I Referencia

ISO 27001 ·
Control ISO 27001:2022 Descripción resumida del control
de la norma ISO 27001:2022 · ·
5
y demás partes
5.1 Pollticas para la seguridad de la información Se definirá la PSI y otra normativa Interna especifica, se aprobarán por la dirección, se comunicarán al personal
interesadas, revisándose a intervalos planificados y ante cambios
significantes
necesidades de la
5.2 Roles y responsabilidades en seguridad de la Los roles y responsabilidades de seguridad de la información se definirán y asignarán de acuerdo a las
información organización.

5.3 Segregación de tareas Los conflictos de funciones y de áreas de responsabilidad deben segregarse.
la PSI, normativa
5.4 Responsabilidades dirección La alta dirección requerirá a todo el personal que aplique la seguridad de la información de acuerdo con
específica y procedimientos de la organización.

5.5 Contacto con las autoridades La organización establecerá autoridades relevantes.

especializados Y
5.6 Contacto con grupos de interés especial La organización establecerá y mantendrá contacto con grupos de especial interés u otros foros de seguridad
asociaciones profesionales.

5.7 Información relacionada con amenazas á la segui'I

amenazas. .; .._ :.
. . :.• .,. .. . .; .~' : . ~·;.

5.8 Seguridad de la información La seguridad de la información debe integrarse en la gestión de

en la gestión de proyectos proyectos.
5.9 Inventario de información y otros activos Debe elaborarse y mantenerse un inventario de información y otros activos asociados, que incluya sus propietarios.
asociados
5.10 Uso aceptable Se deben identificar, documentar e implementar normas para el uso
información y asociados aceptable y procedimientos para el manejo e información y otros activos asociados.
5.11 Devolución de activos El personal y otras terceras partes, según corresponda, devolverán
todos los activos de la organización que estén en su posesión en el
momento en que cambie o finalice su empleo, contrato o acuerdo.
La información debe ser clasificada de acuerdo a las necesidades de seguridad de la información de la organización,
basadas en
/ 5.12 Clasificación de la información
confidencialidad, integridad, disponibilidad y requisitos relevantes
I de las partes interesadas.
de acuerdo con
5.13 Etiquetado de la información Debe ser elaborado e implementado un conjunto apropiado de procedimientos para el etiquetado de la Información,
el esquema de clasificación de la Información adoptado por la
organización .
de servicios de
5.14 Transferencia de la información Debe disponerse de normas, procedimientos o acuerdos de transferencia de información para todo tipo
transferencia dentro de la organización y entre la organización y
terceros.
basadas en
5.15 Control de acceso Se establecerán e implementarán normas de control de acceso flsico y lógico a la Información y a otros activos asociados,
requisitos de la organización y de seguridad de la información.

5.16 Gestión de identidad Debe gestionarse el ciclo de vida completo de las identidades.
La asignación y gestión de la información de autenticación debe controlarse por un proceso de gestión, Incluyendo
el asesoramiento al
5.17 Información de autenticación
personal sobre el _manejo adecuado de la información de
autenticación.
5.18 Derechos de acceso Los derechos de acceso a la información y a otros activos asociados deben ser provlsionados, revisados, m
 Referencia Control ISO 27001:2022
ISO 27001 Descripción resumida del control
5.19 Seguridad de la Información en de la norma ISO 27001:2022 . • dos con el
las Se deben definir e Implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información
relaciones con asocia
empleo de productos o servicios de proveedores.
proveedores
5.20 Abordar la seguridad de la Información
Los requisitos relevantes de seguridad de la Información deben establecerse y acordarse con cada proveedor de
dentro de los según el tipo
relación establecida con ellos.
acuerdos de oroveedores
5.21 Gestión de la Seguridad de la Información en la
Se deben definir e Implementar procesos y procedimientos para gestionar los riesgos de seguridad de la Información
cadena de asociados con la
cadena de suministro de productos y servicios TIC.
suministro de las TIC
5.22 Seguimiento, revisión V gestión del La organización debe regularmente supervisar, revisar, evaluar y gestionar cambios en las prácticas de seguridad
cambio de los de la información
del proveedor y en la prestación de los servicios.
servicios de proveedores
5.23 Se1urtdad de la Información para el uso de
Los procesos para adquisición, uso, 1estlón y flnallzaclón de los servicios en la Nube, deben ser establecidos
servicios en la de acuerdo con los
requisitos de seguridad de la Información de la oraanlzaclón.
Nube
5.24 Planificación V preparación de la gestión de
La organización debe planificar
incidentes de seguridad V prepararse para gestionar Incidentes de seguridad de la Información mediante la definición,
de la elaboración V comunicación de procesos para la
Información . gestión de
incidentes de seguridad de la Información, roles y responsabilidades.
5.25 Evaluación y decisión sobre
La organización evaluará los eventos de seguridad de la información
los eventos de seguridad de la información
V decidir si deben ser catalogados como Incidentes de seguridad de la Información.
5.26 Respuesta a incidentes de
La respuesta a los incidentes de seguridad de la información debe
seguridad de la información
realizarse de acuerdo a procedimientos documentados.
5.27 Aprender de los incidentes de seguridad El conocimiento obtenido a partir de los incidentes de seguridad de la información debe emplearse para fortalecer
de la y mejorar los
controles de seguridad de la Información.
información
5.28 Recopilación de evidencias
la organización debe establecer e implementar procedimientos para la identificación, recogida, clasificación
y preservación de evidencias
-~ relacionadas con eventos de seguridad de la información.

