Csaccmv40final Espanol Mapeoens1663748557

CLOUD CONTROLS MATRIX VERSION 4.
0 (Versión en español)
Dominio de
Título del Control ID Control
Control
Auditoría & Aseguramiento - A&A

Auditoría & Política y procedimientos de
Aseguramiento/Garantí auditoría y A&A-01
a aseguramiento/cumplimiento
Auditoría &
Aseguramiento/Garantí Evaluaciones independientes A&A-02
a
Auditoría &
Planificar evaluaciones
Aseguramiento/Garantí
basadas en Riesgos A&A-03
a
Auditoría &
Aseguramiento/Garantí Cumplimiento de Requisitos A&A-04
a
Auditoría &
Proceso de Gestión de
Auditoría A&A-05
a
Auditoría &
Aseguramiento/Garantí Remediación A&A-06
a
Seguridad de aplicaciones e interfaces - AIS
Seguridad de Política y procedimientos en

aplicaciones e Seguridad de aplicaciones e AIS-01
interfaces interfaces
Seguridad de Requisitos de Base en
Seguridad de
Métricas de seguridad de la
aplicaciones e
aplicación AIS-03
interfaces
Seguridad de
Diseño y desarrollo de
aplicaciones e
aplicaciones seguras AIS-04
interfaces
Seguridad de
Pruebas de seguridad de
aplicaciones e
aplicaciones automatizadas AIS-05
interfaces
Seguridad de
Implementación automatizada
aplicaciones e
de aplicaciones seguras AIS-06
interfaces
Seguridad de
Corrección de vulnerabilidades
aplicaciones e
de aplicaciones AIS-07
interfaces
Gestión de la continuidad del negocio y resiliencia operativa - BCR

Gestión de la Política y procedimientos de
continuidad del negocio gestión de la continuidad del BCR-01
y resiliencia operativa negocio
Gestión de la
Evaluación de riesgos y
continuidad del negocio
análisis de impacto BCR-02
y resiliencia operativa
Gestión de la
Estrategia de continuidad del
negocio BCR-03
Gestión de la
Planificación de la Continuidad
del Negocio BCR-04
Gestión de la
continuidad del negocio Documentación BCR-05
Gestión de la
Ejercicios de continuidad del
negocio BCR-06
Gestión de la
continuidad del negocio Comunicación BCR-07
Gestión de la
continuidad del negocio Respaldo BCR-08
Gestión de la
Plan de respuesta ante
desastres BCR-09
Gestión de la
continuidad del negocio Ejercicio del plan de respuesta BCR-10
Gestión de la
continuidad del negocio Redundancia de equipos BCR-11
Control de Cambios y Gestión de la Configuración - CCC
Control de Cambios y
Políticas y procedimientos de
Gestión de la
la Gestión del Cambio CCC-01
Configuración
Gestión de la Calidad de las Pruebas CCC-02
Configuración
Tecnología de la Gestión del
Gestión de la
Cambio CCC-03
Configuración
Protección de Cambios no
Gestión de la
Autorizados. CCC-04
Configuración
Gestión de la Acuerdos de Cambio CCC-05
Configuración
Fundamentos de la Gestión
Gestión de la
del Cambio CCC-06
Configuración
Detección de desvíos en la
Gestión de la
línea base CCC-07
Configuración
Gestión de la Gestión de Excepciones CCC-08
Configuración
Gestión de la Restablecimiento del cambio CCC-09
Configuración
Criptografía, cifrado y gestión de claves - CEK
Criptografía, cifrado y Políticas y procedimientos de

gestión de claves cifrado y gestión de claves CEK-01
Roles y responsabilidades en
Criptografía, cifrado y
gestión de claves
Criptografía, Cifrado y Gestión CEK-02
de Claves
gestión de claves
Cifrado de Datos CEK-03
gestión de claves
Algoritmos de Cifrado CEK-04
gestión de claves
Gestión de cambios de cifrado CEK-05
Criptografía, cifrado y Análisis costo beneficio de

gestión de claves cambios en el cifrado CEK-06
gestión de claves
Gestión de riesgos de cifrado CEK-07
Criptografía, cifrado y Capacidad de Gestión de

gestión de claves claves CSC CEK-08
Criptografía, cifrado y Auditoría de Cifrado y Gestión

gestión de claves de claves CEK-09
gestión de claves
Generación de claves CEK-10
gestión de claves
Propósito de la clave CEK-11
gestión de claves
Rotación de claves CEK-12
gestión de claves
Revocación de claves CEK-13
gestión de claves
Destrucción de claves CEK-14
gestión de claves
Activación de claves CEK-15
gestión de claves
Suspensión de claves CEK-16
gestión de claves
Desactivación de claves CEK-17
gestión de claves
Archivado de claves CEK-18
gestión de claves
Compromiso de claves CEK-19
gestión de claves
Recuperación de claves CEK-20
Criptografía, cifrado y Gestión de Inventario de

gestión de claves claves CEK-21
Seguridad del Centro de Datos - DCS
Política y Procedimientos de
Seguridad del Centro de
Datos
eliminación de equipos fuera DCS-01
de la organización
Política y procedimientos de
Datos
autorización de transferencia DCS-02
fuera de la organización
Seguridad del Centro de Política y procedimientos de

Datos área segura DCS-03
Seguridad del Centro de Política y Procedimientos de
Datos Transporte Seguro de Medios DCS-04

Datos
Clasificación de Activos DCS-05
Seguridad del Centro de Catalogar y realizar

Datos seguimiento de activos DCS-06

Datos
Puntos de acceso controlados DCS-07

Datos
Identificación de los Equipos DCS-08

Datos
Autorización de Área Segura DCS-09

Datos
Sistema de Vigilancia DCS-10
Seguridad del Centro de Entrenamiento de Respuesta

Datos ante un Acceso No Autorizado DCS-11

Datos
Seguridad del Cableado DCS-12

Datos
Sistemas Ambientales DCS-13

Datos
Suministros seguros DCS-14
Datos
Ubicación de los Equipos DCS-15
Ciclo de vida de la seguridad y privacidad de los datos - DSP
Ciclo de vida de la
Política de seguridad y
seguridad y privacidad
privacidad y procedimientos DSP-01
de los datos
Ciclo de vida de la
seguridad y privacidad Eliminación segura DSP-02
de los datos
Ciclo de vida de la
seguridad y privacidad Inventario de datos DSP-03
de los datos
Ciclo de vida de la
seguridad y privacidad Clasificación de los datos DSP-04
de los datos
Ciclo de vida de la
Documentación de flujo de
datos DSP-05
de los datos
Ciclo de vida de la
Propiedad y administración de
los datos DSP-06
de los datos
Ciclo de vida de la
Protección de datos por
diseño y por defecto DSP-07
de los datos
Ciclo de vida de la
de los datos
Ciclo de vida de la
Evaluación de impacto de la
protección de datos DSP-09
de los datos
Ciclo de vida de la
Transferencia de datos
sensibles DSP-10
de los datos
Ciclo de vida de la
Acceso, rectificación y borrado
de datos personales DSP-11
de los datos
Ciclo de vida de la Limitación del alcance de
seguridad y privacidad procesamiento de datos DSP-12
de los datos personales
Ciclo de vida de la
Procesamiento de datos por
terceros DSP-13
de los datos
Ciclo de vida de la
Revelación de datos de
terceros DSP-14
de los datos
Ciclo de vida de la
Limitación de uso de datos de
producción DSP-15
de los datos
Ciclo de vida de la
seguridad y privacidad Retención de datos y borrado DSP-16
de los datos
Ciclo de vida de la
seguridad y privacidad Protección de datos sensibles DSP-17
de los datos
Ciclo de vida de la
seguridad y privacidad Notificación de acceso DSP-18
de los datos
Ciclo de vida de la
seguridad y privacidad Localización de los datos DSP-19
de los datos
Gobernanza, Gestión de Riesgos y Cumplimiento - GRC
Gobernanza, Gestión
Política y Procedimientos del
de Riesgos y
Programa de Gobernanza GRC-01
Cumplimiento
Programa de Gestión de
de Riesgos y
Riesgos GRC-02
Cumplimiento
Revisiones de Políticas
de Riesgos y
Organizacionales GRC-03
Cumplimiento
Proceso de Excepción a una
de Riesgos y
Política GRC-04
Cumplimiento
Programa de Seguridad de la
de Riesgos y
Información GRC-05
Cumplimiento
Modelo de Responsabilidad
de Riesgos y
en Gobernanza GRC-06
Cumplimiento
Mapeo a las Regulaciones del
de Riesgos y
Sistema de Información GRC-07
Cumplimiento
de Riesgos y Grupos de Interés Especial GRC-08
Cumplimiento
Recursos Humanos - HRS

Recursos Humanos
verificación de antecedentes HRS-01
Recursos Humanos
uso aceptable de la tecnología HRS-02
Recursos Humanos Política y procedimientos de HRS-03

escritorio limpio.
Recursos Humanos trabajo a distancia y trabajo HRS-04
desde el hogar
Recursos Humanos Retorno de activos HRS-05
Recursos Humanos Finalización de Empleo HRS-06
Proceso de Contrato de
Recursos Humanos
Empleo HRS-07
Contenido del contrato de

Recursos Humanos
empleo HRS-08
Funciones y responsabilidades
Recursos Humanos
del persona HRS-09
Recursos Humanos Acuerdos de no divulgación HRS-10

Entrenamiento de
Recursos Humanos
concienciación de seguridad HRS-11
Capacitación y concientización
Recursos Humanos sobre datos personales y HRS-12
datos sensibles.
Responsabilidad de
Recursos Humanos
cumplimiento del usuario HRS-13
Gestión de identidades y accesos - IAM

Gestión de identidades
y accesos
gestión de identidades y IAM-01
accesos.
Gestión de identidades Políticas y procedimientos de

y accesos contraseñas robustas. IAM-02
y accesos
Inventario de identidades IAM-03
y accesos
Segregación de funciones. IAM-04
y accesos
Principio de mínimo privilegio. IAM-05
y accesos
Provisión de accesos IAM-06
Gestión de identidades Proceso de modificación y

y accesos revocación de accesos. IAM-07
y accesos
Revisión de accesos IAM-08
Gestión de identidades Segregación de accesos
y accesos privilegiado. IAM-09
Gestión de identidades Gestión de accesos

y accesos privilegiados. IAM-10
Aprobación de clientes de
y accesos
servicios en la nube para IAM-11
perfiles privilegiados
Gestión de identidades Protección de la integridad de

y accesos los registros ('logs') IAM-12
Gestión de identidades Identificación unívoca de

y accesos usuarios IAM-13
y accesos
Autenticación reforzada IAM-14
y accesos
Gestión de contraseñas IAM-15
y accesos
Mecanismos de autorización IAM-16
Interoperabilidad y portabilidad - IPY

Interoperabilidad y Políticas y procedimientos de
portabilidad Interoperabilidad y portabilidad IPY-01
Interoperabilidad y Disponibilidad de la interfaz de

portabilidad aplicación IPY-02
Gestión de la seguridad en
Interoperabilidad y
portabilidad
procesos de interoperabilidad IPY-03
y portabilidad
Interoperabilidad y Obligaciones contractuales de

portabilidad portabilidad de datos. IPY-04
Seguridad de infraestructura y virtualización - IVS

Seguridad de Política y procedimientos de
infraestructura y seguridad de infraestructura y IVS-01
virtualización. virtualización.
Seguridad de
Planificación de capacidad y
infraestructura y
recursos. IVS-02
virtualización.
Seguridad de
infraestructura y Seguridad de la red. IVS-03
virtualización.
Seguridad de
Bastionado del Sistema
infraestructura y
Operativo y Controles Básicos IVS-04
virtualización.
Seguridad de
Entornos de producción y no
infraestructura y
producción IVS-05
virtualización.
Seguridad de
infraestructura y Segmentación y segregación IVS-06
virtualización.
Seguridad de
Migración a entornos en la
infraestructura y
nube IVS-07
virtualización.
Seguridad de
Documentación de
infraestructura y
arquitectura de red IVS-08
virtualización.
Seguridad de
infraestructura y Defensa de la red IVS-09
virtualización.
Registro y Monitoreo - LOG
Registro y Monitoreo
registro y monitoreo LOG-01
Protección de registros de
auditoría LOG-02
Monitoreo y alertas de
seguridad LOG-03
Acceso y responsabilidad a
registros de auditoría LOG-04
Monitoreo y respuesta de
Registro y Monitoreo Sincronización de reloj LOG-06
Registro y Monitoreo Alcance de registro LOG-07

Registro y Monitoreo Registros de registro LOG-08
Registro y Monitoreo Protección de registros LOG-09
Supervisión y generación de
informes de cifrado LOG-10
Registro de
transacciones/actividades LOG-11
Registro y Monitoreo Registros de control de acceso LOG-12
Notificación de fallas y
anomalías LOG-13
Gestión de Incidentes de Seguridad, E-Discovery y Forense en nube - SEF

Gestión de Incidentes
Políticas y procedimiento de
de Seguridad, E-
Discovery y Forense en
gestión de incidentes de SEF-01
seguridad
nube
de Seguridad, E- Políticas y procedimientos de
Discovery y Forense en gestión de servicios SEF-02
nube
de Seguridad, E- Planes de respuesta a
Discovery y Forense en incidentes SEF-03
nube
de Seguridad, E- Pruebas de los planes de
Discovery y Forense en respuesta SEF-04
nube
de Seguridad, E- Métricas de Respuesta a
Discovery y Forense en Incidentes SEF-05
nube
de Seguridad, E-
Proceso de triage de eventos SEF-06
nube
de Seguridad, E- Notificación de brechas de
Discovery y Forense en seguridad SEF-07
nube
de Seguridad, E- Mantención de puntos de
Discovery y Forense en contacto
SEF-08
nube
Gestión de la Cadena de Suministro, Transparencia y Trazabilidad - STA

Gestión de la Cadena
de Suministro, Política y Procedimientos de
Transparencia y SSRM STA-01
Trazabilidad
de Suministro,
Transparencia y
Cadena de Suministro SSRM STA-02
Trazabilidad
de Suministro,
Transparencia y
Guía SSRM STA-03
Trazabilidad
de Suministro,
Transparencia y
Propiedad del Control SSRM STA-04
Trazabilidad
de Suministro, Revisión de la Documentación
Trazabilidad
de Suministro, Implementación del Control
Trazabilidad
de Suministro, Inventario de la Cadena de
Transparencia y Suministro STA-07
Trazabilidad
de Suministro, Gestión de Riesgos en la
Transparencia y Cadena de Suministro STA-08
Trazabilidad
de Suministro, Servicio Primario y Acuerdo
Transparencia y Contractual STA-09
Trazabilidad
de Suministro, Revisión del Acuerdo de la
Trazabilidad
de Suministro, Pruebas de Cumplimiento
Transparencia y Interno STA-11
Trazabilidad
Cumplimiento del Contrato de
de Suministro,
Transparencia y
Servicio de la Cadena de STA-12
Suministro
Trazabilidad
de Suministro, Revisión de la Gobernanza en
Transparencia y la Cadena de Suministro STA-13
Trazabilidad
Evaluación de la Seguridad de
de Suministro,
Transparencia y
los Datos de la Cadena de STA-14
Suministro
Trazabilidad
Gestión de Amenazas y Vulnerabilidades - TVM
Políticas y Procedimientos de
Gestión de Amenazas y
Vulnerabilidades
gestión de Amenazas y TVM-01
Vulnerabilidades
Gestión de Amenazas y Políticas y Procedimientos de

Vulnerabilidades Protección de Malware TVM-02
Gestión de Amenazas y Calendario de resolución de

Vulnerabilidades vulnerabilidades TVM-03
Vulnerabilidades
Detección de actualizaciones TVM-04
Gestión de Amenazas y Biblioteca Externa de

Vulnerabilidades Vulnerabilidades
TVM-05
Vulnerabilidades
Test de Penetración TVM-06
Gestión de Amenazas y Identificación de

Vulnerabilidades Vulnerabilidades TVM-07
Gestión de Amenazas y Priorización de
Gestión de Amenazas y Reporte de la Gestión de

Gestión de Amenazas y Métricas de Gestión de

Gestión global de dispositivos terminales ('Endpoint') - UEM

Gestión global de Política y procedimientos
dispositivos terminales sobre dispositivos terminales UEM-01
('Endpoint') ('Endpoint')
Gestión global de
Aprobación de aplicaciones y
dispositivos terminales
servicios UEM-02
('Endpoint')
Gestión global de
dispositivos terminales Compatibilidad UEM-03
('Endpoint')
Gestión global de
Inventario de dispositivos
dispositivos terminales UEM-04
terminales ('Endpoint')
('Endpoint')
Gestión global de
Gestión de terminales
('Endpoint')
('Endpoint')
Gestión global de
Bloqueo automático de
pantalla
('Endpoint')
Gestión global de
dispositivos terminales Sistemas operativos UEM-07
('Endpoint')
Gestión global de
dispositivos terminales Almacenamiento cifrado UEM-08
('Endpoint')
Gestión global de
Detección y prevención Anti-
Malware
('Endpoint')
Gestión global de
dispositivos terminales Firewall software UEM-10
('Endpoint')
Gestión global de
dispositivos terminales Prevención de fuga de datos UEM-11
('Endpoint')
Gestión global de
dispositivos terminales Locación remota UEM-12
('Endpoint')
Gestión global de
dispositivos terminales Borrado remoto UEM-13
('Endpoint')
Gestión global de Posicionamiento de seguridad

dispositivos terminales para terminales ('Endpoint') de UEM-14
('Endpoint') terceros
Final del estándar

© Copyright 2019-2021 Cloud Security Alliance - Todos los derechos reservados. Puede descargar, almacenar, mostrar en su
computadora, ver, imprimir y enlazar a Cloud Security Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
http://www.cloudsecurityalliance.org sujeto a lo siguiente: (a) Cloud Controls Matrix v4.0 se puede utilizar únicamente para su uso
personal, informativo y no comercial; (b) Cloud Controls Matrix v4.0 no se puede modificar ni alterar de ninguna manera; (c) Cloud
Controls Matrix v4.0 no se puede redistribuir; y (d) la marca comercial, los derechos de autor u otros avisos no se pueden eliminar.
Puede citar partes de Cloud Controls Matrix v4.0 según lo permitan las disposiciones de uso justo de la Ley de derechos de autor de los
Estados Unidos, siempre que atribuya las partes a Cloud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesado en
obtener una licencia de este material para otros usos que no se encuentran en el aviso de derechos de autor, comuníquese con
info@cloudsecurityalliance.org.
VERSION 4.0 (Versión en español)
Aplicabilidad y Responsabilidad típica del Control

(CSP, CSC, Compartida)
Especificación actualizada del control IaaS PaaS
uditoría & Aseguramiento - A&A

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas,
procedimientos y estándares de auditoría y aseguramiento/garantías. Revisar y Compartida Compartida
actualizar las políticas y procedimientos al menos una vez al año.
Realizar auditorías independientes y evaluaciones de aseguramiento/garantías de

acuerdo con los estándares relevantes al menos una vez al año. Compartida Compartida

acuerdo con planes basados en riesgos y políticas. Compartida Compartida
Verificar el cumplimiento de todas las normas, regulaciones, requisitos

legales/contractuales y estatutarios que sean relevantes y aplicables a la auditoría. Compartida Compartida
Definir e implementar un proceso de Gestión de Auditoría para respaldar la planificación

de la auditoría, el análisis de riesgos, la evaluación del control de seguridad, la
conclusión, los cronogramas de corrección, la generación de informes y la revisión de Compartida Compartida
informes anteriores y evidencia de respaldo.
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener un plan de

acción correctiva basado en el riesgo para remediar los hallazgos de la auditoría, revisar Compartida Compartida
e informar el estado de la corrección a las partes interesadas relevantes.
dad de aplicaciones e interfaces - AIS

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y
procedimientos para la seguridad de las aplicaciones a fin de proporcionar una guía
para la planificación, entrega y soporte adecuados de las capacidades de seguridad de Compartida CSC
las aplicaciones de la organización. Revise y actualice las políticas y procedimientos al
menos una vez al año.
Establecer, documentar y mantener los requisitos básicos para asegurar diferentes
aplicaciones. Compartida Compartida
Definir e implementar métricas técnicas y operativas en alineación con los objetivos

comerciales, los requisitos de seguridad y las obligaciones de cumplimiento. Compartida Compartida
Definir e implementar un proceso SDLC para el diseño, desarrollo, implementación y

operación de aplicaciones de acuerdo con los requisitos de seguridad definidos por la Compartida Compartida
organización.
Implementar una estrategia de prueba, incluidos los criterios para la aceptación de
nuevos sistemas de información, actualizaciones y nuevas versiones, lo que
proporciona garantía de seguridad de la aplicación y mantiene el cumplimiento al tiempo Compartida Compartida
que permite la velocidad organizacional de los objetivos de entrega. Automatizar
cuando corresponda y sea posible.
Establecer e implementar estrategias y capacidades para la implementación de
aplicaciones seguras, estandarizadas y compatibles. Automatizar siempre que sea Compartida Compartida
posible.
Definir e implementar un proceso para remediar las vulnerabilidades de seguridad de

las aplicaciones, automatizando la corrección cuando sea posible. Compartida Compartida
nuidad del negocio y resiliencia operativa - BCR

procedimientos de gestión de la continuidad del negocio y resiliencia operativa. Revise y Compartida Compartida
actualice las políticas y procedimientos al menos una vez al año.
Determinar el impacto de las interrupciones y los riesgos del negocio para establecer
criterios para desarrollar la continuidad del negocio y las estrategias y capacidades de Compartida Compartida
resiliencia operativa.
Establecer estrategias para reducir el impacto, resistir y recuperarse de las

interrupciones comerciales dentro del apetito por el riesgo. Compartida Compartida

continuidad del negocio basado en los resultados de las estrategias y capacidades de Compartida Compartida
Desarrollar, identificar y adquirir documentación que sea relevante para respaldar los
programas de continuidad del negocio y resiliencia operativa. Ponga la documentación Compartida Compartida
a disposición de las partes interesadas autorizadas y revísela periódicamente.
Ejercitar y probar los planes de continuidad del negocio y resiliencia operativa al menos
una vez al año o ante cambios significativos. Compartida Compartida
Establecer comunicación con las partes interesadas y los participantes en el curso de

los procedimientos de continuidad y resiliencia del negocio. Compartida Compartida
Hacer copias de seguridad periódicas de los datos almacenados en la nube. Garantizar

la confidencialidad, integridad y disponibilidad de la copia de seguridad y verificar la Compartida Compartida
restauración de datos a partir de la copia de seguridad para garantizar la resiliencia.
respuesta a desastres para recuperarse de desastres naturales y provocados por el CSP CSP
hombre. Actualice el plan al menos una vez al año o ante cambios significativos.
Poner en práctica el plan de respuesta ante desastres anualmente o ante cambios

significativos, incluidas, si es posible, las autoridades locales de emergencia. CSP CSP
Complementar los equipos críticos para el negocio con equipos redundantes ubicados
de forma independiente a una distancia mínima razonable de acuerdo con los CSP CSP
estándares industriales aplicables.
mbios y Gestión de la Configuración - CCC
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener las políticas y

procedimientos para la gestión de los riesgos asociados con la aplicación de cambios
en los activos de la organización, incluyendo aplicaciones, sistemas, infraestructura,
configuración, etc., independientemente de que los activos estén gestionados interna o Compartida Compartida
externamente (p.e servicios subcontratados). Revisar y actualizar las políticas y
procedimientos al menos anualmente.
Cumplir la calidad del control del cambio definida, Proceso de testeo y aprobación
siguiendo la línea base, el testeo y los estándares de liberación. CSP Compartida
Gestión de los riesgos asociados con la aplicación de cambios en los activos de la

organización, incluyendo aplicaciones, sistemas, infraestructuras, configuración, etc.,
independientemente de que los activos estén gestionados interna o externamente (p.e Compartida Compartida
servicios subcontratados).
Limitar la incorporación, eliminación actualización y gestión no autorizada de los activos

de la organización. Compartida Compartida
Incluir cláusulas limitando cambios con impacto directo en los entornos /instancias
propietarias del CSC para solicitar autorización explicita dentro de los acuerdos de nivel CSP Compartida
de servicio entre CSP y CSC.
Establecer los fundamentos de la gestión del cambio para todos los cambios relevantes
autorizados en los activos de la organización. Compartida Compartida
Implementar medidas de detección con notificaciones proactivas en los casos de

desviación de las líneas de referencia establecidas. CSP Compartida
Implementar procedimientos para la gestión de excepciones. Incluyendo emergencias

en el proceso de configuración y gestión del cambio. Alinear el procedimiento con los Compartida Compartida
requerimientos de la Política del Proceso de Excepción: GRC-04
Definir e implementar un proceso que proactivamente permita retroceder hasta el

anterior estado correcto conocido a en caso de error o problemas de seguridad. Compartida Compartida
afía, cifrado y gestión de claves - CEK

procedimientos de Criptografía, Cifrado y Gestión de claves. Revisar y actualizar las Compartida Compartida
políticas y procedimientos al menos una vez al año.
Definir e implementar roles y responsabilidades en criptografía, cifrado y gestión de

claves. Compartida Compartida
Proporcionar protección criptográfica a los datos en reposo y en tránsito, utilizando

bibliotecas criptográficas certificadas según estándares aprobados. Compartida Compartida
Utilizar algoritmos de cifrado que sean adecuados para la protección de datos, teniendo
en cuenta la clasificación de los datos, los riesgos asociados y la usabilidad de la Compartida Compartida
tecnología de cifrado.
Establecer un procedimiento de gestión de cambios estándar, para adaptarse a los
cambios de fuentes internas y externas, para la revisión, aprobación, implementación y Compartida Compartida
comunicación de cambios de tecnología de gestión de claves, cifrado y criptografía.
Administrar y adoptar cambios en los sistemas relacionados con la criptografía, el
cifrado y la administración de claves (incluidos políticas y procedimientos) que tengan
en cuenta los efectos posteriores de los cambios propuestos, incluido el análisis de Compartida Compartida
riesgos, costos y beneficios residuales.
Establecer y mantener un programa de riesgos de gestión de claves y cifrado que
incluya disposiciones para la evaluación de riesgos, el tratamiento de riesgos, el Compartida Compartida
contexto de riesgos, el seguimiento y la retroalimentación.
Los CSP deben proporcionar la capacidad para que los CSC administren sus propias
claves de cifrado de datos. Compartida Compartida
Auditar los sistemas, políticas y procesos de cifrado y gestión de claves con una
frecuencia que sea proporcional a la exposición al riesgo del sistema; la auditoría se
realizará preferiblemente de forma continua, pero al menos una vez al año y después Compartida Compartida
de cualquier evento de seguridad.
Generar claves criptográficas utilizando bibliotecas criptográficas aceptadas por la
industria que especifiquen la robustez del algoritmo y el generador de número aleatorio Compartida Compartida
utilizado.
Administrar claves secretas y privadas criptográficas que son proporcionadas para un

propósito único. Compartida Compartida
Rotar las claves criptográficas de acuerdo con el criptoperiodo calculado, el cual incluye
disposiciones para considerar el riesgo de divulgación de información y los requisitos Compartida Compartida
legales y regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para

revocar y eliminar claves criptográficas antes del final de su criptoperiodo establecido,
cuando una llave se vea comprometida o una entidad ya no sea parte de la Compartida Compartida
organización, que incluyan disposiciones para requisitos legales y regulatorios.

