OBJETIVOS DE CONTROL Y CONTROLES EN LA ISO 2700

2 A.5 Polticas de seguridad de la informacin

Direccin de la gerencia para la seguridad de la
informacin

A.5.1

Objetivo: Proporciona direccin y apoyo de la gerencia para la seguridad de la informacin en concordancia con los
A.5.1.1

Polticas para la seguridad de Informacin

A.5.1.2 Revisin de las polticas para seguridad de la informacin

7 A.6 Organizacin de la seguridad de la informacin
A.6.1
Organizacn interna

Control
Control

Objetivo: establecer un marco de referencia de gestin para iniciar y controlar la implemmtacin y operacin de la
A.6.1.1

Roles y responsabilidades para la seguridad de la

informacin.

Control

A.6.1.2
A.6.1.3

Segregacin de funciones
Contacto con autoridades

Control
Control

A.6.1.4

Contacto con grupos especiales de interes.

Control

A.6.1.5

Seguridad de la informacin en la gestin de proyectos

Control
Dispositivos mviles y teletrabajo
Objetivo: Asegurar la seguridad del teletrabajo y el uso de los dispositivos mviles

A.6.2.1

Politica de dispositivos moviles

A.6.2

Control

A.6.2.2 Teletrabajo
Control
6 A.7 Seguridad de los Recursos Humanos
A.7.1
Antes de empleo
Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son convenientes para los
A.7.1.1

Seleccin

Control

A.7.1.2

Trminos y condiciones del empleo

Durante el empleo

Control

A.7.2

Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seg
A.7.2.1

Responsabilidades de la Gerencia

A.7.2.2

Conciencia, educacin y capacitacin sobre la seguridad de

la Informacin
Control

A.7.2.3
A.7.3

Control

Proceso disciplinario
Control
Terminacin y cambio de empleo
Objetivo: Proteger los intereses de la organizacin y definir como parte del proceso de cambio o terminacin del em

A.7.3.1 Terminacin o cambio de responsabilidades del empleo.

Control
10 A.8 Gestin de Activos
A.8.1
Responsabilidad por los activos
Objetivo: Identificar los activos de la organizacin y definir responsabilidades de proteccin apropiadas.

A.8.1.1
A.8.1.2

Inventario de Activos
Propiedad de los Activos

Control
Control

A.8.1.3

Uso Aceptable de los Activos

Control

A.8.1.4

Retorno de Activos
Control
Clasificacin de la Informacin
Objetivo: Asegurar que la informacin recibe un nivel apropiado de proteccin en concordancia con su importancia

A.8.2.1

Clasificacin de la Informacin

Control

A.8.2.2

Etiquetado de la Informacin

Control

A.8.2.3

Manejo de Activos
Manejo de los Medios

Control

A.8.2

A.8.3

Objetivo: Prevenir la divulgacin, modificacin, remocin o destruccin no autorizada de informacin almacenada e

A.8.3.1

Gestin de Medios Removibles

Control

A.8.3.2

Disposicin de Medios

Control

A.8.3.3 Transferencia de Medios Fsicos

Control
14 A.9 Control de Acceso
A.9.1
Requisitos de la empresa para el control de acceso
Objetivo: Limitar el acceso a la informacin y a las instalaciones de procesamiento de la informacin.
A.9.1.1

Poltica de Control de Accesos

A.9.1.2

Acceso a Redes y Servicios de Red

Control
Gestin de acceso de usuario
Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas y servicios.

A.9.2.1

Registro y baja de usuarios

Control

A.9.2.2
A.9.2.3

Aprovisionamiento de acceso a Usuario

Gestin de derechos de acceso privilegiado

Control
Control

A.9.2.4

Gestin de informacin de autentificacin secreta de

Usuarios

Control

A.9.2.5

Revisin de Derechos de Acceso de Usuarios

Control

A.9.2.6

Remocin o Ajuste de derechos de acceso.

Control
Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios respondan por la salvaguarda de su informacin de autentificacin.

