Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0 (Versión en español)
Dominio de
Título del Control ID Control
Control
Auditoría &
Proceso de Gestión de
Aseguramiento/Garantí
Auditoría A&A-05
a
Auditoría &
Aseguramiento/Garantí Remediación A&A-06
a
Seguridad de
Pruebas de seguridad de
aplicaciones e
aplicaciones automatizadas AIS-05
interfaces
Seguridad de
Implementación automatizada
aplicaciones e
de aplicaciones seguras AIS-06
interfaces
Seguridad de
Corrección de vulnerabilidades
aplicaciones e
de aplicaciones AIS-07
interfaces
Control de Cambios y
Políticas y procedimientos de
Gestión de la
la Gestión del Cambio CCC-01
Configuración
Control de Cambios y
Gestión de la Calidad de las Pruebas CCC-02
Configuración
Control de Cambios y
Tecnología de la Gestión del
Gestión de la
Cambio CCC-03
Configuración
Control de Cambios y
Protección de Cambios no
Gestión de la
Autorizados. CCC-04
Configuración
Control de Cambios y
Gestión de la Acuerdos de Cambio CCC-05
Configuración
Control de Cambios y
Fundamentos de la Gestión
Gestión de la
del Cambio CCC-06
Configuración
Control de Cambios y
Detección de desvíos en la
Gestión de la
línea base CCC-07
Configuración
Control de Cambios y
Gestión de la Gestión de Excepciones CCC-08
Configuración
Control de Cambios y
Gestión de la Restablecimiento del cambio CCC-09
Configuración
Roles y responsabilidades en
Criptografía, cifrado y
gestión de claves
Criptografía, Cifrado y Gestión CEK-02
de Claves
Criptografía, cifrado y
gestión de claves
Cifrado de Datos CEK-03
Criptografía, cifrado y
gestión de claves
Algoritmos de Cifrado CEK-04
Criptografía, cifrado y
gestión de claves
Gestión de cambios de cifrado CEK-05
Criptografía, cifrado y
gestión de claves
Generación de claves CEK-10
Criptografía, cifrado y
gestión de claves
Propósito de la clave CEK-11
Criptografía, cifrado y
gestión de claves
Rotación de claves CEK-12
Criptografía, cifrado y
gestión de claves
Revocación de claves CEK-13
Criptografía, cifrado y
gestión de claves
Destrucción de claves CEK-14
Criptografía, cifrado y
gestión de claves
Activación de claves CEK-15
Criptografía, cifrado y
gestión de claves
Suspensión de claves CEK-16
Criptografía, cifrado y
gestión de claves
Desactivación de claves CEK-17
Criptografía, cifrado y
gestión de claves
Archivado de claves CEK-18
Criptografía, cifrado y
gestión de claves
Compromiso de claves CEK-19
Criptografía, cifrado y
gestión de claves
Recuperación de claves CEK-20
Política y Procedimientos de
Seguridad del Centro de
Datos
eliminación de equipos fuera DCS-01
de la organización
Política y procedimientos de
Seguridad del Centro de
Datos
autorización de transferencia DCS-02
fuera de la organización
Ciclo de vida de la
Política de seguridad y
seguridad y privacidad
privacidad y procedimientos DSP-01
de los datos
Ciclo de vida de la
seguridad y privacidad Eliminación segura DSP-02
de los datos
Ciclo de vida de la
seguridad y privacidad Inventario de datos DSP-03
de los datos
Ciclo de vida de la
seguridad y privacidad Clasificación de los datos DSP-04
de los datos
Ciclo de vida de la
Documentación de flujo de
seguridad y privacidad
datos DSP-05
de los datos
Ciclo de vida de la
Propiedad y administración de
seguridad y privacidad
los datos DSP-06
de los datos
Ciclo de vida de la
Protección de datos por
seguridad y privacidad
diseño y por defecto DSP-07
de los datos
Ciclo de vida de la
Protección de datos por
seguridad y privacidad
diseño y por defecto DSP-08
de los datos
Ciclo de vida de la
Evaluación de impacto de la
seguridad y privacidad
protección de datos DSP-09
de los datos
Ciclo de vida de la
Transferencia de datos
seguridad y privacidad
sensibles DSP-10
de los datos
Ciclo de vida de la
Acceso, rectificación y borrado
seguridad y privacidad
de datos personales DSP-11
de los datos
Ciclo de vida de la Limitación del alcance de
seguridad y privacidad procesamiento de datos DSP-12
de los datos personales
Ciclo de vida de la
Procesamiento de datos por
seguridad y privacidad
terceros DSP-13
de los datos
Ciclo de vida de la
Revelación de datos de
seguridad y privacidad
terceros DSP-14
de los datos
Ciclo de vida de la
Limitación de uso de datos de
seguridad y privacidad
producción DSP-15
de los datos
Ciclo de vida de la
seguridad y privacidad Retención de datos y borrado DSP-16
de los datos
Ciclo de vida de la
seguridad y privacidad Protección de datos sensibles DSP-17
de los datos
Ciclo de vida de la
seguridad y privacidad Notificación de acceso DSP-18
de los datos
Ciclo de vida de la
seguridad y privacidad Localización de los datos DSP-19
de los datos
Gobernanza, Gestión de Riesgos y Cumplimiento - GRC
Gobernanza, Gestión
Política y Procedimientos del
de Riesgos y
Programa de Gobernanza GRC-01
Cumplimiento
Gobernanza, Gestión
Programa de Gestión de
de Riesgos y
Riesgos GRC-02
Cumplimiento
Gobernanza, Gestión
Revisiones de Políticas
de Riesgos y
Organizacionales GRC-03
Cumplimiento
Gobernanza, Gestión
Proceso de Excepción a una
de Riesgos y
Política GRC-04
Cumplimiento
Gobernanza, Gestión
Programa de Seguridad de la
de Riesgos y
Información GRC-05
Cumplimiento
Gobernanza, Gestión
Modelo de Responsabilidad
de Riesgos y
en Gobernanza GRC-06
Cumplimiento
Gobernanza, Gestión
Mapeo a las Regulaciones del
de Riesgos y
Sistema de Información GRC-07
Cumplimiento
Gobernanza, Gestión
de Riesgos y Grupos de Interés Especial GRC-08
Cumplimiento
Política y procedimientos de
Recursos Humanos
uso aceptable de la tecnología HRS-02
Política y procedimientos de
Recursos Humanos trabajo a distancia y trabajo HRS-04
desde el hogar
Proceso de Contrato de
Recursos Humanos
Empleo HRS-07
Funciones y responsabilidades
Recursos Humanos
del persona HRS-09
Capacitación y concientización
Recursos Humanos sobre datos personales y HRS-12
datos sensibles.
Responsabilidad de
Recursos Humanos
cumplimiento del usuario HRS-13
Gestión de identidades
y accesos
Inventario de identidades IAM-03
Gestión de identidades
y accesos
Segregación de funciones. IAM-04
Gestión de identidades
y accesos
Principio de mínimo privilegio. IAM-05
Gestión de identidades
y accesos
Provisión de accesos IAM-06
Gestión de identidades
y accesos
Revisión de accesos IAM-08
Gestión de identidades Segregación de accesos
y accesos privilegiado. IAM-09
Aprobación de clientes de
Gestión de identidades
y accesos
servicios en la nube para IAM-11
perfiles privilegiados
Gestión de identidades
y accesos
Autenticación reforzada IAM-14
Gestión de identidades
y accesos
Gestión de contraseñas IAM-15
Gestión de identidades
y accesos
Mecanismos de autorización IAM-16
Gestión de la seguridad en
Interoperabilidad y
portabilidad
procesos de interoperabilidad IPY-03
y portabilidad
Seguridad de
infraestructura y Seguridad de la red. IVS-03
virtualización.
Seguridad de
Bastionado del Sistema
infraestructura y
Operativo y Controles Básicos IVS-04
virtualización.
Seguridad de
Entornos de producción y no
infraestructura y
producción IVS-05
virtualización.
Seguridad de
infraestructura y Segmentación y segregación IVS-06
virtualización.
