los medios de comunicacin Los medios de comunicacin se eliminarn de forma segura cuando ya no sea necesario, utilizando formales procedimientos. procedimientos de manejo de informacin Procedimientos f o la manipulacin y almacenamiento de la informacin se establecern de proteger este informacin de su divulgacin o uso no autorizado. documentacin del sistema de seguridad d e Documentacin del sistema deben estar protegidos contra el acceso no autorizado. Intercambio de informacin Objetivo: Mantener L a seguridad de la informacin y el software de intercambio dentro de una organizacin y con cualquier entidad externa. polticas y los procedimientos de intercambio de informacin Polticas formales de intercambio, los procedimientos y los controles debern estar en su lugar para proteger t l intercambio de informacin mediante el uso de todo tipo de medios de comunicacin. Los acuerdos de intercambio

Los acuerdos se establecieron para el intercambio de informacin y software entre la organizacin y las partes externas. Medios fsicos en trnsito Los medios de comunicacin con informacin estarn protegidos contra el acceso no autorizado, uso indebido o la corrupcin durante el transporte ms all de los lmites fsicos de una organizacin. La mensajera electrnica Informacin participar en la mensajera electrnica estar debidamente protegido. sistemas de informacin empresarial Polticas y procedimientos se elaboran y aplican para proteger la informacin asociado a la interconexin de los sistemas de informacin empresarial. Monitoreo Objetivo: Detectar las actividades de procesamiento de informacin no autorizadas. El registro de auditora Registros de auditora que registran las actividades del usuario, excepciones y eventos de seguridad de la informacin s ser producido y mantenido durante un perodo acordado para ayudar en futuras investigaciones y el acceso el seguimiento. Monitoreo uso del sistema Los procedimientos para monitorear el uso de las instalaciones de procesamiento de informacin se establecern y los resultados de las actividades de supervisin revisarn peridicamente. Proteja ion de la informacin del registro. Instalaciones de registro e informacin de registro se protegern contra la manipulacin y acceso no autorizado. Administrador y operador de registros Administrador y el sistema de las actividades del operador del sistema se registran. Registro de fallos Fallo s se registra, analiza y adoptar las medidas oportunas. Sincronizacin de la hora Los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una organizacin o dominio de seguridad se sincroniza con un recurso de hora exacta acordada.

Control de acceso gestin de acceso de los usuarios Objetivo: garantizar el acceso de usuarios autorizados y para evitar el acceso no autorizado a sistemas de informacin. Registro de usuarios Habr un registro de usuario formal y procedimiento de la matrcula en el lugar fo otorgar y revocar el acceso a todos los sistemas y servicios de informacin. Gestin de privilegios El toda ocasin y el uso de privilegios sern restringidas y controladas. Gestin de contraseas de usuario El motivo de todas las contraseas se controla a travs de un proceso de gestin formal. Examen del acceso de los usuarios a la derecha s La direccin revisar los derechos de acceso de los usuarios a intervalos regulares a travs de un proceso formal. Responsabilidades del usuario Objetivo: evitar el acceso de usuarios no autorizados, y compromiso o t peso de la informacin y las instalaciones de procesamiento de informacin. Contrasea uso Los usuarios estarn obligados a seguir las buenas prcticas de seguridad en la seleccin y uso de contraseas. Equipos de usuario desatendida Los usuarios debern asegurarse de que los equipos de vigilancia tiene la proteccin adecuada. Claro poltica clara pantalla escritorio y Una poltica de escritorio limpio de papeles y soportes de almacenamiento extrables y una poltica clara pantalla o instalaciones de procesamiento de informacin, se adoptarn. Control de acceso de trabajo neto Objetivo: evitar el acceso no autorizado a los servicios de red. Poltica sobre el uso de los servicios de red