destruir claves almacenadas fuera de un entorno seguro y revocar claves almacenadas
en Módulos de Seguridad Hardware (HSM) cuando ya no sean necesarias, que incluyan Compartida Compartida
disposiciones para requisitos legales y regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para crear

claves en estado preactivado cuando han sido generadas pero no autorizadas para su Compartida Compartida
uso, que incluyan disposiciones sobre requisitos legales y regulatorios.

monitorear, revisar y aprobar las transiciones de las claves desde cualquier estado
hacia o desde la suspensión, que incluyen disposiciones para los requisitos legales y Compartida Compartida
regulatorios.
desactivar claves en el momento de su fecha de vencimiento, que incluyan Compartida Compartida
disposiciones sobre requisitos legales y regulatorios.
administrar las claves archivadas en un repositorio seguro que requiera acceso con
privilegios mínimos, que incluyan disposiciones para los requisitos legales y Compartida Compartida
regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para utilizar
claves comprometidas para cifrar información solo en circunstancias controladas y, de
ahí en adelante, exclusivamente para descifrar datos y nunca para cifrar datos, que Compartida Compartida
incluyen disposiciones para requisitos legales y regulatorios.

evaluar el riesgo para la continuidad operativa versus el riesgo de que el material de
cifrado y la información que protege estén expuestos si se pierde el control del material Compartida Compartida
de cifrado, que incluyan disposiciones para los requisitos legales y regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que el

sistema de administración de claves rastree e informe todos los materiales de cifrado y
sus cambios de estado, que incluyan disposiciones para los requisitos legales y Compartida Compartida
regulatorios.
uridad del Centro de Datos - DCS

procedimientos para la eliminación segura de los equipos que se utilizan fuera de las
instalaciones de la organización. Si los equipos no se destruye físicamente, se debe CSP CSP
aplicar un procedimiento de destrucción de datos que imposibilite la recuperación de la
información. Revise y actualice las políticas y procedimientos al menos una vez al año.
procedimientos para la reubicación o transferencia de hardware, software o datos /
información a un lugar externo a la organización o alternativo. La solicitud de
reubicación o transferencia requiere la autorización escrita o verificable CSP CSP
criptográficamente. Revise y actualice las políticas y procedimientos al menos una vez
al año.
procedimientos para mantener un entorno de trabajo seguro y protegido en oficinas,
salas e instalaciones. Revise y actualice las políticas y procedimientos al menos una CSP CSP
vez al año.
procedimientos para el transporte seguro de medios físicos. Revise y actualice las CSP CSP
políticas y procedimientos al menos una vez al año.
Clasifique y documente los activos físicos y lógicos (por ejemplo, aplicaciones) en

función del riesgo empresarial de la organización. Compartida Compartida
Catalogar y rastrear todos los activos físicos y lógicos relevantes ubicados en todos los
sitios del CSP dentro de un sistema seguro. CSP Compartida
Implementar perímetros de seguridad física para proteger al personal, los datos y los
sistemas de información. Establecer perímetros de seguridad física entre las áreas
administrativas y comerciales y las áreas de instalaciones de almacenamiento y CSP CSP
procesamiento de datos.
Utilizar la identificación de los equipos como método para la autenticación de la

conexión. CSP Compartida
Permitir que solo el personal autorizado acceda a áreas seguras, con todos los puntos
de entrada y salida restringidos, documentados y monitoreados por mecanismos de
control de acceso físico. Conservar los registros de control de acceso de forma CSP CSP
periódica según lo considere apropiado la organización.
Implementar, mantener y operar sistemas de vigilancia de centros de datos en el
perímetro externo y en todos los puntos de entrada y salida para detectar intentos de CSP CSP
entrada y salida no autorizados.
Capacitar al personal del centro de datos para que responda a los intentos de entrada o
salida no autorizados. CSP CSP
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas que

aseguren una protección basada en riesgos de cables de energía y telecomunicaciones
frente a amenazas de interceptación, interferencia o daños en todas las instalaciones, CSP CSP
oficinas y salas.
Implementar y mantener sistemas de control ambiental del centro de datos que
monitorean, mantienen y prueban la efectividad continua de las condiciones de CSP CSP
temperatura y humedad dentro de los estándares aceptados de la industria.
Asegurar, monitorizar, mantener y probar los servicios de suministros para una

efectividad continua a intervalos planificados. CSP CSP
Mantener los equipos críticos para la empresa lejos de ubicaciones sujetas a alta
probabilidad de eventos de riesgo ambiental. CSP CSP
e la seguridad y privacidad de los datos - DSP

Establecer, documentar, aprobar, comunicar, emplear evaluar y mantener políticas y
procedimientos para la clasificación, protección y manejo de los datos durante su ciclo
de vida, de acorde a todas las regulaciones y leyes aplicables, estándares y nivel de CSC CSC
riesgo. Revisar y actualizar las políticas y procedimientos al menos anualmente.
Emplear métodos aceptados por la industria para la eliminación segura de los datos de
los elementos de almacenamiento, de tal modo que los datos no sean recuperables por Compartida Compartida
ningún tipo de método forense.
Crear y mantener un inventario de datos, al menos para datos sensibles y datos

personales. Compartida Compartida
Clasificar los datos acorde a su tipo y su nivel de sensibilidad CSC CSC
Crear documentación del flujo de datos para identificar dónde se procesan, dónde se
almacenan y dónde se envían. Revisar la documentación del flujo de datos de manera CSC CSC
periódica, al menos con carácter anual y posteriormente a cualquier cambio.
Documentar la propiedad y la administración de todos los datos personales y sensibles
que sean relevantes que están documentados. Realizar revisiones al menos CSC CSC
anualmente.
Desarrollar sistemas, productos y prácticas de negocio en base al principio de seguridad

por diseño y la buenas prácticas de la industria Compartida Compartida

por diseño y la buenas prácticas de la industria. Garantizar que las configuraciones de
privacidad de los sistemas están configuradas, por defecto, para cumplir con todas las CSC CSC
leyes y regulaciones aplicables.
Realizar una evaluación de impacto de la protección de datos (EIPD o DPIA por sus
siglas en inglés) para evaluar el origen, la naturaleza las particularidades y la severidad
de los riesgos durante el procesamiento de datos personales de acorde a cualquier ley CSC CSC
aplicable, regulaciones y buenas prácticas de la industria.
garantizar que cualquier transferencia de datos sensibles o personales está protegida
contra accesos no autorizados y sólo se procesa dentro del alcance permitido por las CSC CSC
Definir e implementar procesos, procedimientos y medidas técnicas para permitir a las

personas interesadas ejercer derechos de acceso, actualización o borrado de sus datos CSC CSC
personales, de acorde a las leyes y regulaciones aplicables.
garantizar que los datos personales se procesan acorde a las leyes y regulaciones CSC CSC
aplicables y dentro de los propósitos declarados al interesado.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que la
transferencia y procesamiento por terceros de los datos personales se realizan dentro CSC CSC
de la cadena del servicio, de acuerdo a las leyes y regulaciones aplicables.
revelar los detalles de cualquier acceso a datos personales o sensibles por sub- CSC CSC
procesos al dueño de los datos, con carácter previo al comienzo de ese procesamiento.
Obtener autorización de los dueños de los datos y gestionar el riesgo asociado

previamente a replicar o utilizar datos de producción en entornos no de producción. CSC CSC
La retención, el archivado y el borrado de los datos se realiza acorde a los requisitos de

negocio, las leyes y las regulaciones aplicables. CSC CSC
Definir e implementar procesos, procedimientos y medidas técnicas para proteger los

datos sensibles durante todo su ciclo de vida. CSC CSC
El proveedor de servicio de Nube (CSP) debe tener implantado y accesible por el

consumidor del servicio de nube (CSC) el procedimiento de gestión y respuesta a
peticiones de las autoridades judiciales para acceder a datos personales, de acuerdo
con las leyes y regulaciones aplicables. El CSP debe prestar especial atención al CSC CSC
proceso de notificación de los CSC interesados siempre y cuando no esté prohibido,
como por ejemplo una prohibición legal de notificación, para mantener la
confidencialidad de una investigación judicial.
Definir e implementar procesos, procedimientos y medidas técnicas para especificar y

documentar las localizaciones físicas de los datos, incluyendo cualquier localización en CSC CSC
las que los datos puedan ser procesados o respaldados.
Gestión de Riesgos y Cumplimiento - GRC
procedimientos para un programa de gobernanza de la información, el cuál debe ser
patrocinado por el liderazgo de la organización. Revise y actualice las políticas y Compartida Compartida
procedimientos al menos una vez al año.
Establecer un programa de Gestión de Riesgos Empresariales (ERM) formal,

documentado y patrocinado por el liderazgo que incluya políticas y procedimientos para
la identificación, evaluación, propiedad, tratamiento y aceptación de los riesgos de Compartida Compartida
privacidad y seguridad en la nube.
Revisar todas las políticas organizacionales relevantes y los procedimientos asociados

al menos una vez al año o cuando ocurra un cambio sustancial dentro de la Compartida Compartida
organización.
Establecer y seguir un proceso de aprobación de excepciones, según lo ordena el

programa de gobernanza, siempre que se produzca una desviación de una política Compartida Compartida
establecida.
Desarrollar e implementar un Programa de Seguridad de la Información, que incluya

programas para todos los dominios relevantes del CCM. Compartida Compartida
Definir y documentar roles y responsabilidades para planificar, implementar, operar,

evaluar y mejorar los programas de gobernanza. Compartida Compartida
Identifique y documente todos los estándares, regulaciones, requisitos legales /

contractuales y estatutarios relevantes que sean aplicables a su organización. Compartida Compartida
Establecer y mantener contacto con grupos de intereses especiales relacionados con la

nube y otras entidades relevantes de acuerdo con el contexto empresarial. Compartida Compartida

procedimientos para la verificación de antecedentes de todos los nuevos empleados
(incluidos, entre otros, empleados remotos, contratistas y terceros) de acuerdo con las
leyes, regulaciones, ética y restricciones contractuales locales, y proporcional a la Compartida Compartida
clasificación de los datos a los que se accede, los requisitos comerciales y el riesgo
aceptable. Revise y actualice las políticas y procedimientos al menos una vez al año.

procedimientos para definir asignaciones y condiciones para el uso aceptable de los
activos administrados o de propiedad de la organización. Revise y actualice las políticas Compartida Compartida
y procedimientos al menos una vez al año.

procedimientos que requieran que los espacios de trabajo desatendidos no contengan
datos confidenciales abiertamente visibles. Revise y actualice las políticas y Compartida Compartida

procedimientos para proteger la información a la que se accede, procesa o almacena en
sitios y ubicaciones remotos. Revise y actualice las políticas y procedimientos al menos Compartida Compartida
una vez al año.
Establecer y documentar procedimientos para la devolución de activos propiedad de la

organización por parte de los empleados despedidos. Compartida Compartida
Establecer, documentar y comunicar a todo el personal los procedimientos que

describen los roles y responsabilidades relacionados con los cambios en el empleo. Compartida Compartida
Los empleados firman el contrato de empleo antes de que se les otorgue acceso a los
sistemas, recursos y activos de información de la organización. Compartida Compartida
La organización incluye dentro de los contratos de empleo disposiciones y / o términos

para el cumplimiento de las políticas de seguridad y gobernanza de la información Compartida Compartida
establecidas.
Documentar y comunicar las funciones y responsabilidades de los empleados, en lo que

respecta a los activos de información y la seguridad. Compartida Compartida
Identificar, documentar y revisar, a intervalos planificados, los requisitos para los

acuerdos de confidencialidad / no divulgación que reflejen las necesidades de la Compartida Compartida
organización para la protección de datos y detalles operativos.
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener un programa
de formación de concienciación de seguridad para todos los empleados de la Compartida Compartida
organización y proporcionar actualizaciones periódicas de formación.
Proporcionar a todos los empleados con acceso a datos personales y organizativos

confidenciales con la formación adecuada con concienciación de seguridad y
actualizaciones periódicas de los procedimientos, procesos y políticas organizativas Compartida Compartida
relacionadas con su función profesional en relación con la organización.
Informar a los empleados sobre sus funciones y responsabilidades para mantener la

concienciación y el cumplimiento de las políticas y procedimientos establecidos y las Compartida Compartida
obligaciones de cumplimiento legales, estatutarias o reglamentarias aplicables.
ón de identidades y accesos - IAM

Establecer, documentar, aprobar, comunicar, implementar, aplicar, evaluar y mantener
políticas y procedimientos para la gestión de identidades y accesos. Las políticas y Compartida Compartida
procedimientos deben ser revisados y actualizados, al menos anualmente.
políticas y procedimientos de contraseñas robustas. Las políticas y procedimientos Compartida Compartida
deben ser revisados y actualizados, al menos anualmente.
Gestionar, almacenar y revisar la información de identidades de sistemas y niveles de

accesos. Compartida Compartida
Aplicar los principios de segregación de funciones cuando se implementen accesos a

sistemas. Compartida Compartida
Aplicar el principio de mínimo privilegio cuando se implementen los accesos a sistemas. Compartida Compartida
Definir e implementar un proceso de provisión de usuarios que autorice, grabe y

comunique cambios en los accesos a información y recursos. Compartida Compartida
Eliminar o modificar oportunamente los accesos a los usuarios que abandonan o

cambien de función en la compañía cumpliendo con las políticas de gestión y accesos. Compartida Compartida
Revisar y revalidar los accesos de usuarios para garantizar el principio de mínimo

privilegio y segregación de funciones, con una frecuencia acorde al nivel de tolerancia al Compartida Compartida
riesgo de la organización.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para la
segregación de roles de acceso privilegiado tal que las funciones de acceso
administrativo a la información, el cifrado, la gestión de claves y la monitorización sean Compartida Compartida
distintos y estén separados.
Definir e implementar un proceso de acceso para asegurar que los roles de acceso
privilegiado son proporcionados por un tiempo limitado. Implementar procedimientos Compartida Compartida
para garantizar el acceso privilegiado segregado.
Definir, implementar y evaluar procesos y procedimientos para hacer participar a los
clientes, cuando sea aplicable, en la asignación de perfiles de acceso privilegiado de Compartida Compartida
alto riesgo. (Definidos así por el análisis de riesgo de la organización)

asegurar que el registro de accesos a la infraestructura está disponible únicamente en
modo lectura para todos usuarios incluidos los privilegiados, y que la posibilidad de Compartida Compartida
deshabilitarla esta controlada a través de procedimientos de segregación de funciones y
procedimientos de emergencia.

asegurar que los usuarios son identificables por identificadores únicos o cualquiera que Compartida Compartida
permita identificar unívocamente a un usuario.

autenticar los accesos a sistemas, aplicaciones y datos, incluyendo autenticación
multifactor al menos para los perfiles privilegiados o con acceso a datos sensibles. Compartida Compartida
Adoptar certificados digitales o alternativas que permitan un nivel de seguridad
equivalente para sistemas de identidades.

correcta gestión de contraseñas. Compartida Compartida
Identificar, implementar y evaluar procesos, procedimientos y medidas técnicas para

verificar que el acceso a datos y a funciones de sistema, es autorizado. Compartida Compartida
roperabilidad y portabilidad - IPY

procedimientos para la interoperabilidad y portabilidad incluyendo requerimientos para:
a. Comunicaciones entre las interfaces de aplicación.
b. Interoperabilidad del procesamiento de la información. CSC Compartida
c. Portabilidad de los desarrollos de aplicaciones.
d. Intercambio, uso, portabilidad, integridad y persistencia de información/datos
Las políticas y procedimientos deben ser revisados al menos anualmente.
Proporcionar interfaz de aplicación a los CSC para hacer posible la obtención de

información y permitir la interoperabilidad y la portabilidad. CSC Compartida
Implementar protocolos de red criptográficamente seguros para la gestión, importación y

exportación de la información. CSC Compartida
Los acuerdos deben incluir provisiones especificando el acceso de los CSC hasta la
finalización del contrato, e incluirán:
a. formato de datos.
b. periodo de retención. CSC Compartida
c. alcance de los datos almacenados y puestos a disposición de los CSC.
d. política de eliminación de información.
de infraestructura y virtualización - IVS

procedimientos para la seguridad de la infraestructura y la virtualización. Revisar y CSP CSP
Planificar y supervisar la disponibilidad, la calidad y la capacidad adecuada de los
recursos para ofrecer el rendimiento del sistema requerido según lo determinado por Compartida CSP
negocio.
Monitorizar, cifrar y restringir las comunicaciones entre entornos a sólo conexiones
autenticadas y autorizadas, según lo justifique la empresa. Revisar estas
configuraciones al menos una vez al año y apoyarlas mediante una justificación CSP CSP
documentada de todos los servicios, protocolos, puertos y controles de compensación
permitidos.
Reforzar el plano de control de la infraestructura, el hipervisor o el sistema operativo
invitado de acuerdo con sus respectivas mejores prácticas, y con el apoyo de controles CSP CSP
técnicos, como parte de una línea de base de seguridad.
Separar los entornos de producción y no producción . CSP CSP

Diseñar, desarrollar, implementar y configurar aplicaciones e infraestructuras de manera
que el acceso de usuarios de CSP y CSC al 'tenant' y el acceso 'intra-tenant' , esté CSP CSP
apropiadamente segmentado y segregado, monitorizado y restringido de otros 'tenants'.
Utilizar canales de comunicación seguros y cifrados al migrar servidores, servicios,
aplicaciones o datos a entornos en la nube. Dichos canales deben incluir solo Compartida Compartida
protocolos actualizados y aprobados.
Identificar y documentar entornos de alto riesgo. CSP CSP
Definir, implementar y evaluar procesos, procedimientos y técnicas de defensa en

profundidad para la protección, detección y respuesta oportuna a los ataques basados CSP CSP
en la red.

procedimientos de registro y monitoreo. Revisar y actualizar las políticas y Compartida Compartida

garantizar la seguridad y retención de los registros de auditoría. Compartida Compartida
Identificar y monitorear eventos relacionados con la seguridad dentro de las

aplicaciones y la infraestructura subyacente. Definir e implementar un sistema para
generar alertas a las partes interesadas responsables en base a dichos eventos y las CSC Compartida
métricas correspondientes.
Restringir el acceso a los registros de auditoría al personal autorizado y mantener

registros que proporcionen responsabilidad de acceso única. Compartida Compartida
Supervisar los registros de auditoría de seguridad para detectar actividad fuera de los
patrones típicos o esperados. Establecer y seguir un proceso definido para revisar y Compartida Compartida
tomar las acciones apropiadas y oportunas frente a las anomalías detectadas.
Utilizar una fuente de tiempo confiable en todos los sistemas de procesamiento de

información relevantes. Compartida CSP
Establecer, documentar e implementar qué eventos del sistema de datos/metadatos de

información deben registrarse. Revisar y actualizar el alcance al menos una vez al año o Compartida Compartida
siempre que haya un cambio en el entorno de amenazas.
Generar registros de auditoría que contengan información de seguridad relevante. Compartida Compartida
El sistema de información protege los registros de auditoría del acceso, modificación y

eliminación no autorizados. Compartida Compartida
Establecer y mantener una capacidad de supervisión e informes internos sobre las

operaciones de políticas, procesos, procedimientos y controles criptográficos, de cifrado Compartida Compartida
y de gestión de llaves.
Registrar y supervisar los eventos de gestión del ciclo de vida de las claves para
habilitar la auditoría y la generación de informes sobre el uso de claves criptográficas. Compartida Compartida
Supervisar y registrar el acceso físico mediante un sistema de control de acceso

auditable. CSP CSP
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para el

reporte de anomalías y fallas del sistema de monitoreo y brindar notificación inmediata Compartida Compartida
al responsable.
de Seguridad, E-Discovery y Forense en nube - SEF

procedimientos para la Gestión de Incidentes de Seguridad, E-Discovery y Forense en Compartida Compartida
nube. Revisar y actualizar políticas y procedimientos al menos una vez al año.

procedimientos para la gestión oportuna de incidentes de seguridad. Revisar y Compartida Compartida

respuesta a incidentes de seguridad, que incluya, entre otros: departamentos internos
relevantes, CSC afectados y otras relaciones de negocios críticas (como la cadena de Compartida Compartida
suministro) que pueden verse afectadas.
Probar y actualizar según sea necesario los planes de respuesta a incidentes a

intervalos planificados o ante cambios organizativos o ambientales significativos para su Compartida Compartida
eficacia.
Establecer y monitorear métricas de incidentes de seguridad de la información. Compartida Compartida

respalden los procesos de negocios para clasificar los eventos relacionados con la Compartida Compartida
seguridad.
Definir e implementar procesos, procedimientos y medidas técnicas para notificaciones

de brechas de seguridad. Informar las infracciones de seguridad y las supuestas
infracciones de seguridad, incluidas las infracciones relevantes de la cadena de Compartida Compartida
suministro, según los SLA, las leyes y los reglamentos aplicables.
Mantener puntos de contacto para las autoridades reguladoras aplicables, la aplicación

de la ley nacional y local y otras autoridades jurisdiccionales legales.
Compartida Compartida
de Suministro, Transparencia y Trazabilidad - STA

procedimientos para la aplicación del Modelo de Responsabilidad de Seguridad
Compartida (SSRM), dentro de la organización. Revise y actualice las políticas y Compartida Compartida
Aplicar, documentar, implementar y gestionar el SSRM en toda la cadena de suministro

para la oferta de servicios en la Nube. Compartida Compartida
Proporcionar una Guía SSRM para detallar la información del CSC, sobre la
aplicabilidad de SSRM a lo largo de la cadena de suministro. CSP CSP
Definir la propiedad compartida y la aplicabilidad de todos los controles de CSA CCM,

de acuerdo con el SSRM, para la oferta de servicios en la Nube. CSP CSP
Revisar y validar la documentación SSRM para todas las ofertas de servicios en la Nube
que usa la organización. Compartida Compartida
Implementar, operar y auditar o evaluar, las partes del SSRM de las que la organización
es responsable. Compartida Compartida
Desarrollar y mantener un inventario de todas las relaciones en la cadena de suministro. Compartida Compartida
Los CSP revisan periódicamente los factores de riesgo asociados con todas las
organizaciones dentro de su cadena de suministro. Compartida Compartida
Los acuerdos de servicio entre CSP y CSC (inquilinos) deben incorporar al menos las
siguientes disposiciones y / o términos acordados mutuamente:
• Alcance, características y ubicación de la relación comercial y los servicios ofrecidos.
• Requisitos de seguridad de la información (incluido SSRM)
• Proceso de gestión de cambios
• Capacidad de registro y monitoreo Compartida Compartida
• Procedimientos de gestión y comunicación de incidentes
• Derecho a auditoría y evaluación de terceros
• Termino del servicio
• Requisitos de interoperabilidad y portabilidad
• Privacidad de datos
Revisar los acuerdos de la cadena de suministro entre los CSPs y los CSCs al menos
una vez al año. Compartida Compartida
Definir e implementar un proceso para realizar evaluaciones internas para confirmar la

conformidad y eficacia de las normas, políticas, procedimientos, Compartida Compartida
y actividades de acuerdo de nivel de servicio al menos una vez al año.
Implementar políticas que requieran que todos los CSPs, a lo largo de la cadena de
suministro, cumplan con los requisitos de seguridad de la información, confidencialidad,
control de acceso, privacidad, auditoría, política de personal y requerimientos de niveles Compartida Compartida
de servicio y estándares.
Revisar periódicamente las políticas y los procedimientos de gobernanza de TI de los
socios, en la cadena de suministro de la organización. Compartida Compartida
Definir e implementar un proceso para realizar evaluaciones de seguridad

periódicamente, para todas las organizaciones dentro de la cadena de suministro. Compartida Compartida
de Amenazas y Vulnerabilidades - TVM

procedimientos para identificar, reportar y priorizar la resolución de vulnerabilidades,
para proteger los sistemas contra la utilización de vulnerabilidades. revisar y actualizar Compartida Compartida
las políticas y procedimientos al menos anualmente.

procedimientos para la protección contra el malware en los activos gestionados. Revisar Compartida Compartida
y actualizar las políticas y procedimientos al menos anualmente.

habilitar tanto respuestas programadas como de emergencia para la identificación de Compartida Compartida
vulnerabilidades basadas en el riesgo identificado.

actualizar herramientas de detección, firmas de amenazas e indicadores de compromiso Compartida Compartida
con una frecuencia semanal o mayor.

