ISO/IEC 27002:2

Control cross ch
Original version generously contributed to the ISO27k Toolkit by Marty Carter
Updated for the 2013 release of the standard by Jill Treu, with trivial formatting mods and
French translation kindly donated by Laurent Legastelois in Au
(Chilean) Spanish translation kindly donated by Mario F. Lemus V

The spreadsheet classifies the information security controls recommended by ISO/IEC 27002:2013 according to

In this classification, controls are intended to:

-Deter: the control reduces the threat, deterring hackers from attacking a given system for example.
-Avoid: the control involves avoiding risky situations, perhaps ensuring that a known vulnerability is not exposed
-Prevent: the control usually reduces the vulnerability (most common security controls act in this way).
-Detect: the control helps identify an event or incident as soon as possible, generally triggering reactive measure
-React: the control helps minimise the impact of incidents by promptly and effectively reacting or responding to
-Recover: the control helps minimise the impact of incidents by aiding the restoration of normality, or at least a
... while the objectives of the controls are primarily to maintain the confidentiality, integrity and/or availability

Other classifications are possible. Furthermore, you may disagree with the particular way we have classified ea
point for discussion. Feel free to modify this spreadsheet as you wish for your own purposes.

One way to use the spreadsheet is to identify and mark any controls that are excluded from your Statement of A
appropriate to your circumstances. Then look down the columns to check that you still have a sensible mix of di
You may also use this spreadsheet when deciding how to treat identified risks, choosing a balanced set of contro

Copyright
This work is copyright © 2018, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attribution-Noncomm
use and create derivative works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly a
they are published or shared, derivative works are shared under the same terms as this.
 Control Cross Check (EN)

ISO/IEC 27002 Type Primary objective

section Control Deter Avoid Prevent Detect React Recover Confidentiality Integrity Availability

5 Information security policies

5.1 Management direction for information security
5.1.1 Policies for information security P P P P P P P P
5.1.2 Review of the policies for information security P P P P P P P P
6 Organization of information security
6.1 Internal Organization
6.1.1 Information security roles and responsibilities P P P P P
6.1.2 Segregation of duties P P P P P P
6.1.3 Contact with authorities P P P P P
6.1.4 Contact with special interest groups P P P P P P
6.1.5 Information security in project management P P P
6.2 Mobile devices and teleworking
6.2.1 Mobile device policy P P P P
6.2.2 Teleworking P P P
7 Human Resources Security
7.1 Prior to employment
7.1.1 Screening P P P P P
7.1.2 Terms and conditions of employment P P P P P
7.2 During employment
7.2.1 Management responsibilities P P P P P P P
7.2.2 Information security awareness, education and training P P P P P P P P
7.2.3 Disciplinary process P P P P P P P P P
7.3 Termination and change of employment
7.3.1 Termination or change of employment responsibilities P P P P P P
8 Asset Management
8.1 Responsibility for assets
8.1.1 Inventory of assets P P P P P P
8.1.2 Ownership of assets P P P P P P P P
8.1.3 Acceptable use of assets P P P P P
8.1.4 Return of assets P P P P P
8.2 Information classification
8.2.1 Classification of information P P P
8.2.2 Labelling of information P P P P P P
8.2.3 Handling of assets P P P P P P
8.3 Media handling
8.3.1 Management of removeable media P P P P P P
8.3.2 Disposal of media P P P P P
8.3.3 Physical media transfer P P P
9 Access Control
9.1 Business requirements of access control
9.1.1 Access control policy P P P P
9.1.2 Access to networks and network services P P P P
9.2 User access management
9.2.1 User registration and de-registration P P P P
9.2.2 User access provisioning P P P P
9.2.3 Management of privileged access rights P P P P
9.2.4 Management of secret authentication information of users P P P
9.2.5 Review of user access rights P P P P P
9.2.6 Removal or adjustment of access rights P P P P P
9.3 User responsibilities
9.3.1 Use of secret authentication information P P P P
9.4 System and application access control
9.4.1 Information access restriction P P P P
9.4.2 Secure log-on procedures P P P P P
9.4.3 Password management system P P P P
9.4.4 Use of privileged utility programs P P P P
9.4.5 Access control to program source code P P P
10 Cryptography
10.1 Cryptographic controls
10.1.1 Policy on the use of cryptographic controls P P P
10.1.2 Key management P P P
11 Physical and Environmental Security
11.1 Secure Areas
11.1.1 Physical security perimeter P P P P P P
11.1.2 Physical entry controls P P P P P P P
11.1.3 Securing offices, rooms and facilities P P P P P P P
11.1.4 Protecting against external and environmental attacks P P P
11.1.5 Working in secure areas P P P P P
11.1.6 Delivery and loading areas P P P P P P
11.2 Equipment
11.2.1 Equipment siting and protection P P P P P P
11.2.2 Supporting utilities P P P P P
11.2.3 Cabling security P P P
11.2.4 Equipment maintenance P P P P P
11.2.5 Removal of assets P P P P P P P
11.2.6 Security of equipment and assets off-premises P P P P

