243425118.xls.

ms_office
5 Polticas de seguridad de la informacin
5.1 Direccin de la gestin de la seguridad de la informacin
5.1.1 Polticas de seguridad de la informacin 5.1.1 Documento de poltica de seguridad de la informacin
5.1.2 Revisin de las polticas de seguridad de la informacin 5.1.2 Revisin de la poltica de seguridad de la informacin
6 Organizacin de la seguridad de la informacin
6.1 Organizacin interna
6.1.1 Roles y responsabilidades relativas a la seguridad de la informacin
6.1.3 Asignacin de responsabilidades relativas a la seguridad de la informacin
8.1.1 Funciones y responsabilidades
6.1.2 Separacin de tareas 10.1.3 Segregacin de tareas
6.1.3 Contacto con las autoridades 6.1.6 Contacto con las autoridades
6.1.4 Contacto con grupos de especial inters 6.1.7 Contacto con grupos de especial inters
6.1.5 Seguridad de la informacin en la gestin de proyectos
La seguridad de la informacin se gestionar en la direccin de proyectos,
independientemente del tipo de proyecto.
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica de dispositivos mviles 11.7.1 Ordenadores porttiles y comunicaciones mviles
6.2.2 Teletrabajo 11.7.2 Teletrabajo
7 Seguridad ligada a los recursos humanos
7.1 Antes del empleo
7.1.1 Investigacin de antecedentes 8.1.2 Investigacin de antecedentes
7.1.2 Trminos y condiciones de contratacin 8.1.3 Trminos y condiciones de contratacin
7.2 Durante el empleo
7.2.1 Responsabilidades de la Direccin 8.2.1 Responsabilidades de la Direccin
7.2.2 Concienciacin, formacin y capacitacin en seguridad de la informacin 8.2.2 Concienciacin, formacin y capacitacin en seguridad de la informacin
7.2.3 Proceso disciplinario 8.2.3 Proceso disciplinario
7.3 Cese del empleo y cambio de puesto de trabajo
7.3.1 Terminacin o cambio de responsabilidades laborales 8.3.1 Responsabilidad del cese o cambio
8 Gestin de activos
8.1 Responsabilidad sobre los activos
8.1.1 Inventario de activos 7.1.1 Inventario de activos
8.1.2 Propiedad de los activos 7.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos 7.1.3 Uso aceptable de los activos
8.1.4 Devolucin de activos 8.3.2 Devolucin de activos
8.2 Clasificacin de la informacin
8.2.1 Clasificacin de la informacin 7.2.1 Directrices de clasificacin
8.2.2 Etiquetado de la informacin 7.2.2 Etiquetado y manipulado de la informacin
8.2.3 Manejo de activos 10.7.3 Procedimientos de manipulacin de la informacin
8.3 Manipulacin de los soportes
8.3.1 Gestin de soportes extrables 10.7.1 Gestin de soportes extrables
8.3.2 Retirada de soportes 10.7.2 Retirada de soportes
8.3.3 Transferencia de soportes fsicos 10.8.3 Soportes fsicos en trnsito
9 Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Poltica de control de acceso 11.1.1 Poltica de control de acceso
9.1.2 Acceso a redes y servicios en red 11.4.1 Poltica de uso de los servicios en red
9.2 Gestin del acceso de usuario
9.2.1 Altas y bajas de usuarios
11.2.1 Registro de usuario
11.5.2 Identificacin y autenticacin de usuario
9.2.2 Gestin de derechos de acceso de los usuarios 11.2.1 Registro de usuario
9.2.3 Gestin de derechos de acceso especiales 11.2.2 Gestin de privilegios
9.2.4 Gestin de la informacin secreta de autenticacin de usuarios 11.2.3 Gestin de contraseas de usuario
9.2.5 Revisin de derechos de acceso de usuario 11.2.4 Revisin de derechos de acceso de usuario
9.2.6 Terminacin o revisin de los privilegios de acceso 8.3.3 Retirada de los derechos de acceso
9.3 Responsabilidades de usuario
9.3.1 Uso de la informacin secreta de autenticacin 11.3.1 Uso de contrasea
9.4 Control de acceso al sistema y a las aplicaciones
9.4.1 Restriccin del acceso a la informacin 11.6.1 Restriccin del acceso a la informacin
9.4.2 Procedimientos seguros de inicio de sesin