identificar actualizaciones para aplicaciones que usan librerías de terceros o de código Compartida Compartida
abierto de acuerdo con la política de gestión de vulnerabilidades de la organización.

realización periódica de test de penetración por terceros independientes. Compartida Compartida

detección de vulnerabilidades en los activos gestionados por la organización al menos Compartida Compartida
mensualmente.
Usar un modelo basado en riesgos para la efectiva priorización de la resolución de
vulnerabilidades usando algún marco de trabajo reconocido por la industria. Compartida Compartida
Definir e implementar procesos para el seguimiento y reporte de las actividades de

identificación y resolución de vulnerabilidades que incluyan la notificación a todos los Compartida Compartida
interesados.
Establecer, monitorizar y reportar métricas para la identificación y resolución de

vulnerabilidades a intervalos definidos. Compartida Compartida
de dispositivos terminales ('Endpoint') - UEM

Establecer, documentar, aprobar, comunicar, aplicar, avaluar y mantener políticas y
procedimientos para todos los dispositivos 'Endpoint'. Compartida Compartida
Revisar y actualizar las políticas y los procedimientos al menos una vez al año.
Definir, documentar, aplicar y evaluar una lista de servicios, aplicaciones y fuentes de

aplicaciones aprobados (homologados) que se permiten usar por los dispositivos Compartida Compartida
'Endpoint' cuando acceden o almacenan datos administrados por la organización.
Definir e implementar un proceso para validar la compatibilidad del dispositivo 'Endpoint'

con los sistemas operativos y aplicaciones. CSC Compartida
Mantener un inventario de todos los dispositivos 'Endpoint' utilizados para almacenar y

acceder a los datos de la empresa. CSC CSC
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que

los 'Endpoint' autorizados a acceder a los sistemas y / o almacenar, transmitir o CSC CSC
procesar datos de la organización, cumplan con las políticas y controles.
Configurar todos los dispositivos 'Endpoint' de uso interactivo relevantes para que
requieran el bloqueo automático de la pantalla. CSC CSC
Gestionar los cambios de los sistemas operativos, los niveles de parcheado y / o las
aplicaciones de los 'Endpoints' a través de los procesos de gestión de cambios de la CSC Compartida
empresa.
Proteger la información de los dispositivos 'Endpoint' de la divulgación no autorizada
administrando un cifrado del almacenamiento. CSC CSC
Configurar dispositivos 'Endpoint' gestionados con tecnología y servicios de prevención

y detección antimalware. CSC CSC
Configurar los dispositivos 'Endpoint' con firewalls software configurados

adecuadamente. CSC CSC
Configurar los dispositivos 'Endpoint' con tecnologías y reglas de prevención de fuga de

datos (DLP) de acuerdo con una evaluación de riesgos. CSC CSC
Habilitar las capacidades de geolocalización remota para todos los dispositivos móviles
gestionados. CSC CSC

permitir el borrado remoto de datos de la empresa en dispositivos 'Endpoint' CSC CSC
gestionados.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas y / o

contractuales para mantener la seguridad adecuada de los dispositivos 'Endpoint' de CSC CSC
terceros con acceso a los activos de la organización.
Final del estándar

dos los derechos reservados. Puede descargar, almacenar, mostrar en su
y Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
ente: (a) Cloud Controls Matrix v4.0 se puede utilizar únicamente para su uso
rols Matrix v4.0 no se puede modificar ni alterar de ninguna manera; (c) Cloud
marca comercial, los derechos de autor u otros avisos no se pueden eliminar.
gún lo permitan las disposiciones de uso justo de la Ley de derechos de autor de los
loud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesado en
s que no se encuentran en el aviso de derechos de autor, comuníquese con
abilidad típica del Control
Relevancia a nivel de Arquitectura - Componentes de la pila de la Nube (Cloud Stack)
Compartida)
SaaS Física Red Computación Almacenamiento App
Compartida VERDADERO FALSO FALSO FALSO VERDADERO
Compartida VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO

CSP VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO

Compartida FALSO FALSO FALSO VERDADERO FALSO



CSP FALSO VERDADERO FALSO FALSO FALSO

CSP FALSO FALSO FALSO FALSO FALSO
CSP VERDADERO VERDADERO VERDADERO VERDADERO FALSO
CSP VERDADERO FALSO FALSO FALSO FALSO
CSP VERDADERO VERDADERO FALSO FALSO FALSO

CSC VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO
CSC FALSO FALSO FALSO FALSO FALSO

CSC FALSO VERDADERO VERDADERO FALSO FALSO
CSC FALSO FALSO FALSO VERDADERO FALSO


Compartida FALSO VERDADERO FALSO VERDADERO VERDADERO
Compartida VERDADERO FALSO FALSO FALSO FALSO
Compartida VERDADERO FALSO FALSO VERDADERO VERDADERO
Compartida FALSO FALSO FALSO FALSO FALSO



CSP VERDADERO VERDADERO FALSO FALSO FALSO
CSP FALSO FALSO FALSO FALSO VERDADERO

CSP FALSO VERDADERO FALSO FALSO FALSO





CSP FALSO VERDADERO VERDADERO FALSO VERDADERO
CSP FALSO VERDADERO VERDADERO VERDADERO VERDADERO
CSC FALSO VERDADERO VERDADERO VERDADERO VERDADERO
Compartida FALSO VERDADERO VERDADERO VERDADERO VERDADERO


be (Cloud Stack) Relevancia a nivel de Organización
Equipo de
Datos Ciberseguridad Auditoría Interna Desarrollo SW Operaciones
Arquitectura
VERDADERO FALSO FALSO FALSO VERDADERO VERDADERO
VERDADERO FALSO VERDADERO FALSO FALSO FALSO
VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO


FALSO VERDADERO VERDADERO VERDADERO FALSO VERDADERO
VERDADERO FALSO VERDADERO VERDADERO FALSO FALSO

VERDADERO VERDADERO VERDADERO VERDADERO FALSO FALSO


VERDADERO VERDADERO VERDADERO VERDADERO FALSO VERDADERO
FALSO FALSO VERDADERO VERDADERO FALSO VERDADERO

FALSO FALSO VERDADERO FALSO FALSO VERDADERO
VERDADERO FALSO VERDADERO VERDADERO FALSO VERDADERO
VERDADERO VERDADERO FALSO FALSO FALSO VERDADERO
FALSO FALSO FALSO FALSO FALSO VERDADERO
VERDADERO VERDADERO FALSO VERDADERO VERDADERO VERDADERO
FALSO VERDADERO VERDADERO FALSO FALSO VERDADERO

VERDADERO FALSO FALSO VERDADERO FALSO VERDADERO
VERDADERO FALSO FALSO VERDADERO FALSO FALSO
VERDADERO FALSO FALSO VERDADERO VERDADERO FALSO

VERDADERO FALSO FALSO VERDADERO VERDADERO VERDADERO
VERDADERO FALSO FALSO FALSO FALSO FALSO


FALSO VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO
VERDADERO VERDADERO VERDADERO FALSO FALSO VERDADERO



VERDADERO FALSO VERDADERO VERDADERO VERDADERO FALSO
VERDADERO FALSO VERDADERO VERDADERO VERDADERO FALSO
FALSO FALSO FALSO VERDADERO FALSO FALSO
FALSO FALSO FALSO VERDADERO FALSO VERDADERO
FALSO VERDADERO FALSO VERDADERO VERDADERO VERDADERO
FALSO FALSO FALSO VERDADERO VERDADERO VERDADERO

FALSO VERDADERO FALSO VERDADERO VERDADERO VERDADERO


VERDADERO VERDADERO FALSO FALSO FALSO FALSO
VERDADERO VERDADERO VERDADERO FALSO FALSO FALSO


VERDADERO VERDADERO FALSO FALSO FALSO FALSO
VERDADERO VERDADERO FALSO VERDADERO FALSO VERDADERO



l de Organización
Gestión Cadena
Legal/Privacidad Equipo GRC RR.HH.
de Suministro
VERDADERO VERDADERO VERDADERO FALSO
FALSO VERDADERO FALSO FALSO
VERDADERO VERDADERO VERDADERO VERDADERO
FALSO FALSO VERDADERO FALSO

FALSO VERDADERO VERDADERO FALSO
FALSO VERDADERO VERDADERO VERDADERO


VERDADERO VERDADERO FALSO FALSO



VERDADERO VERDADERO FALSO VERDADERO
FALSO FALSO FALSO FALSO
FALSO VERDADERO FALSO VERDADERO

VERDADERO FALSO FALSO FALSO








VERDADERO FALSO FALSO


VERDADERO FALSO VERDADERO FALSO




CLOUD CONTROLS MATRIX VERSION 4.0 (Versión en español)
Dominio de
Título del Control ID Control
Control
Auditoría & Aseguramiento - A&A
Auditoría & Política y procedimientos de

Aseguramiento/Garantí auditoría y A&A-01
a aseguramiento/cumplimiento
Auditoría &
Aseguramiento/Garantí Evaluaciones independientes A&A-02
a
Auditoría &
Planificar evaluaciones
basadas en Riesgos A&A-03
a
Auditoría &
Aseguramiento/Garantí Cumplimiento de Requisitos A&A-04
a
Auditoría &
Proceso de Gestión de
Auditoría A&A-05
a
Auditoría &
Aseguramiento/Garantí Remediación A&A-06
a
Seguridad de aplicaciones e interfaces - AIS
Seguridad de Política y procedimientos en

Seguridad de Requisitos de Base en

Seguridad de
Métricas de seguridad de la
aplicaciones e
aplicación AIS-03
interfaces
Seguridad de
Diseño y desarrollo de
aplicaciones e
aplicaciones seguras AIS-04
interfaces
Seguridad de
Pruebas de seguridad de
aplicaciones e
aplicaciones automatizadas AIS-05
interfaces
Seguridad de
Implementación automatizada
aplicaciones e
de aplicaciones seguras AIS-06
interfaces
Seguridad de
Corrección de vulnerabilidades
aplicaciones e
de aplicaciones AIS-07
interfaces
Gestión de la continuidad del negocio y resiliencia operativa - BCR

Gestión de la Política y procedimientos de
continuidad del negocio gestión de la continuidad del BCR-01
y resiliencia operativa negocio
Gestión de la
Evaluación de riesgos y
análisis de impacto BCR-02
Gestión de la
Estrategia de continuidad del
negocio BCR-03
Gestión de la
Planificación de la Continuidad
del Negocio BCR-04
Gestión de la
continuidad del negocio Documentación BCR-05
Gestión de la
Ejercicios de continuidad del
negocio BCR-06
Gestión de la
continuidad del negocio Comunicación BCR-07
Gestión de la
continuidad del negocio Respaldo BCR-08
Gestión de la
Plan de respuesta ante
desastres BCR-09
Gestión de la
continuidad del negocio Ejercicio del plan de respuesta BCR-10
Gestión de la
continuidad del negocio Redundancia de equipos BCR-11
Control de Cambios y Gestión de la Configuración - CCC

Gestión de la
la Gestión del Cambio CCC-01
Configuración
Gestión de la Calidad de las Pruebas CCC-02
Configuración
Tecnología de la Gestión del
Gestión de la
Cambio CCC-03
Configuración
Protección de Cambios no
Gestión de la
Autorizados. CCC-04
Configuración
Gestión de la Acuerdos de Cambio CCC-05
Configuración
Fundamentos de la Gestión
Gestión de la
del Cambio CCC-06
Configuración
Detección de desvíos en la
Gestión de la
línea base CCC-07
Configuración
Gestión de la Gestión de Excepciones CCC-08
Configuración
Gestión de la Restablecimiento del cambio CCC-09
Configuración
Criptografía, cifrado y gestión de claves - CEK

Criptografía, cifrado y Políticas y procedimientos de
gestión de claves cifrado y gestión de claves CEK-01
Roles y responsabilidades en
gestión de claves
Criptografía, Cifrado y Gestión CEK-02
de Claves
gestión de claves
Cifrado de Datos CEK-03
gestión de claves
Algoritmos de Cifrado CEK-04
gestión de claves
Gestión de cambios de cifrado CEK-05
Criptografía, cifrado y Análisis costo beneficio de

gestión de claves cambios en el cifrado CEK-06
gestión de claves
Gestión de riesgos de cifrado CEK-07
Criptografía, cifrado y Capacidad de Gestión de

gestión de claves claves CSC CEK-08
Criptografía, cifrado y Auditoría de Cifrado y Gestión
gestión de claves de claves CEK-09
gestión de claves
Generación de claves CEK-10
gestión de claves
Propósito de la clave CEK-11
gestión de claves
Rotación de claves CEK-12
gestión de claves
Revocación de claves CEK-13
gestión de claves
Destrucción de claves CEK-14
gestión de claves
Activación de claves CEK-15
gestión de claves
Suspensión de claves CEK-16
gestión de claves
Desactivación de claves CEK-17
gestión de claves
Archivado de claves CEK-18
gestión de claves
Compromiso de claves CEK-19
gestión de claves
Recuperación de claves CEK-20
Criptografía, cifrado y Gestión de Inventario de

gestión de claves claves CEK-21
Seguridad del Centro de Datos - DCS
Política y Procedimientos de
Datos
eliminación de equipos fuera DCS-01
de la organización
Datos
autorización de transferencia DCS-02
fuera de la organización
Seguridad del Centro de Política y procedimientos de
Datos área segura DCS-03
Seguridad del Centro de Política y Procedimientos de

Datos Transporte Seguro de Medios DCS-04

Datos
Clasificación de Activos DCS-05
Seguridad del Centro de Catalogar y realizar

Datos seguimiento de activos DCS-06

Datos
Puntos de acceso controlados DCS-07

Datos
Identificación de los Equipos DCS-08

Datos
Autorización de Área Segura DCS-09

Datos
Sistema de Vigilancia DCS-10
Seguridad del Centro de Entrenamiento de Respuesta
Datos ante un Acceso No Autorizado DCS-11

Datos
Seguridad del Cableado DCS-12

Datos
Sistemas Ambientales DCS-13

Datos
Suministros seguros DCS-14

Datos
Ubicación de los Equipos DCS-15
Ciclo de vida de la seguridad y privacidad de los datos - DSP
Ciclo de vida de la
Política de seguridad y
privacidad y procedimientos DSP-01
de los datos
Ciclo de vida de la
seguridad y privacidad Eliminación segura DSP-02
de los datos
Ciclo de vida de la
seguridad y privacidad Inventario de datos DSP-03
de los datos
Ciclo de vida de la
seguridad y privacidad Clasificación de los datos DSP-04
de los datos
Ciclo de vida de la
Documentación de flujo de
datos
DSP-05
de los datos
Ciclo de vida de la
Propiedad y administración de
los datos DSP-06
de los datos
Ciclo de vida de la
de los datos
Ciclo de vida de la
de los datos
Ciclo de vida de la
Evaluación de impacto de la
protección de datos DSP-09
de los datos
Ciclo de vida de la
Transferencia de datos
sensibles DSP-10
de los datos
Ciclo de vida de la
Acceso, rectificación y borrado
de datos personales DSP-11
de los datos
Ciclo de vida de la Limitación del alcance de

seguridad y privacidad procesamiento de datos DSP-12
de los datos personales
Ciclo de vida de la
Procesamiento de datos por
terceros DSP-13
de los datos
Ciclo de vida de la
Revelación de datos de
terceros DSP-14
de los datos
Ciclo de vida de la
Limitación de uso de datos de
producción DSP-15
de los datos
Ciclo de vida de la
seguridad y privacidad Retención de datos y borrado DSP-16
de los datos
Ciclo de vida de la
seguridad y privacidad Protección de datos sensibles DSP-17
de los datos
Ciclo de vida de la
seguridad y privacidad Notificación de acceso DSP-18
de los datos
Ciclo de vida de la
seguridad y privacidad Localización de los datos DSP-19
de los datos
Gobernanza, Gestión de Riesgos y Cumplimiento - GRC
Política y Procedimientos del
de Riesgos y
Programa de Gobernanza GRC-01
Cumplimiento
Programa de Gestión de
de Riesgos y
Riesgos
GRC-02
Cumplimiento
Revisiones de Políticas
de Riesgos y
Organizacionales GRC-03
Cumplimiento
Proceso de Excepción a una
de Riesgos y
Política GRC-04
Cumplimiento
Programa de Seguridad de la
de Riesgos y
Información GRC-05
Cumplimiento
Modelo de Responsabilidad
de Riesgos y
en Gobernanza GRC-06
Cumplimiento
Mapeo a las Regulaciones del
de Riesgos y
Sistema de Información GRC-07
Cumplimiento
de Riesgos y Grupos de Interés Especial GRC-08
Cumplimiento

Recursos Humanos
verificación de antecedentes HRS-01
Recursos Humanos
uso aceptable de la tecnología HRS-02
Recursos Humanos Política y procedimientos de HRS-03

escritorio limpio.
Recursos Humanos trabajo a distancia y trabajo HRS-04
desde el hogar
Recursos Humanos Retorno de activos HRS-05
Recursos Humanos Finalización de Empleo HRS-06
Proceso de Contrato de
Recursos Humanos
Empleo HRS-07
Contenido del contrato de

Recursos Humanos
empleo HRS-08
Funciones y responsabilidades
Recursos Humanos
del persona HRS-09
Recursos Humanos Acuerdos de no divulgación HRS-10
Entrenamiento de
Recursos Humanos
concienciación de seguridad HRS-11
Capacitación y concientización
Recursos Humanos sobre datos personales y HRS-12
datos sensibles.
Responsabilidad de
Recursos Humanos
cumplimiento del usuario HRS-13
Gestión de identidades y accesos - IAM

y accesos
gestión de identidades y IAM-01
accesos.
Gestión de identidades Políticas y procedimientos de

y accesos contraseñas robustas. IAM-02
y accesos
Inventario de identidades IAM-03
y accesos
Segregación de funciones. IAM-04
y accesos
Principio de mínimo privilegio. IAM-05
y accesos
Provisión de accesos IAM-06
Gestión de identidades Proceso de modificación y

y accesos revocación de accesos. IAM-07
y accesos
Revisión de accesos IAM-08
Gestión de identidades Segregación de accesos

y accesos privilegiado. IAM-09
Gestión de identidades Gestión de accesos

y accesos privilegiados. IAM-10
Aprobación de clientes de
y accesos
servicios en la nube para IAM-11
perfiles privilegiados
Gestión de identidades Protección de la integridad de
y accesos los registros ('logs') IAM-12
Gestión de identidades Identificación unívoca de

y accesos usuarios IAM-13
y accesos
Autenticación reforzada IAM-14
y accesos
Gestión de contraseñas IAM-15
y accesos
Mecanismos de autorización IAM-16
Interoperabilidad y portabilidad - IPY
Interoperabilidad y Políticas y procedimientos de

portabilidad Interoperabilidad y portabilidad IPY-01
Interoperabilidad y Disponibilidad de la interfaz de

portabilidad aplicación IPY-02
Gestión de la seguridad en
Interoperabilidad y
portabilidad
procesos de interoperabilidad IPY-03
y portabilidad
Interoperabilidad y Obligaciones contractuales de

portabilidad portabilidad de datos. IPY-04
Seguridad de infraestructura y virtualización - IVS
Seguridad de Política y procedimientos de

infraestructura y seguridad de infraestructura y IVS-01
virtualización. virtualización.
Seguridad de
Planificación de capacidad y
infraestructura y
recursos. IVS-02
virtualización.
Seguridad de
infraestructura y Seguridad de la red. IVS-03
virtualización.
Seguridad de
Bastionado del Sistema
infraestructura y
Operativo y Controles Básicos IVS-04
virtualización.
Seguridad de
Entornos de producción y no
infraestructura y
producción IVS-05
virtualización.
Seguridad de
infraestructura y Segmentación y segregación IVS-06
virtualización.
Seguridad de
Migración a entornos en la
infraestructura y
nube IVS-07
virtualización.
Seguridad de
Documentación de
infraestructura y
arquitectura de red IVS-08
virtualización.
Seguridad de
infraestructura y Defensa de la red IVS-09
virtualización.
registro y monitoreo LOG-01
Protección de registros de
auditoría LOG-02
Monitoreo y alertas de
seguridad LOG-03
Acceso y responsabilidad a
Monitoreo y respuesta de
Registro y Monitoreo Sincronización de reloj LOG-06
Registro y Monitoreo Alcance de registro LOG-07
Registro y Monitoreo Registros de registro LOG-08
Registro y Monitoreo Protección de registros LOG-09
Supervisión y generación de
informes de cifrado LOG-10
Registro de
transacciones/actividades LOG-11
Registro y Monitoreo Registros de control de acceso LOG-12
Notificación de fallas y
anomalías LOG-13
Gestión de Incidentes de Seguridad, E-Discovery y Forense en nube - SEF
Políticas y procedimiento de
de Seguridad, E-
gestión de incidentes de SEF-01
seguridad
nube
de Seguridad, E- Políticas y procedimientos de
Discovery y Forense en gestión de servicios SEF-02
nube
de Seguridad, E- Planes de respuesta a
Discovery y Forense en incidentes SEF-03
nube
de Seguridad, E- Pruebas de los planes de
Discovery y Forense en respuesta SEF-04
nube
de Seguridad, E- Métricas de Respuesta a
Discovery y Forense en Incidentes SEF-05
nube
de Seguridad, E-
Proceso de triage de eventos SEF-06
nube
de Seguridad, E- Notificación de brechas de
Discovery y Forense en seguridad SEF-07
nube
de Seguridad, E- Mantención de puntos de
Discovery y Forense en contacto SEF-08
nube
Gestión de la Cadena de Suministro, Transparencia y Trazabilidad - STA
de Suministro, Política y Procedimientos de
Trazabilidad
de Suministro,
Transparencia y
Cadena de Suministro SSRM STA-02
Trazabilidad
de Suministro,
Transparencia y
Guía SSRM STA-03
Trazabilidad
de Suministro,
Transparencia y
Propiedad del Control SSRM STA-04
Trazabilidad
de Suministro, Revisión de la Documentación
Transparencia y SSRM
STA-05
Trazabilidad
de Suministro, Implementación del Control
Trazabilidad
de Suministro, Inventario de la Cadena de
Transparencia y Suministro STA-07
Trazabilidad
de Suministro, Gestión de Riesgos en la
Trazabilidad
de Suministro, Servicio Primario y Acuerdo
Transparencia y Contractual STA-09
Trazabilidad
de Suministro, Revisión del Acuerdo de la
Trazabilidad
de Suministro, Pruebas de Cumplimiento
Transparencia y Interno STA-11
Trazabilidad
Cumplimiento del Contrato de
de Suministro,
Transparencia y
Servicio de la Cadena de STA-12
Suministro
Trazabilidad
de Suministro, Revisión de la Gobernanza en
Transparencia y la Cadena de Suministro STA-13
Trazabilidad
Evaluación de la Seguridad de
de Suministro,
Transparencia y
los Datos de la Cadena de STA-14
Suministro
Trazabilidad
Gestión de Amenazas y Vulnerabilidades - TVM
Políticas y Procedimientos de
Vulnerabilidades
gestión de Amenazas y TVM-01
Vulnerabilidades
Gestión de Amenazas y Políticas y Procedimientos de
Vulnerabilidades Protección de Malware TVM-02
Gestión de Amenazas y Calendario de resolución de

Vulnerabilidades vulnerabilidades TVM-03
Vulnerabilidades
Detección de actualizaciones TVM-04
Gestión de Amenazas y Biblioteca Externa de
Vulnerabilidades
Test de Penetración TVM-06
Gestión de Amenazas y Identificación de

Vulnerabilidades Vulnerabilidades
TVM-07
Gestión de Amenazas y Priorización de

Gestión de Amenazas y Reporte de la Gestión de

Gestión de Amenazas y Métricas de Gestión de

Gestión global de dispositivos terminales ('Endpoint') - UEM

Gestión global de Política y procedimientos
dispositivos terminales sobre dispositivos terminales UEM-01
('Endpoint') ('Endpoint')
Gestión global de
Aprobación de aplicaciones y
dispositivos terminales
servicios UEM-02
('Endpoint')
Gestión global de
dispositivos terminales Compatibilidad UEM-03
('Endpoint')
Gestión global de
Inventario de dispositivos
terminales ('Endpoint')
('Endpoint')
Gestión global de
Gestión de terminales
('Endpoint')
('Endpoint')
Gestión global de
Bloqueo automático de
pantalla
('Endpoint')
Gestión global de
dispositivos terminales Sistemas operativos UEM-07
('Endpoint')
Gestión global de
dispositivos terminales Almacenamiento cifrado UEM-08
('Endpoint')
Gestión global de
Detección y prevención Anti-
Malware
('Endpoint')
Gestión global de
dispositivos terminales Firewall software UEM-10
('Endpoint')
Gestión global de
dispositivos terminales Prevención de fuga de datos UEM-11
('Endpoint')
Gestión global de
dispositivos terminales Locación remota UEM-12
('Endpoint')
Gestión global de
dispositivos terminales Borrado remoto UEM-13
('Endpoint')
Gestión global de Posicionamiento de seguridad

dispositivos terminales para terminales ('Endpoint') de UEM-14
('Endpoint') terceros
Final del estándar
© Copyright 2019-2021 Cloud Security Alliance - Todos los derechos reservados. Puede descargar, almacenar, mostrar en su
computadora, ver, imprimir y enlazar a Cloud Security Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
http://www.cloudsecurityalliance.org sujeto a lo siguiente: (a) Cloud Controls Matrix v4.0 se puede utilizar únicamente para su uso
personal, informativo y no comercial; (b) Cloud Controls Matrix v4.0 no se puede modificar ni alterar de ninguna manera; (c) Cloud
Controls Matrix v4.0 no se puede redistribuir; y (d) la marca comercial, los derechos de autor u otros avisos no se pueden eliminar.
Puede citar partes de Cloud Controls Matrix v4.0 según lo permitan las disposiciones de uso justo de la Ley de derechos de autor de los
Estados Unidos, siempre que atribuya las partes a Cloud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesado en
obtener una licencia de este material para otros usos que no se encuentran en el aviso de derechos de autor, comuníquese con
info@cloudsecurityalliance.org.
VERSION 4.0 (Versión en español)
CCM v3.0.1
Especificación actualizada del control
Mapeo de Controles Nivel de cobertura
uditoría & Aseguramiento - A&A
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas,

GRM-06
procedimientos y estándares de auditoría y aseguramiento/garantías. Revisar y Parcial
actualizar las políticas y procedimientos al menos una vez al año. GRM-09

acuerdo con los estándares relevantes al menos una vez al año. AAC-02 Total
Realizar auditorías independientes y evaluaciones de aseguramiento/garantías de AAC-01

Total
acuerdo con planes basados en riesgos y políticas. AAC-02
Verificar el cumplimiento de todas las normas, regulaciones, requisitos GRM-01

Total
legales/contractuales y estatutarios que sean relevantes y aplicables a la auditoría. GRM-03
Definir e implementar un proceso de Gestión de Auditoría para respaldar la planificación
de la auditoría, el análisis de riesgos, la evaluación del control de seguridad, la
conclusión, los cronogramas de corrección, la generación de informes y la revisión de AAC-01 Parcial
informes anteriores y evidencia de respaldo.

