Catálogo ISO/IEC 27001:2022 Cláusulas de gestión (4–10) y los 93 controles del Anexo A. Haz clic en cualquier punto para ver su descripción (objetivo y orientación); en las cláusulas de gestión puedes además desplegar el contenido completo con sus requisitos detallados.
Todo Cláusulas (4–10) Organizativos Personas Físicos Tecnológicos Expandir todo Cláusulas de gestión23 4.1 Comprensión de la organización y su contexto 4.2 Necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del SGSI 4.4 Sistema de gestión de seguridad de la información 5.1 Liderazgo y compromiso 5.3 Roles, responsabilidades y autoridades 6.1 Acciones para abordar riesgos y oportunidades 6.2 Objetivos de seguridad de la información y planificación 6.3 Planificación de cambios 7.5 Información documentada 8.1 Planificación y control operacional 8.2 Apreciación de riesgos de seguridad de la información 8.3 Tratamiento de riesgos de seguridad de la información 9.1 Seguimiento, medición, análisis y evaluación 9.3 Revisión por la dirección 10.2 No conformidad y acción correctiva Organizativos37 A.5.1 Políticas de seguridad de la información A.5.2 Roles y responsabilidades de seguridad de la información A.5.3 Segregación de funciones A.5.4 Responsabilidades de la dirección A.5.5 Contacto con autoridades A.5.6 Contacto con grupos de interés especial A.5.7 Inteligencia de amenazas nuevo 2022 A.5.8 Seguridad de la información en la gestión de proyectos A.5.9 Inventario de información y otros activos asociados A.5.10 Uso aceptable de la información y otros activos asociados A.5.11 Devolución de activos A.5.12 Clasificación de la información A.5.13 Etiquetado de la información A.5.14 Transferencia de información A.5.16 Gestión de identidades A.5.17 Información de autenticación A.5.19 Seguridad de la información en relaciones con proveedores A.5.20 Tratamiento de la seguridad en acuerdos con proveedores A.5.21 Gestión de la seguridad en la cadena de suministro TIC A.5.22 Seguimiento, revisión y gestión de cambios de servicios de proveedores A.5.23 Seguridad de la información para el uso de servicios en la nube nuevo 2022 A.5.24 Planificación y preparación de la gestión de incidentes A.5.25 Evaluación y decisión sobre eventos de seguridad A.5.26 Respuesta a incidentes de seguridad de la información A.5.27 Aprendizaje de los incidentes de seguridad A.5.28 Recopilación de evidencias A.5.29 Seguridad de la información durante la disrupción A.5.30 Preparación de las TIC para la continuidad del negocio nuevo 2022 A.5.31 Requisitos legales, estatutarios, reglamentarios y contractuales A.5.32 Derechos de propiedad intelectual A.5.33 Protección de registros A.5.34 Privacidad y protección de PII A.5.35 Revisión independiente de la seguridad de la información A.5.36 Cumplimiento de políticas, reglas y normas de seguridad A.5.37 Procedimientos operativos documentados Personas8 A.6.1 Investigación de antecedentes A.6.2 Términos y condiciones del empleo A.6.3 Concienciación, educación y formación en seguridad A.6.4 Proceso disciplinario A.6.5 Responsabilidades tras el cese o cambio de empleo A.6.6 Acuerdos de confidencialidad o no divulgación A.6.8 Notificación de eventos de seguridad de la información Físicos14 A.7.1 Perímetros de seguridad física A.7.3 Seguridad de oficinas, despachos e instalaciones A.7.4 Supervisión de la seguridad física nuevo 2022 A.7.5 Protección contra amenazas físicas y ambientales A.7.6 Trabajo en áreas seguras A.7.7 Escritorio limpio y pantalla limpia A.7.8 Emplazamiento y protección de equipos A.7.9 Seguridad de activos fuera de las instalaciones A.7.10 Soportes de almacenamiento A.7.11 Servicios de suministro (utilities) A.7.12 Seguridad del cableado A.7.13 Mantenimiento de equipos A.7.14 Eliminación o reutilización segura de equipos Tecnológicos34 A.8.1 Dispositivos endpoint de usuario A.8.2 Derechos de acceso privilegiado A.8.3 Restricción de acceso a la información A.8.4 Acceso al código fuente A.8.5 Autenticación segura A.8.6 Gestión de la capacidad A.8.7 Protección contra malware A.8.8 Gestión de vulnerabilidades técnicas A.8.9 Gestión de la configuración nuevo 2022 A.8.10 Borrado de información nuevo 2022 A.8.11 Enmascaramiento de datos nuevo 2022 A.8.12 Prevención de fuga de datos nuevo 2022 A.8.13 Copia de seguridad de la información A.8.14 Redundancia de instalaciones de procesamiento A.8.15 Registro de actividad (logging) A.8.16 Actividades de monitorización nuevo 2022 A.8.17 Sincronización de relojes A.8.18 Uso de programas de utilidad privilegiados A.8.19 Instalación de software en sistemas operativos A.8.21 Seguridad de los servicios de red A.8.22 Segregación de redes A.8.23 Filtrado web nuevo 2022 A.8.24 Uso de criptografía A.8.25 Ciclo de vida de desarrollo seguro A.8.26 Requisitos de seguridad de las aplicaciones A.8.27 Principios de arquitectura e ingeniería de sistemas seguros A.8.28 Codificación segura nuevo 2022 A.8.29 Pruebas de seguridad en desarrollo y aceptación A.8.30 Desarrollo subcontratado A.8.31 Separación de entornos de desarrollo, prueba y producción A.8.33 Información de prueba A.8.34 Protección de sistemas de información durante auditorías