MAPEO DE CONTROLES

DEL ANEXO A
ISO 27001:2013
Comparacin con ISO 27001:2005

Karina Miranda, M.D.E.T.I.

Junio - 2014

INTRODUCCIN
Para aquellas organizaciones que se encuentran en el proceso de migrar y validar sus
controles implementados de la versin 2005 a la nueva versin de ISO 27001:2013, aqu lo
presentamos en detalle.
En lneas generales les puedo comentar que hay una lista de controles que permanecen,
otras que se han reubicado y finalmente aquellos controles que se han retirado.
Tomen en consideracin respecto al dominio A.17 Aspectos de seguridad de informacin
en la gestin de continuidad del negocio del nuevo estndar, expresa mayor detalle y un
enfoque ms preciso.
A continuacin se listan los 113 controles del Anexo A de la Norma ISO 27001:2013

No dejes tu sentido comn de

lado, piensa primero en lo que
quieres mejorar y como los
estndares, mejores prcticas
y marcos de referencia pueden
ayudarte a hacerlo. No pienses
primero en ellos...
(Esther Dyson)

27001:2013
A.5 Orientacin de la Direccin para la
seguridad de la informacin

27001:2005
A.5 Poltica de seguridad

A.5.1 Directrices de Gestin para la Seguridad

de la Informacin

Objetivo: Proporcionar orientacin y apoyo de la

Direccin para la seguridad de la informacin, en
concordancia con los requisitos del negocio, las leyes
y las regulaciones pertinentes.
A.5.1.1 Polticas de seguridad de la informacin

A.5.1.1 Documento de poltica de seguridad de la

informacin

A.5.1.2 Revisin de las polticas de seguridad de la

A.5.1.2 Revisin de la poltica de seguridad de la

informacin

informacin

A.6 Organizacin de seguridad de la

informacin

A.6 Organizacin de seguridad de la informacin

A.6.1 Organizacin Interna

Objetivo: Establecer un marco de trabajo de la

Direccin para iniciar y controlar la implementacin y
el funcionamiento de la seguridad de la informacin
dentro de la organizacin.
A.6.1.1 Responsabilidades y roles de seguridad

A.6.1.3 Asignacin de responsabilidades para la

informacin

seguridad de informacin

A.6.1.2 Segregacin de funciones

A.10.1.3 Segregacin de tareas

A.6.1.3 Contacto con autoridades

A.6.1.6 Contacto con autoridades

A.6.1.4 Contacto con grupos de inters especial

A.6.1.7 Contacto con grupos de inters especial

A.6.1.4 Seguridad de la informacin en la gestin de

proyectos (NUEVO)
A.6.2 Dispositivos mviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el

uso de dispositivos mviles
A.6.2.1 Poltica de dispositivo mvil
A.6.2.2 Teletrabajo
A.7 Seguridad del recursos humano

A.11.7.1 Ordenadores porttiles y comunicaciones

mviles
A.11.7.2 Teletrabajo
A.8 Seguridad ligada a los recursos humanos

A.7.1 Antes del empleo

Objetivo: Asegurar que los empleados y contratistas

entiendan sus responsabilidades y estn adecuados a

27001:2013

27001:2005

los roles para los cuales estn siendo considerados.

A.7.1.1 Seleccin

A.8.1.2 Seleccin

A.7.1.2 Trminos y condiciones de empleo

A.8.1.3 Trminos y condiciones de empleo

A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas

conozcan y cumplan sus responsabilidades de
seguridad de informacin
A.7.2.1 Responsabilidades de la Direccin

A.8.2.1 Responsabilidades de la Direccin

A.7.2.2 Capacitacin, educacin y concientizacin en

A.8.2.2 Capacitacin, educacin y concientizacin en

seguridad informacin

seguridad informacin

A.7.2.3 Proceso disciplinario

A.8.2.3 Proceso disciplinario

A.7.3 Desvinculacin y cambio de empleo

Objetivo: Proteger los intereses de la organizacin

como parte del proceso de cambio o desvinculacin
del empleo.
A.7.3.1 Responsabilidades en la desvinculacin o
cambio de empleo
A.8 Gestin de Activos