A.9.3.1

Uso de informacin de autentificacin Secreta

Control
Control de acceso a sistema y aplicacin
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.1

Restriccin de acceso a la Informacin

Control

A.9.4.2

Procedimiento de Ingreso Seguro

Control

A.9.4.3

Sistema de Gestin de Contraseas

Control

A.9.4.4

Uso de Sistemas de Utilitarios privilegiados

Control

A.9.4.5

Control de acceso al cdigo fuente de los programas

Control

A.9.2

A.9.3

A.9.4

2 A.10 Criptografa
A.10.1

Control

Controles criptogrficos
Objetivo: Asegurar el uso apropiado y efectivo de la criptografa para proteger la confidencialidad, autenticidad y/o

A.10.1.1 Poltica sobre el uso de controles criptogrficos

Control

A.10.1.2 Gestin de Claves

Control

15 A.11 Seguridad Fsica y Ambiental

A.11.1
Areas Seguras
Objetivo: Impedir acceso fsico no autorizado, dao e interferencia a la informacin y a las instalaciones de procesa
A.11.1.1 Permetro de Seguridad Fsica

Control

A.11.1.2 Controles de Ingreso Fsico

Control

A.11.1.3 Asegurrar oficinas, reas e instalaciones

Control

A.11.1.4 Proteccin contra amenazas externas y ambientales

A.11.1.5 Trabajo en reas Seguras

Control
Control

A.11.1.6 Areas de Despacho y Carga

A.11.2
Equipos

Control

Objetivo: Prevenir la prdida, dao, robo o compromiso de activos e interrupcin de las operaciones de la organizac
A.11.2.1 Emplazamiento y Proteccin de los Equipos

Control

A.11.2.2 Servicios de Sumnistro

Control

A.11.2.3 Seguridad del Cableado

Control

A.11.2.4 Mantenimiento de Equipos

Control

A.11.2.5 Remocin de Activos

Control

A.11.2.6 eguridad de equipos y activos fuera de las instalaciones

Control

A.11.2.7 Disposicin o reutilizacin segura de equipos

A.11.2.8 Equipos de usuario desatendidos

Control
Control

A.11.2.9 Polticas de escritorio limpio y pantalla limpia.

Control

14 A.12 Seguridad de las Operaciones

A.12.1
Procedimientos y responsabilidades operativas
Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la informacin sean correctas y segur
A.12.1.1 Procedimientos operativos documentados

Control

A.12.1.2 Gestin del Cambio

Control

A.12.1.3 Gestin de la capacidad

Control

Separacin de los entornos de desarrollo, pruebas y

A.12.1.4 operaciones
Control
A.12.2
Proteccin contra codigos maliciosos
Objetivo: Asegurar que la informacin y las instalaciones de procesamiento de la informacin esten protegidas cont

A.12.2.1 Controles contra codigo maliciosos

A.12.3
Respaldo
Objetivo: Proteger contra prdida de datos.

Control

A.12.3.1 Respaldo de la informacin

A.12.4
Registros y monitoreo
Objetivo: Registrar eventos y generar evidencia

Control

A.12.4.1 Registro de eventos

Control

A.12.4.2 Proteccin de informacin de registros

Control

A.12.4.3 Registros del administrador y del operador

Control

A.12.4.4 Sincronizacin del reloj

Control
A.12.5
Control del Software Operacional
Objetivo: Asegurar la integridad de los sistemas operacionales.
A.12.5.1 Instalacin de software en sistemas operacionales
Control
A.12.6
Gestin de vulnerabilidad tcnica
Objetivo: Prevenir la explotacin de vulnerabilidad tcnica.

A.12.7

A.12.6.1 Gestin de vulnerabilidades tcnicas

Control

A.12.6.2 Restricciones sobre la instalacin de software

Control

Consideraciones para la auditoria de los sistemas de informacin

Objetivo: Minimizar el impacto de las actividades de auditora en los sistemas operacionales.