GRM-10
acción correctiva basado en el riesgo para remediar los hallazgos de la auditoría, revisar Parcial
e informar el estado de la corrección a las partes interesadas relevantes. GRM-11
dad de aplicaciones e interfaces - AIS

procedimientos para la seguridad de las aplicaciones a fin de proporcionar una guía
AIS-01
para la planificación, entrega y soporte adecuados de las capacidades de seguridad de Parcial
las aplicaciones de la organización. Revise y actualice las políticas y procedimientos al AIS-04
menos una vez al año.
Establecer, documentar y mantener los requisitos básicos para asegurar diferentes

aplicaciones.
AIS-01 Total
Definir e implementar métricas técnicas y operativas en alineación con los objetivos

comerciales, los requisitos de seguridad y las obligaciones de cumplimiento. Sin mapeo Nulo
Definir e implementar un proceso SDLC para el diseño, desarrollo, implementación y
AIS-01
operación de aplicaciones de acuerdo con los requisitos de seguridad definidos por la Parcial
organización. AIS-03
Implementar una estrategia de prueba, incluidos los criterios para la aceptación de

nuevos sistemas de información, actualizaciones y nuevas versiones, lo que
AIS-01
proporciona garantía de seguridad de la aplicación y mantiene el cumplimiento al tiempo Parcial
que permite la velocidad organizacional de los objetivos de entrega. Automatizar AIS-03
cuando corresponda y sea posible.
Establecer e implementar estrategias y capacidades para la implementación de

AIS-01
aplicaciones seguras, estandarizadas y compatibles. Automatizar siempre que sea Parcial
posible. AIS-03
Definir e implementar un proceso para remediar las vulnerabilidades de seguridad de

las aplicaciones, automatizando la corrección cuando sea posible. TVM-02 Parcial
nuidad del negocio y resiliencia operativa - BCR

BCR-07
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y BCR-10
procedimientos de gestión de la continuidad del negocio y resiliencia operativa. Revise y BCR-11 Parcial
actualice las políticas y procedimientos al menos una vez al año. GRM-06
GRM-09
Determinar el impacto de las interrupciones y los riesgos del negocio para establecer
criterios para desarrollar la continuidad del negocio y las estrategias y capacidades de BCR-09 Total
BCR-04
BCR-06
Establecer estrategias para reducir el impacto, resistir y recuperarse de las
interrupciones comerciales dentro del apetito por el riesgo. BCR-08 Total
BCR-09
BCR-10

continuidad del negocio basado en los resultados de las estrategias y capacidades de BCR-01 Total
Desarrollar, identificar y adquirir documentación que sea relevante para respaldar los BCR-01
programas de continuidad del negocio y resiliencia operativa. Ponga la documentación BCR-04 Total
a disposición de las partes interesadas autorizadas y revísela periódicamente.
Ejercitar y probar los planes de continuidad del negocio y resiliencia operativa al menos
una vez al año o ante cambios significativos. BCR-02 Parcial
Establecer comunicación con las partes interesadas y los participantes en el curso de BCR-01
Total
los procedimientos de continuidad y resiliencia del negocio. BCR-02
Hacer copias de seguridad periódicas de los datos almacenados en la nube. Garantizar
la confidencialidad, integridad y disponibilidad de la copia de seguridad y verificar la BCR-11 Parcial
restauración de datos a partir de la copia de seguridad para garantizar la resiliencia.

respuesta a desastres para recuperarse de desastres naturales y provocados por el Sin mapeo Nulo
hombre. Actualice el plan al menos una vez al año o ante cambios significativos.
Poner en práctica el plan de respuesta ante desastres anualmente o ante cambios

significativos, incluidas, si es posible, las autoridades locales de emergencia. Sin mapeo Nulo
Complementar los equipos críticos para el negocio con equipos redundantes ubicados
de forma independiente a una distancia mínima razonable de acuerdo con los BCR-06 Total
estándares industriales aplicables.
mbios y Gestión de la Configuración - CCC

procedimientos para la gestión de los riesgos asociados con la aplicación de cambios CCC-05
en los activos de la organización, incluyendo aplicaciones, sistemas, infraestructura,
configuración, etc., independientemente de que los activos estén gestionados interna o GRM-06 Parcial
externamente (p.e servicios subcontratados). Revisar y actualizar las políticas y GRM-09
Cumplir la calidad del control del cambio definida, Proceso de testeo y aprobación
siguiendo la línea base, el testeo y los estándares de liberación. CCC-03 Total
Gestión de los riesgos asociados con la aplicación de cambios en los activos de la

organización, incluyendo aplicaciones, sistemas, infraestructuras, configuración, etc.,
independientemente de que los activos estén gestionados interna o externamente (p.e CCC-05 Parcial
servicios subcontratados).
Limitar la incorporación, eliminación actualización y gestión no autorizada de los activos

de la organización. CCC-04 Parcial
Incluir cláusulas limitando cambios con impacto directo en los entornos /instancias
propietarias del CSC para solicitar autorización explicita dentro de los acuerdos de nivel CCC-05 Total
de servicio entre CSP y CSC.
Establecer los fundamentos de la gestión del cambio para todos los cambios relevantes
autorizados en los activos de la organización. Sin mapeo Nulo
Implementar medidas de detección con notificaciones proactivas en los casos de

desviación de las líneas de referencia establecidas. GRM-01 Parcial
Implementar procedimientos para la gestión de excepciones. Incluyendo emergencias

en el proceso de configuración y gestión del cambio. Alinear el procedimiento con los Sin mapeo Nulo
requerimientos de la Política del Proceso de Excepción: GRC-04
Definir e implementar un proceso que proactivamente permita retroceder hasta el

anterior estado correcto conocido a en caso de error o problemas de seguridad. Sin mapeo Nulo
afía, cifrado y gestión de claves - CEK

EKM-01
EKM-02
EKM-03
procedimientos de Criptografía, Cifrado y Gestión de claves. Revisar y actualizar las Parcial
políticas y procedimientos al menos una vez al año. GRM-06
GRM-09
Definir e implementar roles y responsabilidades en criptografía, cifrado y gestión de
claves. Sin Mapeo Nulo
Proporcionar protección criptográfica a los datos en reposo y en tránsito, utilizando EKM-03
Total
bibliotecas criptográficas certificadas según estándares aprobados. EKM-04
Utilizar algoritmos de cifrado que sean adecuados para la protección de datos, teniendo
en cuenta la clasificación de los datos, los riesgos asociados y la usabilidad de la EKM-04 Parcial
tecnología de cifrado.
Establecer un procedimiento de gestión de cambios estándar, para adaptarse a los
cambios de fuentes internas y externas, para la revisión, aprobación, implementación y EKM-02 Parcial
comunicación de cambios de tecnología de gestión de claves, cifrado y criptografía.
Administrar y adoptar cambios en los sistemas relacionados con la criptografía, el

cifrado y la administración de claves (incluidos políticas y procedimientos) que tengan
en cuenta los efectos posteriores de los cambios propuestos, incluido el análisis de Sin mapeo Nulo
riesgos, costos y beneficios residuales.
Establecer y mantener un programa de riesgos de gestión de claves y cifrado que

incluya disposiciones para la evaluación de riesgos, el tratamiento de riesgos, el Sin mapeo Nulo
contexto de riesgos, el seguimiento y la retroalimentación.
Los CSP deben proporcionar la capacidad para que los CSC administren sus propias
claves de cifrado de datos. Sin mapeo Nulo
Auditar los sistemas, políticas y procesos de cifrado y gestión de claves con una
frecuencia que sea proporcional a la exposición al riesgo del sistema; la auditoría se
realizará preferiblemente de forma continua, pero al menos una vez al año y después Sin mapeo Nulo
de cualquier evento de seguridad.
Generar claves criptográficas utilizando bibliotecas criptográficas aceptadas por la

industria que especifiquen la robustez del algoritmo y el generador de número aleatorio EKM-04 Parcial
utilizado.
Administrar claves secretas y privadas criptográficas que son proporcionadas para un

propósito único. Sin mapeo Nulo
Rotar las claves criptográficas de acuerdo con el criptoperiodo calculado, el cual incluye
disposiciones para considerar el riesgo de divulgación de información y los requisitos Sin mapeo Nulo
legales y regulatorios.

revocar y eliminar claves criptográficas antes del final de su criptoperiodo establecido,
cuando una llave se vea comprometida o una entidad ya no sea parte de la Sin mapeo Nulo
organización, que incluyan disposiciones para requisitos legales y regulatorios.
destruir claves almacenadas fuera de un entorno seguro y revocar claves almacenadas
en Módulos de Seguridad Hardware (HSM) cuando ya no sean necesarias, que incluyan Sin mapeo Nulo
disposiciones para requisitos legales y regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para crear

claves en estado preactivado cuando han sido generadas pero no autorizadas para su Sin mapeo Nulo
uso, que incluyan disposiciones sobre requisitos legales y regulatorios.

monitorear, revisar y aprobar las transiciones de las claves desde cualquier estado
hacia o desde la suspensión, que incluyen disposiciones para los requisitos legales y Sin mapeo Nulo
regulatorios.

desactivar claves en el momento de su fecha de vencimiento, que incluyan Sin mapeo Nulo
disposiciones sobre requisitos legales y regulatorios.

administrar las claves archivadas en un repositorio seguro que requiera acceso con
privilegios mínimos, que incluyan disposiciones para los requisitos legales y Sin mapeo Nulo
regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para utilizar
claves comprometidas para cifrar información solo en circunstancias controladas y, de
ahí en adelante, exclusivamente para descifrar datos y nunca para cifrar datos, que Sin mapeo Nulo
incluyen disposiciones para requisitos legales y regulatorios.

evaluar el riesgo para la continuidad operativa versus el riesgo de que el material de
cifrado y la información que protege estén expuestos si se pierde el control del material Sin mapeo Nulo
de cifrado, que incluyan disposiciones para los requisitos legales y regulatorios.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que el

sistema de administración de claves rastree e informe todos los materiales de cifrado y
sus cambios de estado, que incluyan disposiciones para los requisitos legales y Sin mapeo Nulo
regulatorios.
uridad del Centro de Datos - DCS

procedimientos para la eliminación segura de los equipos que se utilizan fuera de las DCS-05
instalaciones de la organización. Si los equipos no se destruye físicamente, se debe GRM-06 Parcial
aplicar un procedimiento de destrucción de datos que imposibilite la recuperación de la GRM-09
información. Revise y actualice las políticas y procedimientos al menos una vez al año.

procedimientos para la reubicación o transferencia de hardware, software o datos / DCS-04
información a un lugar externo a la organización o alternativo. La solicitud de
reubicación o transferencia requiere la autorización escrita o verificable GRM-06 Parcial
criptográficamente. Revise y actualice las políticas y procedimientos al menos una vez GRM-09
al año.
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y DCS-06
procedimientos para mantener un entorno de trabajo seguro y protegido en oficinas,
salas e instalaciones. Revise y actualice las políticas y procedimientos al menos una GRM-06 Parcial
vez al año. GRM-09

GRM-06
procedimientos para el transporte seguro de medios físicos. Revise y actualice las Parcial
políticas y procedimientos al menos una vez al año. GRM-09
Clasifique y documente los activos físicos y lógicos (por ejemplo, aplicaciones) en

función del riesgo empresarial de la organización. DCS - 01 Total
Catalogar y rastrear todos los activos físicos y lógicos relevantes ubicados en todos los
sitios del CSP dentro de un sistema seguro. DCS - 01 Total
Implementar perímetros de seguridad física para proteger al personal, los datos y los
sistemas de información. Establecer perímetros de seguridad física entre las áreas DCS-02
Total
administrativas y comerciales y las áreas de instalaciones de almacenamiento y DCS-08
procesamiento de datos.
Utilizar la identificación de los equipos como método para la autenticación de la

conexión. DCS - 03 Total
Permitir que solo el personal autorizado acceda a áreas seguras, con todos los puntos
de entrada y salida restringidos, documentados y monitoreados por mecanismos de DCS-07
control de acceso físico. Conservar los registros de control de acceso de forma Parcial
DCS-09
periódica según lo considere apropiado la organización.
Implementar, mantener y operar sistemas de vigilancia de centros de datos en el DCS-02

perímetro externo y en todos los puntos de entrada y salida para detectar intentos de DCS-07 Parcial
entrada y salida no autorizados. DCS-08
Capacitar al personal del centro de datos para que responda a los intentos de entrada o
salida no autorizados. HRS-09 Parcial

aseguren una protección basada en riesgos de cables de energía y telecomunicaciones
frente a amenazas de interceptación, interferencia o daños en todas las instalaciones, BCR - 03 Parcial
oficinas y salas.
Implementar y mantener sistemas de control ambiental del centro de datos que

monitorean, mantienen y prueban la efectividad continua de las condiciones de BCR - 03 Parcial
temperatura y humedad dentro de los estándares aceptados de la industria.
Asegurar, monitorizar, mantener y probar los servicios de suministros para una

efectividad continua a intervalos planificados. BCR - 03 Total
Mantener los equipos críticos para la empresa lejos de ubicaciones sujetas a alta
probabilidad de eventos de riesgo ambiental. BCR - 06 Total
e la seguridad y privacidad de los datos - DSP
Establecer, documentar, aprobar, comunicar, emplear evaluar y mantener políticas y DSI-04

procedimientos para la clasificación, protección y manejo de los datos durante su ciclo
de vida, de acorde a todas las regulaciones y leyes aplicables, estándares y nivel de GRM-06 Parcial
riesgo. Revisar y actualizar las políticas y procedimientos al menos anualmente. GRM-09
Emplear métodos aceptados por la industria para la eliminación segura de los datos de
los elementos de almacenamiento, de tal modo que los datos no sean recuperables por DSI-07 Parcial
ningún tipo de método forense.
Crear y mantener un inventario de datos, al menos para datos sensibles y datos

personales. Sin mapeo Nuevo
Clasificar los datos acorde a su tipo y su nivel de sensibilidad DSI-01 Total
Crear documentación del flujo de datos para identificar dónde se procesan, dónde se
almacenan y dónde se envían. Revisar la documentación del flujo de datos de manera DSI-02 Parcial
periódica, al menos con carácter anual y posteriormente a cualquier cambio.
Documentar la propiedad y la administración de todos los datos personales y sensibles

que sean relevantes que están documentados. Realizar revisiones al menos DSI-06 Parcial
anualmente.

por diseño y la buenas prácticas de la industria Sin mapeo Nuevo

por diseño y la buenas prácticas de la industria. Garantizar que las configuraciones de
privacidad de los sistemas están configuradas, por defecto, para cumplir con todas las Sin mapeo Nuevo
Realizar una evaluación de impacto de la protección de datos (EIPD o DPIA por sus
siglas en inglés) para evaluar el origen, la naturaleza las particularidades y la severidad
de los riesgos durante el procesamiento de datos personales de acorde a cualquier ley Sin mapeo Nuevo
aplicable, regulaciones y buenas prácticas de la industria.

garantizar que cualquier transferencia de datos sensibles o personales está protegida GRM-02
Parcial
contra accesos no autorizados y sólo se procesa dentro del alcance permitido por las EKM-03
Definir e implementar procesos, procedimientos y medidas técnicas para permitir a las

personas interesadas ejercer derechos de acceso, actualización o borrado de sus datos Sin mapeo Nuevo
personales, de acorde a las leyes y regulaciones aplicables.

garantizar que los datos personales se procesan acorde a las leyes y regulaciones Sin mapeo Nuevo
aplicables y dentro de los propósitos declarados al interesado.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que la

transferencia y procesamiento por terceros de los datos personales se realizan dentro Sin mapeo Nuevo
de la cadena del servicio, de acuerdo a las leyes y regulaciones aplicables.

revelar los detalles de cualquier acceso a datos personales o sensibles por sub- Sin mapeo Nuevo
procesos al dueño de los datos, con carácter previo al comienzo de ese procesamiento.
Obtener autorización de los dueños de los datos y gestionar el riesgo asociado

previamente a replicar o utilizar datos de producción en entornos no de producción. DSI-05 Total
La retención, el archivado y el borrado de los datos se realiza acorde a los requisitos de GRM-02
Total
negocio, las leyes y las regulaciones aplicables. BCR-11
Definir e implementar procesos, procedimientos y medidas técnicas para proteger los
datos sensibles durante todo su ciclo de vida. Sin mapeo Nuevo
El proveedor de servicio de Nube (CSP) debe tener implantado y accesible por el

consumidor del servicio de nube (CSC) el procedimiento de gestión y respuesta a
peticiones de las autoridades judiciales para acceder a datos personales, de acuerdo
con las leyes y regulaciones aplicables. El CSP debe prestar especial atención al Sin mapeo Nuevo
proceso de notificación de los CSC interesados siempre y cuando no esté prohibido,
como por ejemplo una prohibición legal de notificación, para mantener la
confidencialidad de una investigación judicial.
Definir e implementar procesos, procedimientos y medidas técnicas para especificar y

documentar las localizaciones físicas de los datos, incluyendo cualquier localización en Sin mapeo Nuevo
las que los datos puedan ser procesados o respaldados.
Gestión de Riesgos y Cumplimiento - GRC

procedimientos para un programa de gobernanza de la información, el cuál debe ser GRM-06
Parcial
patrocinado por el liderazgo de la organización. Revise y actualice las políticas y GRM-09
Establecer un programa de Gestión de Riesgos Empresariales (ERM) formal, GRM-08

documentado y patrocinado por el liderazgo que incluya políticas y procedimientos para
la identificación, evaluación, propiedad, tratamiento y aceptación de los riesgos de
GRM-10 Parcial
privacidad y seguridad en la nube. GRM-11
Revisar todas las políticas organizacionales relevantes y los procedimientos asociados
al menos una vez al año o cuando ocurra un cambio sustancial dentro de la GRM-09 Total
organización.
Establecer y seguir un proceso de aprobación de excepciones, según lo ordena el

programa de gobernanza, siempre que se produzca una desviación de una política GRM-01 Parcial
establecida.
Desarrollar e implementar un Programa de Seguridad de la Información, que incluya

programas para todos los dominios relevantes del CCM. GRM-04 Parcial
Definir y documentar roles y responsabilidades para planificar, implementar, operar,

evaluar y mejorar los programas de gobernanza. Sin mapeo Nulo
Identifique y documente todos los estándares, regulaciones, requisitos legales /

contractuales y estatutarios relevantes que sean aplicables a su organización. AAC-03 Total
Establecer y mantener contacto con grupos de intereses especiales relacionados con la

nube y otras entidades relevantes de acuerdo con el contexto empresarial. Sin mapeo Nulo

procedimientos para la verificación de antecedentes de todos los nuevos empleados HRS-02
(incluidos, entre otros, empleados remotos, contratistas y terceros) de acuerdo con las
leyes, regulaciones, ética y restricciones contractuales locales, y proporcional a la GRM-06 Parcial
clasificación de los datos a los que se accede, los requisitos comerciales y el riesgo GRM-09
aceptable. Revise y actualice las políticas y procedimientos al menos una vez al año.
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y HRS-08

procedimientos para definir asignaciones y condiciones para el uso aceptable de los
activos administrados o de propiedad de la organización. Revise y actualice las políticas GRM-06 Parcial
y procedimientos al menos una vez al año. GRM-09
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y HRS-11

procedimientos que requieran que los espacios de trabajo desatendidos no contengan
datos confidenciales abiertamente visibles. Revise y actualice las políticas y GRM-06 Parcial
procedimientos al menos una vez al año. GRM-09

procedimientos para proteger la información a la que se accede, procesa o almacena en GRM-06
Parcial
sitios y ubicaciones remotos. Revise y actualice las políticas y procedimientos al menos GRM-09
una vez al año.
Establecer y documentar procedimientos para la devolución de activos propiedad de la
organización por parte de los empleados despedidos. HRS-01 Parcial
Establecer, documentar y comunicar a todo el personal los procedimientos que

describen los roles y responsabilidades relacionados con los cambios en el empleo. HRS-04 Total
Los empleados firman el contrato de empleo antes de que se les otorgue acceso a los
sistemas, recursos y activos de información de la organización. HRS-03 Total
La organización incluye dentro de los contratos de empleo disposiciones y / o términos

para el cumplimiento de las políticas de seguridad y gobernanza de la información HRS-03 Total
establecidas.
Documentar y comunicar las funciones y responsabilidades de los empleados, en lo que HRS-07

Total
respecta a los activos de información y la seguridad. HRS-10
Identificar, documentar y revisar, a intervalos planificados, los requisitos para los

acuerdos de confidencialidad / no divulgación que reflejen las necesidades de la HRS-06 Total
organización para la protección de datos y detalles operativos.
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener un programa

HRS-09
de formación de concienciación de seguridad para todos los empleados de la Parcial
organización y proporcionar actualizaciones periódicas de formación. HRS-10
Proporcionar a todos los empleados con acceso a datos personales y organizativos

confidenciales con la formación adecuada con concienciación de seguridad y HRS-09
actualizaciones periódicas de los procedimientos, procesos y políticas organizativas Parcial
HRS-10
relacionadas con su función profesional en relación con la organización.
Informar a los empleados sobre sus funciones y responsabilidades para mantener la

concienciación y el cumplimiento de las políticas y procedimientos establecidos y las HRS-10 Total
obligaciones de cumplimiento legales, estatutarias o reglamentarias aplicables.
ón de identidades y accesos - IAM

Establecer, documentar, aprobar, comunicar, implementar, aplicar, evaluar y mantener IAM-02
políticas y procedimientos para la gestión de identidades y accesos. Las políticas y GRM-06 Parcial
procedimientos deben ser revisados y actualizados, al menos anualmente. GRM-09
IAM-02
IAM-12
políticas y procedimientos de contraseñas robustas. Las políticas y procedimientos Parcial
deben ser revisados y actualizados, al menos anualmente. GRM-06
GRM-09
Gestionar, almacenar y revisar la información de identidades de sistemas y niveles de IAM-04

Parcial
accesos. IAM-10
Aplicar los principios de segregación de funciones cuando se implementen accesos a

sistemas. IAM-05 Total
IAM-02
Aplicar el principio de mínimo privilegio cuando se implementen los accesos a sistemas. Total
IAM-06
Definir e implementar un proceso de provisión de usuarios que autorice, grabe y

comunique cambios en los accesos a información y recursos. IAM-09 Total
Eliminar o modificar oportunamente los accesos a los usuarios que abandonan o

cambien de función en la compañía cumpliendo con las políticas de gestión y accesos. IAM-11 Total
Revisar y revalidar los accesos de usuarios para garantizar el principio de mínimo

privilegio y segregación de funciones, con una frecuencia acorde al nivel de tolerancia al IAM-10 Parcial
riesgo de la organización.

segregación de roles de acceso privilegiado tal que las funciones de acceso
administrativo a la información, el cifrado, la gestión de claves y la monitorización sean Sin mapeo Nulo
distintos y estén separados.
Definir e implementar un proceso de acceso para asegurar que los roles de acceso
privilegiado son proporcionados por un tiempo limitado. Implementar procedimientos Sin mapeo Nulo
para garantizar el acceso privilegiado segregado.
Definir, implementar y evaluar procesos y procedimientos para hacer participar a los

clientes, cuando sea aplicable, en la asignación de perfiles de acceso privilegiado de Sin mapeo Nulo
alto riesgo. (Definidos así por el análisis de riesgo de la organización)
asegurar que el registro de accesos a la infraestructura está disponible únicamente en
modo lectura para todos usuarios incluidos los privilegiados, y que la posibilidad de Sin mapeo Nulo
deshabilitarla esta controlada a través de procedimientos de segregación de funciones y
procedimientos de emergencia.

asegurar que los usuarios son identificables por identificadores únicos o cualquiera que Sin mapeo Nulo
permita identificar unívocamente a un usuario.

autenticar los accesos a sistemas, aplicaciones y datos, incluyendo autenticación
IAM-02
multifactor al menos para los perfiles privilegiados o con acceso a datos sensibles. Parcial
Adoptar certificados digitales o alternativas que permitan un nivel de seguridad IAM-05
equivalente para sistemas de identidades.
correcta gestión de contraseñas. Sin mapeo Nulo
Identificar, implementar y evaluar procesos, procedimientos y medidas técnicas para

verificar que el acceso a datos y a funciones de sistema, es autorizado. IAM-02 Total
roperabilidad y portabilidad - IPY

procedimientos para la interoperabilidad y portabilidad incluyendo requerimientos para:
a. Comunicaciones entre las interfaces de aplicación. IPY-03
b. Interoperabilidad del procesamiento de la información. GRM-06 Parcial
c. Portabilidad de los desarrollos de aplicaciones. GRM-09
d. Intercambio, uso, portabilidad, integridad y persistencia de información/datos
Las políticas y procedimientos deben ser revisados al menos anualmente.
Proporcionar interfaz de aplicación a los CSC para hacer posible la obtención de

información y permitir la interoperabilidad y la portabilidad. Sin mapeo Nulo
Implementar protocolos de red criptográficamente seguros para la gestión, importación y
exportación de la información. IPY-04 Total
Los acuerdos deben incluir provisiones especificando el acceso de los CSC hasta la
finalización del contrato, e incluirán:
b. periodo de retención. Sin mapeo Nulo
c. alcance de los datos almacenados y puestos a disposición de los CSC.
d. política de eliminación de información.
de infraestructura y virtualización - IVS

GRM-06
procedimientos para la seguridad de la infraestructura y la virtualización. Revisar y Parcial
Planificar y supervisar la disponibilidad, la calidad y la capacidad adecuada de los

recursos para ofrecer el rendimiento del sistema requerido según lo determinado por IVS-04 Total
negocio.
Monitorizar, cifrar y restringir las comunicaciones entre entornos a sólo conexiones
autenticadas y autorizadas, según lo justifique la empresa. Revisar estas
configuraciones al menos una vez al año y apoyarlas mediante una justificación IVS-06 Total
documentada de todos los servicios, protocolos, puertos y controles de compensación
permitidos.
Reforzar el plano de control de la infraestructura, el hipervisor o el sistema operativo

invitado de acuerdo con sus respectivas mejores prácticas, y con el apoyo de controles IVS-07 Parcial
técnicos, como parte de una línea de base de seguridad.
Separar los entornos de producción y no producción . IVS-08 Total
Diseñar, desarrollar, implementar y configurar aplicaciones e infraestructuras de manera

que el acceso de usuarios de CSP y CSC al 'tenant' y el acceso 'intra-tenant' , esté IVS-09 Total
apropiadamente segmentado y segregado, monitorizado y restringido de otros 'tenants'.
Utilizar canales de comunicación seguros y cifrados al migrar servidores, servicios,
aplicaciones o datos a entornos en la nube. Dichos canales deben incluir solo IVS-10 Parcial
protocolos actualizados y aprobados.
Identificar y documentar entornos de alto riesgo. IVS-13 Total
Definir, implementar y evaluar procesos, procedimientos y técnicas de defensa en

profundidad para la protección, detección y respuesta oportuna a los ataques basados IVS-13 Total
en la red.

