RN/ BP RAR 5.1.1. Documento de Poltica de SI 5.1.2. Revisin de la Poltica de SI 6.1.1. Compromiso de la Direccin para la Gestin de la SI 6.1.2. Coordinacin de la SI 6.1.3. Asignacin de responsabilidades para la SI 6.1.4. Proceso de autorizacin de recursos para el tratamiento de la informacin 6.1.5 Acuerdos de confidencialidad 6.1.6 Contacto con autoridades 6.1.7 Contacto con grupos de inters 6.1.8 Revisin independiente de la SI 6.2.1. Identificacin de riesgos relacionados con terceros 6.2.2. Requerimientos de seguridad en las relaciones con clientes 6.2.3. Requerimientos de Seguridad en contratos con terceros 7.1.1 Inventario de activos 7.1.2 Propietarios de activos 7.1.3 Uso aceptable de activos de informacin 7.2.1 Guas y directrices de clasificacin 7.2.2. Etiquetado y tratamiento de la Informacin 8.1.1. Roles y Responsabilidades 8.1.2. Investigacin de antecedentes 8.1.3. Trminos y condiciones de la relacin laboral 8.2.1. Gestin de responsabilidades 8.2.2. Concientizacin, formacin y entrenamiento en SI 8.2.3. Proceso Disciplinario 8.3.1. Responsabilidades en la finalizacin o cambio 8.3.2. Devolucin de activos 8.3.3. Eliminacin de los derechos de acceso Aplica Si/No Controles Seleccionados y Razones para su seleccin Observaciones para la Implantacin Justificacin de la exclusin Poltica de Seguridad 7.2. Clasificacin de la Informacin Controles de la ISO 27002:2005 Seguridad relativa a los Recursos Humanos 8.1. Previo a la contratacin 8.2. Durante la contratacin 8.3. A la finalizacin de la contratacin 5.1 Poltica de SI 6.1. Organizacin Interna 6.2. Grupos Externos Organizacin de la Seguridad de la Informacin 7.1. Responsabilidades de los Activos Gestin de Activos SOA - DECLARACIN DE APLICABILIDAD Dominio Objetivo Control RL OC RN/ BP RAR Aplica Si/No Controles Seleccionados y Razones para su seleccin Observaciones para la Implantacin Justificacin de la exclusin Poltica de Controles de la ISO 27002:2005 9.1.1. Permetro de Seguridad Fsica 9.1.2. Controles fsicos de Acceso 9.1.3. Seguridad de oficinas, salas e instalaciones 9.1.4. Proteccin contra amenazas externas y del entorno 9.1.5. Trabajo en reas seguras 9.1.6. reas pblicas, zonas de carga y descarga 9.2.1. Localizacin y proteccin del equipamiento 9.2.2. Instalaciones de suministro. Equipamiento de soporte 9.2.3. Seguridad del cableado 9.2.4. Mantenimiento de equipos 9.2.5. Seguridad del equipamiento fuera de las instalaciones 9.2.6. Reutilizacin o baja segura de equipos 9.2.7. Traslado de Propiedad 10.1.1. Documentacin de Procedimientos 10.1.2. Gestin de Cambios 10.1.3. Segregacin de Tareas y Responsabilidades 10.1.4. Separacin de actividades y recursos de desarrollo, prueba y operacin 10.2.1. Provisin de Servicios 10.2.2. Supervisin y revisin de Servicios de Terceros 10.2.3. Gestin de Cambios de Servicios de terceros 10.3.1. Gestin de Capacidades 10.3.2. Aceptacin de Sistemas 10.4.1. Controles contra Cdigo Malicioso 10.4.2. Controles contra Cdigo descargado por el cliente (mvil) 10.5. Copias de Seguridad 10.5.1. Copias de Seguridad 10.6.1. Controles de Redes 10.6.2. Seguridad de los Servicios de Red 10.7.1. Tratamiento de los soportes removibles 10.7.2. Baja de soportes 10.7.3. Procedimientos de manipulacin de la informacin 