seguridad DE LA información según la norma iso 27001Descripción completa
iso 27001 para tener claro las reglas de nuestro paisFull description
Full description
Estandar de Chile basado en la ISO 27001-2013Full description
normas iso 27001Descripción completa
Full description
ISO 27000Descripción completa
Full description
mapaDescripción completa
Full description
Deskripsi lengkap
243425118.xls.ms_office
ISO 27001:2013 5 Políticas de seguridad de la información 5.1 Dirección de la gestión de la seguridad de la información 5.1.1 Políticas de seguridad de la información 5.1.2 Revisión de las políticas de seguridad de la información 6 Organización de la seguridad de la información 6.1 Organización interna
5.1.1 Documento de política de seguridad de la información 5.1.2 Revisión de la política de seguridad de la información
6.1.3 Asignación de responsabilidades relativas a la seguridad de la información 8.1.1 Funciones y responsabilidades 10.1.3 Segregación de tareas 6.1.6 Contacto con las autoridades 6.1.7 Contacto con grupos de especial interés
6.1.1 Roles y responsabili r esponsabilidades dades relativas a la seguridad de la información 6.1.2 Separación de tareas 6.1.3 Contacto con las autoridades 6.1.4 Contacto con grupos de especial interés 6.1.5 Seguridad de la información en la gestión de proyectos 6.2 Dispositivos móviles y teletrabajo 6.2.1 Política de dispositivos móviles 6.2.2 Teletrabajo 7 Seguridad ligada a los recursos humanos 7.1 Antes del empleo 7.1.1 Investigación de antecedentes 7.1.2 Términos y condiciones de contratación 7.2 Durante el empleo 7.2.1 Responsabilidades de la Dirección 7.2.2 Concienciación, formación y capacitación en seguridad de la información 7.2.3 Proceso disciplinario 7.3 Cese del empleo y cambio de puesto de trabajo 7.3.1 Terminación o cambio de responsabilidades laborales 8 Gestión de activos 8.1 Responsabilidad sobre los activos 8.1.1 Inventario de activos 8.1.2 Propiedad de los activos 8.1.3 Uso aceptable de los activos 8.1.4 Devolución de activos 8.2 Clasificación de la información 8.2.1 Clasificación de la información 8.2.2 Etiquetado de la información 8.2.3 Manejo de activos 8.3 Manipulación de los soportes 8.3.1 Gestión de soportes extraíbles 8.3.2 Retirada de soportes 8.3.3 Transferencia de soportes físicos 9 Control de acceso 9.1 Requisitos de negocio para el control de acceso 9.1.1 Política de control de acceso 9.1.2 Acceso a redes y servicios en red 9.2 Gestión del acceso de usuario
9.2.1 Altas y bajas de usuarios 9.2.2 Gestión de derechos de acceso de los usuarios 9.2.3 Gestión de derechos de acceso especiales 9.2.4 Gestión de la información secreta de autenticación de usuarios 9.2.5 Revisión de derechos de acceso de usuario 9.2.6 Terminación o revisión de los privilegios de acceso 9.3 Responsabilidades de usuario 9.3.1 Uso de la información secreta de autenticación 9.4 Control de acceso al sistema y a las aplicaciones 9.4.1 Restricción del acceso a la información 9.4.2 Procedimientos seguros de inicio de sesión 9.4.3 Gestión de las contraseñas de usuario 9.4.4 Uso de los recursos del sistema con privilegios especiales 9.4.5 Control de acceso al código fuente de los programas 10 Criptografía 10.1 Controles criptográficos 10.1.1 Política de uso de los controles criptográficos 10.1.2 Gestión de claves 11 Seguridad física y del entorno 11.1 Áreas seguras 11.1.1 Perímetro de seguridad física 11.1.2 Controles físicos de entrada 11.1.3 Seguridad de oficinas, despachos e instalaciones 11.1.4 Protección contra las amenazas externas y de origen ambiental 11.1.5 Trabajo en áreas seguras 11.1.6 Áreas de carga y descarga 11.2 Equipos 11.2.1 Emplazamiento y protección de equipos 11.2.2 Instalaciones de suministro 11.2.3 Seguridad del cableado 11.2.4 Mantenimiento de los equipos 11.2.5 Retirada de materiales propiedad de la empresa 11.2.6 Seguridad de los equipos fuera de las instalaciones 11.2.7 Reutilización o retirada segura de equipos 11.2.8 Equipo de usuario desatendido 11.2.9 Política de puesto de trabajo despejado y pantalla limpia 12 Gestión de operaciones 12.1 Responsabilidades y procedimientos de operación 12.1.1 Documentación de los procedimientos de operación 12.1.2 Gestión de cambios 12.1.3 Gestión de capacidades 12.1.4 Separación de los entornos de desarrollo, prueba y operación 12.2 Protección contra el código malicioso
