ISO 27001: Gestión de Seguridad de la Información

Especifica requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (ISMS).

SD-000000000001 Active

ISO 27001: Gestión de Seguridad de la Información

Versión: 935 • Publicado: 2022-10-25

ISO 27001 ayuda a las organizaciones a gestionar la seguridad de activos como información financiera, propiedad intelectual, datos de empleados o información confiada por terceros. Proporciona un enfoque sistemático para gestionar información sensible de la empresa para mantenerla segura.

Introducción y Alcance

1

CA-000000000007

Descripción general, propósito y aplicabilidad del estándar.

4 Contexto de la organización

2

CA-000000000008

Comprender la organización y su contexto para establecer un SGSI eficaz.

4.1 Understanding the organization and its context

PC-000000000201

1

This practice implements clause '4.1 Understanding the organization and its context' of the ISO 27001 standard.

4.2 Understanding the needs and expectations of interested parties

PC-000000000202

2

This practice implements clause '4.2 Understanding the needs and expectations of interested parties' of the ISO 27001 standard.

4.3 Determining the scope of the information security management system

PC-000000000203

3

This practice implements clause '4.3 Determining the scope of the information security management system' of the ISO 27001 standard.

4.4 Information Security Management System

PC-000000000001

4

This practice implements clause '4.4 Information Security Management System' of the ISO 27001 standard.

5 Liderazgo

3

CA-000000000009

Papel de la alta dirección en el apoyo y guía del SGSI.

5.1 Leadership and Commitment

PC-000000000002

1

This practice implements clause '5.1 Leadership and Commitment' of the ISO 27001 standard.

Control 5.1 Políticas de seguridad de la información

CT-000000000001

Resumen del control '5.1 Políticas de seguridad de la información' de la norma ISO/IEC 27001:2022.

Control 5.2 Funciones y responsabilidades de seguridad de la información

CT-000000000002

Resumen del control '5.2 Funciones y responsabilidades de seguridad de la información' de la norma ISO/IEC 27001:2022.

Control 5.3 Separación de funciones

CT-000000000003

Resumen del control '5.3 Separación de funciones' de la norma ISO/IEC 27001:2022.

Control 5.4 Responsabilidades de gestión

CT-000000000004

Resumen del control '5.4 Responsabilidades de gestión' de la norma ISO/IEC 27001:2022.

Control 5.5 Contacto con las autoridades

CT-000000000005

Resumen del control '5.5 Contacto con las autoridades' de la norma ISO/IEC 27001:2022.

Control 5.6 Contacto con grupos de interés especial

CT-000000000006

Resumen del control '5.6 Contacto con grupos de interés especial' de la norma ISO/IEC 27001:2022.

Control 5.7 Inteligencia de amenazas

CT-000000000007

Resumen del control '5.7 Inteligencia de amenazas' de la norma ISO/IEC 27001:2022.

Control 5.8 Seguridad en la gestión de proyectos

CT-000000000008

Resumen del control '5.8 Seguridad en la gestión de proyectos' de la norma ISO/IEC 27001:2022.

Control 5.9 Inventario de activos

CT-000000000009

Resumen del control '5.9 Inventario de activos' de la norma ISO/IEC 27001:2022.

Control 5.10 Uso aceptable de la información

CT-000000000010

Resumen del control '5.10 Uso aceptable de la información' de la norma ISO/IEC 27001:2022.

Control 5.11 Devolución de activos

CT-000000000011

Resumen del control '5.11 Devolución de activos' de la norma ISO/IEC 27001:2022.

Control 5.12 Clasificación de la información

CT-000000000012

Resumen del control '5.12 Clasificación de la información' de la norma ISO/IEC 27001:2022.

Control 5.13 Etiquetado de la información

CT-000000000013

Resumen del control '5.13 Etiquetado de la información' de la norma ISO/IEC 27001:2022.

Control 5.14 Transferencia de información

CT-000000000014

Resumen del control '5.14 Transferencia de información' de la norma ISO/IEC 27001:2022.

Control 5.15 Control de acceso

CT-000000000015

Resumen del control '5.15 Control de acceso' de la norma ISO/IEC 27001:2022.

Control 5.16 Gestión de identidades

CT-000000000016

Resumen del control '5.16 Gestión de identidades' de la norma ISO/IEC 27001:2022.