10.7.4. Seguridad de la Documentacin de Sistemas 9.1. reas Seguras 9.2. Equipamiento de Seguridad Seguridad Fsica y del Entorno 10.1. Procedimientos operacionales y Responsabilidades 10.2. Gestin de Servicios de Terceros Gestin de las Comunicaciones y Operaciones 10.3. Planificacin y aceptacin de Sistemas 10.4. Proteccin contra Cdigo Malicioso y Cdigo Mvil 10.6. Gestin de Seguridad de Redes 10.7. Tratamiento de los Medios de Soporte de la Informacin SOA - DECLARACIN DE APLICABILIDAD Dominio Objetivo Control RL OC RN/ BP RAR Aplica Si/No Controles Seleccionados y Razones para su seleccin Observaciones para la Implantacin Justificacin de la exclusin Poltica de Controles de la ISO 27002:2005 10.8.1. Polticas y procedimientos de intercambio de informacin 10.8.2. Acuerdos de Intercambio 10.8.3. Medios fsicos en trnsito 10.8.4. Mensajera Electrnica 10.8.5. Sistema de Informacin empresariales 10.9.1. Comercio Electrnico 10.9.2. Transacciones en lnea 10.9.3. Informacin puesta a disposicin pblica 10.10.1. Registros de auditora 10.10.2. Supervisin del uso del sistema 10.10.3. Proteccin de los registros de monitoreo 10.10.4. Responsables de Administracin y Operacin de registros de monitoreo 10.10.5. Registro de fallas 10.10.6. Sincronizacin de relojes 11.1. Requerimientos de Control de Accesos 11.1.1. Poltica de Control de Accesos 11.2.1. Registro de Usuarios 11.2.2. Gestin de Privilegios 11.2.3. Gestin de contraseas de usuarios 11.2.4. Revisin de derechos de accesos de los usuarios 11.3.1. Utilizacin de Contraseas 11.3.2. Equipamiento sin requerimientos de atencin de usuarios 11.3.3. Poltica de pantallas y puestos de trabajo limpios 11.4.1. Poltica de uso de Servicios de Red 11.4.2. Autenticacin de usuarios externos 11.4.3. Identificacin de equipos en las redes 11.4.4. Diagnstico remoto y Proteccin de puertos de configuracin 11.4.5. Segregacin de las redes 11.4.6. Control de Conexiones a redes 11.4.7. Control de Enrutamiento de redes 11.3. Responsabilidades de los usuarios Control de Accesos 11.4. Control de acceso a Redes 10.8. Intercambio de Informacin Gestin de las Comunicaciones y Operaciones (cont.) 10.9 Servicios de Comercio Electrnico 10.10. Monitoreo (Supervisin) 11.2. Gestin de Accesos de Usuarios SOA - DECLARACIN DE APLICABILIDAD Dominio Objetivo Control RL OC RN/ BP RAR Aplica Si/No Controles Seleccionados y Razones para su seleccin Observaciones para la Implantacin Justificacin de la exclusin Poltica de Controles de la ISO 27002:2005 11.5.1. Procesos seguros de inicio de sesin (log-on) 11.5.2. Identificacin y Autenticacin de usuarios 11.5.3. Sistema de Administracin de Contraseas 11.5.4. Uso de los recursos del sistema 11.5.5. Desconexin automtica de las sesiones de usuario (Timeout) 11.5.6. Lmite del tiempo de conexin 11.6.1. Restriccin de acceso a la informacin 11.6.2. Aislamiento de sistemas sensibles 11.7.1. Equipos de Trabajo y Comunicaciones mviles 11.7.2. Teletrabajo 12.1. Requirimientos de Seguridad de los Sistemas de Informacin 12.1.1. Anlisis y Especificaciones de Requisitos de Seguridad de los Sistemas de Informacin 12.2.1. Validacin de los datos de entrada 12.2.2. Control de Procesamiento interno 12.2.3. Integridad de los mensajes 12.2.4. Validacin de datos de salida 12.3.1. Poltica