INTEGRANTES: COBOS RODRIGUEZ JOSUE MIGUEL; MERO CONFORME JONATHAN JOEL; PICO HOLGUIN JENNIF

Declaración de Aplicabilidad en ISO 27001 (Statement of Aplicability SoA )

Leyenda (para la selecció n de controles y razó n por la que se seleccionaron):
LR: requerimientos legales,CO: obligaciones contractuales,BR/BP: requerimientos del negocio/mejor
cierto punto ------------ S/C=Sin Comentarios

ISO 27001:2013 Controles de Seguridad

Cláusula Sección Objetivo de control / control

A5.1 Directrices de gestión de la seguridad de la información
A.5 Políticas de
seguridad de la A5.1.1 Políticas para la seguridad de la informació n
información
A5.1.2 Revisió n de las políticas para la seguridad de la informació n

Cláusula Sección Objetivo de control / control

A6.1 Directrices de gestión de la seguridad de la información
A.6 Organización
de la seguridad A6.1.1 Políticas para la seguridad de la informació n
de la información
A6.1.5 Revisió n de las políticas para la seguridad de la informació n

Cláusula Sección Objetivo de control / control

A8.3 Manipulación de los soportes
A.8 Gestión de
A8.3.1 Gestió n de soportes extraíbles
activos
A8.3.2 Eliminació n de soportes

Cláusula Sección Objetivo de control / control

A9.1 Requisitos de negocio para el control de acceso

A9.1.1 Política de control de acceso

A9.1.2 Acceso a las redes y a los servicios de red

A9.2 Gestión de acceso de usuario

A9.2.1 Registro y baja de usuario

A9.2.2 Provisión de acceso de usuario

A9.2.3 Gestión de privilegios de acceso

A9.2.4 Gestión de la información secreta de autenticación de los usuarios

A.9 Control de A9.2.5 Revisión de los derechos de acceso de usuario

acceso
A9.2.6 Retirada o reasignación de los derechos de acceso

A9.3 Responsabilidades del usuario

 A.9 Control de
acceso

A9.3.1 Uso de la información secreta de autenticación

A9.4 Control de acceso a sistemas y aplicaciones

A9.4.1 Restricción del acceso a la información

A9.4.2 Procedimientos seguros de inicio de sesión

A9.4.3 Sistema de gestión de contraseñas

A9.4.4 Uso de utilidades con privilegios del sistema

A9.4.5 Control de acceso al código fuente de los programas

Cláusula Sección Objetivo de control / control

A10.1 Controles criptográficos
A.10 Criptografía A10.1.1 Política de uso de los controles criptográficos

A10.1.2 Gestión de claves

Cláusula Sección Objetivo de control / control

A11.1 Áreas seguras

A11.1.1 Perímetro de seguridad física

A11.1.2 Controles físicos de entrada

A11.1.3 Seguridad de oficinas, despachos y recursos

A11.1.4 Protección contra las amenazas externas y ambientales

A11.1.6 Áreas de carga y descarga

A.11 Seguridad A11.2 Seguridad de los equipos
física y del
entorno A11.2.1 Emplazamiento y protección de equipos

A11.2.2 Instalaciones de suministro

A11.2.3 Seguridad del cableado

A11.2.4 Mantenimiento de los equipos

A11.2.5 Retirada de materiales propiedad de la empresa

A11.2.7 Reutilización o eliminación segura de equipos

A11.2.9 Política de puesto de trabajo despejado y pantalla limpia

Cláusula Sección Objetivo de control / control

A12.1 Procedimientos y responsabilidades operacionales

A12.1.2 Gestión de cambios

A.12 Seguridad A12.6 Gestión de la vulnerabilidad técnica
de las
operaciones
 A.12 Seguridad
de las
operaciones A12.6.1 Gestión de las vulnerabilidades técnicas

A12.7 Consideraciones sobre la auditoria de sistemas de información

A12.7.1 Controles de auditoría de sistemas de información

Cláusula Sección Objetivo de control / control

A13.1 Gestión de la seguridad de las redes

A13.1.1 Controles de red

A13.1.2 Seguridad de los servicios de red

A13.1.3 Segregación en redes

A.13 Seguridad de
las comunicaciones A13.2 Intercambio de información

A13.2.1 Políticas y procedimientos de intercambio de información

A13.2.2 Acuerdos de intercambio de información

A13.2.3 Mensajería electrónica

A13.2.4 Acuerdos de confidencialidad o no revelación

Cláusula Sección Objetivo de control / control

A14.1 Requisitos de seguridad en los sistemas de información
A.14 Adquisición,
desarrollo y A14.1.1 Análisis de requisitos y especificaciones de seguridad de la información
mantenimiento
de los sistemas A14.1.2 Asegurar los servicios de aplicaciones en redes públicas
de información
A14.1.3 Protección de las transacciones de servicios de aplicaciones