A.12.7.1 Controles de auditora de sistemas de informacin

7 A.13 Seguridad de las Comunicaciones

Control

A.13.1

Gestin de la seguridad de la red

Objetivo: Asegurar la proteccin de la informacin en las redes y sus instalaciones de procesamiento de la informac
A.13.1.1 Controles de la red

Control

A.13.1.2 Seguridad de serviciosn de red

Control

A.13.1.3 Segregacin en redes

Control
A.13.2
Transferencia de informacin
Objetivo: Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier entidad e
Polticas y procedimientos de transferencia de la
A.13.2.1 informacin

Control

A.13.2.2 Acuerdo sobre transferncia de informacin

A.13.2.3 Mensajes electrnicos

Control
Control

A.13.2.4 Acuerdos de confidencialidad o no divulgacin

Control
13 A.14 Adquisicin, desarrollo y mantenimiento de Sistemas
A.14.1
Requisitos de seguridad de los sistemas de informacin
Objetivo: Garantizar que la seguridad de la informacin es una parte integral de los sistemas de informacin a trav
requisitos para sistemas de informacin que proporcionen servicios sobre redes pblicas.
Anlisis y especificacin de requisitos de seguridad de la
A.14.1.1 informacin

Control

Aseguramiento de servicios de aplicaciones sobre redes

A.14.1.2 pblicas

Control

A.14.1.3 Proteccin de transacciones en servicios de aplicacin.

Control
A.14.2
Seguridad en los procesos de desarrollo y soporte
Objetivo: Garantizar que la seguridad de la informacin est diseada e implementada dentro del ciclo de vida de d
A.14.2.1 Poltica de desarrollo seguro

Control

A.14.2.2 Procedimientos de control de cambio del sistema

Control

Revisin tcnica de aplicaciones despus de cambios a la

A.14.2.3 plataforma operativa.

Control

A.14.2.4 Restricciones sobre cambios a los paquetes de software.

A.14.2.5 Principios de ingenieria de sistemas seguros

Control

A.14.2.6 Ambiente de desarrollo seguro

Control

A.14.2.7 Desarrollo contratado externamente

A.14.2.8 Pruebas de seguridad del sistema

Control
Control

A.14.2.9 Pruebas de aceptacin del sistema

Control
A.14.3
Datos de prueba
Objetivo: Asegurar la proteccin de los datos utilizados para las pruebas.
A.14.3.1 Proteccin de Datos de Prueba
Control
5 A.15 Relaciones con los Proveedores
A.15.1
Seguridad de la informacin en las relaciones con los proveedores
Objetivo: Asegurar proteccin a los activos de la organizacin que son accesibles por los proveedores.
Poltica de seguridad de la informacin para las relaciones
A.15.1.1 con los proveedores

Control

Abordar la seguridad dentro de los acuerdos con

A.15.1.2 proveedores

Control

Cadena de suministro de tecnologa de informacin y

A.15.1.3 comunicacin

Control

A.15.2

Gestin de entrega de servicios del proveedor

Objetivo: Mantener un nivel de seguridad de informacin y entrega de servicios acordado en lnea con los acuerdos
A.15.2.1 Monitoreo y revisin de servicios de los proveedores

Control

A.15.2.2 Gestin de cambios a los servicios de proveedores

Control
7 A.16 Gestin de Incidentes de Seguridad de la Informacin
A.16.1
Gestin
de
Incidentes
de Seguridad
de ylaefectivo
Informacin
y mejoras
Objetivo:
Asegurar
un enfoque
consistente
a la gestin
de incidentes de seguridad de la informacin, inc
debilidades.
A.16.1.1 Responsabilidades y procedimientos

Control

A.16.1.2 Reporte de eventos de seguridad de la informacin

Control

A.16.1.3 Reporte de debilidades de seguridad de la informacin

Control

Evaluacin y decisin sobre eventos de seguridad de la

A.16.1.4 informacin

Control

A.16.1.5 Respuesta a incidentes de seguridad de la informacin

Control

Aprendizaje de los incidentes de seguridad de la

A.16.1.6 informacin

Control

A.16.1.7 Recoleccin de evidencia

Control

4 A.17 Aspectos de seguridad de la Informacin en la gestin de Continuidad del Negocio

A.17.1
Continuidad de seguridad de la Informacin
Objetivo: La continuidad de seguridad de la informacin debe estar embebida en los sistemas gestin de continuid

A.17.1.1 Planificacin de continuidad de seguridad de la informacin Control

Implementacin de continuidad de seguridad de la
A.17.1.2 informacin

Control

Verificacin, revisin y evaluacin de continuidad de

A.17.1.3 seguridad de la informacin
Control
A.17.2
Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones y procesamiento de la informacin.
A.17.2.1 Instalaciones de procesamiento de la informacin
8 A.18 Cumplimiento
A.18.1

A.18.2

Control

Cumplimiento con requisitos legales y contractuales

Objetivo:Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la
seguridad.