GRM-06
procedimientos de registro y monitoreo. Revisar y actualizar las políticas y Parcial
procedimientos al menos una vez al año. GRM-09

garantizar la seguridad y retención de los registros de auditoría. IVS-01 Parcial
Identificar y monitorear eventos relacionados con la seguridad dentro de las

aplicaciones y la infraestructura subyacente. Definir e implementar un sistema para SEF-03
Parcial
generar alertas a las partes interesadas responsables en base a dichos eventos y las SEF-05
métricas correspondientes.
Restringir el acceso a los registros de auditoría al personal autorizado y mantener
registros que proporcionen responsabilidad de acceso única. IVS-01 Parcial
Supervisar los registros de auditoría de seguridad para detectar actividad fuera de los
patrones típicos o esperados. Establecer y seguir un proceso definido para revisar y Sin Mapeo Nulo
tomar las acciones apropiadas y oportunas frente a las anomalías detectadas.
Utilizar una fuente de tiempo confiable en todos los sistemas de procesamiento de

información relevantes. IVS-03 Total
Establecer, documentar e implementar qué eventos del sistema de datos/metadatos de

información deben registrarse. Revisar y actualizar el alcance al menos una vez al año o Sin Mapeo Nulo
siempre que haya un cambio en el entorno de amenazas.
Generar registros de auditoría que contengan información de seguridad relevante. Sin Mapeo Nulo
El sistema de información protege los registros de auditoría del acceso, modificación y GRM-04
Parcial
eliminación no autorizados. IVS-01
Establecer y mantener una capacidad de supervisión e informes internos sobre las

EKM-02
operaciones de políticas, procesos, procedimientos y controles criptográficos, de cifrado Parcial
y de gestión de llaves. EKM-03
Registrar y supervisar los eventos de gestión del ciclo de vida de las claves para
habilitar la auditoría y la generación de informes sobre el uso de claves criptográficas. EKM-02 Parcial
Supervisar y registrar el acceso físico mediante un sistema de control de acceso

auditable. DCS-08 Parcial
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para el

reporte de anomalías y fallas del sistema de monitoreo y brindar notificación inmediata SEF-03 Parcial
al responsable.
de Seguridad, E-Discovery y Forense en nube - SEF
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y SEF-02

procedimientos para la Gestión de Incidentes de Seguridad, E-Discovery y Forense en GRM-06 Parcial
nube. Revisar y actualizar políticas y procedimientos al menos una vez al año. GRM-09
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y SEF-02

procedimientos para la gestión oportuna de incidentes de seguridad. Revisar y GRM-06 Parcial
respuesta a incidentes de seguridad, que incluya, entre otros: departamentos internos
relevantes, CSC afectados y otras relaciones de negocios críticas (como la cadena de BCR-02 Parcial
suministro) que pueden verse afectadas.
Probar y actualizar según sea necesario los planes de respuesta a incidentes a

intervalos planificados o ante cambios organizativos o ambientales significativos para su BCR-02 Total
eficacia.
Establecer y monitorear métricas de incidentes de seguridad de la información. SEF-05 Total

respalden los procesos de negocios para clasificar los eventos relacionados con la SEF-02 Total
seguridad.
Definir e implementar procesos, procedimientos y medidas técnicas para notificaciones

de brechas de seguridad. Informar las infracciones de seguridad y las supuestas SEF-04
Parcial
infracciones de seguridad, incluidas las infracciones relevantes de la cadena de STA-05
suministro, según los SLA, las leyes y los reglamentos aplicables.
Mantener puntos de contacto para las autoridades reguladoras aplicables, la aplicación
de la ley nacional y local y otras autoridades jurisdiccionales legales. SEF-01 Total
de Suministro, Transparencia y Trazabilidad - STA

procedimientos para la aplicación del Modelo de Responsabilidad de Seguridad
Compartida (SSRM), dentro de la organización. Revise y actualice las políticas y Sin Mapeo Nulo
Aplicar, documentar, implementar y gestionar el SSRM en toda la cadena de suministro

para la oferta de servicios en la Nube. Sin Mapeo Nulo
Proporcionar una Guía SSRM para detallar la información del CSC, sobre la
aplicabilidad de SSRM a lo largo de la cadena de suministro. Sin Mapeo Nulo
Definir la propiedad compartida y la aplicabilidad de todos los controles de CSA CCM,

de acuerdo con el SSRM, para la oferta de servicios en la Nube. Sin Mapeo Nulo
Revisar y validar la documentación SSRM para todas las ofertas de servicios en la Nube
que usa la organización.
Sin Mapeo Nulo
Implementar, operar y auditar o evaluar, las partes del SSRM de las que la organización
es responsable. Sin Mapeo Nulo
Desarrollar y mantener un inventario de todas las relaciones en la cadena de suministro. Sin Mapeo Nulo
Los CSP revisan periódicamente los factores de riesgo asociados con todas las STA-06
Total
organizaciones dentro de su cadena de suministro. STA-08
Los acuerdos de servicio entre CSP y CSC (inquilinos) deben incorporar al menos las
siguientes disposiciones y / o términos acordados mutuamente:
• Alcance, características y ubicación de la relación comercial y los servicios ofrecidos.
• Requisitos de seguridad de la información (incluido SSRM)
• Proceso de gestión de cambios
• Capacidad de registro y monitoreo STA-05 Parcial
• Procedimientos de gestión y comunicación de incidentes
• Derecho a auditoría y evaluación de terceros
• Termino del servicio
• Requisitos de interoperabilidad y portabilidad
• Privacidad de datos
Revisar los acuerdos de la cadena de suministro entre los CSPs y los CSCs al menos
una vez al año. STA-07 Total
Definir e implementar un proceso para realizar evaluaciones internas para confirmar la

conformidad y eficacia de las normas, políticas, procedimientos, STA-04 Total
y actividades de acuerdo de nivel de servicio al menos una vez al año.
Implementar políticas que requieran que todos los CSPs, a lo largo de la cadena de
suministro, cumplan con los requisitos de seguridad de la información, confidencialidad,
control de acceso, privacidad, auditoría, política de personal y requerimientos de niveles STA-09 Parcial
de servicio y estándares.
Revisar periódicamente las políticas y los procedimientos de gobernanza de TI de los
socios, en la cadena de suministro de la organización. STA-06 Total
Definir e implementar un proceso para realizar evaluaciones de seguridad

periódicamente, para todas las organizaciones dentro de la cadena de suministro. STA-08 Total
de Amenazas y Vulnerabilidades - TVM
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener las políticas y TVM-02
procedimientos para identificar, reportar y priorizar la resolución de vulnerabilidades,
para proteger los sistemas contra la utilización de vulnerabilidades. revisar y actualizar GRM-06 Parcial
las políticas y procedimientos al menos anualmente. GRM-09
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener las políticas y TVM-01
procedimientos para la protección contra el malware en los activos gestionados. Revisar GRM-06 Parcial
y actualizar las políticas y procedimientos al menos anualmente. GRM-09

habilitar tanto respuestas programadas como de emergencia para la identificación de TVM-02 Total
vulnerabilidades basadas en el riesgo identificado.

actualizar herramientas de detección, firmas de amenazas e indicadores de compromiso Sin Mapeo Nulo
con una frecuencia semanal o mayor.
identificar actualizaciones para aplicaciones que usan librerías de terceros o de código Sin Mapeo Nulo
abierto de acuerdo con la política de gestión de vulnerabilidades de la organización.

realización periódica de test de penetración por terceros independientes. TVM-02 Parcial

detección de vulnerabilidades en los activos gestionados por la organización al menos TVM-02 Parcial
mensualmente.
Usar un modelo basado en riesgos para la efectiva priorización de la resolución de

vulnerabilidades usando algún marco de trabajo reconocido por la industria. TVM-02 Parcial
Definir e implementar procesos para el seguimiento y reporte de las actividades de

identificación y resolución de vulnerabilidades que incluyan la notificación a todos los TVM-02 Total
interesados.
Establecer, monitorizar y reportar métricas para la identificación y resolución de

vulnerabilidades a intervalos definidos. Sin Mapeo Nulo
de dispositivos terminales ('Endpoint') - UEM

GRM-06
GRM-09
MOS-03
MOS-04
Establecer, documentar, aprobar, comunicar, aplicar, avaluar y mantener políticas y MOS-08
procedimientos para todos los dispositivos 'Endpoint'. MOS-11 Parcial
Revisar y actualizar las políticas y los procedimientos al menos una vez al año. MOS-12
MOS-13
MOS-16
MOS-17
MOS-20
MOS-02
Definir, documentar, aplicar y evaluar una lista de servicios, aplicaciones y fuentes de MOS-03
aplicaciones aprobados (homologados) que se permiten usar por los dispositivos MOS-04 Parcial
'Endpoint' cuando acceden o almacenan datos administrados por la organización. MOS-06
Definir e implementar un proceso para validar la compatibilidad del dispositivo 'Endpoint'

con los sistemas operativos y aplicaciones. MOS-07 Parcial
Mantener un inventario de todos los dispositivos 'Endpoint' utilizados para almacenar y

acceder a los datos de la empresa. MOS-09 Parcial
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que
los 'Endpoint' autorizados a acceder a los sistemas y / o almacenar, transmitir o MOS-10 Parcial
procesar datos de la organización, cumplan con las políticas y controles.
Configurar todos los dispositivos 'Endpoint' de uso interactivo relevantes para que
requieran el bloqueo automático de la pantalla. MOS-14 Parcial
Gestionar los cambios de los sistemas operativos, los niveles de parcheado y / o las
aplicaciones de los 'Endpoints' a través de los procesos de gestión de cambios de la MOS-15 Parcial
empresa.
Proteger la información de los dispositivos 'Endpoint' de la divulgación no autorizada

administrando un cifrado del almacenamiento. MOS-11 Parcial
Configurar dispositivos 'Endpoint' gestionados con tecnología y servicios de prevención

y detección antimalware. Sin Mapeo Nulo
Configurar los dispositivos 'Endpoint' con firewalls software configurados

adecuadamente. Sin Mapeo Nulo
Configurar los dispositivos 'Endpoint' con tecnologías y reglas de prevención de fuga de
datos (DLP) de acuerdo con una evaluación de riesgos. Sin Mapeo Nulo
Habilitar las capacidades de geolocalización remota para todos los dispositivos móviles
gestionados. Sin Mapeo Nulo

permitir el borrado remoto de datos de la empresa en dispositivos 'Endpoint' MOS-18 Parcial
gestionados.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas y / o

contractuales para mantener la seguridad adecuada de los dispositivos 'Endpoint' de Sin Mapeo Nulo
terceros con acceso a los activos de la organización.
Final del estándar Final del mapeo
dos los derechos reservados. Puede descargar, almacenar, mostrar en su

y Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
ente: (a) Cloud Controls Matrix v4.0 se puede utilizar únicamente para su uso
rols Matrix v4.0 no se puede modificar ni alterar de ninguna manera; (c) Cloud
marca comercial, los derechos de autor u otros avisos no se pueden eliminar.
gún lo permitan las disposiciones de uso justo de la Ley de derechos de autor de los
loud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesado en
s que no se encuentran en el aviso de derechos de autor, comuníquese con
CCM v3.0.1 ESQUEMA NACIONAL DE SEGURIDAD (Real Decreto 311/2022) - Anexo II
Adenda Mapeo de Controles Nivel de cobertura
Falta la (s) especificación (es) en CCMv3.0.1: org.1

'aplicar, evaluar, mantener políticas y procedimientos
org.2
para la seguridad de las aplicaciones' Total
Requisito de "al menos una vez al año" en la última org.3
oración. org.4
org.1
org.2
N/A Total
org.3
org.4
org.1
org.2
N/A org.3 Total
org.4
op.pl.1
org.1
org.2
N/A Total
org.3
org.4
Recomendar que se utilice la especificación de control
V4 completa para eliminar dicha diferencia.
org.1
Para aquel control o controles mapeados que sean org.2
parciales, es decir, que sólo cubran en parte el control
V4: (AAC-01). Con el fin de cubrirlo, 'Se deben de org.3 Total
desarrollar planes de Auditoría' y 'Los planes de org.4
auditoría deben enfocarse en la revisión de la op.pl.1
efectividad de la implementación de las operaciones
de seguridad'
org.1
"Establecer, documentar, aprobar, comunicar, aplicar,
evaluar y mantener un plan correctivo basado en org.3 Total
riesgos". org.4
op.pl.1
Falta la (s) especificación (es) en CCMv3.0.1:

'aplicar, evaluar, mantener políticas y procedimientos mp.sw.1
para la seguridad de las aplicaciones' mp.sw.2 Parcial
Requisito de "al menos una vez al año" en la última mp.s.2
oración.
mp.sw.1
N/A Total
mp.sw.2
La especificación de control completa de V4 falta en

mp.sw.1.r5.1
las CCMv3.0.1 y debe usarse para eliminar dicha Parcial
diferencia. mp.info.4.r1.1.
Recomendar que se utilice la especificación de control
V4 completa para eliminar dicha diferencia.
Para aquel control o controles mapeados que sean

mp.sw.1.r5
parciales, es decir, que sólo cubran en parte el control Total
V4: (AIS-01). Con el fin de cubrirlo, las Interfaces de mp.sw.1.r2.1
los programas de la aplicación (API) se diseñarán,
desarrollarán, desplegarán y probarán de acuerdo con
los estándares líderes de la industria.
Falta la (s) especificación (es) en CCMv3.0.1: mp.sw.1.r4.1

Total
"Automatizar cuando sea aplicable y posible". op.exp.1.r4.1
mp.sw.1.1
"Automatizar siempre que sea posible". mp.sw.1.r1.1 Total
mp.sw.1.r2.1
mp.s.2.r2.1
mp.s.2.r2.2
mp.s.2.r2.3
op.pl.2.3
"Automatizar la remediación cuando sea posible". op.exp.3.4 Total
op.exp.4.r4.1]
op.mon.3.r2.1
op.mon.3.r6.2
mp.info.6.r1.1
op.cont.2
Requisito de "al menos una vez al año" en la última Parcial
oración. op.cont.3.1
N/A op.cont.1.1 Parcial
op.cont.2.5
N/A Parcial
op.cont.2.r1.1
N/A op.cont.2 Parcial
op.cont.2
N/A op.cont.3 Parcial
op.cont.4

'al menos anualmente' op.cont.3.1 Parcial
op.cont.2.1
N/A op.cont.2.2 Parcial
op.cont.4.1
'Garantizar la confidencialidad, integridad y mp.info.6 Total
disponibilidad de la copia de seguridad'
La especificación de control V4 completa falta en

op.exp.7.1
CCMv3.0.1 y debe usarse para eliminar dicha Parcial
diferencia. op.exp.7.2.

CCMv3.0.1 y debe usarse para eliminar dicha op.cont.3 Parcial
diferencia.
op.cont.4.1
N/A op.cont.4.2 Total
op.cont.4.3
Falta la(s) especificación(es) en CCMv3.0.1:
'aplicar, evaluar políticas y procedimientos para op.exp.5.1
gestionar los riesgos asociados con aplicar cambios a op.exp.5.2
los activos de la organización'
'independientemente de si los activos se manejan op.exp.5.3 Total
interna o externamente (i.e., externalizados)' op.exp.5.4
Requerimiento de 'al menos anualmente' en la última op.exp.5.5
frase.
N/A op.exp.5.3 Total

'independientemente de si los activos se manejan
interna o externamente (i.e., externalizados)' op.exp.5.4 Total

'retirar, actualizar, y gestionar los activos de la
organización' op.exp.1 Parcial
op.ext.2.1
N/A op.ext.2.2 Parcial
op.nub.1.r2.1
op.exp.5.1
La especificación de control V4 completa falta en op.exp.5.2
CCMv3.0.1 y debe usarse para eliminar dicha op.exp.5.3 Total
diferencia. op.exp.5.4
op.exp.5.5

'medidas de detección con notificación proactiva' Nulo

CCMv3.0.1 y debe usarse para eliminar dicha Nulo
diferencia.

CCMv3.0.1 y debe usarse para eliminar dicha op.exp.5.r1.1 Total
diferencia.
"Aplicar y evaluar políticas y procedimientos para
op.exp.10.1
criptografía, cifrado y gestión de claves" Parcial
Requisito de "al menos anualmente" en la última
oración.
org.1.3
las CCMv3.0.1 y debe usarse para eliminar dicha Total
diferencia. org.2.2
op.exp.10.1
op.exp.10.r1.1
op.exp.10.r2.1
op.pl.5
N/A mp.eq.4.r1.1 Total
mp.com.2.r3.1
mp.com.2.r4.1
mp.si.5.r1.1
mp.si.2
op.exp.10.1
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.10.r1.1
"Considerando la clasificación de la información,
riesgos asociados y usabilidad de la tecnología de op.exp.10.r2.1 Parcial
cifrado" op.pl.5
op.pl.2
Se recomienda la especificación completa del control
en la versión 4 para eliminar las diferencias.
La parte de los controles mapeados en la que hay
op.exp.10.1
diferencias parciales es la que se cubre en la versión Total
4 del control: (EKM-02) "gestión del ciclo de op.exp.5
vida/reemplazo" y "cambios en el criptosistema"

op.exp.10.1
diferencia. op.exp.5

op.pl.1
diferencia.

op.ext
diferencia. op.nub.1.r2.1
las CCMv3.0.1 y debe usarse para eliminar dicha Nulo
diferencia.
Se recomienda la especificación completa del control

en la versión 4 para eliminar las diferencias.
La parte de los controles mapeados en la que hay op.exp.10.r1.1
Total
diferencias parciales es la que se cubre en la versión op.exp.10.r2.1
4 del control: (EKM-04) "serán requeridos formatos
abiertos/validados y algoritmos estándar"

las CCMv3.0.1 y debe usarse para eliminar dicha op.exp.10.1 Parcial
diferencia.

diferencia.
La especificación de control completa de V4 falta en op.exp.10.1

las CCMv3.0.1 y debe usarse para eliminar dicha op.exp.10.3 Total
diferencia. org.2.2
op.exp.10.1

diferencia.

diferencia.

op.exp.10.1
La especificación de control completa de V4 falta en op.exp.10.1

las CCMv3.0.1 y debe usarse para eliminar dicha op.exp.10.3 Parcial
diferencia. op.acc.4.2
diferencia.

diferencia.

diferencia.

"Aplicar y evaluar políticas y procedimientos para el
desechado seguro fuera de las instalaciones de la
organización de equipos usados" mp.si.5 Total
oración.

"Aplicar y evaluar políticas y procedimientos para la
reubicación o transferencia de hardware, software, o
datos/información a un lugar externo o ubicación
alternativa" "o una autorización verificable mp.si.4.1 Parcial
criptográficamente"
oración.
Falta la (s) especificación (es) en CCMv3.0.1: mp.if.1
"evaluar (implementar) políticas y procedimientos"
Requisito de "al menos anualmente" en la última mp.if.2 Total
oración. mp.if.7

transporte seguro de medios físicos" mp.si.4 Total
oración.
op.cont.1
N/A Total
op.pl.1
N/A op.exp.1 Total
N/A mp.if.1 Total
N/A mp.com.3 Parcial

"todos los puntos de entrada y salida están
documentados" mp.if.2
"Conservar los registros de control de acceso de Total
mp.if.7
forma periódica de acuerdo con lo considerado
apropiado por la organización".

"mantener los sistemas de vigilancia de los centros de mp.if.1 Parcial
datos"
Se recomienda utilizar la especificación completa del
control V4 para cubrir la carencia:
La parte en el control mapeado que contribuye a la
cobertura parcial, esto es, a cubrir en parte el control
V4: (HRS-09) "Todos los individuos con acceso a los Nulo
datos de la organización deben recibir una formación
y concienciación adecuada relacionada con su
función profesional relativa a la organización"

"Definir, implementar y evaluar procesos,
procedimientos y medidas técnicas que aseguren una mp.if.3 Total
protección de los cables de telecomunicaciones
basada en el riesgo"
"de acuerdo con los estándares aceptados de la mp.if.3 Total
industria"
op.cont.2
N/A Total
op.cont.3
mp.if.5
N/A Parcial
mp.if.6
Requisitos no contemplados en la matriz CCMv.3.0.1:

‘Aplicación y evaluación de las políticas y
procedimientos para la clasificación, protección y uso
de los datos a través de todo su ciclo de vida, de mp.info.2 Parcial
acorde con las leyes y regulaciones aplicables,
estándares y nivel de riesgo’.
Requisitos no contemplados en la matriz CCMv3.0.1:
“Aplicar prácticas aceptadas en la industria para el mp.si.5 Total
borrado seguro de datos”
La especificación completa del control (V4) no se

encuentra en la matriz CCMv.3.0.1 y tiene que ser Nulo
utilizado para garantizar la cobertura
N/A mp.info.2.3 Total
Requisitos no contemplados en la matriz CCMv3.0.1:

“Revisar la documentación del flujo de datos de
manera periódica, al menos con carácter anual y
mp.info.2.3, op.ext.4.1 Parcial
después de cualquier cambio”
Requisitos no contemplados en la matriz CCMV3.0.1:

“Propietario del documento” “todos los datos
personales relevantes, documentado”, “Realizar la mp.info.2.2 Parcial
revisión al menos con carácter anual”.

encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.sw.1 Parcial

encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.sw.1 Parcial
Requisitos no contemplados en la matriz CCMv.3.0.1:

la referencia a datos personales 'la transferencia de
datos personales está protegida de accesos no mp.com.2.r5.1 Parcial
autorizados y es procesada sólo dentro del alcance
permitido por las respectivas leyes y regulaciones'.


encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.info.1 Total

encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.info.1 Parcial

N/A mp.sw.1 Parcial
mp.info.6
N/A Parcial
mp.si.5
La especificación completa del control (V4) no se mp.com.2
encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.si.5 Total
utilizado para garantizar la cobertura mp.info.2


encuentra en la matriz CCMv.3.0.1 y tiene que ser op.exp.1 Parcial

"Aplicar y evaluar políticas y procedimientos para un
programa de gobierno de la información" org.1 Parcial
oración.

"Programa de Gestión de Riesgos Empresariales
(ERM) (tal que incluye los riesgos de seguridad de la
información pero no se limita solo a ellos)"
"Programa (ERM) que incluye políticas y
procedimientos para la identificación, evaluación,
op.pl.1 Total
responsabilidad, tratamiento, y aceptación de los
riesgos para la privacidad" (el foco está en el
requerimiento que falta sobre la gestión de riesgos
para la privacidad)
org.3
N/A Parcial
org.3.r1.1

"desviación de una política establecida" Nulo

"todos los dominios de CCM" (i.e. referencia a Nulo
CCMv4.0)

org.1.3
diferencia. org.1.4
N/A org.1.2 Parcial

diferencia.
verificación de antecedentes de todos los nuevos
empleados" mp.per.1.2 Parcial
oración.

Requisito de "al menos anualmente" en la última mp.per.3.1 Parcial
oración.

"Aplicar y evaluar políticas y procedimientos que
requieran que los espacios de trabajo desatendidos
no tengan visible datos confidenciales" mp.per.3 Parcial
oración.