Control 5.17 Información de autenticación

CT-000000000017

Resumen del control '5.17 Información de autenticación' de la norma ISO/IEC 27001:2022.

Control 5.18 Derechos de acceso

CT-000000000018

Resumen del control '5.18 Derechos de acceso' de la norma ISO/IEC 27001:2022.

Control 5.19 Seguridad en relaciones con proveedores

CT-000000000019

Resumen del control '5.19 Seguridad en relaciones con proveedores' de la norma ISO/IEC 27001:2022.

Control 5.20 Seguridad en acuerdos con proveedores

CT-000000000020

Resumen del control '5.20 Seguridad en acuerdos con proveedores' de la norma ISO/IEC 27001:2022.

Control 5.21 Seguridad en la cadena de suministro TIC

CT-000000000021

Resumen del control '5.21 Seguridad en la cadena de suministro TIC' de la norma ISO/IEC 27001:2022.

Control 5.22 Gestión de cambios de servicios de proveedores

CT-000000000022

Resumen del control '5.22 Gestión de cambios de servicios de proveedores' de la norma ISO/IEC 27001:2022.

Control 5.23 Seguridad en servicios en la nube

CT-000000000023

Resumen del control '5.23 Seguridad en servicios en la nube' de la norma ISO/IEC 27001:2022.

Control 5.24 Gestión de incidentes

CT-000000000024

Resumen del control '5.24 Gestión de incidentes' de la norma ISO/IEC 27001:2022.

Control 5.25 Evaluación de eventos de seguridad

CT-000000000025

Resumen del control '5.25 Evaluación de eventos de seguridad' de la norma ISO/IEC 27001:2022.

Control 5.26 Respuesta a incidentes de seguridad de la información

CT-000000000026

Resumen del control '5.26 Respuesta a incidentes de seguridad de la información' de la norma ISO/IEC 27001:2022.

Control 5.27 Aprender de los incidentes de seguridad de la información

CT-000000000027

Resumen del control '5.27 Aprender de los incidentes de seguridad de la información' de la norma ISO/IEC 27001:2022.

Control 5.28 Obtención de pruebas

CT-000000000028

Resumen del control '5.28 Obtención de pruebas' de la norma ISO/IEC 27001:2022.

Control 5.29 Seguridad durante la interrupción

CT-000000000029

Resumen del control '5.29 Seguridad durante la interrupción' de la norma ISO/IEC 27001:2022.

Control 5.30 Continuidad de TIC

CT-000000000030

Resumen del control '5.30 Continuidad de TIC' de la norma ISO/IEC 27001:2022.

Control 5.31 Requisitos legales y contractuales

CT-000000000031

Resumen del control '5.31 Requisitos legales y contractuales' de la norma ISO/IEC 27001:2022.

Control 5.32 Propiedad intelectual

CT-000000000032

Resumen del control '5.32 Propiedad intelectual' de la norma ISO/IEC 27001:2022.

Control 5.33 Protección de registros

CT-000000000033

Resumen del control '5.33 Protección de registros' de la norma ISO/IEC 27001:2022.

Control 5.34 Protección de la privacidad y PII

CT-000000000034

Resumen del control '5.34 Protección de la privacidad y PII' de la norma ISO/IEC 27001:2022.

Control 5.35 Examen independiente de seguridad

CT-000000000035

Resumen del control '5.35 Examen independiente de seguridad' de la norma ISO/IEC 27001:2022.

Control 5.36 Cumplimiento de políticas y reglas

CT-000000000036

Resumen del control '5.36 Cumplimiento de políticas y reglas' de la norma ISO/IEC 27001:2022.

Control 5.37 Procedimientos operativos documentados

CT-000000000037

Resumen del control '5.37 Procedimientos operativos documentados' de la norma ISO/IEC 27001:2022.

5.2 Policy

PC-000000000003

2

This practice implements clause '5.2 Policy' of the ISO 27001 standard.

6 Planificación

4

CA-000000000010

Identificar riesgos y oportunidades para planificar el SGSI de forma eficaz.

6.1 Actions to Address Risks and Opportunities

PC-000000000005

1

This practice implements clause '6.1 Actions to Address Risks and Opportunities' of the ISO 27001 standard.

Control 6.1 Chequeo

CT-000000000038

Resumen del control '6.1 Chequeo' de la norma ISO/IEC 27001:2022.