ISO 27001:2005
La seguridad de la información se gestionará en la dirección de proyectos, independientemente independientemente del tipo de proyecto. 11.7.1 Ordenadores portátiles y comunicaciones móviles 11.7.2 Teletrabajo
8.1.2 Investigación de antecedentes 8.1.3 Términos y condiciones de contratación 8.2.1 Responsabilidades de la Dirección 8.2.2 Concienciación, formación y capacitación en seguridad de la información 8.2.3 Proceso disciplinario 8.3.1 Responsabilidad del cese o cambio
7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso aceptable de los activos 8.3.2 Devolución de activos 7.2.1 Directrices de clasificación 7.2.2 Etiquetado y manipulado de la información 10.7.3 Procedimientos de manipulación de la información 10.7.1 Gestión de soportes extraíbles 10.7.2 Retirada de soportes 10.8.3 Soportes físicos en tránsito
11.1.1 Política de control de acceso 11.4.1 Política de uso de los servicios en red 11.2.1 Registro de usuario 11.5.2 Identificación y autenticación de usuario 11.2.1 Registro de usuario 11.2.2 Gestión de privilegios 11.2.3 Gestión de contraseñas de usuario 11.2.4 Revisión de derechos de acceso de usuario 8.3.3 Retirada de los derechos de acceso 11.3.1 Uso de contraseña 11.6.1 Restricción del acceso a la información 11.5.1 Procedimientos Procedimientos seguros de inicio de sesión 11.5.5 Desconexión automática de sesión 11.5.6 Limitación del tiempo de conexión 11.5.3 Sistema de gestión de contraseñas 11.5.4 Uso de los recursos del sistema 12.4.3 Control de acceso al código fuente de los programas
12.3.1 Política de uso de los controles criptográficos 12.3.2 Gestión de claves
9.1.1 Perímetro de seguridad física 9.1.2 Controles físicos de entrada 9.1.3 Seguridad de oficinas, despachos e instalaciones 9.1.4 Protección contra las amenazas externas y de origen ambiental 9.1.5 Trabajo en áreas seguras 9.1.6 Áreas de acceso público y de carga y descarga 9.2.1 Emplazamiento y protección de equipos 9.2.2 Instalaciones de suministro 9.2.3 Seguridad del cableado 9.2.4 Mantenimiento de los equipos 9.2.7 Retirada de materiales propiedad de la empresa 9.2.5 Seguridad de los equipos fuera de las instalaciones 9.2.6 Reutilización o retirada segura de equipos 11.3.2 Equipo de usuario desatendido 11.3.3 Política de puesto de trabajo despejado y pantalla limpia
10.1.1 Documentación de los procedimientos de operación 10.1.2 Gestión de cambios 10.3.1 Gestión de capacidades 10.1.4 Separación de los recursos de desarrollo, prueba y operación
Page 1 of 3
243425118.xls.ms_office
ISO 27001:2013
ISO 27001:2005
12.2.1 Controles contra el código malicioso
10.4.1 Controles contra el código malicioso 10.4.2 Controles contra el código descargado en el cliente
12.3 Copias de seguridad 12.3.1 Copias de seguridad de la información 12.4 Registro y monitorización
10.5.1 Copias de seguridad de la información 10.10.1 Registros de auditoría 10.10.2 Supervisión del uso del sistema 10.10.5 Registro de fallos 10.10.3 Protección de la información de los registros 10.10.3 Protección de la información de los registros 10.10.4 Registros de administración y operación 10.10.6 Sincronización del reloj
12.4.1 Registro de eventos 12.4.2 Protección de la información de los registros 12.4.3 Registros de administración y operación 12.4.4 Sincronización del reloj 12.5 Control del software en explotación 12.5.1 Instalación de software en sistemas operacionales 12.6 Gestión de las vulnerabilidades técnicas 12.6.1 Gestión de las vulnerabilidades técnicas 12.6.2 Restricciones a la instalación de software
12.4.1 Control del software en explotación 12.6.1 Control de las vulnerabilidades técnicas Las normas que rigen la instalación de software por los usuarios serán establecidas e implementadas.