Identificacin de requisitos contractuales y de legislacin

A.18.1.1 aplicables.

Control

A.18.1.2 Derechos de propiedad intelectual

Control

A.18.1.3 Proteccin de Registros

Control

A.18.1.4 Privacidad y proteccin de datos personales

Control

A.18.1.5 Regulacin de controles criptogrficos

Control

Revisiones de seguridad de la informacin

Objetivo:Asegurar que la seguridad de la informacin est implementada y es operada de acuerdo con las poltica

A.18.2.1 Revisin independiente de la seguridad de la informacin.

Control

114

A.18.2.2 Cumplimiento de polticas y normas de seguridad

Control

A.18.2.3 Revisin del cumplimiento tcnico

Control

ONTROLES EN LA ISO 27001-27002

guridad de la informacin en concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.
Un conjunto de politicas para la seguridad de la informacin debe ser definida aprobado por la gerencia,
publicado y comunicado a los empleado y a las partes externas relevantes.
Las polticas para la seguridad de la informacin deben ser revisadas a intervalos planificados o si ocurren
cambios significativos para asegurar su conveniencia, adecuacn y efectividad continua.

r y controlar la implemmtacin y operacin de la seguridad de la informacin dentro de la organizacin.

Todas las responsabilidades de seguridad de la informacin deben ser definidas y asignadas.
Las funciones y reas de responsabilidad en conflicto deben ser segregadas para reducir las oportunidades de modificacin no autorizada o no
intencional o mal uso de los activos de la organizacin.
Contactos apropiados con autoridades relevantes deben ser mantenidos.
Contactos apropiados con grupos especiales de inters u otros foros de especialistas en seguridad y asociaciones profesionales deben ser.

La seguridad de la informacin debe ser tratada en la gestin de proyectos, sin importar el tipo de proyecto.

positivos mviles
Una poltica y medidas de seguridad de soporte deben ser adoptadas para gestionar los riesgos introducidos por el uso de dispositivos mviles.
Una poltica y medidas de seguridad de apoyo deben
en sitios de teletrabajo.

ser

implementadas

para proteger informacin a la que se accede, se procesa o almacena

s responsabilidades y son convenientes para los roles para los que se les considera.
Las verificaciones de los antecedentes de todos los candidatos a ser empleados deben ser llevadas a cabo en concordancia con las leyes,
regulaciones y tica relevantes, y debe ser proporcional a los requisitos del negocio, la clasificacin de la informacin a la que se tendr acceso
y los riesgos percibidos.
Los acuerdos contractuales con los empleados y contratistas deben estipular responsabilidades de stos y de la organizacin respecto de la
seguridad de la informacin.

ntes y cumplan con sus responsabilidades de seguridad de la informacin.

La gerencia debe requerir a todos los empleados y contratistas
procedimientos establecidos por la organizacin.

aplicar la seguridad

de la informacin en concordancia con las polticas y

Todos los empleados de la organizacin y, cuando fuera relevante, los contratistas deben recibir educacin y capacitacin sobre la
conciencia de la seguridad de la informacin, as como actualizaciones regulares sobre polticas y procedimientos de la organizacin, segn sea
relevante para la funcin del trabajo que cumplen.
Debe haber un proceso disciplinario formal y comunicado para tomar accin contra empleados que hayan cometido una infraccin a la seguridad de
la informacin.

parte del proceso de cambio o terminacin del empleo.

Las responsabilidades y deberes de seguridad de la informacin que siguen siendo vlidos luego de la
terminacin o cambio de empleo deben ser definidos, comunicados al empleado o contratista y forzar su
cumplimiento.

sabilidades de proteccin apropiadas.

