ISO/IEC 27001:2022
Norma internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Define los requisitos para establecer, implementar, mantener y mejorar continuamente la seguridad de la información.
23 requisitos
4.1Comprensión de la organización y su contexto
Determinar cuestiones internas y externas relevantes para el SGSI.
4.2Necesidades y expectativas de las partes interesadas
Identificar partes interesadas y sus requisitos relevantes para la seguridad de la información.
4.3Alcance del SGSI
Determinar y documentar los límites y la aplicabilidad del SGSI.
4.4Sistema de gestión de seguridad de la información
Establecer, implementar, mantener y mejorar continuamente el SGSI.
5.1Liderazgo y compromiso
La alta dirección demuestra liderazgo y compromiso con el SGSI.
5.2Política de seguridad de la información
Establecer una política de seguridad apropiada al propósito de la organización.
5.3Roles, responsabilidades y autoridades
Asignar y comunicar responsabilidades y autoridades para la seguridad.
6.1Acciones para tratar riesgos y oportunidades
Apreciación y tratamiento de riesgos de seguridad de la información.
6.2Objetivos de seguridad y planificación
Establecer objetivos de seguridad medibles y planificar cómo lograrlos.
6.3Planificación de cambios
Los cambios en el SGSI se realizan de forma planificada.
7.1Recursos
Proporcionar los recursos necesarios para el SGSI.
7.2Competencia
Asegurar la competencia del personal que afecta al desempeño del SGSI.
7.3Concienciación
El personal es consciente de la política y su contribución al SGSI.
7.4Comunicación
Determinar las comunicaciones internas y externas relevantes para el SGSI.
7.5Información documentada
Crear, controlar y mantener la información documentada del SGSI.
8.1Planificación y control operacional
Planificar, implementar y controlar los procesos para cumplir los requisitos.
8.2Apreciación de riesgos de seguridad
Realizar apreciaciones de riesgos a intervalos planificados.
8.3Tratamiento de riesgos de seguridad
Implementar el plan de tratamiento de riesgos.
9.1Seguimiento, medición, análisis y evaluación
Evaluar el desempeño de la seguridad y la eficacia del SGSI.
9.2Auditoría interna
Realizar auditorías internas a intervalos planificados.
9.3Revisión por la dirección
La alta dirección revisa el SGSI para asegurar su conveniencia y eficacia.
10.1Mejora continua
Mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
10.2No conformidad y acción correctiva
Reaccionar ante no conformidades y aplicar acciones correctivas.
37 requisitos
A.5.1Políticas de seguridad de la información
Definir, aprobar y comunicar un conjunto de políticas de seguridad.
A.5.2Roles y responsabilidades de seguridad
Definir y asignar las responsabilidades de seguridad de la información.
8 requisitos
A.6.1Investigación de antecedentes
Verificar antecedentes de los candidatos antes de la contratación.
A.6.2Términos y condiciones de empleo
Los contratos recogen las responsabilidades de seguridad.
A.6.3Concienciación, educación y formación
Formar al personal en seguridad de la información de forma periódica.
14 requisitos
A.7.1Perímetros de seguridad física
Definir perímetros para proteger las áreas con información sensible.
A.7.2Controles de entrada física
Proteger las áreas seguras con controles de entrada adecuados.
34 requisitos
A.8.1Dispositivos de usuario final
Proteger la información en los dispositivos de usuario.
A.8.2Derechos de acceso privilegiado
Restringir y controlar la asignación de accesos privilegiados.
A.8.3Restricción del acceso a la información
Restringir el acceso a la información según la política de control de acceso.
A.5.3Segregación de funciones
Separar funciones y áreas de responsabilidad en conflicto.
A.5.4Responsabilidades de la dirección
La dirección exige aplicar la seguridad según las políticas establecidas.
A.5.5Contacto con autoridades
Mantener contacto con las autoridades pertinentes.
A.5.6Contacto con grupos de interés especial
Mantener contacto con foros y asociaciones profesionales de seguridad.
A.5.7Inteligencia de amenazas
Recopilar y analizar información sobre amenazas de seguridad.
A.5.8Seguridad de la información en la gestión de proyectos
Integrar la seguridad en la gestión de proyectos.
