Sheet1Nuevos controlesISO 27001:2013ISO 27001:20055 Polticas de seguridad de la informacin5.1 Direccin de la gestin de la seguridad de la informacin5.1.1 Polticas de seguridad de la informacin5.1.1 Documento de poltica de seguridad de la informacin5.1.2 Revisin de las polticas de seguridad de la informacin5.1.2 Revisin de la poltica de seguridad de la informacin6 Organizacin de la seguridad de la informacin6.1 Organizacin interna6.1.1 Roles y responsabilidades relativas a la seguridad de la informacin6.1.3 Asignacin de responsabilidades relativas a la seguridad de la informacin8.1.1 Funciones y responsabilidades6.1.2 Separacin de tareas10.1.3 Segregacin de tareas6.1.3 Contacto con las autoridades6.1.6 Contacto con las autoridades6.1.4 Contacto con grupos de especial inters6.1.7 Contacto con grupos de especial inters6.1.5 Seguridad de la informacin en la gestin de proyectosLa seguridad de la informacin se gestionar en la direccin de proyectos, independientemente del tipo de proyecto.6.2 Dispositivos mviles y teletrabajo6.2.1 Poltica de dispositivos mviles11.7.1 Ordenadores porttiles y comunicaciones mviles6.2.2 Teletrabajo11.7.2 Teletrabajo7 Seguridad ligada a los recursos humanos7.1 Antes del empleo7.1.1 Investigacin de antecedentes8.1.2 Investigacin de antecedentes7.1.2 Trminos y condiciones de contratacin8.1.3 Trminos y condiciones de contratacin7.2 Durante el empleo7.2.1 Responsabilidades de la Direccin8.2.1 Responsabilidades de la Direccin7.2.2 Concienciacin, formacin y capacitacin en seguridad de la informacin8.2.2 Concienciacin, formacin y capacitacin en seguridad de la informacin7.2.3 Proceso disciplinario8.2.3 Proceso disciplinario7.3 Cese del empleo y cambio de puesto de trabajo7.3.1 Terminacin o cambio de responsabilidades laborales8.3.1 Responsabilidad del cese o cambio8 Gestin de activos8.1 Responsabilidad sobre los activos8.1.1 Inventario de activos7.1.1 Inventario de activos8.1.2 Propiedad de los activos7.1.2 Propiedad de los activos8.1.3 Uso aceptable de los activos7.1.3 Uso aceptable de los activos8.1.4 Devolucin de activos8.3.2 Devolucin de activos8.2 Clasificacin de la informacin8.2.1 Clasificacin de la informacin7.2.1 Directrices de clasificacin8.2.2 Etiquetado de la informacin7.2.2 Etiquetado y manipulado de la informacin8.2.3 Manejo de activos10.7.3 Procedimientos de manipulacin de la informacin8.3 Manipulacin de los soportes8.3.1 Gestin de soportes extrables10.7.1 Gestin de soportes extrables8.3.2 Retirada de soportes10.7.2 Retirada de soportes8.3.3 Transferencia de soportes fsicos10.8.3 Soportes fsicos en trnsito9 Control de acceso9.1 Requisitos de negocio para el control de acceso9.1.1 Poltica de control de acceso11.1.1 Poltica de control de acceso9.1.2 Acceso a redes y servicios en red11.4.1 Poltica de uso de los servicios en red9.2 Gestin del acceso de usuario9.2.1 Altas y bajas de usuarios11.2.1 Registro de usuario11.5.2 Identificacin y autenticacin de usuario9.2.2 Gestin de derechos de acceso de los usuarios11.2.1 Registro de usuario9.2.3 Gestin de derechos de acceso especiales11.2.2 Gestin de privilegios9.2.4 Gestin de la informacin secreta de autenticacin de usuarios11.2.3 Gestin de contraseas de usuario9.2.5 Revisin de derechos de acceso de usuario11.2.4 Revisin de derechos de acceso de usuario9.2.6 Terminacin o revisin de los privilegios de acceso8.3.3 Retirada de los derechos de acceso9.3 Responsabilidades de usuario9.3.1 Uso de la informacin secreta de autenticacin11.3.1 Uso de contrasea9.4 Control de acceso al sistema y a las aplicaciones9.4.1 Restriccin del acceso a la informacin11.6.1 Restriccin del acceso a la informacin9.4.2 Procedimientos seguros de inicio de sesin11.5.1 Procedimientos seguros de inicio de sesin11.5.5 Desconexin automtica de sesin11.5.6 Limitacin del tiempo de conexin9.4.3 Gestin de las contraseas de usuario11.5.3 Sistema de gestin de contraseas9.4.4 Uso de los recursos del sistema con privilegios especiales11.5.4 Uso de los recursos del sistema9.4.5 Control de acceso al cdigo fuente