392449450.xlsx 311
 Control Cross Check (EN)

11.2.7 Secure disposal or re-use of equipment P P P P

11.2.8 Unattended user equipment P P P P
11.2.9 Clear desk and clear screen policy P P
12 Operations security
12.1 Operational procedures and responsibilities
12.1.1 Documented operating procedures P P P P P P P
12.1.2 Change management P P P P P P
12.1.3 Capacity management P P
12.1.4 Separation of development, testing and operational environments P P P P P P
12.2 Protection from malware
12.2.1 Controls against malware P P P P P P P
12.3 Backup
12.3.1 Information backup P P P P P
12.4 Logging and monitoring
12.4.1 Event logging P P P P P P
12.4.2 Protection of log information P P P P P P
12.4.3 Administrator and operator logs P P P P P
12.4.4 Clock synchronisation P P P
12.5 Control of operational software
12.5.1 Installation of software on operational systems P P P P
12.6 Technical Vulnerability Management
12.6.1 Control of technical vulnerabilities P P
12.6.2 Restrictions on software installation P P P
12.7 Information systems audit controls
12.7.1 Information systems audit controls P P P
13 Communications security
13.1 Network security management
13.1.1 Network controls P P P P
13.1.2 Security of network services P P P P P P
13.1.3 Segregation in networks P P P P
13.2 Information transfer
13.2.1 Information transfer policies and procedures P P P P P
13.2.2 Agreements on information transfer P P P P
13.2.3 Electronic messaging P P P P P
13.2.4 Confidentiality or non-disclosure agreements P P P
14 System acquisition, development and maintenance
14.1 Security requirements of information systems
14.1.1 Information security requirements analysis and specification P P P P
14.1.2 Securing application services on public networks P P P P P
14.1.3 Protecting application services transactions P P P P P
14.2 Security in development and support processes
14.2.1 Secure development policy P P P P
14.2.2 System change control procedures P P P
14.2.3 Technical review of applications after operating platform changes P P
14.2.4 Restrictions on changes to software packages P P P
14.2.5 Secure system engineering principles P P P P
14.2.6 Secure development environment P P P P
14.2.7 Outsourced software development P P P P P
14.2.8 System security testing P P P
14.2.9 System acceptance testing P P P
14.3 Test data
14.3.1 Protection of system test data P P
15 Supplier relationships
15.1 Information security in supplier relationships
15.1.1 Information security in supplier relationships P P P P P P
15.1.2 Addressing security within supplier agreements P P P P P P P P P
15.1.3 Information and communication technology supply chain P P P P P P
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services P P P P
15.2.2 Managing changes to supplier services P P P P P
16 Information security incident management
16.1 Management of information security incidents and improvements
16.1.1 Responsibilities and procedures P P P P P
16.1.2 Reporting information security events P P P P P
16.1.3 Reporting information security weaknesses P P P P P
16.1.4 Assessment of and decision on information security events P P P P P
16.1.5 Response to information security incidents P P P P P
16.1.6 Learning from information security incidents P P P P P
16.1.7 Collection of evidence P P P P P P
17 Information security aspects of business continuity management
17.1 Information security continuity
17.1.1 Planning information security continuity P P P
17.1.2 Implementing information security continuity P P
17.1.3 Verify, review and evaluate information security continuity P P P
17.2 Redundancies
17.2.1 Availability of information processing facilities P P P P P
18 Compliance
18.1 Compliance with legal and contractual requirements
18.1.1 Identification of applicable legislation and contractual requirements P P P P