11.5.1 Procedimientos seguros de inicio de sesin
11.5.5 Desconexin automtica de sesin
11.5.6 Limitacin del tiempo de conexin
9.4.3 Gestin de las contraseas de usuario 11.5.3 Sistema de gestin de contraseas
9.4.4 Uso de los recursos del sistema con privilegios especiales 11.5.4 Uso de los recursos del sistema
9.4.5 Control de acceso al cdigo fuente de los programas 12.4.3 Control de acceso al cdigo fuente de los programas
10 Criptografa
10.1 Controles criptogrficos
10.1.1 Poltica de uso de los controles criptogrficos 12.3.1 Poltica de uso de los controles criptogrficos
10.1.2 Gestin de claves 12.3.2 Gestin de claves
11 Seguridad fsica y del entorno
11.1 reas seguras
11.1.1 Permetro de seguridad fsica 9.1.1 Permetro de seguridad fsica
11.1.2 Controles fsicos de entrada 9.1.2 Controles fsicos de entrada
11.1.3 Seguridad de oficinas, despachos e instalaciones 9.1.3 Seguridad de oficinas, despachos e instalaciones
11.1.4 Proteccin contra las amenazas externas y de origen ambiental 9.1.4 Proteccin contra las amenazas externas y de origen ambiental
11.1.5 Trabajo en reas seguras 9.1.5 Trabajo en reas seguras
11.1.6 reas de carga y descarga 9.1.6 reas de acceso pblico y de carga y descarga
11.2 Equipos
11.2.1 Emplazamiento y proteccin de equipos 9.2.1 Emplazamiento y proteccin de equipos
11.2.2 Instalaciones de suministro 9.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado 9.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos 9.2.4 Mantenimiento de los equipos
11.2.5 Retirada de materiales propiedad de la empresa 9.2.7 Retirada de materiales propiedad de la empresa
11.2.6 Seguridad de los equipos fuera de las instalaciones 9.2.5 Seguridad de los equipos fuera de las instalaciones
11.2.7 Reutilizacin o retirada segura de equipos 9.2.6 Reutilizacin o retirada segura de equipos
11.2.8 Equipo de usuario desatendido 11.3.2 Equipo de usuario desatendido
11.2.9 Poltica de puesto de trabajo despejado y pantalla limpia 11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia
12 Gestin de operaciones
12.1 Responsabilidades y procedimientos de operacin
12.1.1 Documentacin de los procedimientos de operacin 10.1.1 Documentacin de los procedimientos de operacin
12.1.2 Gestin de cambios 10.1.2 Gestin de cambios
12.1.3 Gestin de capacidades 10.3.1 Gestin de capacidades
12.1.4 Separacin de los entornos de desarrollo, prueba y operacin 10.1.4 Separacin de los recursos de desarrollo, prueba y operacin
12.2 Proteccin contra el cdigo malicioso
ISO 27001:2013 ISO 27001:2005
Page 1 of 3
243425118.xls.ms_office
ISO 27001:2013 ISO 27001:2005
12.2.1 Controles contra el cdigo malicioso
10.4.1 Controles contra el cdigo malicioso
10.4.2 Controles contra el cdigo descargado en el cliente
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la informacin 10.5.1 Copias de seguridad de la informacin
12.4 Registro y monitorizacin
12.4.1 Registro de eventos
10.10.1 Registros de auditora
10.10.2 Supervisin del uso del sistema
10.10.5 Registro de fallos
12.4.2 Proteccin de la informacin de los registros 10.10.3 Proteccin de la informacin de los registros
12.4.3 Registros de administracin y operacin
10.10.3 Proteccin de la informacin de los registros
10.10.4 Registros de administracin y operacin
12.4.4 Sincronizacin del reloj 10.10.6 Sincronizacin del reloj
12.5 Control del software en explotacin
12.5.1 Instalacin de software en sistemas operacionales 12.4.1 Control del software en explotacin
12.6 Gestin de las vulnerabilidades tcnicas
12.6.1 Gestin de las vulnerabilidades tcnicas 12.6.1 Control de las vulnerabilidades tcnicas
12.6.2 Restricciones a la instalacin de software
Las normas que rigen la instalacin de software por los usuarios sern establecidas e
implementadas.
