Catálogo ISO/IEC 27001:2022
Cláusulas de gestión (4–10) y los 93 controles del Anexo A.
Cláusulas de gestión
| 4.1 | Comprensión de la organización y su contexto |
| 4.2 | Necesidades y expectativas de las partes interesadas |
| 4.3 | Determinación del alcance del SGSI |
| 4.4 | Sistema de gestión de seguridad de la información |
| 5.1 | Liderazgo y compromiso |
| 5.2 | Política |
| 5.3 | Roles, responsabilidades y autoridades |
| 6.1 | Acciones para abordar riesgos y oportunidades |
| 6.2 | Objetivos de seguridad de la información y planificación |
| 6.3 | Planificación de cambios |
| 7.1 | Recursos |
| 7.2 | Competencia |
| 7.3 | Toma de conciencia |
| 7.4 | Comunicación |
| 7.5 | Información documentada |
| 8.1 | Planificación y control operacional |
| 8.2 | Apreciación de riesgos de seguridad de la información |
| 8.3 | Tratamiento de riesgos de seguridad de la información |
| 9.1 | Seguimiento, medición, análisis y evaluación |
| 9.2 | Auditoría interna |
| 9.3 | Revisión por la dirección |
| 10.1 | Mejora continua |
| 10.2 | No conformidad y acción correctiva |
Organizativos37
| A.5.1 | Políticas de seguridad de la información | |
| A.5.2 | Roles y responsabilidades de seguridad de la información | |
| A.5.3 | Segregación de funciones | |
| A.5.4 | Responsabilidades de la dirección | |
| A.5.5 | Contacto con autoridades | |
| A.5.6 | Contacto con grupos de interés especial | |
| A.5.7 | Inteligencia de amenazas | nuevo 2022 |
| A.5.8 | Seguridad de la información en la gestión de proyectos | |
| A.5.9 | Inventario de información y otros activos asociados | |
| A.5.10 | Uso aceptable de la información y otros activos asociados | |
| A.5.11 | Devolución de activos | |
| A.5.12 | Clasificación de la información | |
| A.5.13 | Etiquetado de la información | |
| A.5.14 | Transferencia de información | |
| A.5.15 | Control de acceso | |
| A.5.16 | Gestión de identidades | |
| A.5.17 | Información de autenticación | |
| A.5.18 | Derechos de acceso | |
| A.5.19 | Seguridad de la información en relaciones con proveedores | |
| A.5.20 | Tratamiento de la seguridad en acuerdos con proveedores | |
| A.5.21 | Gestión de la seguridad en la cadena de suministro TIC | |
| A.5.22 | Seguimiento, revisión y gestión de cambios de servicios de proveedores | |
| A.5.23 | Seguridad de la información para el uso de servicios en la nube | nuevo 2022 |
| A.5.24 | Planificación y preparación de la gestión de incidentes | |
| A.5.25 | Evaluación y decisión sobre eventos de seguridad | |
| A.5.26 | Respuesta a incidentes de seguridad de la información | |
| A.5.27 | Aprendizaje de los incidentes de seguridad | |
| A.5.28 | Recopilación de evidencias | |
| A.5.29 | Seguridad de la información durante la disrupción | |
| A.5.30 | Preparación de las TIC para la continuidad del negocio | nuevo 2022 |
| A.5.31 | Requisitos legales, estatutarios, reglamentarios y contractuales | |
| A.5.32 | Derechos de propiedad intelectual | |
| A.5.33 | Protección de registros | |
| A.5.34 | Privacidad y protección de PII | |
| A.5.35 | Revisión independiente de la seguridad de la información | |
| A.5.36 | Cumplimiento de políticas, reglas y normas de seguridad | |
| A.5.37 | Procedimientos operativos documentados |
Personas8
| A.6.1 | Investigación de antecedentes | |
| A.6.2 | Términos y condiciones del empleo | |
| A.6.3 | Concienciación, educación y formación en seguridad | |
| A.6.4 | Proceso disciplinario | |
| A.6.5 | Responsabilidades tras el cese o cambio de empleo | |
| A.6.6 | Acuerdos de confidencialidad o no divulgación | |
| A.6.7 | Trabajo remoto | |
| A.6.8 | Notificación de eventos de seguridad de la información |
Físicos14
| A.7.1 | Perímetros de seguridad física | |
| A.7.2 | Entrada física | |
| A.7.3 | Seguridad de oficinas, despachos e instalaciones | |
| A.7.4 | Supervisión de la seguridad física | nuevo 2022 |
| A.7.5 | Protección contra amenazas físicas y ambientales | |
| A.7.6 | Trabajo en áreas seguras | |
| A.7.7 | Escritorio limpio y pantalla limpia | |
| A.7.8 | Emplazamiento y protección de equipos | |
| A.7.9 | Seguridad de activos fuera de las instalaciones | |
| A.7.10 | Soportes de almacenamiento | |
| A.7.11 | Servicios de suministro (utilities) | |
| A.7.12 | Seguridad del cableado | |
| A.7.13 | Mantenimiento de equipos | |
| A.7.14 | Eliminación o reutilización segura de equipos |
Tecnológicos34
| A.8.1 | Dispositivos endpoint de usuario | |
| A.8.2 | Derechos de acceso privilegiado | |
| A.8.3 | Restricción de acceso a la información | |
| A.8.4 | Acceso al código fuente | |
| A.8.5 | Autenticación segura | |
| A.8.6 | Gestión de la capacidad | |
| A.8.7 | Protección contra malware | |
| A.8.8 | Gestión de vulnerabilidades técnicas | |
| A.8.9 | Gestión de la configuración | nuevo 2022 |
| A.8.10 | Borrado de información | nuevo 2022 |
| A.8.11 | Enmascaramiento de datos | nuevo 2022 |
| A.8.12 | Prevención de fuga de datos | nuevo 2022 |
| A.8.13 | Copia de seguridad de la información | |
| A.8.14 | Redundancia de instalaciones de procesamiento | |
| A.8.15 | Registro de actividad (logging) | |
| A.8.16 | Actividades de monitorización | nuevo 2022 |
| A.8.17 | Sincronización de relojes | |
| A.8.18 | Uso de programas de utilidad privilegiados | |
| A.8.19 | Instalación de software en sistemas operativos | |
| A.8.20 | Seguridad de redes | |
| A.8.21 | Seguridad de los servicios de red | |
| A.8.22 | Segregación de redes | |
| A.8.23 | Filtrado web | nuevo 2022 |
| A.8.24 | Uso de criptografía | |
| A.8.25 | Ciclo de vida de desarrollo seguro | |
| A.8.26 | Requisitos de seguridad de las aplicaciones | |
| A.8.27 | Principios de arquitectura e ingeniería de sistemas seguros | |
| A.8.28 | Codificación segura | nuevo 2022 |
| A.8.29 | Pruebas de seguridad en desarrollo y aceptación | |
| A.8.30 | Desarrollo subcontratado | |
| A.8.31 | Separación de entornos de desarrollo, prueba y producción | |
| A.8.32 | Gestión de cambios | |
| A.8.33 | Información de prueba | |
| A.8.34 | Protección de sistemas de información durante auditorías |