Los usuarios slo dispondrn de acceso a los servicios que t eh sido especficamente autorizado a utilizar. Autenticacin de usuario para las conexiones externas Mtodos de autenticacin apropiados se utilizan para el acceso de usuarios remotos. Identificacin de los equipos en las redes Identificacin de equipo automtico deber ser considerado como un medio para autenticar conexiones de los lugares y equipos especficos. Control de la conexin de red Para las redes compartidas, manguera especial t extiende a travs de las fronteras de la organizacin, que la capacidad de los usuarios para conectarse a la red t que se limitar, en lnea con t se accede poltica de control y los requisitos de las aplicaciones de negocio (vase 11.1). Control de encaminamiento de red Enrutamiento controles ser f o redes implementadas para asegurar que las conexiones de la computadora y los flujos de informacin no infringen t que la poltica de acceso de control de la empresa aplicaciones. Control de acceso del sistema operativo Objetivo: evitar el acceso no autorizado a los sistemas operativos. Procedimientos de inicio de sesin seguros Acceso a los sistemas operativos se controla mediante un procedimiento seguro log-on. identificacin y autenticacin de usuarios Todos los usuarios deben tener un identificador nico (ID de usuario) slo para su uso personal, y tcnica de autenticacin adecuada se elegir para fundamentar la identidad declarada de un usuario. Sistema de gestin de Password Sistemas de gestin de contraseas sern interactivos y velarn contraseas calidad. El uso de utilidades del sistema El uso de programas de utilidad que podra ser capaz de anular el sistema y la aplicacin mando s deber ser restringido y estrechamente controlado.

Sesin de tiempo de espera Sesiones inactivas se apague tras un perodo de inactividad definido. Limitacin del tiempo de conexin Las restricciones a los tiempos de conexin se utilizan para proporcionar seguridad adicional a alto riesgo aplicaciones. Aplicacin y el control de acceso a la informacin Objetivo: evitar el acceso no autorizado a la informacin contenida en los sistemas de aplicacin. Informacin restriccin de acceso El acceso a la informacin ya las funciones del sistema de aplicacin de los usuarios y personal de apoyo se limitar de acuerdo con la poltica de control de acceso definido. Aislamiento del sistema Sensitive Sistemas sensibles deben tener un entorno informtico dedicado (aislado). La informtica mvil y el teletrabajo Objetivo: Garantizar la seguridad de la informacin cuando se utiliza la computacin mvil y el teletrabajo instalaciones. La informtica mvil y las comunicaciones Una poltica formal ser en el lugar, y las medidas de seguridad pertinentes se adoptarn de proteccin contra los riesgos del uso de la informtica mvil y medios de comunicacin. Teletrabajo A las polticas, planes y procedimientos operativos sern desarrollados e implementados fo actividades de teletrabajo.

Sistemas de informacin, adquisicin, desarrollo y mantenimiento Securit Y Requisitos de los sistemas de informacin Objetivo: Garantizar que la seguridad es una parte integral de los sistemas de informacin. Seguridad anlisis de requerimientos y especificacin Declaraciones de los requerimientos del negocio para los nuevos sistemas de informacin, o mejoras

los sistemas de informacin existentes especificarn los requisitos para los controles de seguridad. procesamiento correcto en las aplicaciones Objetivo: errores Evento Pr, prdida, modificacin no autorizada o mal uso de la informacin en aplicaciones. Validacin de datos de entrada La entrada de datos a las aplicaciones deber ser validado para asegurarse de que esta informacin es correcta y apropiada. de control de procesamiento interno Comprobaciones de validacin debern ser incorporados en las aplicaciones para detectar cualquier corrupcin de informacin a travs de los errores de procesamiento o actos deliberados. Integridad de los mensajes Requisitos para garantizar la autenticidad y la proteccin de la integridad del mensaje en aplicaciones se identificaron, y el control apropiados s identificado e implementado. Validacin de los datos de salida La salida de datos desde una aplicacin deber ser validado para asegurarse de que guarda la tramitacin de informacin es correcta y adecuada a las circunstancias. controles criptogrficos Objetivo: Proteger la confidencialidad, autenticidad o integridad de la informacin por medios criptogrficos. Poltica sobre el uso de controles criptogrficos Una poltica en t l uso de controles criptogrficos para proteger ion de informacin estar desarrollado e implementado. Gestin de claves Gestin de claves debe estar en su lugar para apoyar l uso de cifrado de la organizacin tcnicas. Securit y de los archivos del sistema Objetivo: garantizar la seguridad de los archivos del sistema. de control de software operativo

Habr procedimientos para la instalacin de software en funcionamiento sistemas. Protection de los datos de prueba del sistema Los datos de prueba deben ser cuidadosamente seleccionados y protegidos y controlados. Control t o cdigo fuente del programa de acceso El acceso al cdigo fuente del programa se restringir. Securit y en los procesos de desarrollo y soporte Objetivo: Mantener la seguridad del software del sistema de aplicacin y la informacin. Cambiar los procedimientos de control La implementacin de los cambios ser controlado por el uso de control de cambio formal procedimientos. Revisin tcnica de las aplicaciones despus de los cambios del sistema operativo Cuando se cambian los sistemas operativos, las aplicaciones crticas de negocio deben ser revisados y probado para asegurar que no hay un impacto negativo en las operaciones de la organizacin o de seguridad. Restricciones en los cambios en los paquetes de software Las modificaciones a los paquetes de software se pondrn trabas, limitada a los cambios necesarios, y todos los cambios deben ser estrictamente controlados. Filtracin de informacin Se impedir Oportunidades para la fuga de informacin. desarrollo de software externalizado Outsourcing de desarrollo de software debe ser supervisado y controlado por la organizacin. Gestin de Vulnerabilidades Tcnica Objetivo: Reducir los riesgos derivados de la explotacin de la publicacin tcnica vulnerabilidades. Control de las vulnerabilidades tcnicas La informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas de informacin que se utilizan