12.7 Consideraciones sobre la auditora de los sistemas de informacin
12.7.1 Controles de auditora de los sistemas de informacin 15.3.1 Controles de auditora de los sistemas de informacin
13 Seguridad de las comunicaciones
13.1 Gestin de la seguridad de las redes
13.1.1 Controles de red 10.6.1 Controles de red
13.1.2 Seguridad de los servicios de red 10.6.2 Seguridad de los servicios de red
13.1.3 Segregacin de redes 11.4.5 Segregacin de las redes
13.2 Transferencia de informacin
13.2.1 Polticas y procedimientos de transferencia de informacin 10.8.1 Polticas y procedimientos de intercambio de informacin
13.2.2 Acuerdos de transferencia de informacin 10.8.2 Acuerdos de intercambio
13.2.3 Mensajera electrnica 10.8.4 Mensajera electrnica
13.2.4 Acuerdos de confidencialidad o no divulgacin 6.1.5 Acuerdos de confidencialidad
14 Adquisicin, desarrollo y mantenimiento de los sistemas
14.1 Requisitos de seguridad de los sistemas de informacin
14.1.1 Anlisis y especificacin de los requisitos de seguridad de la informacin 12.1.1 Anlisis y especificacin de los requisitos de seguridad
14.1.2 Aseguramiento de los servicios de aplicaciones en las redes pblicas
10.9.1 Comercio electrnico
10.9.3 Informacin pblicamente disponible
14.1.3 Proteccin de las transacciones de servicios de aplicacin 10.9.2 Transacciones en lnea
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Poltica de desarrollo seguro Las reglas para el desarrollo de software y sistemas se establecern y aplicarn.
14.2.2 Procedimientos de control de cambios en el sistema 12.5.1 Procedimientos de control de cambios
14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios en la plataforma 12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo
14.2.4 Restricciones a los cambios en los paquetes de software 12.5.3 Restricciones a los cambios en los paquetes de software
14.2.5 Principios para la ingeniera de sistemas seguros
Los principios para sistemas de ingeniera seguros sern establecidos, documentados,
mantenidos y aplicados al desarrollo de sistemas de informacin.
14.2.6 Entorno de desarrollo seguro
Las organizaciones debern establecer y proteger adecuadamente el entorno de desarrollo
seguro para los esfuerzos de desarrollo e integracin de sistemas que cubren todo el ciclo de
vida de desarrollo del sistema.
14.2.7 Externalizacin del desarrollo de software 12.5.5 Externalizacin del desarrollo de software
14.2.8 Pruebas de seguridad del sistema Las pruebas de la funcionalidad de seguridad se llevarn a cabo durante el desarrollo.
14.2.9 Pruebas de aceptacin del sistema 10.3.2 Aceptacin del sistema
14.3 Datos de prueba
14.3.1 Proteccin de los datos de prueba 12.4.2 Proteccin de los datos de prueba del sistema
15 Relaciones con proveedores
15.1 Seguridad de la informacin en las relaciones con proveedores
15.1.1 Poltica de seguridad de la informacin en las relaciones con proveedores
Se debern documentar los requisitos de seguridad de la informacin para la mitigacin de
los riesgos asociados al acceso de proveedores a los activos de la organizacin.
15.1.2 Tratamiento de la seguridad en contratos con proveedores 6.2.3 Tratamiento de la seguridad en contratos con terceros
15.1.3 Cadena de suministro de tecnologas de la informacin y comunicaciones
Los acuerdos con proveedores incluirn los requisitos para tratar los riesgos de seguridad de
la informacin asociados a los servicios de informacin y tecnologa de las comunicaciones y
de la cadena de suministro de productos.
15.2 Gestin de los servicios prestados por terceros
15.2.1 Supervisin y revisin de los servicios prestados por terceros 10.2.2 Supervisin y revisin de los servicios prestados por terceros
15.2.2 Gestin del cambio en los servicios prestados por terceros 10.2.3 Gestin del cambio en los servicios prestados por terceros
16 Gestin de incidentes de seguridad de la informacin
16.1 Gestin de incidentes de seguridad de la informacin y mejoras
16.1.1 Responsabilidades y procedimientos 13.2.1 Responsabilidades y procedimientos
16.1.2 Notificacin de eventos de seguridad de la informacin 13.1.1 Notificacin de eventos de seguridad de la informacin
16.1.3 Notificacin de puntos dbiles de seguridad 13.1.2 Notificacin de puntos dbiles de seguridad
16.1.4 Evaluacin y decisin respecto de los eventos de seguridad de la informacin
Los eventos de seguridad de la informacin se evaluarn y se decidir si han de ser
clasificados como incidentes de seguridad de la informacin.
16.1.5 Respuesta a incidentes de seguridad de la informacin
Los incidentes de seguridad de informacin debern recibir una respuesta de conformidad
con los procedimientos documentados.