Seguridad de
Migración a entornos en la
infraestructura y
nube IVS-07
virtualización.
Seguridad de
Documentación de
infraestructura y
arquitectura de red IVS-08
virtualización.
Seguridad de
infraestructura y Defensa de la red IVS-09
virtualización.
Política y procedimientos de
Registro y Monitoreo
registro y monitoreo LOG-01
Protección de registros de
Registro y Monitoreo
auditoría LOG-02
Monitoreo y alertas de
Registro y Monitoreo
seguridad LOG-03
Acceso y responsabilidad a
Registro y Monitoreo
registros de auditoría LOG-04
Monitoreo y respuesta de
Registro y Monitoreo
registros de auditoría LOG-05
Supervisión y generación de
Registro y Monitoreo
informes de cifrado LOG-10
Registro de
Registro y Monitoreo
transacciones/actividades LOG-11
Notificación de fallas y
Registro y Monitoreo
anomalías LOG-13
Gestión de Incidentes
de Seguridad, E- Notificación de brechas de
Discovery y Forense en seguridad SEF-07
nube
Gestión de Incidentes
de Seguridad, E- Mantención de puntos de
Discovery y Forense en contacto
SEF-08
nube
Gestión de la Cadena
de Suministro, Servicio Primario y Acuerdo
Transparencia y Contractual STA-09
Trazabilidad
Gestión de la Cadena
de Suministro, Revisión del Acuerdo de la
Transparencia y Cadena de Suministro STA-10
Trazabilidad
Gestión de la Cadena
de Suministro, Pruebas de Cumplimiento
Transparencia y Interno STA-11
Trazabilidad
Gestión de la Cadena
Cumplimiento del Contrato de
de Suministro,
Transparencia y
Servicio de la Cadena de STA-12
Suministro
Trazabilidad
Gestión de la Cadena
de Suministro, Revisión de la Gobernanza en
Transparencia y la Cadena de Suministro STA-13
Trazabilidad
Gestión de la Cadena
Evaluación de la Seguridad de
de Suministro,
Transparencia y
los Datos de la Cadena de STA-14
Suministro
Trazabilidad
Políticas y Procedimientos de
Gestión de Amenazas y
Vulnerabilidades
gestión de Amenazas y TVM-01
Vulnerabilidades
Gestión de Amenazas y
Vulnerabilidades
Detección de actualizaciones TVM-04
Gestión de Amenazas y
Vulnerabilidades
Test de Penetración TVM-06
Gestión global de
Aprobación de aplicaciones y
dispositivos terminales
servicios UEM-02
('Endpoint')
Gestión global de
dispositivos terminales Compatibilidad UEM-03
('Endpoint')
Gestión global de
Inventario de dispositivos
dispositivos terminales UEM-04
terminales ('Endpoint')
('Endpoint')
Gestión global de
Gestión de terminales
dispositivos terminales UEM-05
('Endpoint')
('Endpoint')
Gestión global de
Bloqueo automático de
dispositivos terminales UEM-06
pantalla
('Endpoint')
Gestión global de
dispositivos terminales Sistemas operativos UEM-07
('Endpoint')
Gestión global de
dispositivos terminales Almacenamiento cifrado UEM-08
('Endpoint')
Gestión global de
Detección y prevención Anti-
dispositivos terminales UEM-09
Malware
('Endpoint')
Gestión global de
dispositivos terminales Firewall software UEM-10
('Endpoint')
Gestión global de
dispositivos terminales Prevención de fuga de datos UEM-11
('Endpoint')
Gestión global de
dispositivos terminales Locación remota UEM-12
('Endpoint')
Gestión global de
dispositivos terminales Borrado remoto UEM-13
('Endpoint')
Complementar los equipos críticos para el negocio con equipos redundantes ubicados
de forma independiente a una distancia mínima razonable de acuerdo con los CSP CSP
estándares industriales aplicables.
Cumplir la calidad del control del cambio definida, Proceso de testeo y aprobación
siguiendo la línea base, el testeo y los estándares de liberación. CSP Compartida
Establecer los fundamentos de la gestión del cambio para todos los cambios relevantes
autorizados en los activos de la organización. Compartida Compartida
Utilizar algoritmos de cifrado que sean adecuados para la protección de datos, teniendo
en cuenta la clasificación de los datos, los riesgos asociados y la usabilidad de la Compartida Compartida
tecnología de cifrado.
Establecer un procedimiento de gestión de cambios estándar, para adaptarse a los
cambios de fuentes internas y externas, para la revisión, aprobación, implementación y Compartida Compartida
comunicación de cambios de tecnología de gestión de claves, cifrado y criptografía.
Administrar y adoptar cambios en los sistemas relacionados con la criptografía, el
cifrado y la administración de claves (incluidos políticas y procedimientos) que tengan
en cuenta los efectos posteriores de los cambios propuestos, incluido el análisis de Compartida Compartida
riesgos, costos y beneficios residuales.
Establecer y mantener un programa de riesgos de gestión de claves y cifrado que
incluya disposiciones para la evaluación de riesgos, el tratamiento de riesgos, el Compartida Compartida
contexto de riesgos, el seguimiento y la retroalimentación.
Los CSP deben proporcionar la capacidad para que los CSC administren sus propias
claves de cifrado de datos. Compartida Compartida
Auditar los sistemas, políticas y procesos de cifrado y gestión de claves con una
frecuencia que sea proporcional a la exposición al riesgo del sistema; la auditoría se
realizará preferiblemente de forma continua, pero al menos una vez al año y después Compartida Compartida
de cualquier evento de seguridad.
Generar claves criptográficas utilizando bibliotecas criptográficas aceptadas por la
industria que especifiquen la robustez del algoritmo y el generador de número aleatorio Compartida Compartida
utilizado.
Rotar las claves criptográficas de acuerdo con el criptoperiodo calculado, el cual incluye
disposiciones para considerar el riesgo de divulgación de información y los requisitos Compartida Compartida
legales y regulatorios.
Catalogar y rastrear todos los activos físicos y lógicos relevantes ubicados en todos los
sitios del CSP dentro de un sistema seguro. CSP Compartida
Implementar perímetros de seguridad física para proteger al personal, los datos y los
sistemas de información. Establecer perímetros de seguridad física entre las áreas
administrativas y comerciales y las áreas de instalaciones de almacenamiento y CSP CSP
procesamiento de datos.
Permitir que solo el personal autorizado acceda a áreas seguras, con todos los puntos
de entrada y salida restringidos, documentados y monitoreados por mecanismos de
control de acceso físico. Conservar los registros de control de acceso de forma CSP CSP
periódica según lo considere apropiado la organización.
Implementar, mantener y operar sistemas de vigilancia de centros de datos en el
perímetro externo y en todos los puntos de entrada y salida para detectar intentos de CSP CSP
entrada y salida no autorizados.
Capacitar al personal del centro de datos para que responda a los intentos de entrada o
salida no autorizados. CSP CSP
Emplear métodos aceptados por la industria para la eliminación segura de los datos de
los elementos de almacenamiento, de tal modo que los datos no sean recuperables por Compartida Compartida
ningún tipo de método forense.
Crear documentación del flujo de datos para identificar dónde se procesan, dónde se
almacenan y dónde se envían. Revisar la documentación del flujo de datos de manera CSC CSC
periódica, al menos con carácter anual y posteriormente a cualquier cambio.
Documentar la propiedad y la administración de todos los datos personales y sensibles
que sean relevantes que están documentados. Realizar revisiones al menos CSC CSC
anualmente.
Realizar una evaluación de impacto de la protección de datos (EIPD o DPIA por sus
siglas en inglés) para evaluar el origen, la naturaleza las particularidades y la severidad
de los riesgos durante el procesamiento de datos personales de acorde a cualquier ley CSC CSC
aplicable, regulaciones y buenas prácticas de la industria.
Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para
garantizar que cualquier transferencia de datos sensibles o personales está protegida
contra accesos no autorizados y sólo se procesa dentro del alcance permitido por las CSC CSC
leyes y regulaciones aplicables.