392449450.xlsx 411
 Control Cross Check (EN)

18.1.2 Intellectual property rights P P

18.1.3 Protection of records P P P P P P
18.1.4 Privacy and protection of personally identifiable information P P
18.1.5 Regulation of cryptographic controls P P
18.2 Information security reviews
18.2.1 Independent review of information security P P P P P P P
18.2.2 Compliance with security policies and standards P P P P P
18.2.3 Technical compliance review P P P

392449450.xlsx 511
 Control Cross Check (FR)

ISO/IEC 27002
Mesures Type Objectif premier
section Dissuasion Évitement Protection Détection Réaction Récupération Confidentialité Integrité Disponibilité

5 Politiques de sécurité
5.1 Orientations de la direction en matière de sécurité de l'information
5.1.1 Politiques de sécurité de l'information P P P P P P P P
5.1.2 Revue des politiques de sécurité de l’information P P P P P P P P
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.1.1 Fonctions et responsabilités liées à la sécurité de l'information P P P P P
6.1.2 Séparation des tâches P P P P P P
6.1.3 Relations avec les autorités P P P P P
6.1.4 Relations avec des groupes de travail spécialisés P P P P P P
6.1.5 La sécurité de l'information dans la gestion de projet P P P
6.2 Appareils mobiles et télétravail
6.2.1 Politique en matière d'appareils mobiles P P P P
6.2.2 Télétravail P P P
7 Sécurité des ressources humaines
7.1 Avant l'embauche
7.1.1 Sélection des candidats P P P P P
7.1.2 Termes et conditions d’embauche P P P P P
7.2 Pendant la durée du contrat
7.2.1 Responsabilités de la direction P P P P P P P
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information P P P P P P P P
7.2.3 Processus disciplinaire P P P P P P P P P
7.3 Rupture, terme ou modification du contrat de travail
Achèvement ou modification des responsabilités associées au contrat de
7.3.1 P P P P P P
travail