se obtendr, la exposicin de la organizacin a tales vulnerabilidades evaluados y medidas adecuadas adoptadas para hacer frente al riesgo asociado.

Gestin de incidentes de seguridad eventos de seguridad informtica de Informacin y debilidades Objetivo: Garantizar los eventos de seguridad de la informacin y debilidades asociadas a los sistemas de informacin se comunican de una manera que permite acciones correctivas oportunas para deben adoptarse. eventos de seguridad informtica de Informacin Los eventos de seguridad de la informacin deben ser reportados a travs de canales de gestin adecuados lo ms rpidamente posible. debilidades de seguridad de Informacin Todos los empleados, ors contrato y terceros usuarios de los sistemas y servicios de informacin deber ser necesario para no E y reportar cualquier debilidad de seguridad que observen o sospechen en los sistemas o servicios. Gestin de incidentes de seguridad de la informacin y mejoras Objetivo: garantizar un enfoque coherente y eficaz se aplica a la gestin de incidentes de seguridad de la informacin. Responsabilidades y procedimientos Responsabilidades y procedimientos de manejo debern ser establecidos para asegurar una rpida, respuesta eficaz y ordenada para la seguridad de informacin incidente s. Aprendiendo de los incidentes de seguridad de la informacin No debe haber mecanismos para permitir l tipos, volmenes y costos de s incidentes de seguridad de la informacin para ser cuantificados y controlados. Reunin de pruebas Cuando una accin de seguimiento contra una persona u organizacin despus de una seguridad de la informacin incidente involucra la accin legal (civil o penal), se percibir la evidencia, conservado, y se present a cumplir con t l gobierna a prueba prevista en el correspondiente competente (s). gestin de continuidad del negocio

aspectos de seguridad de la informacin de gestin de la continuidad del negocio Objetivo: Para contrarrestar los iones de interrupcin de las actividades comerciales y la proteccin fundamental los procesos de negocio de t que los efectos de los fallos principales de los sistemas de informacin o los desastres y para garantizar t heredero reanudacin oportuna. Incluyendo seguridad de la informacin en el proceso de gestin de la continuidad del negocio Un proceso gestionado se desarrolla y mantiene la continuidad del negocio a lo largo de la organizacin que se ocupa de los requisitos de seguridad de la informacin necesaria o de la f la continuidad del negocio de la organizacin. Continuidad del negocio y evaluacin de riesgos Se identificaron eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad y el impacto de estas interrupciones y sus consecuencias para la informacin seguridad. Desarrollo e implementacin de planes de continuidad incluyendo seguridad de la informacin Los planes debern ser desarrollados e implementados para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de tiempo requeridas siguiendo interrupcin o falla de los procesos crticos de negocio. marco de planificacin de la continuidad del negocio Un solo marco de los planes de continuidad del negocio se mantendr para asegurar que todos los planes son consistentes, para abordar sistemticamente la seguridad informtica requisito s, e identificar prioridades fo pruebas y mantenimiento. Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio Los planes de continuidad debern ser probados y actualizados regularmente para asegurarse de que son de hasta la fecha y eficaz. Cumplimiento Cumplimiento de los requisitos legales Objetivo: evitar la violacin de cualquier ley, legal, obligaciones reglamentarias o contractuales, y de los requisitos de seguridad.

Identificacin de la legislacin aplicable Todos los requisitos pertinentes legales, reglamentarios y contractuales y la organizacin de acercarse a cumplir estos requisitos se definirn explcitamente documentados y actualizados, hasta la fecha para cada sistema de informacin y la organizacin de t l. Derechos de propiedad intelectual (DPI) Procedimientos apropiados se aplicarn para garantizar el cumplimiento legislativo, requisitos reglamentarios y contractuales sobre el uso de material para los que t aqu tal vez los derechos de propiedad intelectual y sobre la utilizacin de productos de software propietario.