A.8.3.1 Responsabilidades en la desvinculacin

A.7 Gestin de Activos

A.8.1 Responsabilidad por los activos

Objetivo: Identificar los activos de la organizacin y

definir las responsabilidades de proteccin
pertinentes.
A.8.1.1 Inventario de activos

A.7.1.1 Inventario de activos

A.8.1.2 Propiedad de los activos

A.7.1.2 Propiedad de los activos

A.8.1.3 Uso aceptable de los activos

A.7.1.3 Uso aceptable de los activos

A.8.1.4 Devolucin de activos

A.8.3.2 Devolucin de activos

A.8.2 Clasificacin de la Informacin

Objetivo: Asegurar que la informacin reciba un nivel

de proteccin adecuado, segn su importancia para la
organizacin.
A.8.2.1 Clasificacin de la informacin

A.7.2.1 Directrices de clasificacin

A.8.2.2 Etiquetado de la informacin

A.7.2.2 Etiquetado y manipulacin de la informacin

A.8.2.3 Manejo de activos

A.10.7.3 Procedimientos de manipulacin de la

informacin

A.8.3 Manejo de medios

Objetivo: Prevenir la divulgacin no autorizada,

27001:2013

27001:2005

modificacin, eliminacin o destruccin de la

informacin almacenada en los medios
A.8.3.1 Gestin de medios removibles

A.10.7.1 Gestin de medios removibles

A.8.3.2 Eliminacin de medios

A.10.7.2 Eliminacin de medios

A.8.3.3 Transporte de medios fsicos

A.10.8.3 Medios fsicos en trnsito

A.9 Control de Acceso

A.11 Control de Acceso

A.9.1 Requisitos del negocio para el control de

acceso

Objetivo: Restringir el acceso a la informacin y a los

recursos de procesamiento de informacin
A.9.1.1 Poltica de control de acceso

A.11.1.1 Poltica de control de acceso

A.9.1.2 El acceso a las redes y a los servicios de red

A.11.4.1 Poltica de uso de los servicios en red

A.9.2 Gestin de acceso de usuario

Objetivo: Asegurar el acceso de usuarios autorizados

a fin de prevenir el acceso no autorizado a los
sistemas y servicios.
A.9.2.1 Registro y retiro de usuarios

A.11.2.1 Registro de usuario

A.9.2.2 Entrega de los accesos de usuario

A.11.5.2 Identificacin y autenticacin de usuario

A.9.2.3 Gestin de derechos de acceso privilegiados

A.11.2.2 Gestin de privilegios

A.9.2.4 Gestin de informacin secreta de

autenticacin de usuarios

A.11.2.3 Gestin de contraseas de usuario

A.9.2.5 Revisin de los derechos de acceso de usuario A.11.2.4 Revisin de los derechos de acceso de usuario
A.9.2.6 Eliminacin o ajuste de los derechos de acceso A.8.3.3 Eliminacin de derechos de acceso
A.9.3 Responsabilidades del usuario

Objetivo: Responsabilizar a los usuarios para que

salvaguarden su informacin de autenticacin.
A.9.3.1 Uso de informacin secreta de autenticacin