de los programas12.4.3 Control de acceso al cdigo fuente de los programas10 Criptografa10.1 Controles criptogrficos10.1.1 Poltica de uso de los controles criptogrficos12.3.1 Poltica de uso de los controles criptogrficos10.1.2 Gestin de claves12.3.2 Gestin de claves11 Seguridad fsica y del entorno11.1 reas seguras11.1.1 Permetro de seguridad fsica9.1.1 Permetro de seguridad fsica11.1.2 Controles fsicos de entrada9.1.2 Controles fsicos de entrada11.1.3 Seguridad de oficinas, despachos e instalaciones9.1.3 Seguridad de oficinas, despachos e instalaciones11.1.4 Proteccin contra las amenazas externas y de origen ambiental9.1.4 Proteccin contra las amenazas externas y de origen ambiental11.1.5 Trabajo en reas seguras9.1.5 Trabajo en reas seguras11.1.6 reas de carga y descarga9.1.6 reas de acceso pblico y de carga y descarga11.2 Equipos11.2.1 Emplazamiento y proteccin de equipos9.2.1 Emplazamiento y proteccin de equipos11.2.2 Instalaciones de suministro9.2.2 Instalaciones de suministro11.2.3 Seguridad del cableado9.2.3 Seguridad del cableado11.2.4 Mantenimiento de los equipos9.2.4 Mantenimiento de los equipos11.2.5 Retirada de materiales propiedad de la empresa9.2.7 Retirada de materiales propiedad de la empresa11.2.6 Seguridad de los equipos fuera de las instalaciones9.2.5 Seguridad de los equipos fuera de las instalaciones11.2.7 Reutilizacin o retirada segura de equipos9.2.6 Reutilizacin o retirada segura de equipos11.2.8 Equipo de usuario desatendido11.3.2 Equipo de usuario desatendido11.2.9 Poltica de puesto de trabajo despejado y pantalla limpia11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia12 Gestin de operaciones12.1 Responsabilidades y procedimientos de operacin12.1.1 Documentacin de los procedimientos de operacin10.1.1 Documentacin de los procedimientos de operacin12.1.2 Gestin de cambios10.1.2 Gestin de cambios12.1.3 Gestin de capacidades10.3.1 Gestin de capacidades12.1.4 Separacin de los entornos de desarrollo, prueba y operacin10.1.4 Separacin de los recursos de desarrollo, prueba y operacin12.2 Proteccin contra el cdigo malicioso12.2.1 Controles contra el cdigo malicioso10.4.1 Controles contra el cdigo malicioso10.4.2 Controles contra el cdigo descargado en el cliente12.3 Copias de seguridad12.3.1 Copias de seguridad de la informacin10.5.1 Copias de seguridad de la informacin12.4 Registro y monitorizacin12.4.1 Registro de eventos10.10.1 Registros de auditora10.10.2 Supervisin del uso del sistema10.10.5 Registro de fallos12.4.2 Proteccin de la informacin de los registros10.10.3 Proteccin de la informacin de los registros12.4.3 Registros de administracin y operacin10.10.3 Proteccin de la informacin de los registros10.10.4 Registros de administracin y operacin12.4.4 Sincronizacin del reloj10.10.6 Sincronizacin del reloj12.5 Control del software en explotacin12.5.1 Instalacin de software en sistemas operacionales12.4.1 Control del software en explotacin12.6 Gestin de las vulnerabilidades tcnicas12.6.1 Gestin de las vulnerabilidades tcnicas12.6.1 Control de las vulnerabilidades tcnicas12.6.2 Restricciones a la instalacin de softwareLas normas que rigen la instalacin de software por los usuarios sern establecidas e implementadas.12.7 Consideraciones sobre la auditora de los sistemas de informacin12.7.1 Controles de auditora de los sistemas de informacin15.3.1 Controles de auditora de los sistemas de informacin13 Seguridad de las comunicaciones13.1 Gestin de la seguridad de las redes13.1.1 Controles de red10.6.1 Controles de red13.1.2 Seguridad de los servicios de red10.6.2 Seguridad de los servicios de red13.1.3 Segregacin de redes11.4.5 Segregacin de las redes13.2 Transferencia de informacin13.2.1 Polticas y procedimientos de transferencia de informacin10.8.1 Polticas y procedimientos de intercambio de informacin13.2.2 Acuerdos de transferencia de informacin10.8.2 Acuerdos de intercambio13.2.3 Mensajera electrnica10.8.4 Mensajera electrnica13.2.4 Acuerdos de confidencialidad o no divulgacin6.1.5 Acuerdos de confidencialidad14 