Los empleados firman el contrato de empleo antes de que se les otorgue acceso a los
sistemas, recursos y activos de información de la organización. Compartida Compartida
Aplicar el principio de mínimo privilegio cuando se implementen los accesos a sistemas. Compartida Compartida
Los acuerdos deben incluir provisiones especificando el acceso de los CSC hasta la
finalización del contrato, e incluirán:
a. formato de datos.
b. periodo de retención. CSC Compartida
c. alcance de los datos almacenados y puestos a disposición de los CSC.
d. política de eliminación de información.
Supervisar los registros de auditoría de seguridad para detectar actividad fuera de los
patrones típicos o esperados. Establecer y seguir un proceso definido para revisar y Compartida Compartida
tomar las acciones apropiadas y oportunas frente a las anomalías detectadas.
Registrar y supervisar los eventos de gestión del ciclo de vida de las claves para
habilitar la auditoría y la generación de informes sobre el uso de claves criptográficas. Compartida Compartida
Proporcionar una Guía SSRM para detallar la información del CSC, sobre la
aplicabilidad de SSRM a lo largo de la cadena de suministro. CSP CSP
Revisar y validar la documentación SSRM para todas las ofertas de servicios en la Nube
que usa la organización. Compartida Compartida
Implementar, operar y auditar o evaluar, las partes del SSRM de las que la organización
es responsable. Compartida Compartida
Desarrollar y mantener un inventario de todas las relaciones en la cadena de suministro. Compartida Compartida
Los CSP revisan periódicamente los factores de riesgo asociados con todas las
organizaciones dentro de su cadena de suministro. Compartida Compartida
Los acuerdos de servicio entre CSP y CSC (inquilinos) deben incorporar al menos las
siguientes disposiciones y / o términos acordados mutuamente:
• Alcance, características y ubicación de la relación comercial y los servicios ofrecidos.
• Requisitos de seguridad de la información (incluido SSRM)
• Proceso de gestión de cambios
• Capacidad de registro y monitoreo Compartida Compartida
• Procedimientos de gestión y comunicación de incidentes
• Derecho a auditoría y evaluación de terceros
• Termino del servicio
• Requisitos de interoperabilidad y portabilidad
• Privacidad de datos
Revisar los acuerdos de la cadena de suministro entre los CSPs y los CSCs al menos
una vez al año. Compartida Compartida
Implementar políticas que requieran que todos los CSPs, a lo largo de la cadena de
suministro, cumplan con los requisitos de seguridad de la información, confidencialidad,
control de acceso, privacidad, auditoría, política de personal y requerimientos de niveles Compartida Compartida
de servicio y estándares.
Revisar periódicamente las políticas y los procedimientos de gobernanza de TI de los
socios, en la cadena de suministro de la organización. Compartida Compartida
Configurar todos los dispositivos 'Endpoint' de uso interactivo relevantes para que
requieran el bloqueo automático de la pantalla. CSC CSC
Gestionar los cambios de los sistemas operativos, los niveles de parcheado y / o las
aplicaciones de los 'Endpoints' a través de los procesos de gestión de cambios de la CSC Compartida
empresa.
Proteger la información de los dispositivos 'Endpoint' de la divulgación no autorizada
administrando un cifrado del almacenamiento. CSC CSC
Habilitar las capacidades de geolocalización remota para todos los dispositivos móviles
gestionados. CSC CSC
Equipo de
Datos Ciberseguridad Auditoría Interna Desarrollo SW Operaciones
Arquitectura
Gestión Cadena
Legal/Privacidad Equipo GRC RR.HH.
de Suministro
Dominio de
Título del Control ID Control
Control
Auditoría &
Aseguramiento/Garantí Evaluaciones independientes A&A-02
a
Auditoría &
Planificar evaluaciones
Aseguramiento/Garantí
basadas en Riesgos A&A-03
a
Auditoría &
Aseguramiento/Garantí Cumplimiento de Requisitos A&A-04
a
Auditoría &
Proceso de Gestión de
Aseguramiento/Garantí
Auditoría A&A-05
a
Auditoría &
Aseguramiento/Garantí Remediación A&A-06
a
Seguridad de
Métricas de seguridad de la
aplicaciones e
aplicación AIS-03
interfaces
Seguridad de
Diseño y desarrollo de
aplicaciones e
aplicaciones seguras AIS-04
interfaces
Seguridad de
Pruebas de seguridad de
aplicaciones e
aplicaciones automatizadas AIS-05
interfaces
Seguridad de
Implementación automatizada
aplicaciones e
de aplicaciones seguras AIS-06
interfaces
Seguridad de
Corrección de vulnerabilidades
aplicaciones e
de aplicaciones AIS-07
interfaces
Gestión de la
Evaluación de riesgos y
continuidad del negocio
análisis de impacto BCR-02
y resiliencia operativa
Gestión de la
Estrategia de continuidad del
continuidad del negocio
negocio BCR-03
y resiliencia operativa
Gestión de la
Planificación de la Continuidad
continuidad del negocio
del Negocio BCR-04
y resiliencia operativa
Gestión de la
continuidad del negocio Documentación BCR-05
y resiliencia operativa
Gestión de la
Ejercicios de continuidad del
continuidad del negocio
negocio BCR-06
y resiliencia operativa
Gestión de la
continuidad del negocio Comunicación BCR-07
y resiliencia operativa
Gestión de la
continuidad del negocio Respaldo BCR-08
y resiliencia operativa
Gestión de la
Plan de respuesta ante
continuidad del negocio
desastres BCR-09
y resiliencia operativa
Gestión de la
continuidad del negocio Ejercicio del plan de respuesta BCR-10
y resiliencia operativa
Gestión de la
continuidad del negocio Redundancia de equipos BCR-11
y resiliencia operativa
Control de Cambios y
Gestión de la Calidad de las Pruebas CCC-02
Configuración
Control de Cambios y
Tecnología de la Gestión del
Gestión de la
Cambio CCC-03
Configuración
Control de Cambios y
Protección de Cambios no
Gestión de la
Autorizados. CCC-04
Configuración
Control de Cambios y
Gestión de la Acuerdos de Cambio CCC-05
Configuración
Control de Cambios y
Fundamentos de la Gestión
Gestión de la
del Cambio CCC-06
Configuración
Control de Cambios y
Detección de desvíos en la
Gestión de la
línea base CCC-07
Configuración
Control de Cambios y
Gestión de la Gestión de Excepciones CCC-08
Configuración
Control de Cambios y
Gestión de la Restablecimiento del cambio CCC-09
Configuración
Criptografía, cifrado y
gestión de claves
Algoritmos de Cifrado CEK-04
Criptografía, cifrado y
gestión de claves
Gestión de cambios de cifrado CEK-05
Criptografía, cifrado y
gestión de claves
Gestión de riesgos de cifrado CEK-07
Criptografía, cifrado y
gestión de claves
Generación de claves CEK-10
Criptografía, cifrado y
gestión de claves
Propósito de la clave CEK-11
Criptografía, cifrado y
gestión de claves
Rotación de claves CEK-12
Criptografía, cifrado y
gestión de claves
Revocación de claves CEK-13
Criptografía, cifrado y
gestión de claves
Destrucción de claves CEK-14
Criptografía, cifrado y
gestión de claves
Activación de claves CEK-15
Criptografía, cifrado y
gestión de claves
Suspensión de claves CEK-16
Criptografía, cifrado y
gestión de claves
Desactivación de claves CEK-17
Criptografía, cifrado y
gestión de claves
Archivado de claves CEK-18
Criptografía, cifrado y
gestión de claves
Compromiso de claves CEK-19
Criptografía, cifrado y
gestión de claves
Recuperación de claves CEK-20
Política y Procedimientos de
Seguridad del Centro de
Datos
eliminación de equipos fuera DCS-01
de la organización
Política y procedimientos de
Seguridad del Centro de