Cláusula Sección Objetivo de control / control

A15.1 Seguridad en las relaciones con proveedores

Política de seguridad de la información en las relaciones con los

A15.1.1
proveedores

A15.1.2 Requisitos de seguridad en contratos con terceros

A.15 Relación con
Cadena de suministro de tecnología de la información y de las
proveedores A15.1.3
comunicaciones

A15.2 Gestión de la provisión de servicios del proveedor

A15.2.1 Control y revisión de la provisión de servicios del proveedor

A15.2.2 Gestión de cambios en la provisión del servicio del proveedor

Cláusula Sección Objetivo de control / control

A16.1 Gestión de incidentes de seguridad de la información y mejoras

A16.1.1 Responsabilidades y procedimientos

A.16 Gestión de
incidentes de
seguridad de la
 A16.1.2 Notificación de los eventos de seguridad de la información
A.16 Gestión de
incidentes de A16.1.3 Notificación de puntos débiles de la seguridad
seguridad de la
información A16.1.4 Evaluación y decisión sobre los eventos de seguridad de información

A16.1.5 Respuesta a incidentes de seguridad de la información

A16.1.6 Aprendizaje de los incidentes de seguridad de la información

A16.1.7 Recopilación de evidencias

Cláusula Sección Objetivo de control / control

A18.2 Revisiones de la seguridad de la información
A.18
Cumplimiento A18.2.2 Cumplimiento de las políticas y normas de seguridad

A18.2.3 Comprobación del cumplimiento técnico

ISO 27001:2013 Controles de Seguridad

Cláusula Sección Objetivo de control / control

A5.1 Directrices de gestión de la seguridad de la información
A.5 Políticas de
seguridad de la A5.1.1 Políticas para la seguridad de la informació n
información
A5.1.2 Revisió n de las políticas para la seguridad de la informació n

Cláusula Sección Objetivo de control / control

A11.1 Áreas seguras

A11.1.1 Perímetro de seguridad física

A11.1.2 Controles físicos de entrada

A11.1.3 Seguridad de oficinas, despachos y recursos

A11.1.4 Protección contra las amenazas externas y ambientales

A11.1.6 Áreas de carga y descarga

A.11 Seguridad A11.2 Seguridad de los equipos
física y del
entorno A11.2.1 Emplazamiento y protección de equipos

A11.2.2 Instalaciones de suministro

A11.2.3 Seguridad del cableado

A11.2.4 Mantenimiento de los equipos

 A11.2.5 Retirada de materiales propiedad de la empresa

A11.2.7 Reutilización o eliminación segura de equipos

A11.2.9 Política de puesto de trabajo despejado y pantalla limpia

Cláusula Sección Objetivo de control / control

A13.1 Gestión de la seguridad de las redes

A13.1.1 Controles de red

A13.1.2 Seguridad de los servicios de red

A13.1.3 Segregación en redes

A.13 Seguridad de
las comunicaciones A13.2 Intercambio de información

A13.2.1 Políticas y procedimientos de intercambio de información

A13.2.2 Acuerdos de intercambio de información

A13.2.3 Mensajería electrónica

A13.2.4 Acuerdos de confidencialidad o no revelación

 HAN JOEL; PICO HOLGUIN JENNIFER ANTONELLA CURSO: 9NO "A" GRUPO: #6
nt of Aplicability SoA )

uerimientos del negocio/mejores prácticas adoptadas ,RRA: resultado de la valoración de riesgos;TSE: hasta

Controles Comentarios Controles seleccionados y

(justificación de razones de selección
actuales exclusión)
LR CO BR/BP RRA

2 S/C
x

2 S/C
x

2 S/C
x

2 S/C
x

6 S/C
x

1 S/C
 x

5 S/C
x

2 S/C
x

5 S/C
x

7 S/C
x

1 S/C
x

1 S/C
 x

1 S/C
x

3 S/C
x

4 S/C
x

3 S/C
x

3 S/C

2 S/C
x

7 S/C
x
 x

2 S/C
x

Comentarios Controles seleccionados y

Controles (justificación de
actuales razones de selección
exclusión)
LR CO BR/BP RRA

2 S/C
x

5 S/C
x

7 S/C
x

x
 x

3 S/C
x

4 S/C
x

x
 Vigente para el: 07/08/2021

o de la valoración de riesgos;TSE: hasta

Comentarios (visión general

de la implementación)