Adquisicin, desarrollo y mantenimiento de los sistemas14.1 Requisitos de seguridad de los sistemas de informacin14.1.1 Anlisis y especificacin de los requisitos de seguridad de la informacin12.1.1 Anlisis y especificacin de los requisitos de seguridad14.1.2 Aseguramiento de los servicios de aplicaciones en las redes pblicas10.9.1 Comercio electrnico10.9.3 Informacin pblicamente disponible14.1.3 Proteccin de las transacciones de servicios de aplicacin10.9.2 Transacciones en lnea14.2 Seguridad en los procesos de desarrollo y soporte14.2.1 Poltica de desarrollo seguroLas reglas para el desarrollo de software y sistemas se establecern y aplicarn.14.2.2 Procedimientos de control de cambios en el sistema12.5.1 Procedimientos de control de cambios14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios en la plataforma12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo14.2.4 Restricciones a los cambios en los paquetes de software12.5.3 Restricciones a los cambios en los paquetes de software14.2.5 Principios para la ingeniera de sistemas segurosLos principios para sistemas de ingeniera seguros sern establecidos, documentados, mantenidos y aplicados al desarrollo de sistemas de informacin.14.2.6 Entorno de desarrollo seguroLas organizaciones debern establecer y proteger adecuadamente el entorno de desarrollo seguro para los esfuerzos de desarrollo e integracin de sistemas que cubren todo el ciclo de vida de desarrollo del sistema.14.2.7 Externalizacin del desarrollo de software12.5.5 Externalizacin del desarrollo de software14.2.8 Pruebas de seguridad del sistemaLas pruebas de la funcionalidad de seguridad se llevarn a cabo durante el desarrollo.14.2.9 Pruebas de aceptacin del sistema10.3.2 Aceptacin del sistema14.3 Datos de prueba14.3.1 Proteccin de los datos de prueba12.4.2 Proteccin de los datos de prueba del sistema15 Relaciones con proveedores15.1 Seguridad de la informacin en las relaciones con proveedores15.1.1 Poltica de seguridad de la informacin en las relaciones con proveedoresSe debern documentar los requisitos de seguridad de la informacin para la mitigacin de los riesgos asociados al acceso de proveedores a los activos de la organizacin.15.1.2 Tratamiento de la seguridad en contratos con proveedores6.2.3 Tratamiento de la seguridad en contratos con terceros15.1.3 Cadena de suministro de tecnologas de la informacin y comunicacionesLos acuerdos con proveedores incluirn los requisitos para tratar los riesgos de seguridad de la informacin asociados a los servicios de informacin y tecnologa de las comunicaciones y de la cadena de suministro de productos.15.2 Gestin de los servicios prestados por terceros15.2.1 Supervisin y revisin de los servicios prestados por terceros10.2.2 Supervisin y revisin de los servicios prestados por terceros15.2.2 Gestin del cambio en los servicios prestados por terceros10.2.3 Gestin del cambio en los servicios prestados por terceros16 Gestin de incidentes de seguridad de la informacin16.1 Gestin de incidentes de seguridad de la informacin y mejoras16.1.1 Responsabilidades y procedimientos13.2.1 Responsabilidades y procedimientos16.1.2 Notificacin de eventos de seguridad de la informacin13.1.1 Notificacin de eventos de seguridad de la informacin16.1.3 Notificacin de puntos dbiles de seguridad13.1.2 Notificacin de puntos dbiles de seguridad16.1.4 Evaluacin y decisin respecto de los eventos de seguridad de la informacinLos eventos de seguridad de la informacin se evaluarn y se decidir si han de ser clasificados como incidentes de seguridad de la informacin.16.1.5 Respuesta a incidentes de seguridad de la informacinLos incidentes de seguridad de informacin debern recibir una respuesta de conformidad con los procedimientos documentados.16.1.6 Aprendizaje de los incidentes de seguridad de la informacin13.2.2 Aprendizaje de los incidentes de seguridad de la informacin16.1.7 Recopilacin de evidencias13.2.3 Recopilacin de evidencias17 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio17.1 Continuidad de