Datos
autorización de transferencia DCS-02
fuera de la organización
Seguridad del Centro de Política y procedimientos de
Datos área segura DCS-03
Ciclo de vida de la
Política de seguridad y
seguridad y privacidad
privacidad y procedimientos DSP-01
de los datos
Ciclo de vida de la
seguridad y privacidad Eliminación segura DSP-02
de los datos
Ciclo de vida de la
seguridad y privacidad Inventario de datos DSP-03
de los datos
Ciclo de vida de la
seguridad y privacidad Clasificación de los datos DSP-04
de los datos
Ciclo de vida de la
Documentación de flujo de
seguridad y privacidad
datos
DSP-05
de los datos
Ciclo de vida de la
Propiedad y administración de
seguridad y privacidad
los datos DSP-06
de los datos
Ciclo de vida de la
Protección de datos por
seguridad y privacidad
diseño y por defecto DSP-07
de los datos
Ciclo de vida de la
Protección de datos por
seguridad y privacidad
diseño y por defecto DSP-08
de los datos
Ciclo de vida de la
Evaluación de impacto de la
seguridad y privacidad
protección de datos DSP-09
de los datos
Ciclo de vida de la
Transferencia de datos
seguridad y privacidad
sensibles DSP-10
de los datos
Ciclo de vida de la
Acceso, rectificación y borrado
seguridad y privacidad
de datos personales DSP-11
de los datos
Ciclo de vida de la
Procesamiento de datos por
seguridad y privacidad
terceros DSP-13
de los datos
Ciclo de vida de la
Revelación de datos de
seguridad y privacidad
terceros DSP-14
de los datos
Ciclo de vida de la
Limitación de uso de datos de
seguridad y privacidad
producción DSP-15
de los datos
Ciclo de vida de la
seguridad y privacidad Retención de datos y borrado DSP-16
de los datos
Ciclo de vida de la
seguridad y privacidad Protección de datos sensibles DSP-17
de los datos
Ciclo de vida de la
seguridad y privacidad Notificación de acceso DSP-18
de los datos
Ciclo de vida de la
seguridad y privacidad Localización de los datos DSP-19
de los datos
Gobernanza, Gestión
Política y Procedimientos del
de Riesgos y
Programa de Gobernanza GRC-01
Cumplimiento
Gobernanza, Gestión
Programa de Gestión de
de Riesgos y
Riesgos
GRC-02
Cumplimiento
Gobernanza, Gestión
Revisiones de Políticas
de Riesgos y
Organizacionales GRC-03
Cumplimiento
Gobernanza, Gestión
Proceso de Excepción a una
de Riesgos y
Política GRC-04
Cumplimiento
Gobernanza, Gestión
Programa de Seguridad de la
de Riesgos y
Información GRC-05
Cumplimiento
Gobernanza, Gestión
Modelo de Responsabilidad
de Riesgos y
en Gobernanza GRC-06
Cumplimiento
Gobernanza, Gestión
Mapeo a las Regulaciones del
de Riesgos y
Sistema de Información GRC-07
Cumplimiento
Gobernanza, Gestión
de Riesgos y Grupos de Interés Especial GRC-08
Cumplimiento
Política y procedimientos de
Recursos Humanos
uso aceptable de la tecnología HRS-02
Política y procedimientos de
Recursos Humanos trabajo a distancia y trabajo HRS-04
desde el hogar
Recursos Humanos Retorno de activos HRS-05
Proceso de Contrato de
Recursos Humanos
Empleo HRS-07
Funciones y responsabilidades
Recursos Humanos
del persona HRS-09
Entrenamiento de
Recursos Humanos
concienciación de seguridad HRS-11
Capacitación y concientización
Recursos Humanos sobre datos personales y HRS-12
datos sensibles.
Responsabilidad de
Recursos Humanos
cumplimiento del usuario HRS-13
Gestión de identidades
y accesos
Inventario de identidades IAM-03
Gestión de identidades
y accesos
Segregación de funciones. IAM-04
Gestión de identidades
y accesos
Principio de mínimo privilegio. IAM-05
Gestión de identidades
y accesos
Provisión de accesos IAM-06
Gestión de identidades
y accesos
Revisión de accesos IAM-08
Aprobación de clientes de
Gestión de identidades
y accesos
servicios en la nube para IAM-11
perfiles privilegiados
Gestión de identidades Protección de la integridad de
y accesos los registros ('logs') IAM-12
Gestión de identidades
y accesos
Autenticación reforzada IAM-14
Gestión de identidades
y accesos
Gestión de contraseñas IAM-15
Gestión de identidades
y accesos
Mecanismos de autorización IAM-16
Seguridad de
Planificación de capacidad y
infraestructura y
recursos. IVS-02
virtualización.
Seguridad de
infraestructura y Seguridad de la red. IVS-03
virtualización.
Seguridad de
Bastionado del Sistema
infraestructura y
Operativo y Controles Básicos IVS-04
virtualización.
Seguridad de
Entornos de producción y no
infraestructura y
producción IVS-05
virtualización.
Seguridad de
infraestructura y Segmentación y segregación IVS-06
virtualización.
Seguridad de
Migración a entornos en la
infraestructura y
nube IVS-07
virtualización.
Seguridad de
Documentación de
infraestructura y
arquitectura de red IVS-08
virtualización.
Seguridad de
infraestructura y Defensa de la red IVS-09
virtualización.
Política y procedimientos de
Registro y Monitoreo
registro y monitoreo LOG-01
Protección de registros de
Registro y Monitoreo
auditoría LOG-02
Monitoreo y alertas de
Registro y Monitoreo
seguridad LOG-03
Acceso y responsabilidad a
Registro y Monitoreo
registros de auditoría LOG-04
Monitoreo y respuesta de
Registro y Monitoreo
registros de auditoría LOG-05
Supervisión y generación de
Registro y Monitoreo
informes de cifrado LOG-10
Registro de
Registro y Monitoreo
transacciones/actividades LOG-11
Notificación de fallas y
Registro y Monitoreo
anomalías LOG-13
Gestión de Incidentes
Políticas y procedimiento de
de Seguridad, E-
Discovery y Forense en
gestión de incidentes de SEF-01
seguridad
nube
Gestión de Incidentes
de Seguridad, E- Políticas y procedimientos de
Discovery y Forense en gestión de servicios SEF-02
nube
Gestión de Incidentes
de Seguridad, E- Planes de respuesta a
Discovery y Forense en incidentes SEF-03
nube
Gestión de Incidentes
de Seguridad, E- Pruebas de los planes de
Discovery y Forense en respuesta SEF-04
nube
Gestión de Incidentes
de Seguridad, E- Métricas de Respuesta a
Discovery y Forense en Incidentes SEF-05
nube
Gestión de Incidentes
de Seguridad, E-
Discovery y Forense en
Proceso de triage de eventos SEF-06
nube
Gestión de Incidentes
de Seguridad, E- Notificación de brechas de
Discovery y Forense en seguridad SEF-07
nube
Gestión de Incidentes
de Seguridad, E- Mantención de puntos de
Discovery y Forense en contacto SEF-08
nube
Gestión de la Cadena
de Suministro, Política y Procedimientos de
Transparencia y SSRM STA-01
Trazabilidad
Gestión de la Cadena
de Suministro,
Transparencia y
Cadena de Suministro SSRM STA-02
Trazabilidad
Gestión de la Cadena
de Suministro,
Transparencia y
Guía SSRM STA-03
Trazabilidad
Gestión de la Cadena
de Suministro,
Transparencia y
Propiedad del Control SSRM STA-04
Trazabilidad
Gestión de la Cadena
de Suministro, Revisión de la Documentación
Transparencia y SSRM
STA-05
Trazabilidad
Gestión de la Cadena
de Suministro, Implementación del Control
Transparencia y SSRM STA-06
Trazabilidad
Gestión de la Cadena
de Suministro, Inventario de la Cadena de
Transparencia y Suministro STA-07
Trazabilidad
Gestión de la Cadena
de Suministro, Gestión de Riesgos en la
Transparencia y Cadena de Suministro STA-08
Trazabilidad
Gestión de la Cadena
de Suministro, Servicio Primario y Acuerdo
Transparencia y Contractual STA-09
Trazabilidad
Gestión de la Cadena
de Suministro, Revisión del Acuerdo de la
Transparencia y Cadena de Suministro STA-10
Trazabilidad
Gestión de la Cadena
de Suministro, Pruebas de Cumplimiento
Transparencia y Interno STA-11
Trazabilidad
Gestión de la Cadena