8 Gestion des actifs

8.1 Responsabilités relatives aux actifs
8.1.1 Inventaire des actifs P P P P P P
8.1.2 Propriété des actifs P P P P P P P P
8.1.3 Utilisation correcte des actifs P P P P P
8.1.4 Restitution des actifs P P P P P
8.2 Classification de l'information
8.2.1 Classification des informations P P P
8.2.2 Marquage des informations P P P P P P
8.2.3 Manipulation des actifs P P P P P P
8.3 Manipulation des supports
8.3.1 Gestion des supports amovibles P P P P P P
8.3.2 Mise au rebut des supports P P P P P
8.3.3 Transfert physique des supports P P P
9 Contrôle d'accès
9.1 Exigences métier en matière de contrôle d'accès
9.1.1 Politique de contrôle d’accès P P P P
9.1.2 Acces aux reseaux et aux services en réseau P P P P
9.2 Gestion de l’accès utilisateur
9.2.1 Enregistrement et désinscription des utilisateurs P P P P
9.2.2 Distribution des accès utilisateurs P P P P
9.2.3 Gestion des droits d'accès à privilèges P P P P
9.2.4 Gestion des informations secrètes d'authentification des utilisateurs P P P
9.2.5 Revue des droits d’accès utilisateur P P P P P
9.2.6 Suppression ou adaptation des droits d'accès P P P P P
9.3 Responsabilités des utilisateurs
9.3.1 Utilisation d'informations secrètes d'authentification P P P P
9.4 Contrôle de l'accès au système et à l’information
9.4.1 Restriction d’accès à l’information P P P P
9.4.2 Sécuriser les procédures de connexion P P P P P
9.4.3 Système de gestion des mots de passe P P P P
9.4.4 Utilisation de programmes utilitaires à privilèges P P P P
9.4.5 Contrôle d’accès au code source des programmes P P P
10 Cryptographie
10.1 Mesures cryptographiques
10.1.1 Politique d’utilisation des mesures cryptographiques P P P
10.1.2 Gestion des clés P P P
11 Sécurité physique et environnementale
11.1 Zones sécurisées
11.1.1 Périmètre de sécurité physique P P P P P P
11.1.2 Contrôle d'accès physique P P P P P P P
11.1.3 Sécurisation des bureaux, des salles et des équipements P P P P P P P
11.1.4 Protection contre les menaces extérieures et environnementales P P P
11.1.5 Travail dans les zones sécurisées P P P P P
11.1.6 Zones de livraison et de chargement P P P P P P
11.2 Matériels
11.2.1 Emplacement et protection du matériel P P P P P P
11.2.2 Services généraux P P P P P
11.2.3 Sécurité du câblage P P P
11.2.4 Maintenance du matériel P P P P P
11.2.5 Sortie des actifs P P P P P P P
11.2.6 Sécurité du matériel et des actifs hors des locaux P P P P
11.2.7 Mise au rebut ou recyclage sécurisé(e) des matériels P P P P

392449450.xlsx 611
 Control Cross Check (FR)

11.2.8 Matériel utilisateur laissé sans surveillance P P P P

11.2.9 Politique du bureau propre et de l’écran verrouillé P P
12 Sécurité liée à l'exploitation
12.1 Procédures et responsabilités liées à l’exploitation
12.1.1 Procédures d’exploitation documentées P P P P P P P
12.1.2 Gestion des changements P P P P P P
12.1.3 Dimensionnement P P

12.1.4 Séparation des environnements de développement, de test et d'exploitation P P P P P P

12.2 Protection contre les logiciels malveillants

12.2.1 Mesures contre les logiciels malveillants P P P P P P P
12.3 Sauvegarde
12.3.1 Sauvegarde des informations P P P P P
12.4 Journalisation et surveillance
12.4.1 Journalisation des événements P P P P P P
12.4.2 Protection de l’information journalisée P P P P P P
12.4.3 Journaux administrateur et opérateur P P P P P
12.4.4 Synchronisation des horloges P P P
12.5 Maîtrise des logiciels en exploitation
12.5.1 Installation de logiciels sur des systèmes en exploitation P P P P
12.6 Gestion des vulnérabilités techniques
12.6.1 Gestion des vulnérabilités techniques P P
12.6.2 Restrictions liées à l'installation de logiciels P P P
12.7 Considérations sur l’audit des systèmes d’information
12.7.1 Mesures relatives à l’audit des systèmes d’information P P P
13 Sécurité des communications
13.1 Gestion de la sécurité des réseaux
13.1.1 Contrôle des réseaux P P P P
13.1.2 Sécurité des services de réseau P P P P P P
13.1.3 Cloisonnement des réseaux P P P P
13.2 Transfert de l'information
13.2.1 Politiques et procédures de transfert de l'information P P P P P
13.2.2 Accords en matière de transfert d'information P P P P
13.2.3 Messagerie électronique P P P P P
13.2.4 Engagements de confidentialité ou de non-divulgation P P P
14 Acquisition, développement et maintenance des systèmes d’information
14.1 Exigence de securite applicables aux systemes d'information
14.1.1 Analyse et spécification des exigences de sécurité l'information P P P P
14.1.2 Sécurisation des services d'application sur les réseaux publics P P P P P
14.1.3 Protection des transactions liées aux services d'application P P P P P
14.2 Sécurité des processus de développement et d’assistance technique
14.2.1 Politique de développement sécurisé P P P P
14.2.2 Procédures de contrôle des changements de système P P P
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation P P