A.11.3.1 Uso de contrasea

A.9.4 Control de acceso al sistema y

aplicaciones

Objetivo: Prevenir el acceso no autorizado a los

sistemas y aplicaciones.
A.9.4.1 Restriccin de acceso a la informacin

A.11.6.1 Restriccin de acceso a la informacin

A.11.5.1 Procedimientos de inicio de sesin seguro

A.9.4.2 Procedimientos de inicio de sesin seguro

A.11.5.5 Desconexin automtica de sesin

A.11.5.6 Limitacin del tiempo de conexin

A.9.4.3 Sistema de gestin de contraseas

A.11.5.3 Sistema de gestin de contraseas

27001:2013

27001:2005

A.9.4.4 Uso de programas utilitarios privilegiados

A.11.5.4 Uso de los utilitarios del Sistema

A.9.4.5 Control de acceso al cdigo fuente de los

A.12.4.3 Control de acceso al cdigo fuente de los

programas

programas

A.10 Criptografa
A.10.1 Controles criptogrficos

Objetivo: Asegurar el uso apropiado y eficaz de la

criptografa para proteger la confidencialidad,
autenticidad y/o integridad de la informacin.
A.10.1.1 Poltica sobre el uso de controles
criptogrficos
A.10.1.2 Gestin de claves
A.11 Seguridad fsica y ambiental

A.12.3.1 Poltica de uso de los controles criptogrficos

A.12.3.2 Gestin de claves
A.9 Seguridad fsica y ambiental

A.11.1 reas seguras

Objetivo: Evitar el acceso fsico no autorizado, dao e

interferencia a la informacin y recursos de
procesamiento de la informacin de la organizacin.
A.11.1.1 Permetro de seguridad fsica

A.9.1.1 Permetro de seguridad fsica

A.11.1.2 Controles de acceso fsico

A.9.1.2 Controles de acceso fsico

A.11.1.3 Seguridad de oficinas, salas e instalaciones

A.9.1.3 Seguridad de oficinas, salas e instalaciones

A.11.1.4 Proteccin contra amenazas externas y

A.9.1.4 Proteccin contra amenazas externas y

ambientales.

ambientales

A.11.1.5 Trabajo en reas seguras

A.9.1.5 Trabajo en reas seguras

A.11.1.6 reas de carga y descarga

A.9.1.6 reas de acceso pblico, carga y descarga

A.11.2 Equipo

Objetivo: Prevenir la prdida, dao, robo o el

compromiso de los activos, as como la interrupcin
de las operaciones de la organizacin.
A.11.2.1 Ubicacin y proteccin del equipo

A.9.2.1 Ubicacin y proteccin del equipo

A.11.2.2 Servicios de apoyo

A.9.2.2 Servicios de apoyo

A.11.2.3 Seguridad del cableado

A.9.2.3 Seguridad del cableado

A.11.2.4 Mantenimiento de los equipos

A.9.2.4 Mantenimiento de los equipos

A.11.2.5 Retiro de activos

A.9.2.7 Retiro de materiales propiedad de la organizacin

A.11.2.6 Seguridad de equipos y activos fuera de los

A.9.2.5 Seguridad de los equipos fuera de los locales de

locales

la organizacin

A.11.2.7 Reutilizacin o eliminacin segura de equipos A.9.2.6 Reutilizacin y eliminacin segura de equipos
A.11.2.8 Equipo de usuario desatendido

A.11.3.2 Equipo de usuario desatendido

A.11.2.9 Poltica de pantalla y escritorio limpio

A.11.3.3 Poltica de pantalla y escritorio limpio

27001:2013
A.12 Seguridad de las operaciones

27001:2005
A.10 Gestin de comunicaciones y operaciones

A.12.1 Procedimientos operacionales y

responsabilidades

Objetivo: Asegurar la operacin correcta y segura de

los recursos de procesamiento de la informacin
A.12.1.1 Procedimientos de operacin documentados

A.10.1.1 Procedimientos de operacin documentados

A.12.1.2 Gestin del cambio

A.10.1.2 Gestin del cambio

A.12.1.3 Gestin de la capacidad

A.10.3.1 Gestin de la capacidad

A.12.1.4 Separacin de los entornos de desarrollo,

A.10.1.4 Separacin de los recursos de desarrollo, prueba

pruebas y produccin

y produccin

A.12.2 Proteccin contra malware

Objetivo: Asegurar que la informacin y los recursos

de procesamiento de informacin estn protegidos
contra el malware.
A.12.2.1 Controles contra el malware

A.10.4.1 Controles contra el cdigo malicioso

A.12.3 Copia de respaldo

Objetivo: Proteger en contra de la prdida de

informacin
A.12.3.1 Copia de respaldo de la informacin

A.10.5.1 Copia de respaldo de la informacin

A.12.4 Registro y monitoreo.