A.5.9Inventario de información y activos asociados
Elaborar y mantener un inventario de información y activos con responsables.
A.5.10Uso aceptable de la información y los activos
Establecer reglas para el uso aceptable de información y activos.
A.5.11Devolución de activos
El personal devuelve los activos al finalizar la relación.
A.5.12Clasificación de la información
Clasificar la información según su criticidad y sensibilidad.
A.5.13Etiquetado de la información
Etiquetar la información conforme al esquema de clasificación.
A.5.14Transferencia de información
Proteger la transferencia de información por todo tipo de medios.
A.5.15Control de acceso
Establecer reglas de control de acceso lógico y físico.
A.5.16Gestión de identidades
Gestionar el ciclo de vida completo de las identidades.
A.5.17Información de autenticación
Controlar la asignación y gestión de la información de autenticación.
A.5.18Derechos de acceso
Aprovisionar, revisar y revocar derechos de acceso.
A.5.19Seguridad en las relaciones con proveedores
Gestionar los riesgos de seguridad asociados a proveedores.
A.5.20Seguridad en los acuerdos con proveedores
Incluir requisitos de seguridad en los acuerdos con proveedores.
A.5.21Gestión de la seguridad en la cadena de suministro TIC
Gestionar riesgos en la cadena de suministro de productos y servicios TIC.
A.5.22Seguimiento y cambios en servicios de proveedores
Supervisar, revisar y gestionar cambios en los servicios de proveedores.
A.5.23Seguridad en el uso de servicios en la nube
Gestionar la seguridad en la adquisición, uso y salida de servicios cloud.
A.5.24Planificación de la gestión de incidentes
Planificar y preparar la gestión de incidentes de seguridad.
A.5.25Evaluación y decisión sobre eventos de seguridad
Evaluar eventos y decidir si son incidentes de seguridad.
A.5.26Respuesta a incidentes de seguridad
Responder a los incidentes según procedimientos documentados.
A.5.27Aprendizaje de los incidentes
Usar el conocimiento de incidentes para reforzar los controles.
A.5.28Recopilación de evidencias
Identificar, recopilar y preservar evidencias de incidentes.
A.5.29Seguridad de la información durante la disrupción
Mantener la seguridad durante interrupciones del negocio.
A.5.30Preparación TIC para la continuidad de negocio
Asegurar la disponibilidad de las TIC para la continuidad de negocio.
A.5.31Requisitos legales, reglamentarios y contractuales
Identificar y cumplir los requisitos legales y contractuales aplicables.
A.5.32Derechos de propiedad intelectual
Proteger los derechos de propiedad intelectual.
A.5.33Protección de registros
Proteger los registros frente a pérdida, destrucción y falsificación.
A.5.34Privacidad y protección de datos personales (PII)
Garantizar la privacidad y protección de la información personal.
A.5.35Revisión independiente de la seguridad
Revisar de forma independiente el enfoque de seguridad de la organización.
A.5.36Cumplimiento de políticas y normas de seguridad
Verificar el cumplimiento de las políticas y estándares de seguridad.
A.5.37Procedimientos operativos documentados
Documentar los procedimientos operativos de las instalaciones de tratamiento.
A.6.4Proceso disciplinario
Establecer un proceso disciplinario por incumplimientos de seguridad.
A.6.5Responsabilidades tras el cese o cambio de empleo
Definir responsabilidades de seguridad que perduran tras el cese.
A.6.6Acuerdos de confidencialidad
Firmar acuerdos de confidencialidad o no divulgación.
A.6.7Trabajo en remoto
Proteger la información en el trabajo remoto.
A.6.8Notificación de eventos de seguridad
Habilitar canales para que el personal notifique eventos de seguridad.
A.7.3Seguridad de oficinas, despachos e instalaciones
Diseñar y aplicar seguridad física a oficinas e instalaciones.
A.7.4Monitorización de la seguridad física
Vigilar continuamente las instalaciones frente a accesos no autorizados.
A.7.5Protección frente a amenazas físicas y ambientales
Proteger frente a amenazas como incendios, inundaciones o desastres.
A.7.6Trabajo en áreas seguras
Aplicar medidas de seguridad para el trabajo en áreas seguras.