"Aplicar y evaluar políticas y procedimientos para
proteger la información accedida, procesada o
almacenada en locales y localizaciones remotas" mp.per.1 Parcial
oración.
"Establecer y documentar procedimientos" Nulo
N/A mp.per.2 Parcial
N/A Nulo
N/A Nulo
N/A mp.per.1 Total
mp.per.1.2
N/A Parcial
mp.per.2.3

"aprobar, evaluar y mantener un programa de mp.per.4 Total
formación y concienciación en seguridad"

"Proporcionar a todos los empleados con acceso a
datos sensibles de la organización y a datos mp.per.4 Total
personales la apropiada formación de concienciación
en seguridad"
mp.per.2
N/A Total
mp.per.4
Requisito de "al menos anualmente" en la última op.acc.2.1 Parcial
oración. op.acc.2.2
(Si Contraseña es igual a "secretos de autenticación"

entonces)
op.acc.5.r1.2
Falta la (s) especificación (es) en CCMv3.0.1: Parcial
Requisito de "al menos anualmente" en la última op.acc.6.r1.2
oración.

"identidades de sistema" op.acc.4.4 Total
op.acc.1.2
N/A op.acc.1.3 Total
op.acc.3
op.acc.4.2
N/A op.exp.3 Total
mp.sw.1.r1.1
op.pl.2.4
op.acc.1.r1.2
N/A Total
op.acc.5.r5.1
op.acc.6.r5.1
op.acc.5.5
op.acc.5.6
N/A Total
op.acc.6.5
op.acc.6.6

'Revisar y revalidar los accesos de usuario para la op.acc.5.r7.1
separación de responsabilidades' op.acc.6.r7.1 Total
'una frecuencia que este alineada con la tolerancia al op.exp.8
riesgo de la organización'

CCMv3.0.1 y debe usarse para eliminar dicha op.acc.3 Total
diferencia.

CCMv3.0.1 y debe usarse para eliminar dicha op.acc.6.r6.1 Parcial
diferencia.

diferencia.
op.acc.1.2
La especificación de control V4 completa falta en op.acc.1.4
CCMv3.0.1 y debe usarse para eliminar dicha op.acc.5.r5.1 Total
diferencia. op.acc.5.r6.1
op.exp.8

CCMv3.0.1 y debe usarse para eliminar dicha op.acc.1.4 Total
diferencia.
Falta la (s) especificación (es) en CCMv3.0.1: op.acc.6.r2.1

"Adoptar los certificados digitales u otras alternativas
que alcancen un nivel equivalente de seguridad para op.acc.6.r3.1 Parcial
las identidades de sistema" op.acc.6.r3.2
La especificación de control V4 completa falta en op.acc.5.r1.1
CCMv3.0.1 y debe usarse para eliminar dicha op.acc.6.r1.1 Parcial
N/A op.acc.2 Parcial

mp.com.3.2
interoperabilidad y portabilidad" Parcial
Requisito de "al menos anualmente" en la última mp.com.4.1
oración.

diferencia.
mp.si.2.1
N/A Total
mp.si.2.2

CCMv3.0.1 y debe usarse para eliminar dicha op.nub.1.1 Parcial
diferencia.


"Aplicar y evaluar políticas y procedimientos para la org.2
seguridad de la infraestructura y virtualización" org.3 Parcial
Requisito de "al menos anualmente" en la última org.4
oración.
op.pl.2
N/A op.pl.3 Total
op.pl.4
op.exp.5
op.ext.4.1
op.ext.4.2
N/A Parcial
op.ext.4.r1.1
mp.com.1
mp.com.2
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.2

"Host y guest OS",
"hipervisor", op.exp.3 Total
"capa de control de la infraestructura". op.exp.4
op.exp.4.r1.1
op.exp.5.3
N/A Total
mp.sw.1.1
mp.sw.2.r1.1
op.acc.1
op.acc.2
N/A op.acc.3 Total
op.acc.4
op.acc.5
Falta la (s) especificación (es) en CCMv3.0.1: op.nub.1
"Dichos canales deben incluir solo protocolos mp.com.2 Total
aprobados y actualizados". mp.com.3
op.pl.2
N/A Total
op.exp.1.r3.1
mp.com.1
mp.com.2
mp.com.3
N/A Total
mp.com.4
mp.s.2
mp.s.3


org.2
registro de 'logs' y la monitorización" Parcial
oración.

"Definir, implementar y evaluar los procesos, op.acc.1 Parcial
procedimientos y medidas técnicas" op.exp.8

"Definir, implementar y evaluar un sistema para
op.mon.1
generar alertas a los 'stakeholders' responsables Total
basado en dichos eventos y las correspondientes op.mon.3
métricas"
op.acc.1
"Restringir el acceso a los registros de auditoría al Total
personal autorizado" op.exp.8

op.exp.8
CCMv3.0.1 y debe usarse para eliminar dicha Total
diferencia. op.mon.3
N/A op.exp.8 Parcial

CCMv3.0.1 y debe usarse para eliminar dicha op.exp.8 Parcial
diferencia.

CCMv3.0.1 y debe usarse para eliminar dicha op.exp.8 Total
diferencia.


V4: (IVS-01) "Se requieren altos niveles de op.exp.8 Total
aseguramiento para proteger los registros de
auditoría", (GRM-04) "para proteger los activos y
datos frente a pérdidas, mal uso, acceso no
autorizado, revelación, alteración y destrucción"


mp.info.3
cobertura parcial, esto es, a cubrir en parte el control Parcial
V4: (EKM-03) "Deben establecerse políticas y op.exp.10
procedimientos, así como procesos de negocio e
implantar medidas técnicas que los soporten, para el
uso de los protocolos de cifrado"
op.exp.8
La parte en el control mapeado que contribuye a la Total
cobertura parcial, esto es, a cubrir en parte el control op.exp.10
V4: (EKM-02) "gestión de las claves criptográficas en
los servicios del criptosistema"

"registro de los accesos físicos utilizando un sistema mp.if.2 Parcial
de control de acceso auditable"

"Definir, implantar y evaluar los procesos,
procedimientos y medidas técnicas para el reporte de Nulo
anomalías y fallos en los sistemas de monitorización"


"políticas y procedimientos para el E-Discovery y el op.exp.7
análisis forense en la nube" org.2.r1.1 Parcial
oración.

Requisito de "al menos anualmente" en la última org.2.r1.1 Parcial
oración. org.3
"Establecer, documentar, aprobar, comunicar, aplicar op.exp.9
Parcial
un plan de respuesta a incidentes de seguridad, el op.ext.2.2
cual incluya los departamentos relevantes internos" op.ext.3
N/A Nulo
N/A op.mon.2.r1.1 Total

"Definir e implementar procesos, procedimientos y op.exp.7
medidas técnicas para la notificación de brechas de op.mon.2.r1.1 Total
seguridad" op.ext.1
"Comunicar las brechas de seguridad aceptadas".
org.3
N/A Total
op.exp.7

org.1
org.2
op.mon.2
diferencia. op.ext.1
op.ext.2
op.ext.3
op.nub.1
La especificación de control V4 completa falta en op.mon.2
CCMv3.0.1 y debe usarse para eliminar dicha op.ext.1 Parcial
op.ext.3
op.nub.1.2 (Solo categoría
diferencia. ALTA)
op.nub.1
op.ext.3
op.nub.1
op.ext.3
op.pl.2
La especificación de control V4 completa falta en op.pl.4
CCMv3.0.1 y debe usarse para eliminar dicha op.mon.2 Parcial
op.ext.2
La especificación de control V4 completa falta en op.exp.1

diferencia.
op.ext.3
N/A Total
op.nub.1
op.ext.1
op.ext.2
"Capacidad de registro (logging) y monitorización" Parcial
"Privacidad de datos". op.ext.3
op.ext.4
op.ext.1
N/A Parcial
op.nub.1
N/A op.ext.2 Parcial
org.1
org.2
op.mon.2
"para cumplir con las política de privacidad y Parcial
personal" op.ext.1
op.ext.2
op.ext.3
N/A op.ext.2 Total
N/A Nulo

op.exp.3.4
Requisito de "al menos anualmente" en la última op.mon.3.r2.1 Parcial
oración. op.mon.3.r6.2
mp.s.2.r2.2
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.2.4
Requisito de "al menos anualmente" en la última mp.s.1.4 Parcial
oración. mp.s.3.6
op.exp.3.4
N/A op.exp.4.r4.1 Parcial
op.mon.3.r2.1

op.exp.4.r4.1
diferencia. op.mon.3.r4.1
org.4.8
op.exp.1.r4.1
diferencia. op.exp.6
mp.sw.1.r5.1

V4: (TVM-02) "los procesos de soporte y las medidas op.nub.1.2 Total
técnicas implementadas para la detección a tiempo de
vulnerabilidades en las aplicaciones propiedad o
manejadas por la organización, la infraestructura de
red y los componentes del sistema (e.g. pruebas de
penetración)"
op.exp.4.r4.1
op.mon.3.r2.1
Requisito de "al menos mensualmente" en la última Parcial
oración. op.mon.3.r6.2
mp.s.2.r2.2
"corrección de vulnerabilidades de acuerdo a un Nulo
esquema reconocido de la industria".
op.exp.3.4
op.exp.4.r4.1
op.mon.3.r2.1
mp.s.2.r2.3
CCMv3.0.1 y debe usarse para eliminar dicha op.exp.4.r4.1 Total
diferencia.

Faltan las especificaciones en CCMv3.0.1:
'endpoints' (El término no aparece para CCMv3.0.1 y
el dominio MOS. Las políticas de dispositivos móviles org.1
son un subconjunto de la política de dispositivos org.2
Parcial
endpoint.). org.3
'aplica', Evaluar políticas y procedimientos para todos org.4
los dispositivos endpoint '.
Requisito de 'al menos anualmente' en la última frase.
Falta la especificación en CCMv3.0.1: op.pl.5.r2.1

'endpoint'. op.exp.1.r4.1
Parcial
'Definir, aplicar y evaluar una lista' op.exp.3.r1.2
mp.sw.1.r5

'endpoints' (El término no aparece para CCMv3.0.1 y
el dominio MOS. Las políticas de dispositivos móviles
son un subconjunto de la política de dispositivos
endpoint.). op.exp.4 Parcial
'aplica', Evaluar políticas y procedimientos para todos
los dispositivos endpoint '.
Requisito de 'al menos anualmente' en la última frase.
Falta la especificación en CCMv3.0.1:

'endpoints'. mp.eq.3 Total
Faltan las especificaciones en CCMv3.0.1: org.3
'endpoints'. org.4
'Definir, implementar y evaluar procesos,
procedimientos y medidas técnicas para forzar op.exp.2 Parcial
políticas y controles a todos los dispositivos op.exp.3
endpoint.'. op.exp.3.r1.1
Falta la especificación en CCMv3.0.1:
'endpoint'. mp.eq.2 Total
Falta la especificación en CCMv3.0.1: op.exp.4

Parcial
'endpoint'. op.exp.5
Falta la especificación en CCMv3.0.1: mp.eq.3.r1.1

Total
'endpoint'. mp.eq.3.r2.1
La especificación de control V4 completa falta en op.exp.6.2

CCMv3.0.1 y debe usarse para eliminar dicha op.exp.6.5 Total
diferencia. op.exp.6.r4.1
La especificación de control V4 completa falta en op.exp.2

CCMv3.0.1 y debe usarse para eliminar dicha op.exp.3 Parcial
diferencia. op.exp.6.r4.1
diferencia.

diferencia.

'endpoint'. mp.si.5
'Definir, implementar y evaluar procesos, Parcial
mp.info.2
procedimientos y medidas técnicas'.
La especificación de control V4 completa falta en op.acc.2

CCMv3.0.1 y debe usarse para eliminar dicha op.ext.4 Total
diferencia. mp.eq.4
inal del mapeo
EGURIDAD (Real Decreto 311/2022) - Anexo II ISO/IEC 27001/02/17/18
Adenda Mapeo de Controles Nivel de cobertura
N/A 27001: 9.2 Parcial
27001: A.18.2.1
N/A Parcial
27002: 18.2.1
27001: A.18.2.1
N/A 27002: 18.2.1 Total
27018: 18.2.1
27001: A.18.2.2
27002: 18.2.2
N/A Total
27001: A.18.2.3
27002: 18.2.3
27001: 9.2.c
N/A 27001: A.18.2.2 Total
27002: 18.2.2
27001: A.18.2.2
N/A Parcial
27002: 18.2.2
Falta la (s) especificación (es) en CCMv4.0:

Requisito "Revise y actualice las políticas y procedimientos 27001: A.14.2.1
al menos una vez al año". 27002: 14.2.1
Las medidas de seguridad del Anexo II del ENS no
27017: 14.2.1
especifican una periodicidad. Sin embargo, el Art. 31 Parcial
(Auditoría de la seguridad) exige una auditoría regular 27001: A.14.2.5
ordinaria, al menos cada dos años, de lo especificado en el 27001: 14.2.5
Anexo III (Auditoría de la seguridad), lo cual incluye verificar 27017: 14.2.5
que se hace un análisis de riesgos anual.
27001: A.5.1.1
27017: 5.1.1
N/A Parcial
27001: A.7.2.2
27002: 7.2.2
Falta la (s) especificación (es) en CCMv4.0: 27001: 9.1

Requisito de "alineación con los objetivos comerciales". 27001: A.18.2.2 Parcial
ENS no considera objetivos comerciales. 27002: 18.2.2
27001: A.14.1.1
27002: 14.1.1
27017: 14.1.1
27001: A.14.1.2
27002: 14.1.2
N/A Total
27017: 14.1.2
27001: A.14.2.1
27002: 14.2.1
27017: 14.2.1
27001: A.14.2.8
27001: A.14.2.9
27001: A.12.1.2
27002: 12.1.2
N/A Total
27001: A.14.1.1
27002: 14.1.1
27001: A.14.2.2
27002: 14.2.2
N/A Sin Mapeo Nulp
27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
N/A 27001: A.12.6.1 Total
27002: 12.6.1
27017: 12.6.1
27018: 12.6.1
Requisito de "resiliencia operativa". 27001: A.5.1
Parcial
ENS solo considera continuidad de negocio, pero no 27001: A.7.2.1
resiliencia operativa. 27001: A.17.1.2
Falta la (s) especificación (es) en CCMv4.0: 27001: 6.1.1

Requisito de "riesgos del negocio" y de "resiliencia 27001: 6.1.2
operativa". ENS solo considera realizar un análisis de 27001: 6.1.3
impacto para determinar los requisitos de disponibilidad
cada servicio, pero no del riesgo asociado a esa 27001: 8.2 Parcial
interrupción. 27001: 8.3
resiliencia operativa. 27001: A.17.1

Parcial
resiliencia operativa. 27001: A.17.1.2

Requisito de "resiliencia operativa". 27001: A.17.1.1
Parcial
ENS considera continuidad de negocio, pero no basado 27001: A.17.1.3
explícitamente en resiliencia operativa.
Requisito de "resiliencia operativa".
ENS considera documentación para continuidad de 27001: 7.5.1a Parcial
negocio, pero no para resiliencia operativa.
Requisito de "resiliencia operativa".
ENS considera pruebas sobre planes de continuidad de 27001: A.17.1.3 Parcial
negocio, pero no de resiliencia operativa.
Requisito de "resiliencia de negocio".
ENS considera solo procedimientos de continuidad, pero Sin Mapeo Nulo
no de resiliencia de negocio.
27001: A.12.3
N/A 27017: 12.3 Parcial
27018: 12.3.1

Requisito de "plan de respuesta para recuperarse a
desastres naturales".
Requisitos de "actualización anual o ante cambios
significativos"
ENS no considera específicamente incidentes vinculados
con desastres naturales, sino gestión de incidentes. Sin Mapeo Nulo
especifican una periodicidad. Sin embargo, el Art. 31
(Auditoría de la seguridad) exige una auditoría regular
ordinaria, al menos cada dos años, de lo especificado en el
Anexo III (Auditoría de la seguridad), lo cual incluye verificar

Requisito de "...anualmente...".
Sin Mapeo Nulo
N/A Sin Mapeo Nulo

27001: A.12.1.1
27001: A.12.1.2
27002: 12.1.2
N/A Parcial
27017: 12.1.2
27001: A.14.2.2
27001: A.14.2.3
27001: A.14.2.2
N/A 27002: 14.2.2 Parcial
27017: 14.2.2
27001:A.5.1.1
27017: 5.1.1
27001: A.12.1.2
27002: 12.1.2
27001: A.12.1.4
N/A Total
27001: A.14.2.3
27001: A.15.2.2
27002: 15.2.2
27001: A.14.2.6
27002: 14.2.6
27001: A.12.1.4
Requisito de "…y gestión no autorizada". 27001: A.12.4.2
Total
ENS solo considera solicitud de autorización previa, pero no 27002: 12.4.2
medidas para limitarlo. 27001: A.14.2.2
27017: 14.2.2
27001: A.15.2.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.14.2.2
Requisito de "limitando cambios con impacto directo".
ENS considera mecanismos y procedimientos de 27002: 14.2.2 Total
coordinación, pero no especifica la limitación de cambios. 27001: A.12.1.2
27017: 12.1.2
27001: A.12.1.1
27002: 12.1.1
N/A Parcial
27001: 14.2.2
27002: 14.2.2
27001: A.14.2.2
27001: A.14.2.4
Falta la especificación del control V4 de forma completa en 27001: A.12.4.1
Total
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.4.1 (g)
27001: A.5.1.1
27017: 5.1.1
27001: A.12.1.2
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.1.2 (h) Total
27017: 12.1.2
27001: A.12.1.2
27002: 12.1.2 (g)
27001: A.12.5.1
N/A Total
27002: 12.5.1 (e)
27001: A.12.3.1
27017: 12.3.1
27002 : 6.1.1
27001: A.6.1.2
27002: 6.1.2
27001: 8.2
27001: 8.3
27001: 9.1
27001: A.16
27002: 16
27001: A.16.1
27001: 9.2
27001: 9.3
27001: A.10
Requisito "revisar y actualizar políticas y procedimientos al
27002: 10
menos una vez al año". 27001: A.10.1.1
Las medidas de seguridad del Anexo II del ENS no 27001: A.10.1.2
especifican una periodicidad. Sin embargo, el Art. 31 27017: 10.1.2 Total
(Auditoría de la seguridad) exige una auditoría regular 27001: A.12.4
27002: 12.4
que se hace un análisis de riesgos anual. 27001: A.12.7
27002: 12.7
27017: 12.7
27001: A.18.1.1-to-5
27001: A.12.1.2
27002: 12.1.2
27001: A.12.3.1
27017: 12.3.1
27001: A.15.1.2
27017: 15.1.2
27001: A.18.1.1
27017: 18.1.1
27001: A.18.1.5
27001: 5.1
27001: 5.3
27001: A.5.1.1
27002: 5.1.1
27001: A.6.1.1
27002: 6.1.1
27017: 6.1.1
27001: A.6.1.2
27017: 6.1.2
27001: A.9.1
27002: 9.1
27001: A.10.1.1
N/A Total
27002: 10.1.1
27001: A.15.1.2
27017: 15.1.2
27001: A.13.1.3
27017: 13.1.3
27001: A.10.1.1
27017: 10.1.1
27001: A.10.1.2
27002: 10.1.2
27017: 10.1.2
27017: CLD 6.3
27001: A.18.1.1
27001: A.18.1.2
27001: A.18.1.3
27001: A.18.1.4
27001: A.18.1.5
27001: A.10.1
27002: 10.1
27001: A.13.2.1
27002: 13.2.1
N/A 27001: A.18 Total
27002: 18
27001: A.14.1.2
27002: 14.1.2
27001: A.14.1.3
27002 14.1.3 c)
27001 - A.10.1.1
27017 - 10.1.1
27001 - A.10.1.2
27017 - 10.1.2
27001: A.8.2
27002: 8.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.8.3
Requisito "teniendo en cuenta la clasificación de los datos,
los riesgos asociados y la usabilidad de la tecnología de 27001: A.10.1.1 Total
cifrado" 27002: 10.1.1 (b)
27001: A.10.1.2
27002: 10.1.2
27001: A.12.1.2
27002: 12.1.2
27017: 12.1.2
N/A 27001: A.10.1.2 Total
27002: 10.1.2 e)
27001: A.14.2.2
27002: 14.2.2
27001: A.12.1.2
27002: 12.1.2
27001: A.10.1.2
27002: 10.1.2 e)
Requisito "consideración de análisis de costos y Total
beneficios residuales". 27017: 10.1.2
27001: A.10.1.1
27002: 10.1.1
27017: 10.1.1
27001: 8.2
Requisito "programa de riesgos de gestión de claves y 27001: A.10.1.1
cifrado". ENS considera un 27002: 10.1.1 Total
análisis de riesgos genérico, pero no específico para 27017: 10.1.1
gestión de claves y cifrado.
27001: A.10.1.2
27017: 10.1.2
27001: A.10.1
27017: 10.1
27001: A.10.1.1
Requisito "que los CSC administren sus propias claves Parcial
de cifrado de datos". 27017: 10.1.1
27001: A.10.1.2
27017: 10.1.2
27001: 9.2
27001: A.18.2.1
27001: A.18.2.2
27001: A.12.7
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.7 Total
27017: 12.7
27001: A.10.1.2
27001: A.10.1.2
27002: 10.1.2 k)
27001: A.10.1.1
27002: 10.1.1 (e)
27017: 10.1.1
N/A 27001: A.10.1.2 Total
27002: 10.1.2
27002: 10.1.2 (a)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
Requisito "…para un propósito único". 27001: A.10.1.2 Total
27002: 10.1.2 (c)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Parcial
27002: 10.1.2 e)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
N/A 27001: A.10.1.2 Total
27002: 10.1.2 (g),(f)
27017: 10.1.2
27001: A.10.1.1
Requisito de "claves almacenadas en Módulos de 27017: 10.1.2
Seguridad Hardware (HSM) cuando ya no sean necesarias, 27001: A.10.1.2 Total
que incluyan disposiciones para requisitos legales y 27002: 10.1.2 (j)
regulatorios".
27001: A.18.1.3
27002: 18.1.3
27001: A.10.1.1
27017: 10.1.1
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Parcial
27002: 10.1.2 a)
27017: 10.1.2
27001: A.10.1.1
Falta la especificación del control V4 de forma completa en 27017: 10.1.1
Parcial
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2
27017: 10.1.2
27001: A.10.1.1
Requisito de "desactivar claves en el momento de su 27001: A.10.1.2 Total
fecha de vencimiento ". 27002: 10.1.2
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
27017: 10.1.2
Parcial
Requisito de "administrar las claves archivadas en un 27002: 10.1.2 (i)
repositorio seguro". 27001: 9.0
27002: 9.0
27017: 9.0
27001: A.10.1.1
27002: 10.1.1 (d)
27001: A.10.1.2
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 10.1.2 (f),(g) Total
27001: A.18.1.5
27001: A.18.1.3
27002: 18.1.3
27001: 8.2
27001: 8.3
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Total
27002: 10.1.2 (h)
27001: A.18.1.5
27001: A.10.1.2
Total
el ENS-Anexo II y debe ser usada para cubrir la carencia 27017: 10.1.2
27001: A.18.1.5
27001: A.11.2.7
N/A 27002: 11.2.7 Total
27017: 11.2.7
Requisito de "autorización escrita o verificable

criptográficamente".
Requisito "Revise y actualice las políticas y procedimientos
al menos una vez al año".
Las medidas de seguridad del Anexo II del ENS no 27001: A.11.2.5 Parcial
27001: A.11.1.3
27002: 11.1.3
27017: 11.1.3
N/A Total
27001: A.11.1.5
27002: 11.1.5
27017: 11.1.5
27001: A.8.3.3
N/A 27007: 8.3.3 Total
27017: 8.3.3
27001: A.8.2.1
N/A 27002: 8.2.1 Parcial
27017: 8.2.1
27001: A.8.1.1
N/A 27002: 8.1.1 Parcial
27017: 8.1.1
27001: A.11.1.1
N/A 27002: 11.1.1 Total
27017: 11.1.1
Requisito de " identificación de los equipos como Sin Mapeo Nulo
método para la autenticación".
N/A 27001: A.11.1.2 Total

Requisito de " en el perímetro externo y en todos los Sin Mapeo Nulo
puntos de entrada y salida".
el ENS-Anexo II y debe ser usada para cubrir la carencia Sin Mapeo Nulo
N/A 27001: A.11.2.3 Total
N/A 27001: A.11 Total
27001: A.17.1.3
N/A 27001: A.11.2.1 Parcial
27001: A.11.2.2
27001: A.11.2.1
Requisito de "ubicaciones sujetas a alta probabilidad de Total
eventos de riesgo ambiental". 27002: 11.2.1
27001: A.8.2.1
Requisito "revisar y actualizar políticas y procedimientos al
27001: A.5.1
menos anualmente". 27001: 5.2
especifican una periodicidad. Sin embargo, el Art. 31 27002: 5.1.1 Parcial
27002: 5.1.2
que se hace un análisis de riesgos anual. 27001: A.12.1
27002: 12.1
27001: A.8.3.2
27002: 8.3.2
N/A Parcial
27001: A.11.2.7
27002: 11.2.7
Parcial
27001: A.8.2.1
N/A Total
27002: 8.2.1

Requisito "crear y revisar documentación del flujo de datos". Sin Mapeo Nuevo

Requisito "documentar la administración de todos los datos
personales y sensibles".
Requisito "revisiones al menos anuales".
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.8.1.2 Parcial
27001: A.14.1.1
27002:14.1.1
Requisito "sistemas, productos y prácticas de negocio". Parcial
ENS enfocado solo al desarrollo de aplicaciones. 27001: A.14.2.5
27002:14.2.5

Requisito "sistemas, productos y prácticas de negocio".
ENS enfocado solo al desarrollo de aplicaciones. Requisito Sin Mapeo Nuevo
"cumplir con todas las leyes y regulaciones aplicables.
el ENS-Anexo II y debe ser usada para cubrir la carencia Sin Mapeo Nuevo
27001: A.13.2.1
27002: 13.2.1
27001: A.8.3.3
Requisito "cualquier transferencia de datos sensibles o Parcial
personales está protegida". 27002: 8.3.3
27001: A.13.2.3
27002: 13.2.3

el ENS-Anexo II y debe ser usada para cubrir la carencia Sin Mapeo Nuevo
27001: A.18.1.4
N/A Parcial
27002: 18.1.4
Falta la (s) especificación (es) en CCMv4:

Requisito de "transferencia y procesamiento por
terceros de los datos personales se realizan dentro de la Sin Mapeo Nuevo
cadena del servicio".

el ENS-Anexo II y debe ser usada para cubrir la carencia 27018: A.6.2 Parcial
27001: A.14.3.1
27002: 14.3.1
Requisito de "Obtener autorización de los dueños Parcial
de los datos". 27001: A.12.1.4
27002: 12.1.4
Requisito de "retención y archivado de los datos". 27001: A.18.1.3 Total

ENS solo especifica copias de seguridad y borrado seguro.
27001: A.18.1.3
27002: 18.1.3
N/A Total
27001:A.18.1.4
27002:18.1.4

el ENS-Anexo II y debe ser usada para cubrir la carencia 27018: A.6.1 Total

27001: A.8.1.1
Requisito de "procesos, procedimientos y medidas técnicas
para especificar y documentar las localizaciones físicas de
27002: 8.1.1 Total
los datos". 27017: 8.1.1
ENS solo requiere inventario de activos.