Control 6.2 Términos y condiciones de empleo

CT-000000000039

Resumen del control '6.2 Términos y condiciones de empleo' de la norma ISO/IEC 27001:2022.

Control 6.3 Concienciación y formación en seguridad

CT-000000000040

Resumen del control '6.3 Concienciación y formación en seguridad' de la norma ISO/IEC 27001:2022.

Control 6.4 Proceso disciplinario

CT-000000000041

Resumen del control '6.4 Proceso disciplinario' de la norma ISO/IEC 27001:2022.

Control 6.5 Responsabilidades tras cambio o salida

CT-000000000042

Resumen del control '6.5 Responsabilidades tras cambio o salida' de la norma ISO/IEC 27001:2022.

Control 6.6 Acuerdos de confidencialidad

CT-000000000043

Resumen del control '6.6 Acuerdos de confidencialidad' de la norma ISO/IEC 27001:2022.

Control 6.7 Trabajo remoto

CT-000000000044

Resumen del control '6.7 Trabajo remoto' de la norma ISO/IEC 27001:2022.

Control 6.8 Informes de eventos de seguridad

CT-000000000045

Resumen del control '6.8 Informes de eventos de seguridad' de la norma ISO/IEC 27001:2022.

6.2 Information Security Objectives and Planning

PC-000000000006

2

This practice implements clause '6.2 Information Security Objectives and Planning' of the ISO 27001 standard.

5.3 Organizational Roles, Responsibilities and Authorities

PC-000000000004

3

This practice implements clause '5.3 Organizational Roles, Responsibilities and Authorities' of the ISO 27001 standard.

7 Apoyo

5

CA-000000000011

Recursos y documentación necesarios para mantener el SGSI.

7.1 Resources

PC-000000000007

1

This practice implements clause '7.1 Resources' of the ISO 27001 standard.

Control 7.1 Perímetros físicos de seguridad

CT-000000000046

Resumen del control '7.1 Perímetros físicos de seguridad' de la norma ISO/IEC 27001:2022.

Control 7.2 Entrada física

CT-000000000047

Resumen del control '7.2 Entrada física' de la norma ISO/IEC 27001:2022.

Control 7.3 Seguridad en oficinas e instalaciones

CT-000000000048

Resumen del control '7.3 Seguridad en oficinas e instalaciones' de la norma ISO/IEC 27001:2022.

Control 7.4 Monitoreo físico

CT-000000000049

Resumen del control '7.4 Monitoreo físico' de la norma ISO/IEC 27001:2022.

Control 7.5 Protección contra amenazas físicas y ambientales

CT-000000000050

Resumen del control '7.5 Protección contra amenazas físicas y ambientales' de la norma ISO/IEC 27001:2022.

Control 7.6 Trabajar en zonas seguras

CT-000000000051

Resumen del control '7.6 Trabajar en zonas seguras' de la norma ISO/IEC 27001:2022.

Control 7.7 Escritorio claro y pantalla clara

CT-000000000052

Resumen del control '7.7 Escritorio claro y pantalla clara' de la norma ISO/IEC 27001:2022.

Control 7.8 Emplazamiento y protección de equipos

CT-000000000053

Resumen del control '7.8 Emplazamiento y protección de equipos' de la norma ISO/IEC 27001:2022.

Control 7.9 Seguridad de activos fuera de instalaciones

CT-000000000054

Resumen del control '7.9 Seguridad de activos fuera de instalaciones' de la norma ISO/IEC 27001:2022.

Control 7.10 Medios de almacenamiento

CT-000000000055

Resumen del control '7.10 Medios de almacenamiento' de la norma ISO/IEC 27001:2022.

Control 7.11 Utilidades de apoyo

CT-000000000056

Resumen del control '7.11 Utilidades de apoyo' de la norma ISO/IEC 27001:2022.

Control 7.12 Seguridad del cableado

CT-000000000057

Resumen del control '7.12 Seguridad del cableado' de la norma ISO/IEC 27001:2022.

Control 7.13 Mantenimiento de equipos

CT-000000000058

Resumen del control '7.13 Mantenimiento de equipos' de la norma ISO/IEC 27001:2022.

Control 7.14 Eliminación segura o reutilización de equipos

CT-000000000059

Resumen del control '7.14 Eliminación segura o reutilización de equipos' de la norma ISO/IEC 27001:2022.

7.2 Competence

PC-000000000008

2

This practice implements clause '7.2 Competence' of the ISO 27001 standard.