Informacin, Otros activos asociados con informacin e instalaciones de procesamiento de
informacin deben ser identificados y un inventario de estos activos debe ser elaborado y mantenido.
Los activos mantenidos en el inventario deben ser propios.
Las reglas para el uso aceptable de la informacin y activos
procesamiento de la informacin deben ser identificadas.

asociados

con

la informacin

y con

las

instalaciones

de

Todos los empleados y usuarios de partes externas deben retornar todos los activos de la organizacin en su posesin a la conclusin de su
empleo, contrato o acuerdo.

e proteccin en concordancia con su importancia para la organizacin.

La informacin debe ser clasificada en trminos de los requisitos legales, valor, criticidad y
sensibilidad respecto a una divulgacin o modificacin no autorizada.
Un conjunto apropiado de procedimientos para el etiquetado de la informacin debe ser
desarrollado e implementado en concordancia con el esquema de clasificacin de la
informacin adoptado
Los procedimientos para el manejo de activos deben ser desarrollados e implementados en concordancia
con el esquema de clasificacin de la informacin adoptado por la organizacin.

ccin no autorizada de informacin almacenada en medios.

Se debe implementar procedimientos para la gestin de medios removibles en concordancia con el
esquema de clasificacin adoptado por la organizacin.
Se debe poner a disposicin los medios de manera segura cuando ya no se requieran, utilizando
procedimientos formales.
Los medios que contienen informacin deben ser protegidos contra el acceso no autorizado, el mal uso o la
corrupcin durante el transporte.

e procesamiento de la informacin.
Una poltica de control de acceso debe ser establecida, documentada y revisada basada en requisitos del
negocio y de seguridad de la informacin.
Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido
especficamente autorizados a usar.
acceso no autorizado a los sistemas y servicios.
Un proceso formal de registro y baja de usuarios debe
asignacin de derechos de acceso.

ser

implementado

para

permitir

la

Un proceso formal de aprovisionamiento de acceso a usuarios debe ser implementado para asignar o
revocar los derechos de acceso para todos los tipos de usuarios a todos los sistemas y servicios.
La asignacin y uso de derechos de acceso privilegiado debe ser restringida y controlada.
La asignacin de informacin de autentificacin secreta debe ser controlada a travs de un proceso
de gestin formal.
Los propietarios de los activos deben revisar los derechos de acceso de usuario a intervalos regulares.
Los derechos de acceso a informacin e instalaciones de procesamientos de informacin de todos los
empleados y de los usuarios de partes externas deben removerse al trmino de su empleo, contrato o
acuerdo, o ajustarse segn el cambio.
su informacin de autentificacin.
Los usuarios deben ser exigidos a que sigan las prcticas de la organizacin en el uso de informacin de
autentificacin secreta.

iones.
El acceso a la informacin y a las funciones del sistema de aplicacin debe ser restringido en concordancia
con la poltica de control de acceso.
Donde la poltica de control de acceso lo requiera,
el acceso a los sistemas y a las aplicaciones
debe ser controlado por un procedimiento de ingreso seguro.
Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar contraseas de calidad.
El uso de programas utilitarios que podran ser capaces de pasar por alto los controles del sistema y de
las aplicaciones debe ser restringido y controlarse estrictamente.
El acceso al cdigo fuente de los programas debe ser restringido.

ara proteger la confidencialidad, autenticidad y/o integridad de la informacin.

Una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin debe ser
desarrollada e implementada.
Una poltica sobre el uso, proteccin y tiempo de vida de las claves criptogrficas debe ser desarrollada e
implementada a travs de todo su ciclo de vida.

a a la informacin y a las instalaciones de procesamiento de la informacin de la organizacin.

Permetros de seguridad deben ser definidos y utilizados para proteger reas que contienen informacin
sensible o crtica e instalaciones de procesamiento de la informacin.
Las reas seguras deben ser protegidas por medio de controles apropiados de ingreso para asegurar que se
le permite el acceso slo al personal autorizado.
Seguridad

fsica

para

oficinas,

reas

e instalaciones debe ser diseada e implementada.