14.2.4 Restrictions relatives aux changements apportés aux progiciels P P P

14.2.5 Principe d'ingénierie de la sécurité des systèmes P P P P
14.2.6 Environnement de développement sécurisé P P P P
14.2.7 Développement externalisé P P P P P
14.2.8 Test de la sécurité du système P P P
14.2.9 Test de conformité du système P P P
14.3 Données de test
14.3.1 Protection des données de test P P
15 Relations avec les fournisseurs
15.1 Sécurité dans les relations avec les fournisseurs
15.1.1 Politique de sécurité de l'information dans les relations avec les fournisseurs P P P P P P

15.1.2 Sécurité dans les accords conclus avec les fournisseurs P P P P P P P P P

15.1.3 chaîne d'approvisionnement des produits et services informatiques P P P P P P

15.2 Gestion de la prestation du service

15.2.1 Surveillance et revue des services des fournisseurs P P P P

15.2.2 Gestion des changements apportés dans les services des fournisseurs P P P P P

16 Gestion des incidents liés à la sécurité de l’information

16.1 Gestion des incidents liés à la sécurité de l’information et améliorations
16.1.1 Responsabilités et procédures P P P P P
16.1.2 Signalement des événements liés à la sécurité de l’information P P P P P
16.1.3 Signalement des failles liées à la sécurité de l’information P P P P P

16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de

décision P P P P P

16.1.5 Réponse aux incidents liés à la sécurité de l’information P P P P P

16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information P P P P P

16.1.7 Collecte de preuves P P P P P P

17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
17.1 Continuité de la sécurité de l'information
17.1.1 Organisation de la continuité de la sécurité de l'information P P P
17.1.2 Mise en oeuvre de la continuité de la sécurité de l'information P P

17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l'information P P P

392449450.xlsx 711
 Control Cross Check (FR)

17.2 Redondances
17.2.1 Disponibilité des moyens de traitement de l’information P P P P P
18 Conformité
18.1 Conformité aux obligations légales et réglementaires
18.1.1 Identification de la législation et des exigences contractuelles applicables P P P P
18.1.2 Droits de propriété intellectuelle (DPI) P P
18.1.3 Protection des enregistrements P P P P P P

18.1.4 Protection de la vie privée et protection des données à caractère personnel P P

18.1.5 Réglementation relative aux mesures cryptographiques P P

18.2 Revue de la sécurité de l’information
18.2.1 Revue indépendante de la sécurité de l’information P P P P P P P
18.2.2 Conformité avec les politiques et les normes de sécurité P P P P P
18.2.3 Vérification de la conformité technique P P P

392449450.xlsx 811
 Control Cross Check (ES)

Sección Tipo Objetivo Primario

ISO/IEC
27002
Control Disuadir Evitar Prevenir Detectar Reaccionar Recuperar Confidencialidad Integridad Disponibilidad