A.7.7Puesto de trabajo despejado y pantalla limpia
Política de mesas despejadas y bloqueo de pantallas.
A.7.8Ubicación y protección de equipos
Ubicar y proteger los equipos para reducir riesgos.
A.7.9Seguridad de activos fuera de las instalaciones
Proteger los activos utilizados fuera de las instalaciones.
A.7.10Soportes de almacenamiento
Gestionar el ciclo de vida de los soportes de almacenamiento.
A.7.11Servicios de suministro (utilities)
Proteger los equipos frente a fallos del suministro eléctrico y servicios.
A.7.12Seguridad del cableado
Proteger el cableado de energía y telecomunicaciones.
A.7.13Mantenimiento de equipos
Mantener correctamente los equipos para asegurar su disponibilidad.
A.7.14Eliminación o reutilización segura de equipos
Eliminar o reutilizar equipos garantizando el borrado de datos.
A.8.4Acceso al código fuente
Gestionar el acceso de lectura y escritura al código fuente.
A.8.5Autenticación segura
Implementar tecnologías de autenticación segura (p. ej. MFA).
A.8.6Gestión de la capacidad
Supervisar y ajustar el uso de recursos para cumplir el rendimiento.
A.8.7Protección frente a código malicioso
Proteger los sistemas frente a malware con controles adecuados.
A.8.8Gestión de vulnerabilidades técnicas
Identificar y remediar vulnerabilidades técnicas de forma oportuna.
A.8.9Gestión de la configuración
Establecer y mantener configuraciones seguras de hardware y software.
A.8.10Borrado de información
Borrar la información cuando ya no es necesaria.
A.8.11Enmascaramiento de datos
Aplicar técnicas de enmascaramiento de datos según la política.
A.8.12Prevención de fuga de datos
Aplicar medidas de prevención de fuga de información (DLP).
A.8.13Copias de seguridad
Realizar y probar copias de seguridad de la información.
A.8.14Redundancia de los recursos de tratamiento
Implementar redundancia para cumplir los requisitos de disponibilidad.
A.8.15Registro de actividad (logging)
Generar, almacenar y proteger registros de eventos.
A.8.16Actividades de monitorización
Monitorizar redes, sistemas y aplicaciones para detectar anomalías.
A.8.17Sincronización de relojes
Sincronizar los relojes de los sistemas con una fuente fiable.
A.8.18Uso de programas de utilidad privilegiados
Restringir y controlar el uso de utilidades con privilegios.
A.8.19Instalación de software en sistemas operativos
Gestionar de forma segura la instalación de software en producción.
A.8.20Seguridad de las redes
Proteger y gestionar las redes y sus dispositivos.
A.8.21Seguridad de los servicios de red
Identificar y aplicar mecanismos de seguridad de los servicios de red.
A.8.22Segregación de redes
Segregar grupos de servicios, usuarios y sistemas en la red.
A.8.23Filtrado web
Gestionar el acceso a sitios web externos para reducir la exposición.
A.8.24Uso de criptografía
Definir y aplicar reglas para el uso de la criptografía y las claves.
A.8.25Ciclo de vida de desarrollo seguro
Establecer reglas para el desarrollo seguro de software y sistemas.
A.8.26Requisitos de seguridad de las aplicaciones
Identificar y aprobar requisitos de seguridad de las aplicaciones.
A.8.27Arquitectura y principios de ingeniería segura
Aplicar principios de ingeniería de sistemas seguros.
A.8.28Codificación segura
Aplicar principios de codificación segura en el desarrollo.
A.8.29Pruebas de seguridad en desarrollo y aceptación
Definir y realizar pruebas de seguridad durante el desarrollo.
A.8.30Desarrollo externalizado
Dirigir y supervisar la seguridad del desarrollo subcontratado.
A.8.31Separación de entornos de desarrollo, prueba y producción
Separar los entornos para reducir riesgos sobre producción.
A.8.32Gestión de cambios
Someter los cambios a procedimientos de control de cambios.
A.8.33Información de prueba
Seleccionar y proteger adecuadamente la información de prueba.
A.8.34Protección de sistemas durante auditorías
Planificar las pruebas de auditoría para minimizar el impacto operativo.