5.29 Seguridad de la información durante la La organización debe planificar como mantener la seguridad de la información en un nivel apropiado durante
Interrupción una interrupción.
5.30 Preparación para las TIC para la continuidad del la reslllenda de las TIC
debe planificarse, Implementarse,
negocio mantenerse y verificarse en base a los objetivos de continuidad del negocio y de los requisitos de continuidad de las TIC.
5.31 Identificación de requisitos legales, Los requisitos legales, estatutarios, regulatorios y contractuales relevantes para la seguridad de la Información, junto
a la forma de
reglamentarios y contractuales abordar el cumplimiento de dichos requisitos por la organización,
deben identificarse, documentarse y mantenerse actualizados.
5.32 Oerechos de propiedad intelectual La organización debe implementar procedimientos apropiados para proteger los derechos de propiedad intelectual.

5.33 Protección de los registros Los registros deben protegerse ante su pérdida, destrucción,
falsificación, acceso y divulgación no autorizada .
5.34 Privacidad V protección de datos de La organización debe identificar y cumplir con los requisitos relativos a la preservación de la privacidad y la
protección de datos de
carácter personal (OCPJ carácter personal (OCP) de acuerdo con las leyes y regulaciones
aplicables y los requisitos contractuales.
_J
Referencia Control ISO 27001 :2022 Descripción resumida del control
ISO 27001 de la norma ISO 27001:2022
~-3~ ~ev,slón independiente de la segundad de la ll enfoque de la organización para gestionar la seguridad de la Información y su implementación lncluyffldo personas procesos Y
Información tecnología, debe ser r~lsado de forma Independiente a Intervalos
planificados, o tras producirse cambios slgnlOcatlvos.
El cumplimiento de la pollt lca de seguridad de la Información de la organización, otras polfticas,
normas y est~ndares, dt!b, ser
S.36 Cumplimiento de la, polltlcas, y
iiormas de seguridad de la Información regvlannente ~vtsado.

S 37 Dt'Cume-ntarlón de Deben documentarse los proadimientos operaclonales de los

1"roced1mlentos ooerac,onales med ios de tratam iento de la Información y ponerse a dlsooslclón de todos los usuarios a~ los n,ceslten.

•
61 Comprobac-ón Cebe rea lizarse de forma continuada la ~rificaclón
de antecedentes, comprobando que a todos los candidatos antes de
que se Incorporen a la organización, de acuerdo con la legislación aplicable, regulaciones y principios étkos, de forma proporcional a
los requerimientos del negocio, la clasificación de la Información a la
que se accede~ y fos riesgos percibidos.

del empleo deber~n indicar las responsabil idades de seguridad de la Información del personal y de
b.2 Terminos y cond1c1ones de contratación Los acuerdos contractuales
la organización.

6.l Conoenc1ación, [Link]ón y formación en El personal de la organ ización y las partes interesadas relevantes deben recibir la apropiada concienciación, educación Y formación
se¡uridad de la información sobre seguridad de la Información, asf como actualizaciones
regulares de la PSI de la organización, otras normas internas y procedimientos, relevantes para su puesto de trabajo.

6• Proctso d1sapl1nar10 Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados
y partes Interesadas pertinentes, que
recoj a las acciones a tomar ante aquellos que hayan provocado
alguna brecha de seguridad.
b.S Re.sponwbll1da des ante la finalización o Las responsa bilidades y deberes de seguridad de la información, que siguen vigentes tras la finalización o el cambio de empleo, deben
amblo definirse, comunicarse y hacerse cumplir al personal relevante y a
otra s partes interesadas.
6.6 Acuerdos de Los acuerdos de confidencialidad o no divulgación que reflejen las necesidades de protección de la Información de la organización
confidenclall dad o no divulgación deben ser Identificados, documentados, revisados regularmente y firmados por el personal y otras partes Interesadas pertinente

6.7 Teletrabajo Deben ser Implementadas medidas de seguridad cuando el personal se encuentre trabajando remotamente, para proteger la Información
accedida, tratada o almacenada íuera de las instalaciones de la
ontanlzaclón.
6.8 Not,ftuclón de los ~entes La organización debe propcrclonar un mecanismo para que el
de seguridad de la Información personal reporte eventos de seguridad de la información, observados o sospechosos, a través de los canales apropiados.