Requisito de "Mantener políticas y procedimientos para un
programa de gobernanza de la información".
Requisito "Revise y actualice las políticas y procedimientos
al menos una vez al año". 27001: 5.1
Las medidas de seguridad del Anexo II del ENS no 27001: 5.2 Parcial
especifican una periodicidad. Sin embargo, el Art. 31 27001: 5.3
27001: A.6.1.2
N/A Total
27001: 6.2
Requisito de "revisión de las políticas organizacionales y
procedimientos al menos una vez al año".
especifican una periodicidad. Sin embargo, el Art. 31 27001:7.5.2 (c) Parcial

Total
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 5.1.1 (c)
Falta la especificación del control V4 de forma completa en 27001: 1

el ENS-Anexo II y debe ser usada para cubrir la carencia Parcial
27001: 4.3

Requisito de "Operar, evaluar y mejorar los programas de 27001: A.6.1.1
gobernanza". 27002: 6.1.1
Parcial
ENS se focaliza en una política de seguridad que recoge 27001: A.7.2.1
roles o funciones de seguridad definiendo deberes y 27002: 7.2.1
responsabilidades.
27018: 5.1.1
27001: A.18.1
27001: A.18.2.2
Requisito de "estándares" , "contractuales". Total
ENS pide definir el marco legal y regulatorio. 27018: A.18.1
27018: A.18.2.2

el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.6.1.4 Total
Requisito de "Revise y actualice las políticas y
procedimientos al menos una vez al año."
(Auditoría de la seguridad) exige una auditoría regular 27017: 7.1.1


Requisito de "...que los espacios de trabajo desatendidos
no contengan datos confidenciales abiertamente visibles. " 27001: A.11.2.8
Requisito "Revise y actualice las políticas y procedimientos 27002: 11.2.8
al menos una vez al año".
27017: 11.2.8
Las medidas de seguridad del Anexo II del ENS no Parcial
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.11.2.9

procedimientos al menos una vez al año." 27001: A.6.2.2
27002: 6.2.2
27001: A.8.1.4
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 8.1.4 Total
27017: 8.1.4
27001: A.7.3.1
Requisito de "relacionados con los cambios de empleo" 27002: 7.3.1 Total
27017: 7.3.1
27001: A.7.1.2
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 7.1.2 Total
27017: 7.1.2
27001: A.6.1.1
N/A 27002: 6.1.1 Total
27017: 6.1.1
27001: A.7.1.2
27002: 7.1.2
Total
Requisito de "a intervalos planificados" 27001: A.13.2.4
27002: 13.2.4
27017: 13.2.4
27001: A.7.2.2
N/A 27002: 7.2.2 Total
27017: 7.2.2
27001: A.7.2.2
N/A 27002: 7.2.2 Parcial
27017: 7.2.2
27001: A.7.2.1
N/A 27002: 7.2.1 Parcial
27017: 7.2.1
Requisito de "...deben ser revisados y actualizados, al
menos anualmente." 27001: A.9.1.1
27002: 9.1.1
especifican una periodicidad. Sin embargo, el Art. 31 Total
27001: A.9.4.3
27002: 9.4.3
27017: 9.4.3
27018: 9.4.3
Requisito de "...deben ser revisados y actualizados, al
menos anualmente." 27001: A.9.2.4
Las medidas de seguridad del Anexo II del ENS no 27002: 9.2.4
27002:7.2.2
que se hace un análisis de riesgos anual. 27001: A.9.2.6
27002: 9.2.6
27001: A.9.2.3
27002: 9.2.3
27001: A.8.1.1
27002: 8.1.1
N/A Parcial
27001: A.9.4.1
27002: 9.4.1
27001: A.6.1.2
N/A Total
27002: 6.1.2
27001: A.9.1.1
27002: 9.1.1
27001: A.9.1.2
N/A Total
27002: 9.1.2
27001: A.9.2.3
27002: 9.2.3
N/A Sin Mapeo Nulo
N/A Sin Mapeo Nulo
27001: A.9.2.5
27001: A.9.2.6
27001: A.9.4.1
N/A Parcial
27017: 9.4.1
27001: A.6.1.2
27001: A 9.2.5
27001: A.9.2.3
27002: 9.2.3
N/A Total
27017: 9.2.3
27018: 9.2.3
27001: A.9.2.3
Requisito de "...por un tiempo limitado." Parcial
27017: 9.2.3
27018: 9.2.3
el ENS-Anexo II y debe ser usada para cubrir la carencia Sin Mapeo Total
27001: A.12.4.1
27002: 12.4.1
27017: 12.4.1
27018: 12.4.1
27001: A.12.4.2
27002: 12.4.2
N/A Parcial
27017: 12.4.2
27018: 12.4.2
27001: A.12.4.3
27002: 12.4.3
27017: 12.4.3
27018: 12.4.3
27001: A.9.2.1
N/A Total
27002: 9.2.1
27001: A.9.1.2
27002: 9.1.2
27017: 9.1.2
Requisito de "procesos, procedimientos". 27002: 9.2.4
ENS se refiere únicamente a medidas técnicas Parcial
27017: 9.2.4
(mecanismos de autenticación). 27001: A.9.4.2
27002: 9.4.2
27017: 9.4.2
27018: 9.4.2
27001: A.9.2.4
27002: 9.2.4
27017: 9.2.4
27018: 9.2.4
Requisito de "medidas para la correcta gestión de 27002: 9.3.1
Total
contraseñas" 27017: 9.3.1
ENS no especifica 'correcta gestión' pero es algo implícito. 27018: 9.3.1
27001: A.9.4.3
27002: 9.4.3
27017: 9.4.3
27018: 9.4.3

Requisito de "procesos, procedimientos". 27002: 9.2.5
Total
ENS se refiere únicamente a medidas y a los requisitos de 27017: 9.2.5
acceso. 27018: 9.2.5
27001: A.14.1.1
Requisito de "b. Interoperabilidad del procesamiento de la 27001: A.14.1.2
información. 27002: 14.1.2
c. Portabilidad de los desarrollos de aplicaciones.
27017: 14.1.2
d. Intercambio, uso, portabilidad, integridad y persistencia Parcial
de información/datos" 27001: A.14.2
ENS no habla directamente de Interoperabilidad y 27002: 14.2
portabilidad, aunque se extraen los conceptos de 27001: A.14.2.1
comunicaciones seguras entre diferentes interfaces 27017: 14.2.1
27001: A.14.2.5

27001: A.18.1
27001: A.15.1.1
N/A Total
27002: 15.1.1
27017: 15.1.1

"Los acuerdos deben incluir provisiones especificando el
acceso de los CSC hasta la finalización del contrato, e
incluirán:
b. periodo de retención. Sin Mapeo Nulo
c. alcance de los datos almacenados y puestos a
disposición de los CSC.
d. política de eliminación de información."
ENS hace referencia a las guías CCN-STIC que sean de
aplicación como obligatorias.

Requisito de "Revisar y actualizar las políticas y
procedimientos al menos una vez al año." 27001: A.5
27002: 5
(Auditoría de la seguridad) exige una auditoría regular 27017: 5
ordinaria, al menos cada dos años, de lo especificado en el 27018: 5
27001: 5.3
27001: 6.1
N/A 27001: 9.1 Parcial
27001: A.12.1.3
27002: 12.1.3
27001: A.13.1.1
27002: 13.1.1
27001: A.13.1.2
Requisito de "Revisar estas configuraciones al menos una Parcial
vez al año" 27002: 13.1.2
27001: A.13.1.3
27002: 13.1.3
27001: A.14.2.2
27002: 14.2.2
N/A 27001: A.14.2.3 Parcial
27001 A.14.2.4
27018: 12.1.2
27001 A.12.1.4
27002 12.1.4
N/A Parcial
27017 12.1.4
27018 12.1.4
27001: A.13.1.3
N/A 27002: 13.1.3 Parcial
27017: 13.1.3
27001: 7.4
27001: A.13.1.1
27002: 13.1.1
27017: 13.1.1
27018: 13.1.1
27001: A.13.1.2
27002: 13.1.2
27017: 13.1.2
27018: 13.1.2
27001: A.13.1.3
27002: 13.1.3
27017: 13.1.3
27018: 13.1.3
27001: A.13.2.1
N/A 27002: 13.2.1 Parcial
27017: 13.2.1
27018: 13.2.1
27001: A.13.2.2
27002: 13.2.2
27017: 13.2.2
27018: 13.2.2
27001: A.13.2.3
27002: 13.2.3
27017: 13.2.3
27018: 13.2.3
27001: A.13.2.4
27002: 13.2.4
27017: 13.2.4
27018: 13.2.4
27001: A.9.1.2
27002: 9.1.2
27017: 9.1.2
27001: A.9.4.2
27002: 9.4.2
N/A Parcial
27017: 9.4.2
27018: 9.4.2
27001: A.14.2.5
27002: 14.2.5
27017: 14.2.5
27001: A.14.1.2
27002: 14.1.2
27017: 14.1.2
N/A 27001: A.11.1.4 Parcial
27002: 11.1.4
27017: 11.1.4
27018: 16.1.1
(Auditoría de la seguridad) exige una auditoría regular Sin Mapeo Nulo
No específica 'registro y monitoreo' pero si "[org.3.3] Cómo
identificar
Falta la (s)yespecificación
reportar comportamientos anómalos"
(es) en CCMv4.0:
Requisito de "procesos, procedimientos ... para garantizar
la seguridad y retención de los registros de auditoría." 27001: A.18.1.3
ENS específica las medidas técnicas para el 'registro de Parcial
27002: 18.1.3
actividad' y la identificación de los eventos a auditar y su
tiempo de retención
27001: A.12.4.1
N/A Parcial
27002: 12.4.1
27001: A.12.4.2
27001: A.12.4.1
N/A Total
27002: 12.4.2
27001: A.12.4.3
N/A Total
27002: 12.4.3
27001: A.12.4.4
Requisito de "confiable" 27002: 12.4.4 Total
27017: 12.4.4
Requisito de "Revisar y actualizar el alcance al menos una
vez al año o siempre que haya un cambio en el entorno de 27002: 12.4.1 Total
amenazas." 27017: 12.4.1
27001: A.12.4.1
N/A 27002: 12.4.1 Total
27017: 12.4.1
27001: A.12.4.2
N/A Total
27002: 12.4.2
27001: A.10.1
Requisito de "capacidad de supervisión e informes internos" Total
27001: A.10.1.2
27017: 10.1.2
27001: A.10.1.2
N/A Total
27017: 10.1.2

Requisito de "Supervisar y ... el acceso físico mediante un
27001: A.11.1.2
sistema de control de acceso auditable. Total
ENS incluye identificación y registro de acceso a la áreas 27002: 11.1.2
donde se alojen los Sistemas de información únicamente.
27001: A.16.1.1
el ENS-Anexo II y debe ser usada para cubrir la carencia Total
27001: A.16.1.2
27017: 16.1.2

Requisitos de "E-Discovery y Forense en nube"
"Revisar y actualizar políticas y procedimientos al menos
una vez al año." 27001: A.16.1
Las medidas de seguridad del Anexo II del ENS no 27002: 16.1
Parcial
(Auditoría de la seguridad) exige una auditoría regular 27018: 16.1

Requisito de "Revisar y actualizar las políticas y 27002: 16.1.2
procedimientos al menos una vez al año." 27017: 16.1.2
27018: 16.1.2
Anexo III (Auditoría de la seguridad), lo cual incluye verificar 27017: 16.1.5
que se hace un análisis de riesgos anual. 27018: 16.1.5
27001: A.16.1.5
27002: 16.1.5
Requisito de "Plan de respuesta a incidentes de seguridad" 27017: 16.1.5 Total
27017: CLD.12.1.5
27018: 16.1.5

N/A Sin Mapeo Nulo
27001: A.16.1.4
27002: 16.1.4
27017: 16.1.4
27018: 16.1.4
Requisito de "Evaluar procesos, procedimientos y medidas Total
técnicas" 27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
27018: 16.1.5
27001: A.16.1.1
27002: 16.1.1
27017: 16.1.1
27018: 16.1.1
27001: A.16.1.2
27002: 16.1.2
N/A Parcial
27017: 16.1.2
27018: 16.1.2
27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
27018: 16.1.5
27001: 4.2
27001: A.6.1.3
27002: 6.1.3
27017: 6.1.3
27018: 6.1.3
N/A 27001: A.16.1.1 Total
27002: 16.1.1
27001: A.18.1.1
27002: 18.1.1
27017: 18.1.1
27018: 18.1.1

Requisito de "Modelo de Responsabilidad de la Seguridad 27001: 5.1a
Compartido (SSRM)" 27001: 5.2
Requisito de "Revisar y actualizar las políticas y 27001: 6.2
27001: 9.1
Las medidas de seguridad del Anexo II del ENS no Parcial
ordinaria, al menos cada dos años, de lo especificado en el 27001: A.5.2
Anexo III (Auditoría de la seguridad), lo cual incluye verificar 27001: A.15.1.1
27001: 6.2
27001: 7.1
27001: 8.1
Requisito de "el SSRM" Parcial
27001: 9.1
27001: 9.3
27001: A.15.1
27001: A.15.2
27001: 6.2
27001: 7.4
Requisito de "de SSRM" 27001: 9.1 Parcial
27001: A.15.1.2
27001: A.15.1.3
27001: 6.2
27001: 7.4
Requisito de "el SSRM" 27001: 9.1 Parcial
27001: A.15.1.2
27001: A.15.2
27001: 6.2
27001: 7.4
Parcial
Requisito de "documentación SSRM" 27001: 9.3
27001: A.15.1.2
27001: A.15.1.3
27001: 8.1
Requisito de "las partes del SSRM" 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
Requisito de "No especifica todas las relaciones" 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
N/A 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
Requisito de "(incluido SSRM)" 27001: A.15.1.2 Parcial
27001: A.15.1.3

Requisito de "al menos una vez al año"
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.15.1
Parcial

Requisito de "al menos una vez al año"
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.15.2
(Auditoría de la seguridad) exige una auditoría regular Parcial

Requisito de "política de personal" 27001: 5.2
ENS no especifica de manera clara que haya que revisarse 27001: A.5.1
todo lo que indica como política del personal… 27001: A.5.2
Parcial
Adicionalmente a los controles del Anexo II (Medidas de 27001: A.7.2.1
Seguridad) del ENS el Art. 2 (Ámbito de aplicación) y el 27001: A.15.1.2
Anexo III (Auditoría de la seguridad) darían también
cobertura a este control 27001: A.15.1.3
27001: 8.1
27001: 9.1
27001: 9.2
N/A Parcial
27001: 9.3
27001: A.15.1.2
27001: A.15.1.3
Falta la especificación del control V4 de forma completa en 27001: 8.1

el ENS-Anexo II y debe ser usada para cubrir la carencia. 27001: 8.2
El Anexo II (Medidas de Seguridad) del ENS no incluye un
control específico pero el Art. 2 (Ámbito de aplicación), el 27001: 8.3 Parcial
Art. 31 (Auditoría de la seguridad) y el Anexo III (Auditoría 27001: A.15.1.2
de la seguridad) daría cobertura a este control 27001: A.15.1.3

procedimientos al menos anualmente"
Las medidas de seguridad del Anexo II del ENS no 27001: 5.2
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.5.1.1 Total
(Auditoría de la seguridad) exige una auditoría regular 27002: 5.1.1 (c), (h)
27001: A.5.1.1
27002: 5.1.1 (g), (c)
27001: A.5.1.2
27002: 5.1.2
27001: 5.2
27001: A.12.2.1
27001: A.6.2.1
27002: 6.2.1 (h)
procedimientos al menos anualmente." 27001: A.6.2.2
Las medidas de seguridad del Anexo II del ENS no 27002: 6.2.2 (j)
especifican una periodicidad. Sin embargo, el Art. 31 27001: A.7.2.2 Parcial
(Auditoría de la seguridad) exige una auditoría regular 27002: 7.2.2 (d)
27001: A.10.1.1
que se hace un análisis de riesgos anual. 27002: 10.1.1 (g)
27001: A.13.2.1
27002: 13.2.1 (b)
27001: A.15.1.2
27017: 15.1.2
27001: A.12.2.1
27002: 12.2.1 (a),(d)
27017: CLD.9.5.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A12.2.1

Requisito de "basadas en el nivel de riesgo identificado". 27001: A.12.6.1
Total
ENS no hace diferenciación entre respuestas programadas 27002: 12.6.1(c)(d)(j)
y de emergencia. 27018: 12.6.1(k)(i)
27001: A.5.1.1
Falta la (s) especificación (es) en CCMv4.0: 27002: 5.1.1 (h)
Parcial
Requisito de "con una frecuencia semanal o mayor" 27001: A.12.6.1
27002: 12.6.1 (b),(c)
27001: A.12.6.2
Requisito de "…de acuerdo con la política de gestión de Parcial
vulnerabilidades de la organización." 27002: 12.6.2
N/A Sin Mapeo Nulo
27001: A.12.6
Requisito de "…al menos mensualmente"
27001: A.12.6.1 Total
27002: 12.6.1

27001: A.16.1.2
27002: 16.1.2
Requisito de "…que incluyan la notificación a todos los Total
interesados" 27001: A.16.1.3
27002: 16.1.3
N/A 27001: 9.1(a)(e) Parcial

Requisito de "…dispositivos 'endpoint'"
Requisito de "Revisar y actualizar las políticas y los
procedimientos al menos una vez al año." 27001: A.6.2.1
Las medidas de seguridad del Anexo II del ENS no 27002: 6.2.1
Parcial
especifican una periodicidad. Sin embargo, el Art. 31 27017: 6.2.1
27001: A.9.1.1
27002: 9.1.1
27001: A.9.2.2
27002: 9.2.2
Requisito de "...que se permiten usar por los dispositivos 27002: 12.1.2
Parcial
'Endpoint' cuando acceden o almacenan datos 27001: A.12.5
administrados por la organización." 27002: 12.5
27001: A.13.2.3
27002: 13.2.3
27001: A.14.2.2
27002:14.2.2

Requisito de "la compatibilidad del dispositivo 'Endpoint' con
los sistemas operativos y aplicaciones."
27001: A.14.2.4
El grado de cobertura es muy bajo dado que ENS no entra Parcial
en la compatibilidad al asumir que están configurados de 27002: 14.2.4
forma segura. En op.exp.4 se pueden considerar de forma
implícita que los 'endpoints' que acceden está incluidos
27001: A.8.1.1
N/A 27002: 8.1.1 Parcial
27017: 8.1.1
Parcial
Requisito de "dispositivos 'endpoint'" 27002:12.6.2
N/A Sin Mapeo Nulo
27001: A.14.2
27001: A.14.2.2
Parcial
Requisito de "de los 'endpoints'" 27001: A.14.2.3
27001: A.14.2.4
27018: 12.1.2
27001: A.11.2.7
27002: 11.2.7
27001: A.18.1.1
27017: 18.1.1
N/A Parcial
27001: A.12.3.1
27017: 12.3.1
27018: A.11.4
27018: A.11.5
27001: A.12.2
27002: 12.2
N/A Parcial
27017: 12.2
27018: 12.2
27001: A.12.6.1
27002: 12.6.1
27001: A.13.1.2
Requisito de "dispositivos 'endpoint'" 27002: 13.1.2 Parcial
27001: A.6.2.2
27002: 6.2.2
27018: 16.1
27001: A.12.3
27002: 12.3
27001: A.8.3.1
27002: 8.3.1
27001: A.12.2
27002: 12.2
Parcial
27001: A.3.2.2
27002: 3.2.2
27001: A.6.1.1
27017: 6.1.1
27018: 12.3.1
27018: 10.1

Parcial

Requisito de "… el borrado remoto de datos de la empresa
27001: A.6.2.1
en dispositivos 'Endpoint' gestionados" Parcial
ENS especifica medidas de borrado para todo tipo de 27002: 6.2.1
soportes pero no habla de 'borrado remoto'
27001: A.15.1.1
27002: 15.1.1
27001: A.14.1.2
27002: 14.1.2
27001: A.6.1.1
N/A Parcial
27017: 6.1.1
27001: A.9.2.2
27017: 9.2.2
27001: A.9.2.4
27017: 9.2.4
Final del mapeo
01/02/17/18
Adenda
Falta la (s) especificación (es) en ISO:

Requisito de "al menos una vez al año" en la última
oración.

Los términos "auditoría y aseguramiento" y "al menos
una vez al año" no se incluyen específicamente.
N/A
N/A
N/A

"Establecer, documentar, aprobar, comunicar, aplicar,
evaluar y mantener un plan de acción correctivo
basado en el riesgo para corregir los hallazgos de
auditoría".

'revisar y actualizar las políticas y procedimientos al
menos una vez al año'.

ISO no estipula explícitamente requisitos básicos para
asegurar diferentes aplicaciones.

ISO no especifica explícitamente la necesidad de
implementar métricas técnicas y operativas en
alineación con los objetivos comerciales, los
requisitos de seguridad y las obligaciones de
cumplimiento.
N/A x
N/A x
Falta al especificación del control V4 de forma

completa en las ISO y debe ser usado para cubrir la
carencia
N/A
El requisito de proporcionar un marco para establecer
los objetivos de continuidad del negocio.

Las referencias específicas para un BIA.

Sin referencia a las estrategias de continuidad del
negocio

negocio

negocio

'Ejercicios a alto nivel'
La especificación de control V4 completa falta en las

ISO y debe usarse para eliminar dicha diferencia.
ISO no especifica la necesidad de verificar la
restauración de datos a partir de la copia de
seguridad para garantizar la resiliencia.

carencia

carencia

carencia
"Revisar y actualizar las políticas y procedimientos al
menos anualmente"

"Calidad y Líneas base"
N/A
N/A
N/A
"Establecer Líneas base de gestión de cambios"
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

"El proveedor de servicios en nube debe proveedor
de capacidades que permitan al cliente de servicios
en nube almacenar y gestionar de manera
independiente las claves de cifrado para la protección
de cualquier dato en propiedad o gestionado del
cliente de servicios en la nube".
N/A
N/A
N/A

No se menciona el requisito de "rotación de claves".
N/A
N/A

No se menciona el requisito de "preactivación de
claves".