12.7 Consideraciones sobre la auditoría de los sistemas de información 12.7.1 Controles de auditoría de los sistemas de información 13 Seguridad de las comunicaciones 13.1 Gestión de la seguridad de las redes 13.1.1 Controles de red 13.1.2 Seguridad de los servicios de red 13.1.3 Segregación de redes 13.2 Transferencia de información 13.2.1 Políticas y procedimientos de transferencia de información 13.2.2 Acuerdos de transferencia de información 13.2.3 Mensajería electrónica 13.2.4 Acuerdos de confidencialidad o no divulgación 14 Adquisición, desarrollo y mantenimiento de los sistemas 14.1 Requisitos de seguridad de l os sistemas de información 14.1.1 Análisis y especificación de los requisitos de seguridad de la información
15.3.1 Controles de auditoría de los sistemas de información
10.6.1 Controles de red 10.6.2 Seguridad de los servicios de red 11.4.5 Segregación de las redes 10.8.1 Políticas y procedimientos de intercambio de información 10.8.2 Acuerdos de intercambio 10.8.4 Mensajería electrónica 6.1.5 Acuerdos de confidencialidad
12.1.1 Análisis y especificación de los requisitos de seguridad 10.9.1 Comercio electrónico 10.9.3 Información públicamente disponible 10.9.2 Transacciones en línea
14.1.2 Aseguramiento de los servicios de aplicaciones en las redes públicas 14.1.3 Protección de las transacciones de servicios de aplicación 14.2 Seguridad en los procesos de desarrollo y soporte 14.2.1 Política de desarrollo seguro 14.2.2 Procedimientos de control de cambios en el sistema 14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en la plataforma 14.2.4 Restricciones a los cambios en los paquetes de software 14.2.5 Principios para la ingeniería de sistemas seguros 14.2.6 Entorno de desarrollo seguro 14.2.7 Externalización del desarrollo de software 14.2.8 Pruebas de seguridad del sistema 14.2.9 Pruebas de aceptación del sistema 14.3 Datos de prueba 14.3.1 Protección de los datos de prueba 15 Relaciones con proveedores 15.1 Seguridad de la información en las relaciones con proveedores 15.1.1 Política de seguridad de la información en l as relaciones con proveedores
Las reglas para el desarrollo de software y sistemas se establecerán y aplicarán. 12.5.1 Procedimientos de control de cambios 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 12.5.3 Restricciones a los cambios en los paquetes de software Los principios para sistemas de ingeniería seguros serán establecidos, documentados, mantenidos y aplicados al desarrollo de sistemas de información. Las organizaciones deberán establecer y proteger adecuadamente el entorno de desarrollo seguro para los esfuerzos de desarrollo e integración de sistemas que cubren todo el ciclo de vida de desarrollo del sistema. 12.5.5 Externalización del desarrollo de software Las pruebas de la funcionalidad de seguridad se llevarán a cabo durante el desarrollo. 10.3.2 Aceptación del sistema 12.4.2 Protección de los datos de prueba del sistema
Se deberán documentar los requisitos de seguridad de la información para la mitigación de los riesgos asociados al acceso de proveedores a los activos de la organización.
15.1.2 Tratamiento de la seguridad en contratos con proveedores 15.1.3 Cadena de suministro de tecnologías de l a información y comunicaciones
6.2.3 Tratamiento de la seguridad en contratos con terceros Los acuerdos con proveedores incluirán los requisitos para tratar los riesgos de seguridad de la información asociados a los servicios de información y tecnología de las comunicaciones y de la cadena de suministro de productos.
15.2 Gestión de los servicios prestados por terceros 15.2.1 Supervisión y revisión de los servicios prestados por terceros 15.2.2 Gestión del cambio en los servicios prestados por terceros 16 Gestión de incidentes de seguridad de la información 16.1 Gestión de incidentes de seguridad de la información y mejoras 16.1.1 Responsabilidades y procedimientos 16.1.2 Notificación de eventos de seguridad de la información 16.1.3 Notificación de puntos débiles de seguridad
16.1.4 Evaluación y decisión respecto de los eventos de seguridad de la información 16.1.5 Respuesta a incidentes de seguridad de la información
10.2.2 Supervisión y revisión de los servicios prestados por terceros 10.2.3 Gestión del cambio en los servicios prestados por terceros
13.2.1 Responsabilidades y procedimientos 13.1.1 Notificación de eventos de seguridad de la información 13.1.2 Notificación de puntos débiles de seguridad Los eventos de seguridad de la información se evaluarán y se decidirá si han de ser clasificados como incidentes de seguridad de la información. Los incidentes de seguridad de información deberán recibir una respuesta de conformidad con los procedimientos documentados.