7
7.1 Perimetro de seguridad física Deben ser definidos v empleados perímetros de seguridad, para proteger iireas que contengan información y otros activos asociados.

7.2 Controles físicos de entrada Las áreas seguras deben protegerse mediante controles de entrada apropiados y puntos de acceso.
7.l Sf'[Link] de oficinas, despachos y Para las oficinas, despachos v recursos, se debe diseriar y aplicar la seguridad fislca
recursos
7•• Montt ortzac'ón de la Las Instalaciones deben ser continuamente monitorizadas para
seiur1dad 11,ica detKtar accesos flslcos no autorizados.
 Descripción resumida del contro l
Referencia Control ISO 27001:2022 de la norma ISO 27001:2022 los desastres naturale s, u otras
a amenazas físicas y ambientales, como son
ISO 27001 protecc iones frente
Protección contra las amenazas Deben ser dlsefiadas e Implementadas
7.5 Intencionadas o
externas y ambienta les amenazas físicas a la Infraestructura, ya sean
no.
para trabajar en las
El trabajo en áreas seguras Se debe dlse~ar e Implem entar procedim ientos
7.6
áreas seguras . de almace namien to removibles, así
de trabajo despejado de papeles y de medi~s
de puesto
Puesto de trabajo despejado y pantalla limpia Deben definirse y hacerse cumplir reglas
7.7 de tratamie nto
como reglas de pantalla limpia para los recursos
de la Información.
y protegidos.
Emplazamiento y protección Los equipos deben ser situados de forma segura
7.8
de los equipos
ser protegidos.
7.9 Seguridad de los equipos Los activos fuera de las instalaciones deben
y
adquisic ión, uso, transpo rte
fuera de las Instalac iones de vida, incluyendo su
gestionados a lo largo de su ciclo
Soportes de Los soportes de almacenamie nto deben ser ción y los requisito s de manipu lación.
7.10 clasificación de la organiza
almacen amiento desechos, de acuerdo con el esquema de
tro eléctrico, Y otras alteraciones causadas
ción debe protegerse frente a falta de suminis
Instalaciones de suminis tro El equipamiento de tratamie nto de la Informa
7.11
por fallos en las instalaciones de suministro.
a los servicios de informa ción debe estar
que transmi te datos o que sirve de soporte
Seguridad del cableado El cableado eléctrico y de telecomunicaciones
7.12 ncias o da~os.
protegido frente a Interceptaciones, Interfere

correcto para asegurar

Manten imiento de los Los equipos deben recibir u mantenimiento
7.13 de la información.
la disponibilidad, Integridad y confidencialidad Informa ción sensible y/o licencia de softwar
e ha
equipos ser verificados para asegurar que ninguna
Eliminación o reutilización segura de los Todos los soportes de almacenamiento, deben
7.14 segura antes de su
equipos sido eliminada o sobrescrita de forma
desechado o reutilización.
finales de usuario debe protegerse.
8 o accesible a través de dispositivos
finales de usuario La información almacenada, procesada
8.1 Dispositivos
privilegiados deben ser
privileg ios de La asignación y uso de derechos de acceso
8.2 Gestión de
restringidos y gestionados. con la normati va de control de acceso.
acceso activos asociados debe restringirse de acuerdo
El acceso a la información y a otros
8.3 Restricción del acceso a la informa ción
de
herrami entas de desarro llo y a las bibliote cas
de lectura y escritura al código fuente, a las
Se debe gestionar adecuadamente el acceso
8.4 Acceso al código fuente
softwar e.
a las restricciones de acceso a la informa ción
ación segura deben implem entarse en base
Las Tecnologías y procedimientos de autentic
8.5 Autenti cación segura
y la normati va de control de acceso.
ad actuales y previsto s.
y ajustado en base a los requisitos de capacid
El uso de los recursos debe ser monitorizado
8.6 Gestión de capacidades
debe ser implem entada y
La protección frente al código malicioso
Control es contra el código da de los usuarios.
8.7 apoyada median te la concienciación apropia ción en uso, evaluar la exposición de la
malicios o bilidades técnicas de los sistemas de informa
Debe obtenerse informa ción sobre las vulnera
8.8 Gestión de vulnera bilidade s técnicas s, y adoptar las medida s
organización a dichas vulnerabilidade
adecuadas.
Referencia Control ISO 27001:2022 Descripción resumida del control
ISO 27001 de la norma ISO 27001:2022
8.9 Gestión de la conflguraclón Las configuraciones, Incluidas las de seguridad, de hardware, software,
sen,lclos y redes. deben establecerse, documentarse,
Implementarse, monltorlzarse y revisarse.