Proteccin fsica contra desastres naturales, ataque malicioso o accidentes debe ser diseada y aplicada.
Procedimientos para el trabajo en reas seguras debe ser diseado y aplicado.

Los puntos de acceso, como las reas de despacho, carga y otros puntos en donde personas
no autorizadas pueden ingresar al local deben ser controlados, y si fuera posible, aislarlos de las
instalaciones de procesamiento de la informacin para evitar el acceso no autorizado.

e interrupcin de las operaciones de la organizacin.

Los equipos deben ser ubicados y protegidos para reducir los riesgos de amenazas y peligros ambientales,
as como las oportunidades para el acceso no autorizado.
Los equipos deben ser protegidos contra fallas de electricidad y otras alteraciones causadas por fallas en los
servicios de suministro.
El cableado de energa y telecomunicaciones que llevan datos o servicios de informacin de soporte
debe ser protegido de la interceptacin, interferencia o dao.
Los equipos deben mantenerse de manera correcta para asegurar su continua disponibilidad e
integridad.
Los equipos, la informacin o el software no deben ser retirados de su lugar sin autorizacin previa.
La seguridad debe ser aplicada a los activos que estn fuera de su lugar tomando en cuenta los distintos
riesgos de trabajar fuera de las instalaciones de la organizacin.
Todos los elementos del equipo que contengan medios de almacenamiento deben ser verificados para
asegurar que cualquier dato sensible y software con licencia se haya eliminado o se haya sobre
escrito de manera segura antes de su disposicin o reutilizacin.
Los usuarios deben asegurarse de que el equipo desatendido tenga la proteccin apropiada.
Una poltica de escritorio limpio de papeles y de medios de almacenamiento removibles, as como una
poltica de pantalla limpia para las instalaciones de procesamientos de la informacin debe ser
adoptada.

samiento de la informacin sean correctas y seguras.

Los procedimientos operativos deben ser documentados y puestos a disposicin de todos los usuarios que
los necesitan.
Los cambios en la organizacin, procesos de negocio, instalaciones de procesamiento de la informacin y sistemas que afecten la
seguridad de la informacin deben ser controlados.
El uso de recursos debe ser monitoreado, afinado y se debe hacer proyecciones de los futuros requisitos de
capacidad para asegurar el desempeo requerido del sistema.
Los entornos de desarrollo, pruebas y operaciones deben ser separados para reducir los riesgos de
acceso no autorizado o cambios al entorno operativo.

samiento de la informacin esten protegidas contra cdigos maliciosos.

Controles de deteccin, prevencin y recuperacin para proteger contra cdigos maliciosos deben ser
implementados, en combinacin con una concientizacin apropiada de los usuarios.

Copias de respaldo de la informacin, del software y de las imgenes del sistema deben ser tomadas y
probadas regularmente en concordancia con una poltica de respaldo acordada.

Registros (logs) de eventos de actividades de usuarios, excepciones, fallas y eventos de seguridad de la

informacin deben ser producidos, mantenidos y regularmente revisados.
Las instalaciones para registros (logs) y la informacin de los registros (logs) deben ser protegidas
contra la adulteracin y el acceso no autorizado.
Las actividades del administrador del sistema y del operador del sistema deben ser registradas y los
registros (logs) deben ser protegidos y revisados regularmente.
Los relojes de todos los sistemas de procesamiento de la informacin relevantes dentro de una
organizacin o dominio de seguridad deben estar sincronizados a una fuente de tiempo de referencia nica.

Procedimientos deben ser implementados s para controlar la instalacin de software en sistemas

operacionales.

Informacin sobre vulnerabilidades tcnicas de los sistemas de informacin utilizados debe ser obtenida de
manera oportuna, la exposicin de la organizacin a dichas vulnerabilidades debe ser evaluada y las
medidas apropiadas deben ser tomadas para resolver el riesgo asociado.
Reglas que gobiernen la instalacin de software por parte de los usuarios deben ser establecidas e
implementadas.

acin
os sistemas operacionales.
Requisitos de las auditoras y las actividades que involucran la verificacin de sistemas operacionales deben
ser cuidadosamente planificados y acordados para minimizar la interrupcin a los procesos del negocio.

sus instalaciones de procesamiento de la informacin de apoyo.