de uso de controles criptogrficos 12.3.2. Gestin de Claves 12.4.1. Control del Software en produccin (explotacin) 12.4.2. Proteccin de datos de pruebas de sistemas 12.4.3. Control de Accesos a la biblioteca de cdigo fuente 12.5.1. Procedimientos de Control de Cambios 12.5.2. Revisin Tcnica de los sistemas tras efectuar cambios en el Sistema Operativo 12.5.3. Restriccin de cambios en los paquetes de software 12.5.4. Fuga de Informacin 12.5.5. Proceso tercerizado de desarrollo de software 12.6. Vulnerabilidades Tcnicas 12.6.1. Control de Vulnerabilidades Tcnicas 13.1.1. Reportes de Incidentes 13.1.2. Reportes de Debilidades y Amenazas 13.2.1. Responsabilidades y Procedimientos 13.2.2. Aprendizaje de los Incidentes de SI 13.2.3. Recoleccin de Evidencias Control de Accesos (cont.) 12.5 Seguridad en los procesos de desarrollo y Soporte Gestin de Incidentes de Seguridad de Informacin 13.1. Reportes de Incidentes y Amenazas a la Seguridad 13.2. Gestin de Incidentes y Mejoras Adquisicin, Desarrollo y Mantenimiento de Sistemas 12.2. Procesamiento correcto en Aplicaciones 12.3. Control Criptogrfico 12.4. Seguridad de los archivos del sistema 11.5 Acceso al Sistema Operativo 11.7. Computacin Mvil y Teletrabajo 11.6. Control de acceso a las aplicaciones SOA - DECLARACIN DE APLICABILIDAD Dominio Objetivo Control RL OC RN/ BP RAR Aplica Si/No Controles Seleccionados y Razones para su seleccin Observaciones para la Implantacin Justificacin de la exclusin Poltica de Controles de la ISO 27002:2005 14.1.1. Inclusin de la SI en el Plan de Continuidad del Negocio 14.1.2. Continuidad del Negocio y Gestin de Riesgos 14.1.3. Desarrollo e implantacin de Planes de Continuidad que incluyan SI 14.1.4. Marco de referencia para los Planes de Continuidad del Negocio 14.1.5. Pruebas, mantenimiento y mejoras de los Planes de Continuidad del Negocio 15.1.1. Identificacin de las legislacin aplicable 15.1.2. Derechos de Propiedad Intelectual 15.1.3. Salvaguarda de los registros de la Organizacin 15.1.4. Proteccin de datos y privacidad de la informacin personal 15.1.5. Prevencin del uso indebido de recursos de tratamiento de la informacin 15.1.6. Regulacin para controles de criptografa 15.2.1. Conformidad con la poltica de seguridad 15.2.2. Chequeo de Conformidad Tcnica 15.3.1. Controles de Auditora de los Sistemas de Informacin 15.3.2. Proteccin de las herramientas de Auditora de los Sistemas de Informacin Referencias: Controles Seleccionados y Razones de su seleccin: RL: Requerimientos Legales, OC: Obligaciones Contractuales, RN/BP: Requerimientos del Negocio/Buenas Prcticas adoptadas, RAR: Resultados del Anlisis de Riesgos Justificacin de la Exclusin: Se indican posibles causas por las cuales la organizacin puede haber decidido no implementar el control Observaciones para la Implantacin: Se indican documentos o procesos que puede desarrollar la organizacin para la implantacin Conformidad Normativa y Legal 15.1. Conformidad Legal 15.2. Conformidad con Polticas de Seguridad y Estndares y Conformidad Tcnica 15.3. Consideraciones de auditora de los sistemas de informacin SI: Seguridad de la Informacin Gestin de la Continuidad del Negocio 14.1. Aspectos de la Seguridad de la Informacin para la Continuidad del Negocio