5 Políticas de Seguridad de la información

5.1 Orientación de la dirección para la seguridad de la información
5.1.1 Políticas para la seguridad de la información P P P P P P P P
5.1.2 Revisión de las políticas de seguridad de la información P P P P P P P P
6 Organización de la Seguridad de la Información
6.1 Organización interna
6.1.1 Roles y responsabilidades de la seguridad de la información P P P P P
6.1.2 Segregación de funciones P P P P P P
6.1.3 Contacto con autoridades P P P P P
6.1.4 Contacto con grupos especiales de interés P P P P P P
6.1.5 Seguridad de la información en la gestión de proyecto P P P
6.2 Dispositivos móviles y trabajo remoto
6.2.1 Política de dispositivos móviles P P P P
6.2.2 Trabajo remoto P P P
7 Seguridad ligada a los recursos humanos
7.1 Previo al empleo
7.1.1 Selección P P P P P
7.1.2 Términos y condiciones de la relación laboral P P P P P
7.2 Durante el empleo
7.2.1 Responsabilidades de la dirección P P P P P P P
7.2.2 Concientización, educación y formación en seguridad de la información P P P P P P P P
7.2.3 Proceso disciplinario P P P P P P P P P
7.3 Desvinculación y cambio de empleo
7.3.1 Responsabilidades en la desvinculación o cambio de empleo P P P P P P
8 Administración de Activos
8.1 Responsabilidad por los activos
8.1.1 Inventario de activos P P P P P P
8.1.2 Propiedad de los activos P P P P P P P P
8.1.3 Uso aceptable de los activos P P P P P
8.1.4 Devolución de activos P P P P P
8.2 Clasificación de la información
8.2.1 Clasificación de la información P P P
8.2.2 Etiquetado de la información P P P P P P
8.2.3 Manejo de activos P P P P P P
8.3 Manejo de los medios
8.3.1 Gestión de los medios removibles P P P P P P
8.3.2 Eliminación de los medios P P P P P
8.3.3 Transferencia física de medios P P P
9 Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control del acceso P P P P
9.1.2 Accesos a las redes y a los servicios de la red P P P P
9.2 Gestión de acceso del usuario
9.2.1 Registro y cancelación de registro de usuario P P P P
9.2.2 Asignación de acceso de usuario P P P P
9.2.3 Gestión de derechos de acceso privilegiados P P P P
9.2.4 Gestión de información secreta de autenticación de usuarios P P P
9.2.5 Revisión de los derechos de acceso de usuario P P P P P
9.2.6 Eliminación o ajuste de los derechos de acceso P P P P P
9.3 User responsibilities
9.3.1 Use of secret authentication information P P P P
9.4 Control de acceso al sistema y aplicaciones
9.4.1 Restricción de acceso a la información P P P P
9.4.2 Procedimiento de inicio de sesión seguro P P P P P
9.4.3 Sistema de gestión de contraseñas P P P P
9.4.4 Uso de programas utilitarios privilegiados P P P P
9.4.5 Control de acceso al código fuente de los programas P P P
10 Criptografía
10.1 Controles criptográficos
10.1.1 Política sobre el uso de controles criptográficos P P P
10.1.2 Gestión de claves P P P
11 Seguridad Física y del Ambiente
11.1 Áreas seguras
11.1.1 Perímetro de seguridad física P P P P P P
11.1.2 Controles de acceso físico P P P P P P P
11.1.3 Seguridad de oficinas, salas e instalaciones P P P P P P P
11.1.4 Protección contra amenazas externas y del ambiente P P P
11.1.5 Trabajo en áreas seguras P P P P P
11.1.6 Áreas de entrega y carga P P P P P P
11.2 Equipamiento
11.2.1 Ubicación y protección del equipamiento P P P P P P
11.2.2 Elementos de soporte P P P P P
11.2.3 Seguridad en el cableado P P P
11.2.4 Mantenimiento del equipamiento P P P P P
11.2.5 Retiro de activos P P P P P P P
11.2.6 Seguridad del equipamiento y los activos fuera de las instalaciones P P P P
11.2.7 Seguridad en la reutilización o descarte de equipos P P P P
11.2.8 Equipo del usuario desatendido P P P P
11.2.9 Política de escritorio y pantalla limpios P P
12 Seguridad de las operaciones

392449450.xlsx 911
 Control Cross Check (ES)