Las redes deben ser gestionadas y controladas para proteger la informacin en los sistemas y las
aplicaciones.
Mecanismos de seguridad, niveles de servicio y requisitos de gestin de todos los servicios de red deben ser
identificados e incluidos en acuerdos de servicios de red, ya sea que estos servicios se provean
internamente o sean tercerizados.
Grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en redes.

tro de una organizacin y con cualquier entidad externa.

Polticas,
procedimientos
y
controles
de transferencia formales deben aplicarse para
proteger la transferencia de informacin a travs del uso de todo tipo de instalaciones de comunicacin.
Los acuerdos deben dirigir la transferencia segura de informacin del negocio entre la organizacin y partes
externas.
La informacin involucrada en mensajera electrnica debe ser protegida apropiadamente.
Requisitos para los acuerdos de confidencialidad o no divulgacin que reflejan las necesidades de la
organizacin para la proteccin de la informacin deben ser identificados, revisados regularmente y
documentados.

rte integral de los sistemas de informacin a travs del ciclo de vida completo. Esto tambin incluye los
sobre redes pblicas.
Requisitos relacionados a la seguridad de la informacin deben ser incluidos dentro de los requisitos
para nuevos sistemas de informacin o mejoras a los sistemas de informacin existentes.
La informacin involucrada en servicios de aplicaciones que pasa sobre redes pblicas debe ser protegida de
actividad fraudulenta, disputa de contratos o divulgacin no autorizada modificacin.
La informacin involucrada en las transacciones de servicios de aplicacin debe ser protegida para prevenir
transmisin incompleta, ruteo incorrecto, alteracin no autorizada de mensajes, divulgacin no autorizada,
duplicacin o respuesta no autorizada de mensajes.

ada e implementada dentro del ciclo de vida de desarrollo de los sistemas de informacin.
Reglas para el desarrollo de software y sistemas deben ser establecidas y aplicadas a desarrollos dentro de
la organizacin.
Cambios a los sistemas dentro del ciclo de vida del desarrollo deben ser controlados por medio del uso de
procedimientos formales de control de cambios.
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el negocio deben ser revisadas
y probadas para asegurar que no haya impacto adverso en las operaciones o en la seguridad de la
organizacin.
Modificaciones a los paquetes de software deben ser disuadidas, limitadas a los cambios necesarios y todos
los cambios deben ser estrictamente controlados.
Principios para la ingeniera de sistemas seguros deben ser establecidos, documentados, mantenidos y
aplicados a cualquier esfuerzo de implementacin de sistemas de informacin.
Las organizaciones deben establecer y proteger apropiadamente los ambientes de desarrollo seguros para
los esfuerzos de desarrollo integracin de sistemas que cubren todo el ciclo de vida del desarrollo del
sistema.
La organizacin debe supervisar y monitorear la actividad de desarrollo de sistemas contratado
externamente.
Pruebas de funcionalidad de la seguridad deben ser llevadas a cabo durante el desarrollo.
Programas de pruebas de aceptacin y criterios relacionados deben ser establecidos para nuevos sistemas
de informacin, actualizaciones y nuevas versiones.

uebas.
Los datos de prueba deben ser seleccionados cuidadosamente, protegidos y controlados.

edores
son accesibles por los proveedores.
Requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso por parte del
proveedor a los activos de la organizacin deben ser acordados con el proveedor y documentados.
Todos los requisitos relevantes de seguridad de la informacin deben ser establecidos y acordados con cada
proveedor que pueda acceder, procesar, almacenar, comunicar, o proveer componentes de infraestructura
de TI para la informacin de la organizacin.
Los acuerdos con proveedores deben incluir requisitos para abordar los riesgos de seguridad de la
informacin asociados con los servicios de tecnologa de la informacin y comunicaciones y la cadena de
suministro de productos.

a de servicios acordado en lnea con los acuerdos con proveedores.