la seguridad de la informacin17.1.1 Planificacin de la continuidad de la seguridad de la informacin14.1.2 Continuidad del negocio y evaluacin de riesgos17.1.2 Implementacin de la continuidad de la seguridad de la informacin14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la seguridad de la informacin14.1.4 Marco de referencia para la planificacin de la continuidad del negocio17.1.3 Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin14.1.5 Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio17.2 Redundancia17.2.1 Disponibilidad de los medios de procesamiento de informacinLas instalaciones de procesamiento de informacin se llevarn a cabo con la suficiente redundancia para satisfacer los requisitos de disponibilidad.18 Cumplimiento18.1 Cumplimiento de los requisitos legales y contractuales18.1.1 Identificacin de la legislacin aplicable y requisitos contractuales15.1.1 Identificacin de legislacin aplicable18.1.2 Derechos de propiedad intelectual (IPR)15.1.2 Derechos de propiedad intelectual (IPR)18.1.3 Proteccin de los documentos de la organizacin15.1.3 Proteccin de los documentos de la organizacin18.1.4 Proteccin de datos y privacidad de la informacin de carcter personal15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal18.1.5 Regulacin de los controles criptogrficos15.1.6 Regulacin de los controles criptogrficos18.2 Revisiones de seguridad de la informacin18.2.1 Revisin independiente de la seguridad de la informacin6.1.8 Revisin independiente de la seguridad de la informacin18.2.2 Cumplimiento de las polticas y normas de seguridad15.2.1 Cumplimiento de las polticas y normas de seguridad18.2.3 Comprobacin del cumplimiento tcnico15.2.2. Comprobacin del cumplimiento tcnico6.1.1 Compromiso de la Direccin con la seguridad de la informacinRequisito de la ISO/IEC 27001.6.1.2 Coordinacin de la seguridad de la informacinRequisito de la ISO/IEC 27001. Norma ISO/IEC 27003.6.1.4 Proceso de autorizacin de recursos para el tratamiento de la informacinRequisito de la ISO/IEC 27001 (6.1.1).6.2.1 Identificacin de los riesgos derivados del acceso de tercerosRequisito de la ISO/IEC 27001. Parte del anlisis y tratamiento de los riesgos.6.2.2 Tratamiento de la seguridad en la relacin con los clientesRequisito de la ISO/IEC 27001. Parte del anlisis y tratamiento de los riesgos.10.2.1 Provisin de serviciosRequisito de la ISO/IEC 27001 (8.1).10.7.4 Seguridad de la documentacin del sistemaSe ha eliminado debido a que la documentacin del sistema es slo otra forma de activo que requiere proteccin.10.8.5 Sistemas de informacin empresarialesPuede ser un activo ms.11.4.2 Autenticacin de usuario para conexiones externasControl 9.1.1.11.4.3 Identificacin de los equipos en las redesControl 13.1.3.11.4.4 Diagnstico remoto y proteccin de los puertos de configuracinControles 9.1.1 y 13.1.3.11.4.6 Control de la conexin a la redControl 13.1.3.11.4.7 Control de encaminamiento (routing) de redControl 13.1.3.11.6.2 Aislamiento de sistemas sensiblesEn un mundo interconectado tal control contradice el objetivo. Sin embargo, todava puede aplicar en ciertos casos.12.2.1 Validacin de los datos de entradaLa validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control 14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC 27002 (p.e. OWASP).12.2.2 Control del procesamiento internoLa validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control 14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC 27002 (p.e. OWASP).12.2.3 Integridad de los mensajesDuplicado con el control 13.2.1.12.2.4 Validacin de los datos de salidaLa validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control 14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC 27002 (p.e. OWASP).12.5.4 Fugas de informacinControles 8.3.2, 11.2.1, 12.2.1, 12.6.2 y 13.2.4.15.1.5 Prevencin del uso indebido de los recursos de tratamiento de la informacinControles 9.4.2 y 18.2.1.15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacinPuede ser un activo ms.

&C&F&CPage &P of &N

Sheet2

Sheet3