debe se, borrad•

8.10 Ellmlnaclón de la Información La Información almacenada en sistemas de Información, dlsposltlws o en cualquier otro soporltl de lnformackln.
cuando ya no se requiera.

de control de ICtelO de la 011anlzaclón y -

8.11 Enmascaramiento de datos El enmascaramiento de datos debe emplearse de acuerdo a la normatlYI
normativas, asl como con los requisitos del neaoclo y teniendo en
cuenta la ie•islaclón aolicable.
Deben aplicarse medidas para la prevención de fugas de dalos • los sistemas, redes Y cualquier otro dispositivo
que trate, almacene o
8.12 Prevención de fugas de datos
transmita Información sensible.
de acuerdo con la
Copias de seguridad de la información Las copias de seguridad de la Información, el software y los sistemas deben mantenerse y comprobarse regularmente
8.13
polltlca de copias de seguridad especifica acordada.

información debe Implementarse con las redundancias suficientes para satisfacer con
Redundancia de los recursos de tratamiento El equipamiento de tratamiento de la
8.14
de la los requisitos de disponibilidad.
Información
8.15 Registro de eventos Se deben generar, proteger, almacenar y analizar los registros de las
actividades, excepciones, fallos y otros eventos relevantes
comportamientos anómalos. adaptando acciones apropiadas
8.16 Seguimiento de actividades Las redes, sistemas y aplicaciones deben ser monitorizados en busca de
para evaluar posibles incidentes de seguridad de la Información.

empleados por la organización deben sincronizarse con fuentes de

8.17 Sincronización del reloj Los relojes de los sistemas de tratamiento de información
tiempos apropiadas.

que puedan ser capaces de invalidar los controles del

8.18 Uso de los programas de utilidad con Se debe restringir y controlar rigurosamente el uso de programas de utilidad
privilegios sistema y de la aplicación.

la instalación de software en los sistemas de

8.19 Instalación del software en sistemas de Deben implementarse procedimientos y medidas para gestionar de forma segura
producción producción.
para proteger la información en sistemas
8.20 Seguridad de redes Las redes y los dispositivos de red deben ser asegurados, gestionados y controlados
y aplicaciones.

de servicio de todos
8.21 Seguridad de los servicios de red Se deben identificar, implementar y monitorizar los mecanismos de seguridad, los niveles de servicio y los requisitos
los servicios de red .

de la organización.
8.22 Segregación en redes Los grupos de servicios de información, de usuarios y de sistemas de información deben ser segregados en las redes

8.23 FIitrado de Webs El acceso a sitios webs externos debe ser gestionado para reducir la exposición a contenido mallctoso.
criptográficas.
8.24 Uso de la criptografía Deben definirse e implementarse normas para el uso efectivo de criptografía, incluyendo la gestión de claves

8.25 Seguridad en el ciclo de vida Deben establecerse y aplicarse normas para el desarrollo seguro de
del desarrollo software y sistemas.
adquirir aplicaciones.
8.26 Requisitos de seguridad en las aplicaciones Los requisitos de seguridad de la información deben identificarse, especificarse y aprobarse al desarrollar O
 Descripción resum ida del contr ol
Referencia Control ISO 27001:2022 de la norm a ISO 2700 1:202 2
ades de desarrollo
mante ner y aplicar a todas las activid
1S027001 s se deben establecer, documentar,
Los princip ios de ingeniería de sistemas seguro
Arquitectura segura sistemas y principios
8.27
de sistemas de información.
ingeniería
aplicarse al desarrollo de software.
Principios de codificación segura deben
8.28 Codtflcacldn seaura en todo el ciclo de vida del
Deben definirse e Implementarse,
8.29 Pruebas de seguridad en seguridad.
desarrollo, procesos de prueba de la nadas con el desarrollo de sistemas
externalizados.
desarrollo y aceptación rizar y revisar las actividades relacio
La organización debe contro lar, monito
8.30 Externalizaclón desarrollo
y producción deben estar
separados y protegidos.
Separación de los entornos de desarrollo, Los entornos de desarrollo, pruebas
8.31
prueba y a
inform ación, deben estar sujetos
producción los sistemas de
iento de la información y en
8.32 Gestión de cambios Los cambios en las instalaciones de tratam
de gestió n de cambio s.
procedimientos

adamente.
Datos de prueba Los datos de prueba deben gestionados apropi en producción deben ser
8.33 ción de los sistemas
ades de aseguramiento en la evalua
8.34 Protección de los sistemas de información Las pruebas de audito ría y otras activid los gestor es adecuados.
das entre el evalua dor y
durante las pruebas de auditoría cuidadosamente planificadas y acorda