Las organizaciones deben monitorear, revisar y auditar regularmente la entrega de servicios por parte de los
proveedores.
Los cambios a la provisin de servicios por parte de proveedores, incluyendo el mantenimiento y
mejoramiento de polticas, procedimientos y controles existentes de seguridad de la
informacin deben ser gestionados tomando en cuenta la criticidad de la informacin del negocio, sistemas
y procesos
involucrados y una reevaluacin de riesgos.

joras
de incidentes de seguridad de la informacin, incluyendo la comunicacin sobre eventos de seguridad y
Las responsabilidades de gestin y los procedimientos deben ser establecidos para asegurar una respuesta
rpida, efectiva y ordenada a los incidentes de seguridad de la informacin.
Los eventos de seguridad de la informacin deben ser reportados a travs de canales de gestin
apropiados tan rpido como sea posible.
Empleados y contratistas que usan los sistemas y servicios de informacin de la organizacin deben ser
exigidos a advertir y reportar cualquier debilidad observada o de la que se sospecha en cuanto a
seguridad de la informacin en los sistemas o servicios.
Los eventos de seguridad de la informacin deben ser evaluados y debe decidirse si son clasificados como
incidentes de seguridad de la informacin.
Los incidentes de seguridad de la informacin deben ser respondidos
procedimientos documentados.

de acuerdo con los

El conocimiento adquirido a partir de analizar y resolver los incidentes de seguridad de la

informacin debe ser utilizado para reducir la probabilidad o el impacto de incidentes futuros.
La organizacin debe definir y aplicar procedimientos para la identificacin, recoleccin, adquisicin y
preservacin de informacin que pueda servir como evidencia.

gocio

ar embebida en los sistemas gestin de continuidad del negocio de la organizacin.

La organizacin debe determinar sus requisitos de seguridad de la informacin y continuidad de la gestin
de seguridad de la informacin en situaciones adversas, por ejemplo durante una crisis o desastre.
La organizacin debe establecer, documentar, implementar y mantener procesos, procedimientos y
controles para asegurar el nivel requerido de continuidad de seguridad de la informacin durante una
situacin adversa
La organizacin debe verificar los controles de continuidad de seguridad de la informacin que han
establecido e implementado a intervalos regulares para asegurarse que son vlidos y efectivos durante
situaciones adversas.

miento de la informacin.
Las instalaciones de procesamiento de la informacin deben ser implementadas con
redundancia suficiente para cumplir con los requisitos de disponibilidad.

as, regulatorias o contractuales relacionadas a la seguridad de la informacin y a cualquier requisito de

Todos los requisitos legislativos, estatutarios, regulatorios y contractuales relevantes as como el enfoque de
la organizacin para cumplir con estos requisitos deben ser explcitamente identificados, documentados y
mantenidos al da para cada sistema de informacin y para la organizacin
Procedimientos apropiados deben ser implementados para asegurar el cumplimiento de requisitos
legislativos, regulatorios y contractuales.
Relacionados a los derechos de propiedad intelectual y uso de productos de software propietario.
Los registros deben ser protegidos de cualquier prdida, destruccin, falsificacin, acceso no autorizado y
divulgacin no autorizada, de acuerdo con los requisitos legislativos, regulatorios, contractuales y del
negocio.
La privacidad y la proteccin de datos personales deben ser aseguradas tal como se requiere en la
legislacin y regulacin relevantes donde sea aplicable.
Controles criptogrficos deben ser utilizados en cumplimiento con todos los acuerdos, legislacin y
regulacin relevantes.

mentada y es operada de acuerdo con las polticas y procedimientos organizativos.

El enfoque de la organizacin para manejar la seguridad de la informacin y su implementacin (por
ejemplo objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la
informacin) debe ser revisado independientemente a intervalos planeados o cuando ocurran cambios
significativos.

Los gerentes deben revisar regularmente el cumplimiento del procesamiento de la informacin y de

los procedimientos dentro de su rea de responsabilidad con las polticas, normas y otros requisitos de
seguridad apropiados.
Los sistemas de informacin deben nser evisados regularmente respecto al cumplimiento de las polticas y
normas de seguridad de la informacin de la organizacin.