Cumplimiento del Contrato de
de Suministro,
Transparencia y
Servicio de la Cadena de STA-12
Suministro
Trazabilidad
Gestión de la Cadena
de Suministro, Revisión de la Gobernanza en
Transparencia y la Cadena de Suministro STA-13
Trazabilidad
Gestión de la Cadena
Evaluación de la Seguridad de
de Suministro,
Transparencia y
los Datos de la Cadena de STA-14
Suministro
Trazabilidad
Políticas y Procedimientos de
Gestión de Amenazas y
Vulnerabilidades
gestión de Amenazas y TVM-01
Vulnerabilidades
Gestión de Amenazas y Políticas y Procedimientos de
Vulnerabilidades Protección de Malware TVM-02
Gestión de Amenazas y
Vulnerabilidades
Detección de actualizaciones TVM-04
Gestión de Amenazas y Biblioteca Externa de
Vulnerabilidades Vulnerabilidades TVM-05
Gestión de Amenazas y
Vulnerabilidades
Test de Penetración TVM-06
Gestión global de
Aprobación de aplicaciones y
dispositivos terminales
servicios UEM-02
('Endpoint')
Gestión global de
dispositivos terminales Compatibilidad UEM-03
('Endpoint')
Gestión global de
Inventario de dispositivos
dispositivos terminales UEM-04
terminales ('Endpoint')
('Endpoint')
Gestión global de
Gestión de terminales
dispositivos terminales UEM-05
('Endpoint')
('Endpoint')
Gestión global de
Bloqueo automático de
dispositivos terminales UEM-06
pantalla
('Endpoint')
Gestión global de
dispositivos terminales Sistemas operativos UEM-07
('Endpoint')
Gestión global de
dispositivos terminales Almacenamiento cifrado UEM-08
('Endpoint')
Gestión global de
Detección y prevención Anti-
dispositivos terminales UEM-09
Malware
('Endpoint')
Gestión global de
dispositivos terminales Firewall software UEM-10
('Endpoint')
Gestión global de
dispositivos terminales Prevención de fuga de datos UEM-11
('Endpoint')
Gestión global de
dispositivos terminales Locación remota UEM-12
('Endpoint')
Gestión global de
dispositivos terminales Borrado remoto UEM-13
('Endpoint')
© Copyright 2019-2021 Cloud Security Alliance - Todos los derechos reservados. Puede descargar, almacenar, mostrar en su
computadora, ver, imprimir y enlazar a Cloud Security Alliance “Cloud Controls Matrix (CCM) Versión 4.0” en
http://www.cloudsecurityalliance.org sujeto a lo siguiente: (a) Cloud Controls Matrix v4.0 se puede utilizar únicamente para su uso
personal, informativo y no comercial; (b) Cloud Controls Matrix v4.0 no se puede modificar ni alterar de ninguna manera; (c) Cloud
Controls Matrix v4.0 no se puede redistribuir; y (d) la marca comercial, los derechos de autor u otros avisos no se pueden eliminar.
Puede citar partes de Cloud Controls Matrix v4.0 según lo permitan las disposiciones de uso justo de la Ley de derechos de autor de los
Estados Unidos, siempre que atribuya las partes a Cloud Security Alliance Cloud Controls Matrix versión 4.0. Si está interesado en
obtener una licencia de este material para otros usos que no se encuentran en el aviso de derechos de autor, comuníquese con
info@cloudsecurityalliance.org.
VERSION 4.0 (Versión en español)
CCM v3.0.1
Especificación actualizada del control
Mapeo de Controles Nivel de cobertura
Determinar el impacto de las interrupciones y los riesgos del negocio para establecer
criterios para desarrollar la continuidad del negocio y las estrategias y capacidades de BCR-09 Total
resiliencia operativa.
BCR-04
BCR-06
Establecer estrategias para reducir el impacto, resistir y recuperarse de las
interrupciones comerciales dentro del apetito por el riesgo. BCR-08 Total
BCR-09
BCR-10
Desarrollar, identificar y adquirir documentación que sea relevante para respaldar los BCR-01
programas de continuidad del negocio y resiliencia operativa. Ponga la documentación BCR-04 Total
a disposición de las partes interesadas autorizadas y revísela periódicamente.
Ejercitar y probar los planes de continuidad del negocio y resiliencia operativa al menos
una vez al año o ante cambios significativos. BCR-02 Parcial
Establecer comunicación con las partes interesadas y los participantes en el curso de BCR-01
Total
los procedimientos de continuidad y resiliencia del negocio. BCR-02
Hacer copias de seguridad periódicas de los datos almacenados en la nube. Garantizar
la confidencialidad, integridad y disponibilidad de la copia de seguridad y verificar la BCR-11 Parcial
restauración de datos a partir de la copia de seguridad para garantizar la resiliencia.
Complementar los equipos críticos para el negocio con equipos redundantes ubicados
de forma independiente a una distancia mínima razonable de acuerdo con los BCR-06 Total
estándares industriales aplicables.
Cumplir la calidad del control del cambio definida, Proceso de testeo y aprobación
siguiendo la línea base, el testeo y los estándares de liberación. CCC-03 Total
Incluir cláusulas limitando cambios con impacto directo en los entornos /instancias
propietarias del CSC para solicitar autorización explicita dentro de los acuerdos de nivel CCC-05 Total
de servicio entre CSP y CSC.
Establecer los fundamentos de la gestión del cambio para todos los cambios relevantes
autorizados en los activos de la organización. Sin mapeo Nulo
Utilizar algoritmos de cifrado que sean adecuados para la protección de datos, teniendo
en cuenta la clasificación de los datos, los riesgos asociados y la usabilidad de la EKM-04 Parcial
tecnología de cifrado.
Establecer un procedimiento de gestión de cambios estándar, para adaptarse a los
cambios de fuentes internas y externas, para la revisión, aprobación, implementación y EKM-02 Parcial
comunicación de cambios de tecnología de gestión de claves, cifrado y criptografía.
Los CSP deben proporcionar la capacidad para que los CSC administren sus propias
claves de cifrado de datos. Sin mapeo Nulo
Auditar los sistemas, políticas y procesos de cifrado y gestión de claves con una
frecuencia que sea proporcional a la exposición al riesgo del sistema; la auditoría se
realizará preferiblemente de forma continua, pero al menos una vez al año y después Sin mapeo Nulo
de cualquier evento de seguridad.
Rotar las claves criptográficas de acuerdo con el criptoperiodo calculado, el cual incluye
disposiciones para considerar el riesgo de divulgación de información y los requisitos Sin mapeo Nulo
legales y regulatorios.
Catalogar y rastrear todos los activos físicos y lógicos relevantes ubicados en todos los
sitios del CSP dentro de un sistema seguro. DCS - 01 Total
Implementar perímetros de seguridad física para proteger al personal, los datos y los
sistemas de información. Establecer perímetros de seguridad física entre las áreas DCS-02
Total
administrativas y comerciales y las áreas de instalaciones de almacenamiento y DCS-08
procesamiento de datos.
Permitir que solo el personal autorizado acceda a áreas seguras, con todos los puntos
de entrada y salida restringidos, documentados y monitoreados por mecanismos de DCS-07
control de acceso físico. Conservar los registros de control de acceso de forma Parcial
DCS-09
periódica según lo considere apropiado la organización.
Mantener los equipos críticos para la empresa lejos de ubicaciones sujetas a alta
probabilidad de eventos de riesgo ambiental. BCR - 06 Total
Crear documentación del flujo de datos para identificar dónde se procesan, dónde se
almacenan y dónde se envían. Revisar la documentación del flujo de datos de manera DSI-02 Parcial
periódica, al menos con carácter anual y posteriormente a cualquier cambio.