7.3 Awareness

PC-000000000009

3

This practice implements clause '7.3 Awareness' of the ISO 27001 standard.

7.4 Communication

PC-000000000010

4

This practice implements clause '7.4 Communication' of the ISO 27001 standard.

7.5.1 General Documented Information

PC-000000000011

6

This practice implements clause '7.5.1 General Documented Information' of the ISO 27001 standard.

7.5.2 Creating and Updating Documented Information

PC-000000000012

7

This practice implements clause '7.5.2 Creating and Updating Documented Information' of the ISO 27001 standard.

7.5.3 Control of Documented Information

PC-000000000013

8

This practice implements clause '7.5.3 Control of Documented Information' of the ISO 27001 standard.

8 Operación

6

CA-000000000012

Ejecución de planes y controles para la seguridad de la información.

8.1 Operational Planning and Control

PC-000000000014

1

This practice implements clause '8.1 Operational Planning and Control' of the ISO 27001 standard.

Control 8.1 Dispositivos de punto final

CT-000000000060

Resumen del control '8.1 Dispositivos de punto final' de la norma ISO/IEC 27001:2022.

Control 8.2 Derechos de acceso privilegiado

CT-000000000061

Resumen del control '8.2 Derechos de acceso privilegiado' de la norma ISO/IEC 27001:2022.

Control 8.3 Restricción de acceso a la información

CT-000000000062

Resumen del control '8.3 Restricción de acceso a la información' de la norma ISO/IEC 27001:2022.

Control 8.4 Acceso al código fuente

CT-000000000063

Resumen del control '8.4 Acceso al código fuente' de la norma ISO/IEC 27001:2022.

Control 8.5 Autenticación segura

CT-000000000064

Resumen del control '8.5 Autenticación segura' de la norma ISO/IEC 27001:2022.

Control 8.6 Gestión de la capacidad

CT-000000000065

Resumen del control '8.6 Gestión de la capacidad' de la norma ISO/IEC 27001:2022.

Control 8.7 Protección contra malware

CT-000000000066

Resumen del control '8.7 Protección contra malware' de la norma ISO/IEC 27001:2022.

Control 8.8 Gestión de vulnerabilidades técnicas

CT-000000000067

Resumen del control '8.8 Gestión de vulnerabilidades técnicas' de la norma ISO/IEC 27001:2022.

Control 8.9 Gestión de la configuración

CT-000000000068

Resumen del control '8.9 Gestión de la configuración' de la norma ISO/IEC 27001:2022.

Control 8.10 Eliminación de información

CT-000000000069

Resumen del control '8.10 Eliminación de información' de la norma ISO/IEC 27001:2022.

Control 8.11 Enmascaramiento de datos

CT-000000000070

Resumen del control '8.11 Enmascaramiento de datos' de la norma ISO/IEC 27001:2022.

Control 8.12 Prevención de fuga de datos

CT-000000000071

Resumen del control '8.12 Prevención de fuga de datos' de la norma ISO/IEC 27001:2022.

Control 8.13 Copias de seguridad

CT-000000000072

Resumen del control '8.13 Copias de seguridad' de la norma ISO/IEC 27001:2022.

Control 8.14 Redundancia en procesamiento de información

CT-000000000073

Resumen del control '8.14 Redundancia en procesamiento de información' de la norma ISO/IEC 27001:2022.

Control 8.15 Registro de eventos

CT-000000000074

Resumen del control '8.15 Registro de eventos' de la norma ISO/IEC 27001:2022.

Control 8.16 Supervisión de actividades

CT-000000000075

Resumen del control '8.16 Supervisión de actividades' de la norma ISO/IEC 27001:2022.

Control 8.17 Sincronización del reloj

CT-000000000076

Resumen del control '8.17 Sincronización del reloj' de la norma ISO/IEC 27001:2022.

Control 8.18 Uso de programas de utilidad privilegiados

CT-000000000077

Resumen del control '8.18 Uso de programas de utilidad privilegiados' de la norma ISO/IEC 27001:2022.

Control 8.19 Instalación de software en sistemas operativos

CT-000000000078

Resumen del control '8.19 Instalación de software en sistemas operativos' de la norma ISO/IEC 27001:2022.

Control 8.20 Seguridad de redes

CT-000000000079

Resumen del control '8.20 Seguridad de redes' de la norma ISO/IEC 27001:2022.