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin 13.2.2 Aprendizaje de los incidentes de seguridad de la informacin
16.1.7 Recopilacin de evidencias 13.2.3 Recopilacin de evidencias
17 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio
17.1 Continuidad de la seguridad de la informacin
17.1.1 Planificacin de la continuidad de la seguridad de la informacin 14.1.2 Continuidad del negocio y evaluacin de riesgos
17.1.2 Implementacin de la continuidad de la seguridad de la informacin
14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad
del negocio
14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la seguridad de la
informacin
14.1.4 Marco de referencia para la planificacin de la continuidad del negocio
17.1.3 Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin 14.1.5 Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio
17.2 Redundancia
17.2.1 Disponibilidad de los medios de procesamiento de informacin
Las instalaciones de procesamiento de informacin se llevarn a cabo con la suficiente
redundancia para satisfacer los requisitos de disponibilidad.
18 Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificacin de la legislacin aplicable y requisitos contractuales 15.1.1 Identificacin de legislacin aplicable
18.1.2 Derechos de propiedad intelectual (IPR) 15.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Proteccin de los documentos de la organizacin 15.1.3 Proteccin de los documentos de la organizacin
18.1.4 Proteccin de datos y privacidad de la informacin de carcter personal 15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal
18.1.5 Regulacin de los controles criptogrficos 15.1.6 Regulacin de los controles criptogrficos
Page 2 of 3
243425118.xls.ms_office
ISO 27001:2013 ISO 27001:2005
18.2 Revisiones de seguridad de la informacin
18.2.1 Revisin independiente de la seguridad de la informacin 6.1.8 Revisin independiente de la seguridad de la informacin
18.2.2 Cumplimiento de las polticas y normas de seguridad 15.2.1 Cumplimiento de las polticas y normas de seguridad
18.2.3 Comprobacin del cumplimiento tcnico 15.2.2. Comprobacin del cumplimiento tcnico
6.1.1 Compromiso de la Direccin con la seguridad de la informacin Requisito de la ISO/IEC 27001.
6.1.2 Coordinacin de la seguridad de la informacin Requisito de la ISO/IEC 27001. Norma ISO/IEC 27003.
6.1.4 Proceso de autorizacin de recursos para el tratamiento de la informacin Requisito de la ISO/IEC 27001 (6.1.1).
6.2.1 Identificacin de los riesgos derivados del acceso de terceros Requisito de la ISO/IEC 27001. Parte del anlisis y tratamiento de los riesgos.
6.2.2 Tratamiento de la seguridad en la relacin con los clientes Requisito de la ISO/IEC 27001. Parte del anlisis y tratamiento de los riesgos.
10.2.1 Provisin de servicios Requisito de la ISO/IEC 27001 (8.1).
10.7.4 Seguridad de la documentacin del sistema
Se ha eliminado debido a que la documentacin del sistema es slo otra forma de activo que
requiere proteccin.
10.8.5 Sistemas de informacin empresariales Puede ser un activo ms.
11.4.2 Autenticacin de usuario para conexiones externas Control 9.1.1.
11.4.3 Identificacin de los equipos en las redes Control 13.1.3.
11.4.4 Diagnstico remoto y proteccin de los puertos de configuracin Controles 9.1.1 y 13.1.3.
11.4.6 Control de la conexin a la red Control 13.1.3.
11.4.7 Control de encaminamiento (routing) de red Control 13.1.3.
11.6.2 Aislamiento de sistemas sensibles
En un mundo interconectado tal control contradice el objetivo. Sin embargo, todava puede
aplicar en ciertos casos.
12.2.1 Validacin de los datos de entrada
La validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las
interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control
14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC
27002 (p.e. OWASP).
12.2.2 Control del procesamiento interno
La validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las
interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control
14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC
27002 (p.e. OWASP).
12.2.3 Integridad de los mensajes Duplicado con el control 13.2.1.
12.2.4 Validacin de los datos de salida
La validacin de datos de entrada es slo un pequeo aspecto de la proteccin de las
interfaces web de los ataques, como la inyeccin SQL. Se toca parcialmente en el control
14.2.5, pero estas tcnicas se encuentran fuera del mbito de aplicacin de la norma ISO/IEC
27002 (p.e. OWASP).
12.5.4 Fugas de informacin Controles 8.3.2, 11.2.1, 12.2.1, 12.6.2 y 13.2.4.
15.1.5 Prevencin del uso indebido de los recursos de tratamiento de la informacin Controles 9.4.2 y 18.2.1.
15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacin Puede ser un activo ms.
Page 3 of 3