La retención, el archivado y el borrado de los datos se realiza acorde a los requisitos de GRM-02
Total
negocio, las leyes y las regulaciones aplicables. BCR-11
Definir e implementar procesos, procedimientos y medidas técnicas para proteger los
datos sensibles durante todo su ciclo de vida. Sin mapeo Nuevo
Los empleados firman el contrato de empleo antes de que se les otorgue acceso a los
sistemas, recursos y activos de información de la organización. HRS-03 Total
IAM-02
Establecer, documentar, aprobar, comunicar, implementar, aplicar, evaluar y mantener
IAM-12
políticas y procedimientos de contraseñas robustas. Las políticas y procedimientos Parcial
deben ser revisados y actualizados, al menos anualmente. GRM-06
GRM-09
Definir e implementar un proceso de acceso para asegurar que los roles de acceso
privilegiado son proporcionados por un tiempo limitado. Implementar procedimientos Sin mapeo Nulo
para garantizar el acceso privilegiado segregado.
Los acuerdos deben incluir provisiones especificando el acceso de los CSC hasta la
finalización del contrato, e incluirán:
a. formato de datos.
b. periodo de retención. Sin mapeo Nulo
c. alcance de los datos almacenados y puestos a disposición de los CSC.
d. política de eliminación de información.
Supervisar los registros de auditoría de seguridad para detectar actividad fuera de los
patrones típicos o esperados. Establecer y seguir un proceso definido para revisar y Sin Mapeo Nulo
tomar las acciones apropiadas y oportunas frente a las anomalías detectadas.
Generar registros de auditoría que contengan información de seguridad relevante. Sin Mapeo Nulo
El sistema de información protege los registros de auditoría del acceso, modificación y GRM-04
Parcial
eliminación no autorizados. IVS-01
Revisar y validar la documentación SSRM para todas las ofertas de servicios en la Nube
que usa la organización.
Sin Mapeo Nulo
Implementar, operar y auditar o evaluar, las partes del SSRM de las que la organización
es responsable. Sin Mapeo Nulo
Desarrollar y mantener un inventario de todas las relaciones en la cadena de suministro. Sin Mapeo Nulo
Los CSP revisan periódicamente los factores de riesgo asociados con todas las STA-06
Total
organizaciones dentro de su cadena de suministro. STA-08
Los acuerdos de servicio entre CSP y CSC (inquilinos) deben incorporar al menos las
siguientes disposiciones y / o términos acordados mutuamente:
• Alcance, características y ubicación de la relación comercial y los servicios ofrecidos.
• Requisitos de seguridad de la información (incluido SSRM)
• Proceso de gestión de cambios
• Capacidad de registro y monitoreo STA-05 Parcial
• Procedimientos de gestión y comunicación de incidentes
• Derecho a auditoría y evaluación de terceros
• Termino del servicio
• Requisitos de interoperabilidad y portabilidad
• Privacidad de datos
Revisar los acuerdos de la cadena de suministro entre los CSPs y los CSCs al menos
una vez al año. STA-07 Total
Implementar políticas que requieran que todos los CSPs, a lo largo de la cadena de
suministro, cumplan con los requisitos de seguridad de la información, confidencialidad,
control de acceso, privacidad, auditoría, política de personal y requerimientos de niveles STA-09 Parcial
de servicio y estándares.
Revisar periódicamente las políticas y los procedimientos de gobernanza de TI de los
socios, en la cadena de suministro de la organización. STA-06 Total
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener las políticas y TVM-02
procedimientos para identificar, reportar y priorizar la resolución de vulnerabilidades,
para proteger los sistemas contra la utilización de vulnerabilidades. revisar y actualizar GRM-06 Parcial
las políticas y procedimientos al menos anualmente. GRM-09
Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener las políticas y TVM-01
procedimientos para la protección contra el malware en los activos gestionados. Revisar GRM-06 Parcial
y actualizar las políticas y procedimientos al menos anualmente. GRM-09
MOS-02
Definir, documentar, aplicar y evaluar una lista de servicios, aplicaciones y fuentes de MOS-03
aplicaciones aprobados (homologados) que se permiten usar por los dispositivos MOS-04 Parcial
'Endpoint' cuando acceden o almacenan datos administrados por la organización. MOS-06
Configurar todos los dispositivos 'Endpoint' de uso interactivo relevantes para que
requieran el bloqueo automático de la pantalla. MOS-14 Parcial
Gestionar los cambios de los sistemas operativos, los niveles de parcheado y / o las
aplicaciones de los 'Endpoints' a través de los procesos de gestión de cambios de la MOS-15 Parcial
empresa.
Habilitar las capacidades de geolocalización remota para todos los dispositivos móviles
gestionados. Sin Mapeo Nulo
org.1
Falta la (s) especificación (es) en CCMv3.0.1: org.2
"Establecer, documentar, aprobar, comunicar, aplicar,
evaluar y mantener un plan correctivo basado en org.3 Total
riesgos". org.4
op.pl.1
mp.sw.1
N/A Total
mp.sw.2
mp.sw.1.1
Falta la (s) especificación (es) en CCMv3.0.1:
"Automatizar siempre que sea posible". mp.sw.1.r1.1 Total
mp.sw.1.r2.1
mp.s.2.r2.1
mp.s.2.r2.2
mp.s.2.r2.3
op.pl.2.3
Falta la (s) especificación (es) en CCMv3.0.1:
"Automatizar la remediación cuando sea posible". op.exp.3.4 Total
op.exp.4.r4.1]
op.mon.3.r2.1
op.mon.3.r6.2
mp.info.6.r1.1
Falta la (s) especificación (es) en CCMv3.0.1:
op.cont.2
Requisito de "al menos una vez al año" en la última Parcial
oración. op.cont.3.1
op.cont.2.5
N/A Parcial
op.cont.2.r1.1
op.cont.2
N/A op.cont.3 Parcial
op.cont.4
op.cont.2.1
N/A op.cont.2.2 Parcial
op.cont.4.1
Falta la (s) especificación (es) en CCMv3.0.1:
'Garantizar la confidencialidad, integridad y mp.info.6 Total
disponibilidad de la copia de seguridad'
op.cont.4.1
N/A op.cont.4.2 Total
op.cont.4.3
Falta la(s) especificación(es) en CCMv3.0.1:
'aplicar, evaluar políticas y procedimientos para op.exp.5.1
gestionar los riesgos asociados con aplicar cambios a op.exp.5.2
los activos de la organización'
'independientemente de si los activos se manejan op.exp.5.3 Total
interna o externamente (i.e., externalizados)' op.exp.5.4
Requerimiento de 'al menos anualmente' en la última op.exp.5.5
frase.
op.ext.2.1
N/A op.ext.2.2 Parcial
op.nub.1.r2.1
op.exp.5.1
La especificación de control V4 completa falta en op.exp.5.2
CCMv3.0.1 y debe usarse para eliminar dicha op.exp.5.3 Total
diferencia. op.exp.5.4
op.exp.5.5
op.exp.10.1
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.10.r1.1
"Considerando la clasificación de la información,
riesgos asociados y usabilidad de la tecnología de op.exp.10.r2.1 Parcial
cifrado" op.pl.5
op.pl.2
Se recomienda la especificación completa del control
en la versión 4 para eliminar las diferencias.