Control 8.21 Seguridad de servicios de red

CT-000000000080

Resumen del control '8.21 Seguridad de servicios de red' de la norma ISO/IEC 27001:2022.

Control 8.22 Segregación de redes

CT-000000000081

Resumen del control '8.22 Segregación de redes' de la norma ISO/IEC 27001:2022.

Control 8.23 Filtrado web

CT-000000000082

Resumen del control '8.23 Filtrado web' de la norma ISO/IEC 27001:2022.

Control 8.24 Uso de criptografía

CT-000000000083

Resumen del control '8.24 Uso de criptografía' de la norma ISO/IEC 27001:2022.

Control 8.25 Ciclo de vida de desarrollo seguro

CT-000000000084

Resumen del control '8.25 Ciclo de vida de desarrollo seguro' de la norma ISO/IEC 27001:2022.

Control 8.26 Requisitos de seguridad de las aplicaciones

CT-000000000085

Resumen del control '8.26 Requisitos de seguridad de las aplicaciones' de la norma ISO/IEC 27001:2022.

Control 8.27 Arquitectura de sistemas seguros

CT-000000000086

Resumen del control '8.27 Arquitectura de sistemas seguros' de la norma ISO/IEC 27001:2022.

Control 8.28 Codificación segura

CT-000000000087

Resumen del control '8.28 Codificación segura' de la norma ISO/IEC 27001:2022.

Control 8.29 Pruebas de seguridad en desarrollo y aceptación

CT-000000000088

Resumen del control '8.29 Pruebas de seguridad en desarrollo y aceptación' de la norma ISO/IEC 27001:2022.

Control 8.30 Desarrollo externalizado

CT-000000000089

Resumen del control '8.30 Desarrollo externalizado' de la norma ISO/IEC 27001:2022.

Control 8.31 Separación de entornos de desarrollo, prueba y producción

CT-000000000090

Resumen del control '8.31 Separación de entornos de desarrollo, prueba y producción' de la norma ISO/IEC 27001:2022.

Control 8.32 Gestión del cambio

CT-000000000091

Resumen del control '8.32 Gestión del cambio' de la norma ISO/IEC 27001:2022.

Control 8.33 Información de la prueba

CT-000000000092

Resumen del control '8.33 Información de la prueba' de la norma ISO/IEC 27001:2022.

Control 8.34 Protección de sistemas en pruebas de auditoría

CT-000000000093

Resumen del control '8.34 Protección de sistemas en pruebas de auditoría' de la norma ISO/IEC 27001:2022.

8.2 Information Security Risk Assessment

PC-000000000015

2

This practice implements clause '8.2 Information Security Risk Assessment' of the ISO 27001 standard.

8.3 Information Security Risk Treatment

PC-000000000016

3

This practice implements clause '8.3 Information Security Risk Treatment' of the ISO 27001 standard.

9 Evaluación del desempeño

7

CA-000000000013

Monitorear y evaluar el desempeño del SGSI para garantizar su eficacia.

9.1 Monitoring, Measurement, Analysis and Evaluation

PC-000000000017

1

This practice implements clause '9.1 Monitoring, Measurement, Analysis and Evaluation' of the ISO 27001 standard.

9.2.1 Internal Audit - General

PC-000000000018

3

This practice implements clause '9.2.1 Internal Audit - General' of the ISO 27001 standard.

9.2.2 Internal Audit Programme

PC-000000000019

4

This practice implements clause '9.2.2 Internal Audit Programme' of the ISO 27001 standard.

9.3.1 Management Review - General

PC-000000000020

6

This practice implements clause '9.3.1 Management Review - General' of the ISO 27001 standard.

9.3.2 Management Review Inputs

PC-000000000021

7

This practice implements clause '9.3.2 Management Review Inputs' of the ISO 27001 standard.

9.3.3 Management Review Results

PC-000000000022

8

This practice implements clause '9.3.3 Management Review Results' of the ISO 27001 standard.

10 Mejora

8

CA-000000000014

Mejora continua y tratamiento de no conformidades.

10.1 Continual Improvement

PC-000000000023

1

This practice implements clause '10.1 Continual Improvement' of the ISO 27001 standard.

10.2 Nonconformity and Corrective Action

PC-000000000024

2

This practice implements clause '10.2 Nonconformity and Corrective Action' of the ISO 27001 standard.