Objetivo: Registrar eventos y generar evidencia

A.12.4.1 Registro de evento

A.10.10.1 Registro de auditoria

A.12.4.2 Proteccin de la informacin de registro

A.10.10.3 Proteccin de la informacin de registro

A.12.4.3 Registro de las actividades de los

A.10.10.4 3 Registro de las actividades de los

administradores y operadores

administradores y operadores

A.12.4.4 Sincronizacin de relojes

A.10.10.6 Sincronizacin de relojes

A.12.5 Control de software en produccin

Objetivo: Asegurar la integridad de los sistemas en

produccin.
A.12.5.1 Instalacin de software en sistemas de
produccin

A.12.4.1 Control de software en produccin

A.12.6 Gestin de vulnerabilidades tcnicas

Objetivo: Prevenir la explotacin de vulnerabilidades

tcnicas.
A.12.6.1 Gestin de vulnerabilidades tcnicas

A.12.6.1 Control de vulnerabilidades tcnicaas

27001:2013

27001:2005

A.12.6.2 Restricciones en la instalacin de software

(NUEVO)
A.12.7 Consideraciones en la auditora de los
sistemas de informacin

Objetivo: Minimizar el impacto de las actividades de

auditora en los sistemas de produccin.
A.12.7.1 Controles de auditora en los sistemas de

A.15.3.1 Controles de auditora en los sistemas de

informacin

informacin

A.13 Seguridad de las Comunicaciones

A.10 Gestin de comunicaciones y operaciones

A.13.1 Gestin de la seguridad de red

Objetivo: Asegurar la proteccin de la informacin en

las redes y la proteccin de los recursos de
procesamiento de la informacin que la soportan.
A.13.1.1 Controles de red

A.10.6.1 Controles de red

A.13.1.2 Seguridad de los servicios de red

A.10.6.2 Seguridad de los servicios de red

A.13.1.3 Segregacin en redes

A.11.4.5 Segregacin en redes

A.13.2 Transferencia de informacin

Objetivo: Mantener la seguridad de la informacin que

se transfiere dentro de la organizacin y con cualquier
entidad externa
A.13.2.1 Polticas y procedimientos para la

A.10.8.1 Polticas y procedimientos para el intercambio

transferencia de informacin.

de informacin

A.13.2.2 Acuerdos sobre transferencia de informacin A.10.8.2 Acuerdos para el intercambio

A.13.2.3 Mensajera electrnica
A.13.2.4 Acuerdos de confidencialidad o no
divulgacin
A.14 Adquisicin, desarrollo y mantenimiento
de sistemas

A.10.8.4 Mensajera electrnica

A.6.1.5 Acuerdos de confidencialidad
A.12 Adquisicin, desarrollo y mantenimiento de
los sistemas de informacin

A.14.1 Requisitos de seguridad de los sistemas

de informacin

Objetivo: Asegurar que la seguridad de la informacin

sea parte integral de los sistemas de informacin en
todo el ciclo de vida. Esto tambin incluye los
requisitos para los sistemas de informacin que
prestan servicios en las redes pblicas.
A.14.1.1 Anlisis y especificacin de requisitos de

A.12.1.1 Anlisis y especificacin de requisitos de

seguridad de la informacin

seguridad

27001:2013
A.14.1.2 Proteccin de servicios de aplicaciones en
redes pblicas
A.14.1.3 Proteccin de las transacciones de los
servicios de aplicaciones