La parte de los controles mapeados en la que hay
op.exp.10.1
diferencias parciales es la que se cubre en la versión Total
4 del control: (EKM-02) "gestión del ciclo de op.exp.5
vida/reemplazo" y "cambios en el criptosistema"
op.cont.1
N/A Total
op.pl.1
op.cont.2
N/A Total
op.cont.3
mp.if.5
N/A Parcial
mp.if.6
mp.info.6
N/A Parcial
mp.si.5
La especificación completa del control (V4) no se mp.com.2
encuentra en la matriz CCMv.3.0.1 y tiene que ser mp.si.5 Total
utilizado para garantizar la cobertura mp.info.2
N/A Nulo
N/A Nulo
mp.per.1.2
N/A Parcial
mp.per.2.3
mp.per.2
N/A Total
mp.per.4
Falta la (s) especificación (es) en CCMv3.0.1: org.3
Requisito de "al menos anualmente" en la última op.acc.2.1 Parcial
oración. op.acc.2.2
op.acc.1.2
N/A op.acc.1.3 Total
op.acc.3
op.acc.4.2
N/A op.exp.3 Total
mp.sw.1.r1.1
op.pl.2.4
op.acc.1.r1.2
N/A Total
op.acc.5.r5.1
op.acc.6.r5.1
op.acc.5.5
op.acc.5.6
N/A Total
op.acc.6.5
op.acc.6.6
op.pl.2
N/A op.pl.3 Total
op.pl.4
op.exp.5
op.ext.4.1
op.ext.4.2
N/A Parcial
op.ext.4.r1.1
mp.com.1
mp.com.2
op.exp.4.r1.1
op.exp.5.3
N/A Total
mp.sw.1.1
mp.sw.2.r1.1
op.acc.1
op.acc.2
N/A op.acc.3 Total
op.acc.4
op.acc.5
Falta la (s) especificación (es) en CCMv3.0.1: op.nub.1
"Dichos canales deben incluir solo protocolos mp.com.2 Total
aprobados y actualizados". mp.com.3
op.pl.2
N/A Total
op.exp.1.r3.1
mp.com.1
mp.com.2
mp.com.3
N/A Total
mp.com.4
mp.s.2
mp.s.3
N/A Nulo
org.1
org.2
La especificación de control V4 completa falta en
op.mon.2
CCMv3.0.1 y debe usarse para eliminar dicha Parcial
diferencia. op.ext.1
op.ext.2
op.ext.3
op.nub.1
La especificación de control V4 completa falta en op.mon.2
CCMv3.0.1 y debe usarse para eliminar dicha op.ext.1 Parcial
diferencia. op.ext.2
op.ext.3
La especificación de control V4 completa falta en
op.nub.1.2 (Solo categoría
CCMv3.0.1 y debe usarse para eliminar dicha Parcial
diferencia. ALTA)
op.nub.1
La especificación de control V4 completa falta en op.mon.2
CCMv3.0.1 y debe usarse para eliminar dicha op.ext.1 Parcial
diferencia. op.ext.2
op.ext.3
op.nub.1
La especificación de control V4 completa falta en op.mon.2
CCMv3.0.1 y debe usarse para eliminar dicha op.ext.1 Parcial
diferencia. op.ext.2
op.ext.3
op.pl.2
La especificación de control V4 completa falta en op.pl.4
CCMv3.0.1 y debe usarse para eliminar dicha op.mon.2 Parcial
diferencia. op.ext.1
op.ext.2
op.ext.3
N/A Total
op.nub.1
op.ext.1
Falta la (s) especificación (es) en CCMv3.0.1:
op.ext.2
"Capacidad de registro (logging) y monitorización" Parcial
"Privacidad de datos". op.ext.3
op.ext.4
op.ext.1
N/A Parcial
op.nub.1
org.1
org.2
Falta la (s) especificación (es) en CCMv3.0.1:
op.mon.2
"para cumplir con las política de privacidad y Parcial
personal" op.ext.1
op.ext.2
op.ext.3
N/A op.ext.2 Total
N/A Nulo
op.exp.3.4
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.4
Requisito de "al menos anualmente" en la última op.mon.3.r2.1 Parcial
oración. op.mon.3.r6.2
mp.s.2.r2.2
Falta la (s) especificación (es) en CCMv3.0.1: op.exp.2.4
Requisito de "al menos anualmente" en la última mp.s.1.4 Parcial
oración. mp.s.3.6
op.exp.3.4
N/A op.exp.4.r4.1 Parcial
op.mon.3.r2.1
op.exp.4.r4.1
Falta la (s) especificación (es) en CCMv3.0.1:
op.mon.3.r2.1
Requisito de "al menos mensualmente" en la última Parcial
oración. op.mon.3.r6.2
mp.s.2.r2.2
Falta la (s) especificación (es) en CCMv3.0.1:
"corrección de vulnerabilidades de acuerdo a un Nulo
esquema reconocido de la industria".
op.exp.3.4
op.exp.4.r4.1
N/A op.exp.5 Parcial
op.mon.3.r2.1
mp.s.2.r2.3
La especificación de control V4 completa falta en
CCMv3.0.1 y debe usarse para eliminar dicha op.exp.4.r4.1 Total
diferencia.
Faltan las especificaciones en CCMv3.0.1:
'endpoints' (El término no aparece para CCMv3.0.1 y
el dominio MOS. Las políticas de dispositivos móviles org.1
son un subconjunto de la política de dispositivos org.2
Parcial
endpoint.). org.3
'aplica', Evaluar políticas y procedimientos para todos org.4
los dispositivos endpoint '.
Requisito de 'al menos anualmente' en la última frase.
27001: A.18.2.1
N/A Parcial
27002: 18.2.1
27001: A.18.2.1
N/A 27002: 18.2.1 Total
27018: 18.2.1
27001: A.18.2.2
27002: 18.2.2
N/A Total
27001: A.18.2.3
27002: 18.2.3
27001: 9.2.c
N/A 27001: A.18.2.2 Total
27002: 18.2.2
27001: A.18.2.2
N/A Parcial
27002: 18.2.2
27001: A.5.1.1
27017: 5.1.1
N/A Parcial
27001: A.7.2.2
27002: 7.2.2
27001: A.14.2.8
27001: A.14.2.9
27001: A.12.1.2
27002: 12.1.2
N/A Total
27001: A.14.1.1
27002: 14.1.1
27001: A.14.2.2
27002: 14.2.2
27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
N/A 27001: A.12.6.1 Total
27002: 12.6.1
27017: 12.6.1
27018: 12.6.1
Falta la (s) especificación (es) en CCMv4.0: 27001: 5.2
Requisito de "resiliencia operativa". 27001: A.5.1
Parcial
ENS solo considera continuidad de negocio, pero no 27001: A.7.2.1
resiliencia operativa. 27001: A.17.1.2
27001: A.14.2.2
N/A 27002: 14.2.2 Parcial
27017: 14.2.2
27001:A.5.1.1
27017: 5.1.1
27001: A.12.1.2
27002: 12.1.2
27001: A.12.1.4
N/A Total
27001: A.14.2.3
27001: A.15.2.2
27002: 15.2.2
27001: A.14.2.6
27002: 14.2.6
27001: A.12.1.4
Falta la (s) especificación (es) en CCMv4.0: 27002: 12.1.4
Requisito de "…y gestión no autorizada". 27001: A.12.4.2
Total
ENS solo considera solicitud de autorización previa, pero no 27002: 12.4.2
medidas para limitarlo. 27001: A.14.2.2
27017: 14.2.2
27001: A.15.2.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.14.2.2
Requisito de "limitando cambios con impacto directo".