16.1.6 Aprendizaje de los incidentes de seguridad de la información 16.1.7 Recopilación de evidencias 17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio 17.1 Continuidad de la seguridad de la información 17.1.1 Planificación de la continuidad de la seguridad de la información
13.2.2 Aprendizaje de los incidentes de seguridad de la información 13.2.3 Recopilación de evidencias
14.1.2 Continuidad del negocio y evaluación de riesgos 14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información 14.1.4 Marco de referencia para la planificación de la continuidad del negocio 14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
17.1.2 Implementación de la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información 17.2 Redundancia 17.2.1 Disponibilidad de los medios de procesamiento de información 18 Cumplimiento 18.1 Cumplimiento de los requisitos legales y contractuales 18.1.1 Identificación de la legislación aplicable y requisitos contractuales 18.1.2 Derechos de propiedad intelectual (IPR) 18.1.3 Protección de los documentos de la organización 18.1.4 Protección de datos y privacidad de la información de carácter personal 18.1.5 Regulación de los controles criptográficos
Las instalaciones de procesamiento de información se llevarán a cabo con la suficiente redundancia para satisfacer los requisitos de disponibilidad.
15.1.1 Identificación de legislación aplicable 15.1.2 Derechos de propiedad intelectual (IPR) 15.1.3 Protección de los documentos de la organización 15.1.4 Protección de datos y privacidad de la información de carácter personal 15.1.6 Regulación de los controles criptográficos
Page 2 of 3
243425118.xls.ms_office
ISO 27001:2013 18.2 Revisiones de seguridad de la información 18.2.1 Revisión independiente de la seguridad de la información 18.2.2 Cumplimiento de las políticas y normas de seguridad 18.2.3 Comprobación del cumplimiento técnico
ISO 27001:2005
6.1.8 Revisión independiente de la seguridad de la información 15.2.1 Cumplimiento de las políticas y normas de seguridad 15.2.2. Comprobación del cumplimiento técnico 6.1.1 Compromiso de la Dirección con la seguridad de la información 6.1.2 Coordinación de la seguridad de la información 6.1.4 Proceso de autorización de recursos para el tratamiento de la información 6.2.1 Identificación de los riesgos derivados del acceso de terceros 6.2.2 Tratamiento de la seguridad en la relación con los clientes 10.2.1 Provisión de servicios 10.7.4 Seguridad de la documentación del sistema 10.8.5 Sistemas de información empresariales 11.4.2 Autenticación de usuario para conexiones externas 11.4.3 Identificación de los equipos en las redes 11.4.4 Diagnóstico remoto y protección de los puertos de configuración 11.4.6 Control de la conexión a la red 11.4.7 Control de encaminamiento (routing) de red 11.6.2 Aislamiento de sistemas sensibles 12.2.1 Validación de los datos de entrada
12.2.2 Control del procesamiento interno 12.2.3 Integridad de los mensajes 12.2.4 Validación de los datos de salida 12.5.4 Fugas de información 15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información 15.3.2 Protección de las herramientas de auditoría de los sistemas de información
Page 3 of 3
Requisito de la ISO/IEC 27001. Requisito de la ISO/IEC 27001. Norma ISO/IEC 27003. Requisito de la ISO/IEC 27001 (6.1.1). Requisito de la ISO/IEC 27001. Parte del análisis y tratamiento de los riesgos. Requisito de la ISO/IEC 27001. Parte del análisis y tratamiento de los riesgos. Requisito de la ISO/IEC 27001 (8.1). Se ha eliminado debido a que la documentación del sistema es sólo otra forma de activo que requiere protección. Puede ser un activo más. Control 9.1.1. Control 13.1.3. Controles 9.1.1 y 13.1.3. Control 13.1.3. Control 13.1.3. En un mundo interconectado tal control contradice el o bjetivo. Sin embargo, todavía puede aplicar en ciertos casos. La validación de datos de entrada es sólo un pequeño aspecto de la protección de las interfaces web de los ataques, como la inyección SQL. Se toca parcialmente en el control 14.2.5, pero estas técnicas se encuentran fuera del ámbito de aplicación de la norma ISO/IEC 27002 (p.e. OWASP). La validación de datos de entrada es sólo un pequeño aspecto de la protección de las interfaces web de los ataques, como la inyección SQL. Se toca parcialmente en el control 14.2.5, pero estas técnicas se encuentran fuera del ámbito de aplicación de la norma ISO/IEC 27002 (p.e. OWASP). Duplicado con el control 13.2.1. La validación de datos de entrada es sólo un pequeño aspecto de la protección de las interfaces web de los ataques, como la inyección SQL. Se toca parcialmente en el control 14.2.5, pero estas técnicas se encuentran fuera del ámbito de aplicación de la norma ISO/IEC 27002 (p.e. OWASP). Controles 8.3.2, 11.2.1, 12.2.1, 12.6.2 y 13.2.4. Controles 9.4.2 y 18.2.1. Puede ser un activo más.