27001:2005
A.10.9.1 Comercio electrnico
A.10.9.2 Transacciones en lnea

A.14.2 Seguridad en los procesos de desarrollo

y soporte

Objetivo: Asegurar que la seguridad de la informacin

sea diseada e implementada dentro del ciclo de vida
de desarrollo de los sistemas de informacin.
A.14.2.1 Poltica de desarrollo seguro (NUEVO)
A.14.2.2 Procedimientos de control de cambios del
sistema

A.12.5.1 Procedimientos de control de cambios

A.14.2.3 Revisin tcnica de las aplicaciones despus A.12.5.2 Revisin tcnica de las aplicaciones despus de
de efectuar cambios en las plataformas

efectuar cambios en los sistemas

A.14.2.4 Restricciones en los cambios a los paquetes

A.12.5.3 Restricciones en los cambios a los paquetes de

de software

software

A.14.2.5 Principios de seguridad en ingeniera de

sistemas (NUEVO)
A.14.2.6 Entorno de desarrollo seguro (NUEVO)
A.14.2.7 Desarrollo tercerizado (Outsourced)

A.12.5.5 Desarrollo de software tercerizado

A.14.2.8 Pruebas de seguridad del sistema (NUEVO)

A.14.2.9 Pruebas de aceptacin del sistema

A.10.3.2 Aceptacin del sistema

A.14.3 Datos de prueba

Objetivo: Asegurar la proteccin de los datos

utilizados para prueba.
A.14.3.1 Proteccin de los datos de prueba

A.12.4.2 Proteccin de los datos de prueba del sistema

A.15 Relaciones con los proveedores

A.15.1 Seguridad de la informacin en las
relaciones con el proveedor

Objetivo: Asegurar la proteccin de los activos de la

organizacin a las cuales acceden los proveedores.
A.15.1.1 Poltica de seguridad de la informacin para
las relaciones con el proveedor (NUEVO)
A.15.1.2 Abordar la seguridad dentro de los acuerdos A.6.2.3 Abordar la seguridad en los acuerdos con
del proveedor

terceros

A.15.1.3 Cadena de suministro de tecnologas de la

informacin y comunicaciones (NUEVO)
A.15.2 Gestin de entrega del servicio del

27001:2013

27001:2005

proveedor

Objetivo: Mantener un determinado nivel de

seguridad de la informacin y entrega de servicio, en
lnea con los acuerdos del proveedor.
A.15.2.1 Monitoreo y revisin de los servicios del
proveedor
A.15.2.2 Gestin de cambios en los servicios del
proveedor
A.16 Gestin de incidentes de seguridad de
informacin

A.10.2.2 Monitoreo y revisin de los servicios de terceros

A.10.2.3 Gestin de cambios en los servicios de terceros
A.13 Gestin de incidentes de seguridad de
informacin

A.16.1 Gestin de incidentes de seguridad de la

informacin y mejoras

Objetivo: Asegurar un enfoque consistente y eficaz de

la gestin de los incidentes de seguridad de la
informacin, incluyendo la comunicacin de los
eventos de seguridad y debilidades.
A.16.1.1 Responsabilidades y procedimientos

A.13.2.1 Responsabilidades y procedimientos

A.16.1.2 Reporte de eventos de seguridad de la

A.13.1.1 Reporte de eventos de seguridad de la

informacin

informacin

A.16.1.3 Reporte de las debilidades de seguridad de la A.13.1.2 Reporte de las debilidades de seguridad de la
informacin

informacin

A.16.1.4 Evaluacin y decisin sobre los eventos de

seguridad de la informacin (NUEVO)
A.16.1.5 Respuesta ante incidentes de seguridad de
la informacin (NUEVO)
A.16.1.6 Aprendiendo de los incidentes de seguridad