12.1 Procedimientos operacionales y responsabilidades

12.1.1 Procedimientos de operación documentados P P P P P P P
12.1.2 Gestión de cambios P P P P P P
12.1.3 Gestión de la capacidad P P
12.1.4 Separación de los ambientes de desarrollo, prueba y operacionales P P P P P P
12.2 Protección contra código malicioso
12.2.1 Controles contra códigos maliciosos P P P P P P P
12.3 Respaldo
12.3.1 Respaldo de la información P P P P P
12.4 Registro y monitoreo
12.4.1 Registro de evento P P P P P P
12.4.2 Protección de la información de registros P P P P P P
12.4.3 Registros del administrador y el operador P P P P P
12.4.4 Sincronización de relojes P P P
12.5 Control of operational software
12.5.1 Installation of software on operational systems P P P P
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Gestión de las vulnerabilidades técnicas P P
12.6.2 Restricciones sobre la instalación de software P P P
12.7 Consideraciones de la auditoría de los sistemas de información
12.7.1 Controles de auditoría de sistemas de información P P P
13 Seguridad de las comunicaciones
13.1 Gestión de la seguridad de red
13.1.1 Controles de red P P P P
13.1.2 Seguridad de los servicios de red P P P P P P
13.1.3 Separación en las redes P P P P
13.2 Transferencia de información
13.2.1 Políticas y procedimientos de transferencia de información P P P P P
13.2.2 Acuerdos sobre transferencia de información P P P P
13.2.3 Mensajería electrónica P P P P P
13.2.4 Acuerdos de confidencialidad o no divulgación P P P
14 Adquisición, desarrollo y mantenimiento del sistema
14.1 Requisitos de seguridad de los sistemas de información
14.1.1 Análisis y especificación de requisitos de seguridad de la información P P P P
14.1.2 Aseguramiento de servicios de aplicación en redes públicas P P P P P
14.1.3 Protección de las transacciones de servicios de aplicación P P P P P
14.2 Seguridad en procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro P P P P
14.2.2 Procedimientos de control de cambios P P P
Revisión técnica de las aplicaciones después de los cambios en la plataforma
14.2.3 de operación P P
14.2.4 Restricciones en los cambios a los paquetes de software P P P
14.2.5 Principios de ingeniería de sistema seguro P P P P
14.2.6 Entorno de desarrollo seguro P P P P
14.2.7 Desarrollo tercerizado P P P P P
14.2.8 Prueba de seguridad del sistema P P P
14.2.9 Prueba de aprobación del sistema P P P
14.3 Datos de prueba
14.3.1 Protección de datos de prueba P P
15 Relaciones con el proveedor
15.1 Seguridad de la información en las relaciones con el proveedor

15.1.1 Política de seguridad de la información para las relaciones con el proveedor P P P P P P

15.1.2 Abordar la seguridad dentro de los acuerdos del proveedor P P P P P P P P P
15.1.3 Cadena de suministro de tecnologías de la información y comunicaciones P P P P P P

15.2 Gestión de entrega del servicio del proveedor

15.2.1 Supervisión y revisión de los servicios del proveedor P P P P
15.2.2 Gestión de cambios a los servicios del proveedor P P P P P
16 Gestión de incidentes de seguridad de la información
16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Responsabilidades y procedimientos P P P P P
16.1.2 Informe de eventos de seguridad de la información P P P P P
16.1.3 Informe de las debilidades de seguridad de la información P P P P P
16.1.4 Evaluación y decisión sobre eventos de seguridad de la información P P P P P
16.1.5 Respuesta ante incidentes de seguridad de la información P P P P P
16.1.6 Aprendizaje de los incidentes de seguridad de la información P P P P P
16.1.7 Recolección de evidencia P P P P P P
17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio
17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información P P P
17.1.2 Implementación de la continuidad de la seguridad de la información P P

17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la

información P P P

17.2 Redundancias

17.2.1 Disponibilidad de las instalaciones de procesamiento de la información P P P P P

18 Cumplimiento
18.1 Cumplimiento con los requisitos legales y contractuales
18.1.1 Identificación de la legislación vigente y los requisitos contractuales P P P P
18.1.2 Derechos de propiedad intelectual P P
18.1.3 Protección de los registros P P P P P P
18.1.4 Privacidad y protección de la información de identificación personal P P
18.1.5 Regulación de los controles criptográficos P P
18.2 Revisiones de seguridad de la información

392449450.xlsx 1011
 Control Cross Check (ES)

18.2.1 Revisión independiente de la seguridad de la información P P P P P P P

18.2.2 Cumplimiento con las políticas y normas de seguridad P P P P P
18.2.3 Verificación del cumplimiento técnico P P P

392449450.xlsx 1111