A.5.1 – Políticas para la seguridad de la información
Políticas aprobadas por la dirección y revisadas periódicamente.
Abrir documentoA.5.2 – Roles y responsabilidades
Responsabilidades definidas, asignadas y comunicadas.
Abrir documentoA.5.3 – Segregación de funciones
Separación de funciones críticas para reducir errores y fraudes.
Abrir documentoA.5.4 – Responsabilidad de la dirección
Liderazgo y provisión de recursos para el SGSI.
Abrir documentoA.5.5 – Contacto con las autoridades
Procedimientos para contacto oportuno con autoridades.
Abrir documentoA.5.6 – Contacto con grupos especializados en seguridad
Relaciones con entidades externas para asesoría e información.
Abrir documentoA.5.7 – Inteligencia de amenazas
Vigilancia de amenazas y reportes para decisiones proactivas.
Abrir documentoA.5.8 – SI en la gestión de proyectos
Seguridad desde planificación a cierre del proyecto.
Abrir documentoA.5.9 – Inventario de información y activos
Inventario actualizado y clasificado con responsables.
Abrir documentoA.5.10 – Uso aceptable de la información y activos
Política de uso aceptable comunicada y aceptada.
Abrir documentoA.5.11 – Devolución de activos
Control de devolución en desvinculaciones o cambios de rol.
Abrir documentoA.5.12 – Clasificación de la información
Clasificación por sensibilidad y manejo según nivel.
Abrir documentoA.5.13 – Etiquetado de la información
Etiquetado estandarizado físico y digital.
Abrir documentoA.5.14 – Transferencia de información
Transferencias por canales seguros y políticas definidas.
Abrir documentoA.5.15 – Control de acceso
Acceso solo a personas autorizadas (técnico y administrativo).
Abrir documentoA.5.16 – Gestión de identidades
Altas, modificaciones y bajas de identidades digitales.
Abrir documentoA.5.17 – Información de autenticación
Protección de credenciales y MFA.
Abrir documentoA.5.18 – Derechos de acceso
Mínimo privilegio y revisiones periódicas de accesos.
Abrir documentoA.5.19 – SI en relaciones con proveedores
Cláusulas de seguridad y seguimiento de cumplimiento.
Abrir documentoA.5.20 – Seguridad en acuerdos con proveedores
Medidas específicas y control en acuerdos formales.
Abrir documento5.21 – Seguridad en la cadena de suministro TIC
Gestión y monitoreo de seguridad de servicios/productos TIC.
Abrir documento5.22 – Seguimiento y gestión de cambios en servicios de proveedores
Evaluación y control de cambios para minimizar riesgos.
Abrir documento5.23 – Seguridad en uso de servicios en la nube
Acceso, cifrado y continuidad en ambientes cloud.
Abrir documento5.24 – Planificación y preparación de la gestión de incidentes
Procedimientos para detectar, responder y recuperarse.
Abrir documento5.25 – Evaluación y decisión sobre eventos de seguridad
Determinar si un evento constituye incidente y responder.
Abrir documento5.26 – Respuesta a incidentes de seguridad
Contención, erradicación y recuperación.
Abrir documento5.27 – Aprendizaje de incidentes
Análisis de causa raíz y mejoras para prevenir recurrencias.
Abrir documento5.28 – Recolección de evidencia
Preservación para análisis forense y cumplimiento legal.
Abrir documento5.29 – Seguridad de la información durante una disrupción
Controles para mantener seguridad en interrupciones/desastres.
Abrir documento5.30 – Preparativos TIC para la continuidad del negocio
Disponibilidad y recuperación de sistemas críticos.
Abrir documento5.31 – Requisitos legales, estatutarios, regulatorios y contractuales
Identificación y cumplimiento de requisitos aplicables.
Abrir documento5.32 – Derechos de propiedad intelectual
Protección de derechos sobre activos intangibles.
Abrir documento5.33 – Protección de registros
Integridad, disponibilidad y confidencialidad de registros.
Abrir documento5.34 – Privacidad y protección de IIP (datos personales)
Medidas específicas conforme a normativas de privacidad.
Abrir documento5.35 – Revisión independiente de la SI
Auditorías y revisiones externas para verificar eficacia.
Abrir documento5.36 – Cumplimiento con políticas, reglas y normas
Cumplimiento por parte de empleados y terceros.
Abrir documento5.37 – Procedimientos operativos documentados
Procedimientos claros y actualizados para ejecutar controles.
Abrir documento