A.13.2.2 Aprendiendo de los incidentes de seguridad de

de la informacin

la informacin

A.16.1.7 Recoleccin de evidencia

A.13.2.3 Recoleccin de evidencia

A.17 Aspectos de seguridad de informacin en

la gestin de continuidad del negocio

A.14 Gestin de continuidad del negocio

A.17.1 Continuidad de la seguridad de la

informacin

Objetivo: Incorporar la continuidad de la seguridad de

la informacin en los sistemas de gestin de
continuidad de negocio de la organizacin.
A.17.1.1 Planificacin de la continuidad de la
seguridad de la informacin (*)
A.17.1.2 Implementacin de la continuidad de
seguridad de la informacin (*)

A.14.1.2 Continuidad del negocio y evaluacin de riesgos

A.14.1.1 Inclusin de la seguridad de la informacin en
el proceso de gestin de la continuidad del negocio

27001:2013

27001:2005

A.17.1.3 Verificacin, revisin y evaluacin de la

A.14.1.5 Pruebas, mantenimiento y reevaluacin de los

continuidad de la seguridad de la informacin (*)

planes de continuidad del negocio

A.17.2 Redundancias

Objetivo: Asegurar la disponibilidad de los recursos de

procesamiento de informacin.
A.17.2.1 Disponibilidad de los recursos de
procesamiento de informacin (NUEVO)
A.18 Cumplimiento

A.15 Cumplimiento

A.18.1 Cumplimiento de los requisitos legales y

contractuales

Objetivo: Evitar incumplimientos de las obligaciones

legales, reglamentarios, regulatorios o contractuales
relacionadas con la seguridad de la informacin y de
todos los requisitos de seguridad.
A.18.1.1 Identificacin de la legislacin aplicable y los
requisitos contractuales

A.15.1.1 Identificacin de la legislacin aplicable

A.18.1.2 Derechos de propiedad intelectual

A.15.1.2 Derechos de propiedad intelectual

A.18.1.3 Proteccin de registros

A.15.1.3 Proteccin de los registros de la organizacin

A.18.1.4 Privacidad y proteccin de los datos

A.15.1.4 Proteccin de datos y privacidad de la

personales

informacin personal

A.18.1.5 Regulacin de controles criptogrficos

A.15.1.6 Regulacin de controles criptogrficos

A.18.2 Revisiones de seguridad de la

informacin

Objetivo: Asegurar que la seguridad de la informacin

se implemente y opere de acuerdo a las polticas y
procedimientos de la organizacin.
A.18.2.1 Revisin independiente a la seguridad de la

A.6.1.8 Revisin independiente a la seguridad de la

informacin

informacin

A.18.2.2 Cumplimiento de las polticas y normas de

A.15.2.1 Cumplimiento de las polticas y normas de

seguridad

seguridad

A.18.2.3 Revisin del cumplimiento tcnico

A.15.2.2 Comprobacin del cumplimiento tcnico

(*) existe un cambio sustancial en la descripcin del control respecto a la norma ISO
27002:2005

10

CONTROLES QUE SE HAN IDO

6.2.2 Abordar la seguridad al tratar con los clientes

8.1.1 Funciones y responsabilidades
10.4.2 Controles contra cdigo mvil
10.7.4 Seguridad de la documentacin del sistema
10.8.5 Sistemas de informacin empresarial
10.9.3 Informacin pblica
11.4.2 Autenticacin de usuario para conexiones externas
11.4.3 Identificacin de los equipos en las redes
11.4.4 Diagnstico remoto y proteccin de los puertos de configuracin
11.4.6 Control de la conexin a la red
11.4.7 Control de encaminamiento de red
12.2.1 Validacin de los datos de entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validacin de los datos de salida
11.6.2 Aislamiento de sistema sensibles
12.5.4 Fuga de informacin
14.1.3 Desarrollo e implementacin de planes de continuidad de negocio
14.1.4 Marco de referencia para la planificacin de la continuidad del negocio
15.1.5 Prevencin del uso indebido de los recursos de procesamiento de
informacin
15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacin

11