ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Transcripción

1 ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15 - A4.1 -

2 CONTROLES DEL ESTÁNDAR ISO/IEC 17799, SECCIONES 5 A POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1 Política de Seguridad de la Documentación de la política de seguridad Revisión y Evaluación 6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD 6.1 Comité de gestión de seguridad de la Comité de gestión de seguridad de la Coordinación de la seguridad de la Asignación de responsabilidades sobre seguridad de Proceso de autorización de recursos para el tratamiento de la Acuerdos de confidencialidad Contacto con autoridades Contacto con grupos de interés especial Revisión independiente de la seguridad de la 6.2 Seguridad en los accesos de terceras partes Identificación de riesgos por el acceso de terceros Requisitos de seguridad cuando sea trata con clientes Requisitos de seguridad en contratos de outsourcing 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS 7.1 Responsabilidad sobre los activos Inventario de activos Propiedad de los activos Uso adecuado de los activos 7.2 Clasificación de la Guías de clasificación Marcado y tratamiento de la 8. SEGURIDAD EN RECURSOS HUMANOS 8.1 Seguridad antes del empleo Inclusión de la seguridad en las responsabilidades y funciones laborales Selección y política de personal Acuerdos de confidencialidad 8.2 Durante el empleo Responsabilidades de la gerencia Conocimiento, educación y entrenamiento de la seguridad de Proceso disciplinario 8.3 Finalización o cambio del empleo Responsabilidades de finalización Retorno de activos Retiro de los derechos de acceso - A4.2 -

3 9. SEGURIDAD FÍSICA Y DEL ENTORNO 9.1 Áreas seguras Perímetro de seguridad física Controles físicos de entradas Seguridad de oficinas, despachos y recursos Protección contra amenazas externas y ambientales El trabajo en las áreas seguras Acceso publico, áreas de carga y descarga 9.2 Seguridad de los equipos Instalación y protección de equipos Suministro eléctrico Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la organización Seguridad en el rehúso o eliminación de equipos Retiro de la propiedad 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 10.1 Procedimientos y responsabilidades de operación Documentación de procedimientos operativos Gestión de Cambios Segregación de tareas Separación de los recursos para desarrollo y para producción 10.2 Gestión de servicios externos Servicio de entrega Monitoreo y revisión de los servicios externos Gestionando cambios para los servicios externos 10.3 Planificación y aceptación del sistema Planificación de la capacidad Aceptación del sistema 10.4 Protección contra software malicioso Medidas y controles contra software malicioso Medidas y controles contra código móvil 10.5 Gestión de respaldo y recuperación Recuperación de la 10.6 Gestión de seguridad en redes Controles de red Seguridad en los servicios de redes 10.7 Utilización de los medios de Gestión de medios removibles Eliminación de medios Procedimientos de manipulación de la Seguridad de la documentación de sistemas 10.8 Intercambio de Políticas y procedimientos para el intercambio de y software Acuerdos de Intercambio Medios físicos en tránsito Seguridad en la mensajería electrónica Sistemas de Información de Negocios 10.9 Servicios de correo electrónico Comercio Electrónico Transacciones en línea Información publica disponible Monitoreo Registro de la auditoría Monitoreando el uso del sistema Protección de la de registro Registro de administradores y operadores Registro de la avería Sincronización del reloj - A4.3 -

4 11. CONTROL DE ACCESOS 11.1 Requisitos de negocio para el control de accesos Política de control de accesos 11.2 Gestión de acceso de usuarios Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de los usuarios 11.3 Responsabilidades de los usuarios Uso de contraseñas Equipo informático de usuario desatendido Política de pantalla y escritorio limpio 11.4 Control de acceso a la red Política de uso de los servicios de la red Autentificación de usuario para conexiones externas Identificación de equipos en las redes Diagnostico remoto y configuración de protección de puertos Segregación en las redes Control de conexión a las redes Control de enrutamiento en la red 11.5 Control de acceso al sistema operativo Procedimientos de conexión de terminales Identificación y autenticación del usuario Sistema de gestión de contraseñas Utilización de las facilidades del sistema Desconexión automática de sesiones Limitación del tiempo de conexión 11.6 Control de acceso a las aplicaciones y la Restricción de acceso a la Aislamiento de sistemas sensibles 11.7 Informática móvil y teletrabajo Informática móvil y comunicaciones Teletrabajo 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 12.1 Requisitos de seguridad de los sistemas Análisis y especificación de los requisitos de seguridad 12.2 Seguridad de las aplicaciones del sistema Validación de los datos de entrada Control del proceso interno Integridad de mensajes Validación de los datos de salida 12.3 Controles criptográficos Política de uso de los controles criptográficos Gestión de claves 12.4 Seguridad de los archivos del sistema Control del software en producción Protección de los datos de prueba del sistema Control de acceso a los códigos de programas fuente 12.5 Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Revisión técnica de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Fuga de Información Desarrollo externo del software 12.6 Control de las vulnerabilidades técnicas - A4.4 -

5 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN 13.1 Reportando eventos y debilidades de la seguridad de Reportando los eventos en la seguridad de Reportando debilidades en la seguridad de 13.2 Gestión de las mejoras e incidentes en la seguridad de Responsabilidades y procedimientos Aprendiendo de los incidentes en la seguridad de Recolección de evidencia 14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO 14.1 Aspectos de la gestión de continuidad del negocio Incluyendo la seguridad de en el proceso de gestión de la continuidad del negocio Continuidad del negocio y evaluación de riesgos Redacción e implantación de planes de continuidad que incluyen la seguridad de Marco de planificación para la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad 15. CUMPLIMIENTO 15.1 Cumplimiento con los requisitos legales Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Salvaguarda de los registros de la organización Protección de los datos y de la privacidad de la personal Prevención en el mal uso de los recursos de tratamiento de la Regulación de los controles criptográficos 15.2 Revisiones de la política de seguridad y de la conformidad técnica Conformidad con la política de seguridad y los estándares Comprobación de la conformidad técnica 15.3 Consideraciones sobre la auditoría de sistemas Controles de auditoría de sistemas Protección de las herramientas de auditoría de sistemas - A4.5 -