No se menciona el requisito de "suspensión de
claves".
N/A

"Repositorio seguro que requiera el acceso menos
privilegiado".
N/A
N/A
N/A
N/A
Falta la (s) especificación (es) en ISOs:

"Aplicar y mantener políticas y procedimientos para la
reubicación o transferencia de hardware, software, o
datos/información a un lugar externo o alternativo"
"la reubicación requiere una autorización verificable
criptográficamente."
N/A
N/A

"clasificar activos físicos"

"clasificar activos físicos"
N/A

carencia
N/A

carencia
carencia
N/A
N/A

No hay requerimientos para ejercer controles
ambientales
N/A
Requisitos no contemplados en ISO: requisito de

revisar y actualizar las políticas y procedimientos, al
menos con carácter anual.
Requisitos no contemplados en ISO: Requisito de
revisar que los datos no se pueden recuperar
utilizando métodos forenses

mantener un inventario de los datos personales
N/A

carencia

realizar una revisión al menos con carácter anual
Requisitos no contemplados en ISO: incorporación de

requisitos de seguridad durante la fase de diseño.

carencia
carencia
Requisitos no contemplados en ISO: requisito para

garantizar que la información se procesa solo dentro
del alcance permitido por las respectivas leyes y
regulaciones

carencia
Requisitos no contemplados en ISO: procesamiento

de datos personales dentro del propósito indicado a la
persona interesada

carencia
revelar los detalles de cualquier acceso a dato
personal o sensible por parte de un tercero al dueño
de los datos con carácter previo a dicho
acceso/procesamiento
Requisitos no contemplados en ISO: obtención de

autorización explícita de los dueños de los datos.
N/A
N/A
N/A
N/A
Falta en las ISOs:

"documentar, aprobar, aplicar, evaluar y mantener
políticas y procedimientos para un programa de
gobierno de la información"
"Revisar y actualizar las políticas y procedimientos al
menos anualmente."
N/A
Requerimiento de "al menos anualmente"
N/A

"dominios de la CCMv4.0" que faltan de las ISOs
Falta en las ISOs:

"para planificar, implementar, operar, evaluar, y
mejorar los programas de gobierno"
"documentar roles y responsabilidades."
N/A
N/A
requerimiento para revisar y actualizar las políticas y



N/A
N/A

carencia
N/A
N/A
N/A
N/A

Requerimiento para focalizar la formación en "los
datos personales y los sensibles para la organización"

Requerimiento para poner foco en "las obligaciones
de cumplimiento de la legislación aplicable, estatutaria
o regulatoria."
N/A


La ISO trata parcialmente el Inventario de Identidades
dentro de la gestión de activos
N/A
N/A

carencia

carencia

El Requerimiento de la separación de tareas al revisar
los derechos de acceso de usuario
N/A

El Requerimiento de prevenir la culminación de la
segregación de accesos privilegiados
N/A
El Requerimiento de controlar la parada de los
registros de auditoría mediante un procedimiento que
asegure la segregación de funciones y
procedimientos de 'rotura del cristal'.
N/A

El Requerimiento de incluir autenticación multifactor
para el acceso de los usuarios privilegiados y a datos
sensibles.
N/A
N/A

El Requerimiento de comunicaciones entre servicios
de aplicaciones (APIs)

carencia
N/A

carencia

El Requerimiento de "Seguridad de la Infraestructura
y Virtualización"

y Virtualización"
y Virtualización"

y Virtualización"

y Virtualización"

"Diseñar, desarrollar, desplegar y configurar
aplicaciones e infraestructuras" "monitorizadas y
restringidas para otros 'tenants'"
y Virtualización"
y Virtualización"

y Virtualización"
El Requerimiento para un enfoque de defensa en
profundidad

carencia

El Requerimiento para la revisión y actualización de
políticas y procedimientos

El Requerimiento para generar alertas para los
'stakehokders' responsables
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

El Requerimiento para revisar y actualizar las políticas
y procedimientos al menos anualmente

El Requerimiento para revisar y actualizar las políticas
y procedimientos al menos anualmente
N/A
Falta el control completo V4 en las ISO y debe ser

usado para cubrir la carencia
Falta el control completo V4 en las ISO y debe ser

usado para cubrir la carencia
N/A

El Requerimiento para informar de brechas en la
cadena de suministro
El Requerimiento para informar de acuerdo con los
SLA aplicables, leyes y regulaciones
N/A

El Requerimiento para un Modelo de Responsabilidad
de la Seguridad Compartido (SSRM)










N/A
El Requerimiento para tener "políticas y
procedimientos sobre 'malware'"
N/A

El Requerimiento para "herramientas de detección y/o
un periodo de tiempo determinada para
actualizaciones así como la no mención de IOCs"
El Requerimiento "para aplicaciones que usen
librerías de código abierto de acuerdo con el estándar
de gestión de vulnerabilidades de la organización"

carencia
N/A

carencia
N/A

El Requerimiento de "corrección de vulnerabilidades"
Falta la especificación en las ISOs:
Término dispositivo 'endpoint'
Falta la especificación en las ISOs: Término

dispositivo 'endpoint'



carencia







mapeo
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
ESQUEMA NACIONAL DE SEGURIDAD v3
ANEXO II: Medidas de Seguridad Mapeo inverso con CCMv4
Por categoría o
Medidas de Seguridad dimensión(es)
org Marco organizativo

org.1 Política de seguridad Categoría
org.2 Normativa de seguridad Categoría
org.3 Procedimientos de seguridad Categoría
org.4 Proceso de autorización Todas
op Marco operacional
op.pl Planificación
op.pl.1 Análisis de riesgos Categoría
op.pl.2 Arquitectura de Seguridad Categoría
op.pl.3 Adquisición de nuevos componentes Categoría
op.pl.4 Dimensionamiento/gestión de la capacidad D
op.pl.5 Componentes certificados Categoría
op.acc Control de acceso
op.acc.1 Identificación TA
op.acc.2 Requisitos de acceso CITA
op.acc.3 Segregación de funciones y tareas CITA
op.acc.4 Protección de gestión de derechos de acceso CITA
op.acc.5 Mecanismo de autenticación (usuarios externos) CITA
op.acc.6 Mecanismo de autenticación (usuarios de la organización) CITA
op.exp Explotación
op.exp.1 Inventario de activos Categoría
op.exp.2 Configuración de seguridad Categoría
op.exp.3 Gestión de la configuración de seguridad Categoría
op.exp.4 Mantenimiento y actualizaciones de seguridad Categoría
op.exp.5 Gestión de cambios Categoría
op.exp.6 Protección frente a código dañino Categoría

op.exp.7 Gestión de incidentes Categoría
op.exp.8 Registro de la actividad T
op.exp.9 Registro de la gestión de incidentes Categoría
op.exp.10 Protección de claves criptográficas Categoría
op.ext Recursos externos

op.ext.1 Contratación y acuerdos de nivel de servicio Categoría
op.ext.2 Gestión diaria Categoría
op.ext.3 Protección de la cadena de suministro Categoría

op.ext.4 Interconexión de sistemas Categoría
op.nub Servicio en la nube
op.nub.1 Protección de servicios en la nube Categoría
op.cont Continuidad del servicio

op.cont.1 Análisis de impacto D
op.cont.2 Plan de continuidad D
op.cont.3 Pruebas periódicas D
op.cont.4 Medios alternativos D
op.mon Monitorización del sistema
op.mon.1 Detección de intrusión Categoría
op.mon.2 Sistema de métricas Categoría
op.mon.3 Vigilancia Categoría
mp Medidas de protección
mp.if Protección de las instalaciones e infraestructuras
mp.if.1 Áreas separadas y con control de acceso Categoría
mp.if.2 Identificación de las personas Categoría
mp.if.3 Acondicionamiento de los locales Categoría
mp.if.4 Energía eléctrica D
mp.if.5 Protección frente a incendios D
mp.if.6 Protección frente a inundaciones D
mp.if.7 Registro de entrada y salida de equipamiento Categoría
mp.per Gestión del personal
mp.per.1 Caracterización del puesto de trabajo Categoría
mp.per.2 Deberes y obligaciones Categoría
mp.per.3 Concienciación Categoría
mp.per.4 Formación Categoría
mp.eq Protección de los equipos
mp.eq.1 Puesto de trabajo despejado Categoría
mp.eq.2 Bloqueo de puesto de trabajo A
mp.eq.3 Protección de dispositivos portátiles Categoría
mp.eq.4 Otros dispositivos conectados a la red C
mp.com Protección de las comunicaciones
mp.com.1 Perímetro seguro Categoría
mp.com.2 Protección de la confidencialidad C
mp.com.3 Protección de la integridad y de la autenticidad IA
mp.com.4 Separación de flujos de información en la red Categoría
mp.si Protección de los soportes de información
mp.si.1 Marcado de soportes C
mp.si.2 Criptografía CI
mp.si.3 Custodia Categoría
mp.si.4 Transporte Categoría
mp.si.5 Borrado y destrucción C
mp.sw Protección de las aplicaciones informáticas
mp.sw.1 Desarrollo de aplicaciones Categoría

mp.sw.2 Aceptación y puesta en servicio Categoría
mp.info Protección de la información
mp.info.1 Datos personales Categoría
mp.info.2 Calificación de la información C
mp.info.3 Firma electrónica IA
mp.info.4 Sellos de tiempo T
mp.info.5 Limpieza de documentos C
mp.info.6 Copias de seguridad D
mp.s Protección de los servicios
mp.s.1 Protección del correo electrónico Categoría
mp.s.2 Protección de servicios y aplicaciones web Categoría
mp.s.3 Protección de la navegación web Categoría
mp.s.4 Protección frente a denegación de servicio D
En las tablas del presente Anexo se han empleado las siguientes convenciones:
a) La tercera columna indica si la medida se exige atendiendo al nivel de seguridad de una o más dimensiones de seguridad, o atendiend
nivel de seguridad de las dimensiones, se indican cuales afectan utilizando sus iniciales.
b) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad, en algún nivel de seg
c) «n.a.» significa «no aplica» a efectos de cumplimiento normativo, por lo que no es exigible, sin perjuicio de que su implantación en el
d) Para indicar una mayor exigencia se emplean los refuerzos de seguridad (R) que se suman (+) a los requisitos base de la medida pero q
e) Para señalar que se puede elegir entre aplicar un refuerzo u otro, se indicará entre corchetes y separados por «o» [Rn o Rn+1].
medidas y refuerzos empiezan a aplicar en categoría MEDIA o superior; y el rojo para indicar qué medidas o refuerzos son solo de aplicació
superior al de categoría MEDIA.
el Esquema Nacional de Seguridad
apeo inverso con CCMv4
Nivel de las dimensiones de seguridad

BAJO MEDIO ALTO
Categoría de seguridad del sistema
BÁSICA MEDIA ALTA
aplica aplica aplica
aplica + R1 + R2
aplica + R1 + R1 + R2 + R3
aplica + R1 + R1
n.a. aplica aplica
aplica + R1 + R1
aplica aplica + R1
n.a. aplica + R1
+ [R1 o R2 o R3 o R4] + [R2 o R3 o R4] + R5 + [R2 o R3 o R4] + R5
+ [R1 o R2 o R3 o R4] + R8 + + [R1 o R2 o R3 o R4] + R5 + + [R1 o R2 o R3 o R4] + R5 + R6 +

R9 R8 + R9 R7 +R8 + R9

aplica + R1 + R1 + R2 +R3
aplica + R1 + R1 + R2
n.a. aplica + R1
aplica + R1 + R2 + R1 + R2 + R3 + R4
aplica + R1 + R2 + R1 + R2 +R3
aplica + R1 + R2 + R3 + R4 + R1 + R2 + R3 + R4 +R5
aplica + R1 + R1
n.a. aplica aplica
n.a. aplica aplica
n.a. n.a. aplica

n.a. aplica + R1
n.a. aplica aplica

n.a. n.a. aplica
n.a. n.a. aplica
n.a. n.a. aplica
aplica + R1 + R2 + R1 + R2
aplica + R1 + R2 + R1 + R2 + R3 + R4 + R5 + R6

aplica + R1 + R1
n.a. aplica aplica
n.a. aplica aplica

aplica + R1 + R1
aplica + R1 + R1
n.a. aplica + R1
aplica aplica + R1 + R2
aplica + R1 + R1

aplica + R1 + R1 + R2 + R3
aplica + R1 + R2 + R1 + R2 + R3 + R4
n.a. + [R1 o R2 o R3] + [R2 o R3] + R4

n.a. aplica + R1 + R2
aplica + R1 + R1
n.a. + R1 + R2 + R3 + R4 + R1 + R2 + R3 + R4
aplica + R1 + R1

n.a. aplica aplica
aplica + R1 + R2 + R3 + R1 + R2 + R3 + R4
n.a. n.a. aplica

+ [R1 o R2] + [R1 o R2] + R2 + R3
aplica aplica + R1
n.a. aplica + R1
es:
ad de una o más dimensiones de seguridad, o atendiendo a la categoría de seguridad del sistema. Cuando se exija por
ales.
o varias dimensiones de seguridad, en algún nivel de seguridad determinado, se utiliza la voz «aplica».
o es exigible, sin perjuicio de que su implantación en el sistema pudiera ser beneficioso técnicamente.
e se suman (+) a los requisitos base de la medida pero que no siempre son incrementales entre sí.
ntre corchetes y separados por «o» [Rn o Rn+1].
ra indicar qué medidas o refuerzos son solo de aplicación en categoría ALTA o requieren un esfuerzo en seguridad
Control/es de CCMv4.0 Relacionados

A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, CEK-02, GRC-
01, GRC-06, GRC-07, STA-01, STA-12, UEM-01
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, CEK-02, CEK-13,
IVS-01, LOG-01, STA-01, STA-12, UEM-01
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, GRC-03, IAM-
01, IVS-01, LOG-01, LOG-02, SEF-08, UEM-01, UEM-05
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, IVS-01, TVM-05,
UEM-01, UEM-05

A&A-03, A&A-05, A&A-06, CEK-07, DCS-05, GRC-02
AIS-07, CEK-04, IAM-06, IVS-02, IVS-08, STA-06
IVS-02
IVS-02, STA-06
CEK-03, CEK-04, UEM-02

IAM-04, IAM-06, IAM-12, IAM-13, IVS-06, LOG-02, LOG-04
IAM-01,IAM-16, IVS-06, UEM-14
IAM-04, IAM-09, IVS-06
CEK-18, IAM-03, IAM-05, IVS-06
IAM-02, IAM-06, IAM-07, IAM-08, IAM-12, IAM-15, IVS-06
IAM-02, IAM-06, IAM-07, IAM-08, IAM-10, IAM-14, IAM-15

AIS-05, CCC-04, DCS-06, DSP-19, STA-07, TVM-05, UEM-02
IAM-15, IVS-04, TVM-02, UEM-05, UEM-10
AIS-07, IAM-05, IVS-04, TVM-01, TVM-03, TVM-09, UEM-02, UEM-05,
UEM-10,
AIS-07, IVS-04, IVS-05, TVM-01, TVM-03, TVM-04, TVM-07, TVM-09,
TVM-10, UEM-03, UEM-07,
CCC-01, CCC-02, CCC-03, CCC-06, CCC-09, CEK-05, CEK-06, IVS-03, IVS-
05, TVM-09, UEM-07
TVM-05, UEM-09, UEM-10
BCR-09, SEF-01, SEF-02, SEF-03, SEF-06, SEF-07, SEF-08
IAM-08, IAM-12, LOG-02, LOG-04, LOG-05, LOG-06, LOG-07, LOG-08,
LOG-09, LOG-11
SEF-03
CEK-01, CEK-03, CEK-04, CEK-05, CEK-06, CEK-10, CEK-11, CEK-13,
CEK-14, CEK-17, CEK-18, LOG-10, LOG-11

CEK-08, GRC-07, SEF-07, STA-01, STA-02, STA-04, STA-05, STA-06,
STA-07, STA-09, STA-10, STA-11, STA-12
CCC-05, STA-01, STA-02, STA-04, STA-05, STA-06, STA-07, STA-09,
STA-11, STA-12, STA-13
STA-01, STA-02, STA-04, STA-05, STA-07, STA-09, STA-12
DSP-05, IVS-03, STA-09, UEM-14

CCC-05, CEK-08, IPY-04, IVS-07, STA-02, STA-03, STA-04, STA-05, STA-
08, TVM-06

BCR-02, DCS-05
BCR-01, BCR-03, BCR-04, BCR-05, BCR-07, DCS-14
BCR-01, BCR-05, BCR-06, BCR-10, DCS-14
BCR-05, BCR-07, BCR-11

LOG-03
SEF-05, SEF-07, STA-01,
AIS-07, LOG-03, LOG-05,STA-04, STA-05,
TVM-01, STA-06,
TVM-03, STA-12
TVM-04, TVM-07, TVM-
09,

DCS-03, DCS-07, DCS-10
DCS-03, DCS-09, LOG-12
DCS-12, DCS-13

DCS-15
DCS-15
DCS-03, DCS-09

HRS-01, HRS-04, HRS-09, HRS-10
HRS-06, HRS-10, HRS-13
HRS-02, HRS-03
HRS-11, HRS-12, HRS-13

HRS-11
UEM-06
UEM-04, UEM-08,
CEK-03, UEM-14

IVS-03, IVS-09
CEK-03, DSP-10, DSP-17, IVS-03, IVS-07, IVS-09
DCS-08, IPY-01, IVS-07, IVS-09
IPY-01, IVS-09

CEK-03, IPY-03

DCS-02 DCS-04
CEK-03, DCS-01, DSP-02, DSP-16, DSP-17, UEM-13

AIS-01, AIS-02, AIS-03, AIS-04, AIS-05, AIS-06, IAM-05, DSP-07, DSP-
08, DSP-15, IVS-05, TVM-05, UEM-02
AIS-01, AIS-02, IVS-05

DSP-12, DSP-13
DSP-01, DSP-04, DSP-05, DSP-06, DSP-17, UEM-13
LOG-10
AIS-03

AIS-07, BCR-08, DSP-16

TVM-02
AIS-01, AIS-07, IVS-09, TVM-01, TVM-07, TVM-09,
TVM-02

CLOUD CONTROLS MATRIX VERSION 4.0 (Versión en español)
CCM v4.0 Controls Applicability Ma

(Los nombres están en orden alfabético) (Los nombres están en orden alfabé
Autores Colaboradores
Martin Acherman Renu Bedi

Ricky Arora Jon-Michael Brook
Christian Banse Angell Duran
Rolf Becker Odutola Ekundayo
John Britton Rajeev Gupta
Jon-Michael Brook Roberto Hernandez
Bobbie-Lynn Burton Joel John
Daniele Catteddu Erik Johnson
Sean Cordero Bala Kaundinya
Peter Dickman Nancy Kramer
Sean Estrada Claus Matzke
Tom Follo Vani Murthy
Shawn Harris Johan Olivier
Matthew Hoerig Michael Roza
Erik Johnson Chirag Sheth
Harry Lu Ashish Vashishtha
Surinder S. Rait Dimitri Vekris
Michael Roza
Agnidipta Sarkar
Chris Shull
Lefteris Skoutaris
Tony Snook
Colaboradores
Kai Axford
Darin Blank
Kevin Burgin
Martin Capuder
Vishal Chaudhary
Aradhna Chetal
Jeff Cook
Angela Dogan
Doug Egan
Andreas von Grebmer
Mohin Gulzar
Frank Jaramillo
Gaurav Khanna
Keri Kusznir
Jens Laundrup
Robin Lyons
Loredana Mancini
Julien Mauvieux
Bill Marriott
Claus Matzke
Matthew Meersman
Kai Axford
Darin Blank
Kevin Burgin
Martin Capuder
Vishal Chaudhary
Aradhna Chetal
Jeff Cook
Angela Dogan
Doug Egan
Andreas von Grebmer
Mohin Gulzar
Frank Jaramillo
Gaurav Khanna
Keri Kusznir
Jens Laundrup
Robin Lyons
Loredana Mancini
Julien Mauvieux
Bill Marriott
Claus Matzke
Matthew Meersman
David Nance
Christine Peters
Lisa Peterson
Paul Rich
Max Simakov
Tima Soni
Luke Synnestvedt
Eric Tierling
Raj Tuliani
Equipo Editorial
Darin Blank (Team Lead)

Bobbie-Lynn Burton
Martin Capuder
Lisa Peterson
Luke Synnestvedt
© Copyright 2019-2021 Cloud Security Alliance - Todos los derechos reservados. Puede descargar, almac
http://www.cloudsecurityalliance.org sujeto a lo siguiente: (a) Cloud Controls Matrix v4.0 se puede utilizar ú
ninguna manera; (c) Cloud Controls Matrix v4.0 no se puede redistribuir; y (d) la marca comercial, los dere
disposiciones de uso justo de la Ley de derechos de autor de los Estados Unidos, siempre que atribuya la
otros usos que no se encuentran en el aviso de derechos de autor, comuníquese con info@cloudsecuritya
sión en español)
Controls Applicability Matrix CCM v4.0 - CCM v3.0.1 Mapping CCM v4.0 - ISO27001/02/17/18 Map
(Los nombres están en orden alfabético) (Los nombres están en orden alfabético) (Los nombres están en orden alfabético))
Colaboradores Colaboradores Colaboradores
Renu Bedi Sandra Ackland Sandra Ackland

Jon-Michael Brook Renu Bedi Renu Bedi
Angell Duran Glenn Bluff Anders Brännfors
Odutola Ekundayo Anders Brännfors Ramon Codina
Rajeev Gupta Madhav Chablani Angela Dogan
Roberto Hernandez Aislin Cole Brian Dorsey
Joel John Brian Dorsey Angell Duran
Erik Johnson Angell Duran Odutola Ekundayo
Bala Kaundinya Rajeev Gupta Roberto Hernandez
Nancy Kramer Frank Jaramillo Frank Jaramillo
Claus Matzke Bala Kaundinya Bala Kaundinya
Vani Murthy Nancy Kramer Nancy Kramer
Johan Olivier Claus Matzke Vani Murthy
Michael Roza Vani Murthy Johan Olivier
Chirag Sheth Johan Olivier Surinder Singh Rait
Ashish Vashishtha Michael Roza Michael Roza
Dimitri Vekris Surinder Singh Rait Agnidipta Sarkar
Ashish Vashishtha Chirag Sheth
Dimitri Vekris Chris Shull
Ashish Vashishtha
Dimitri Vekris
Surya Vinjamuri
Liderazgo del CCM
Daniele Catteddu (CSA)

Sean Cordero
Sean Estrada
Shawn Harris
Harry Lu
Lefteris Skoutaris (CSA)
Fin de los reconocmientos

ados. Puede descargar, almacenar, mostrar en su computadora, ver, imprimir y enlazar a Cloud Security Alliance “C
Matrix v4.0 se puede utilizar únicamente para su uso personal, informativo y no comercial; (b) Cloud Controls Matri
d) la marca comercial, los derechos de autor u otros avisos no se pueden eliminar. Puede citar partes de Cloud Con
nidos, siempre que atribuya las partes a Cloud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesad
quese con info@cloudsecurityalliance.org.
CCM v4.0 - Mapeo con el Esquema
Nacional de Seguridad
O27001/02/17/18 Mapping CCM v4.0 - Traducción al Español (Real Decreto 311/2022, de 3 de mayo,
s están en orden alfabético)) (Los nombres están en orden alfabético) por el que se regula el Esquema Nacional
de Seguridad)
(Los nombres están en orden alfabético)
olaboradores Traductores Colaboradores
andra Ackland Abdel Fedor Aliaga Alberto Bernáldez

Renu Bedi Alfredo Alva Vicente Campayo
nders Brännfors Maite Avelino Ramón Codina
Ramon Codina Alberto Bernaldez Alejandro del Río
Angela Dogan Ramón Codina Diego Fernández
Brian Dorsey Ana Galán Ana Galán
Angell Duran Fernando Iglesias Juan A. González
utola Ekundayo Jorge Laredo Ignacio Hornes
berto Hernandez Iker Osorio Jorge Laredo
rank Jaramillo Carlos Samaniego José Pablo Lemus
ala Kaundinya Edson Vittoriano José A. Mañas
Nancy Kramer Diana Molero
Vani Murthy José Nadal
Johan Olivier Adrian Prieto
inder Singh Rait Guillermo Villatores
Michael Roza
gnidipta Sarkar
Chirag Sheth
Chris Shull
hish Vashishtha
Dimitri Vekris
urya Vinjamuri
d Security Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
Cloud Controls Matrix v4.0 no se puede modificar ni alterar de
partes de Cloud Controls Matrix v4.0 según lo permitan las
4.0. Si está interesado en obtener una licencia de este material para
- Mapeo con el Esquema
onal de Seguridad
o 311/2022, de 3 de mayo,
regula el Esquema Nacional
de Seguridad)
res están en orden alfabético)
Colaboradores
Alberto Bernáldez
Vicente Campayo
Ramón Codina
Alejandro del Río
Diego Fernández
Ana Galán
Juan A. González
Ignacio Hornes
Jorge Laredo
José Pablo Lemus
José A. Mañas
Diana Molero
José Nadal
Adrian Prieto
Guillermo Villatores

Csaccmv40final Espanol Mapeoens1663748557

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Csaccmv40final Espanol Mapeoens1663748557

Cargado por

Copyright:

Formatos disponibles

CLOUD CONTROLS MATRIX VERSION 4.

Auditoría & Aseguramiento - A&A

Seguridad de aplicaciones e interfaces - AIS

Seguridad de Política y procedimientos en

Gestión de la continuidad del negocio y resiliencia operativa - BCR

Control de Cambios y Gestión de la Configuración - CCC

Criptografía, cifrado y gestión de claves - CEK

Criptografía, cifrado y Políticas y procedimientos de

Criptografía, cifrado y Análisis costo beneficio de

Criptografía, cifrado y Capacidad de Gestión de

Criptografía, cifrado y Auditoría de Cifrado y Gestión

Criptografía, cifrado y Gestión de Inventario de

Seguridad del Centro de Datos - DCS

Seguridad del Centro de Política y procedimientos de

Seguridad del Centro de

Seguridad del Centro de Catalogar y realizar

Seguridad del Centro de

Seguridad del Centro de

Seguridad del Centro de

Seguridad del Centro de

Seguridad del Centro de Entrenamiento de Respuesta

Seguridad del Centro de

Seguridad del Centro de

Seguridad del Centro de

Ciclo de vida de la seguridad y privacidad de los datos - DSP

Recursos Humanos - HRS

Recursos Humanos Política y procedimientos de HRS-03

Recursos Humanos Retorno de activos HRS-05

Recursos Humanos Finalización de Empleo HRS-06

Contenido del contrato de

Recursos Humanos Acuerdos de no divulgación HRS-10

Gestión de identidades y accesos - IAM

Gestión de identidades Políticas y procedimientos de

Gestión de identidades Proceso de modificación y

Gestión de identidades Gestión de accesos

Gestión de identidades Protección de la integridad de

Gestión de identidades Identificación unívoca de

Interoperabilidad y portabilidad - IPY

Interoperabilidad y Disponibilidad de la interfaz de

Interoperabilidad y Obligaciones contractuales de

Seguridad de infraestructura y virtualización - IVS

Registro y Monitoreo - LOG

Registro y Monitoreo Sincronización de reloj LOG-06

Registro y Monitoreo Alcance de registro LOG-07

Registro y Monitoreo Protección de registros LOG-09

Registro y Monitoreo Registros de control de acceso LOG-12

Gestión de Incidentes de Seguridad, E-Discovery y Forense en nube - SEF

Gestión de la Cadena de Suministro, Transparencia y Trazabilidad - STA

Gestión de Amenazas y Vulnerabilidades - TVM

Gestión de Amenazas y Políticas y Procedimientos de

Gestión de Amenazas y Calendario de resolución de

Gestión de Amenazas y Biblioteca Externa de

Gestión de Amenazas y Identificación de

Gestión de Amenazas y Reporte de la Gestión de

Gestión de Amenazas y Métricas de Gestión de

Gestión global de dispositivos terminales ('Endpoint') - UEM

Gestión global de Posicionamiento de seguridad

Final del estándar

Aplicabilidad y Responsabilidad típica del Control

Especificación actualizada del control IaaS PaaS

uditoría & Aseguramiento - A&A

Realizar auditorías independientes y evaluaciones de aseguramiento/garantías de

Realizar auditorías independientes y evaluaciones de aseguramiento/garantías de