ENS considera mecanismos y procedimientos de 27002: 14.2.2 Total
coordinación, pero no especifica la limitación de cambios. 27001: A.12.1.2
27017: 12.1.2
27001: A.12.1.1
27002: 12.1.1
N/A Parcial
27001: 14.2.2
27002: 14.2.2
27001: A.14.2.2
27001: A.14.2.4
Falta la especificación del control V4 de forma completa en 27001: A.12.4.1
Total
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.4.1 (g)
27001: A.5.1.1
27017: 5.1.1
27001: A.12.1.2
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.1.2 (h) Total
27017: 12.1.2
27001: A.12.1.2
27002: 12.1.2 (g)
27001: A.12.5.1
N/A Total
27002: 12.5.1 (e)
27001: A.12.3.1
27017: 12.3.1
27002 : 6.1.1
27001: A.6.1.2
27002: 6.1.2
27001: 8.2
27001: 8.3
27001: 9.1
27001: A.16
27002: 16
27001: A.16.1
27001: 9.2
27001: 9.3
27001: A.10
Falta la (s) especificación (es) en CCMv4.0:
Requisito "revisar y actualizar políticas y procedimientos al
27002: 10
menos una vez al año". 27001: A.10.1.1
Las medidas de seguridad del Anexo II del ENS no 27001: A.10.1.2
especifican una periodicidad. Sin embargo, el Art. 31 27017: 10.1.2 Total
(Auditoría de la seguridad) exige una auditoría regular 27001: A.12.4
ordinaria, al menos cada dos años, de lo especificado en el
27002: 12.4
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual. 27001: A.12.7
27002: 12.7
27017: 12.7
27001: A.18.1.1-to-5
27001: A.12.1.2
27002: 12.1.2
27001: A.12.3.1
27017: 12.3.1
27001: A.15.1.2
27017: 15.1.2
27001: A.18.1.1
27017: 18.1.1
27001: A.18.1.5
27001: 5.1
27001: 5.3
27001: A.5.1.1
27002: 5.1.1
27001: A.6.1.1
27002: 6.1.1
27017: 6.1.1
27001: A.6.1.2
27017: 6.1.2
27001: A.9.1
27002: 9.1
27001: A.10.1.1
N/A Total
27002: 10.1.1
27001: A.15.1.2
27017: 15.1.2
27001: A.13.1.3
27017: 13.1.3
27001: A.10.1.1
27017: 10.1.1
27001: A.10.1.2
27002: 10.1.2
27017: 10.1.2
27017: CLD 6.3
27001: A.18.1.1
27001: A.18.1.2
27001: A.18.1.3
27001: A.18.1.4
27001: A.18.1.5
27001: A.10.1
27002: 10.1
27001: A.13.2.1
27002: 13.2.1
N/A 27001: A.18 Total
27002: 18
27001: A.14.1.2
27002: 14.1.2
27001: A.14.1.3
27002 14.1.3 c)
27001 - A.10.1.1
27017 - 10.1.1
27001 - A.10.1.2
27017 - 10.1.2
27001: A.8.2
27002: 8.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.8.3
Requisito "teniendo en cuenta la clasificación de los datos,
los riesgos asociados y la usabilidad de la tecnología de 27001: A.10.1.1 Total
cifrado" 27002: 10.1.1 (b)
27001: A.10.1.2
27002: 10.1.2
27001: A.12.1.2
27002: 12.1.2
27017: 12.1.2
N/A 27001: A.10.1.2 Total
27002: 10.1.2 e)
27001: A.14.2.2
27002: 14.2.2
27001: A.12.1.2
27002: 12.1.2
27001: A.10.1.2
Falta la (s) especificación (es) en CCMv4.0:
27002: 10.1.2 e)
Requisito "consideración de análisis de costos y Total
beneficios residuales". 27017: 10.1.2
27001: A.10.1.1
27002: 10.1.1
27017: 10.1.1
27001: 8.2
Falta la (s) especificación (es) en CCMv4.0: 27001: 8.3
Requisito "programa de riesgos de gestión de claves y 27001: A.10.1.1
cifrado". ENS considera un 27002: 10.1.1 Total
análisis de riesgos genérico, pero no específico para 27017: 10.1.1
gestión de claves y cifrado.
27001: A.10.1.2
27017: 10.1.2
27001: A.10.1
27017: 10.1
Falta la (s) especificación (es) en CCMv4.0:
27001: A.10.1.1
Requisito "que los CSC administren sus propias claves Parcial
de cifrado de datos". 27017: 10.1.1
27001: A.10.1.2
27017: 10.1.2
27001: 9.2
27001: A.18.2.1
27001: A.18.2.2
27001: A.12.7
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 12.7 Total
27017: 12.7
27001: A.10.1.2
27001: A.10.1.2
27002: 10.1.2 k)
27001: A.10.1.1
27002: 10.1.1 (e)
27017: 10.1.1
N/A 27001: A.10.1.2 Total
27002: 10.1.2
27002: 10.1.2 (a)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito "…para un propósito único". 27001: A.10.1.2 Total
27002: 10.1.2 (c)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Parcial
27002: 10.1.2 e)
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
N/A 27001: A.10.1.2 Total
27002: 10.1.2 (g),(f)
27017: 10.1.2
27001: A.10.1.1
Falta la (s) especificación (es) en CCMv4.0: 27017: 10.1.1
Requisito de "claves almacenadas en Módulos de 27017: 10.1.2
Seguridad Hardware (HSM) cuando ya no sean necesarias, 27001: A.10.1.2 Total
que incluyan disposiciones para requisitos legales y 27002: 10.1.2 (j)
regulatorios".
27001: A.18.1.3
27002: 18.1.3
27001: A.10.1.1
27017: 10.1.1
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Parcial
27002: 10.1.2 a)
27017: 10.1.2
27001: A.10.1.1
Falta la especificación del control V4 de forma completa en 27017: 10.1.1
Parcial
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2
27017: 10.1.2
27001: A.10.1.1
Falta la (s) especificación (es) en CCMv4.0: 27017: 10.1.1
Requisito de "desactivar claves en el momento de su 27001: A.10.1.2 Total
fecha de vencimiento ". 27002: 10.1.2
27017: 10.1.2
27001: A.10.1.1
27017: 10.1.1
Falta la (s) especificación (es) en CCMv4.0: 27001: A.10.1.2
27017: 10.1.2
Parcial
Requisito de "administrar las claves archivadas en un 27002: 10.1.2 (i)
repositorio seguro". 27001: 9.0
27002: 9.0
27017: 9.0
27001: A.10.1.1
27002: 10.1.1 (d)
27001: A.10.1.2
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 10.1.2 (f),(g) Total
27001: A.18.1.5
27001: A.18.1.3
27002: 18.1.3
27001: 8.2
27001: 8.3
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27001: A.10.1.2 Total
27002: 10.1.2 (h)
27001: A.18.1.5
27001: A.10.1.2
Falta la especificación del control V4 de forma completa en 27002: 10.1.2
Total
el ENS-Anexo II y debe ser usada para cubrir la carencia 27017: 10.1.2
27001: A.18.1.5
27001: A.11.2.7
N/A 27002: 11.2.7 Total
27017: 11.2.7
Falta la (s) especificación (es) en CCMv4.0:
27001: A.8.3.3
N/A 27007: 8.3.3 Total
27017: 8.3.3
27001: A.8.2.1
N/A 27002: 8.2.1 Parcial
27017: 8.2.1
27001: A.8.1.1
N/A 27002: 8.1.1 Parcial
27017: 8.1.1
27001: A.11.1.1
N/A 27002: 11.1.1 Total
27017: 11.1.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de " identificación de los equipos como Sin Mapeo Nulo
método para la autenticación".
27001: A.17.1.3
N/A 27001: A.11.2.1 Parcial
27001: A.11.2.2
Falta la (s) especificación (es) en CCMv4.0:
27001: A.11.2.1
Requisito de "ubicaciones sujetas a alta probabilidad de Total
eventos de riesgo ambiental". 27002: 11.2.1
27001: A.8.2.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito "revisar y actualizar políticas y procedimientos al
27001: A.5.1
menos anualmente". 27001: 5.2
Las medidas de seguridad del Anexo II del ENS no 27001: A.5.1.1
especifican una periodicidad. Sin embargo, el Art. 31 27002: 5.1.1 Parcial
(Auditoría de la seguridad) exige una auditoría regular 27001: A.5.1.2
ordinaria, al menos cada dos años, de lo especificado en el
27002: 5.1.2
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual. 27001: A.12.1
27002: 12.1
27001: A.8.3.2
27002: 8.3.2
N/A Parcial
27001: A.11.2.7
27002: 11.2.7
Falta la especificación del control V4 de forma completa en 27001: A.8.1.1
Parcial
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 8.1.1
27001: A.8.2.1
N/A Total
27002: 8.2.1
27001: A.14.1.1
Falta la (s) especificación (es) en CCMv4.0:
27002:14.1.1
Requisito "sistemas, productos y prácticas de negocio". Parcial
ENS enfocado solo al desarrollo de aplicaciones. 27001: A.14.2.5
27002:14.2.5
27001: A.13.2.1
27002: 13.2.1
Falta la (s) especificación (es) en CCMv4.0:
27001: A.8.3.3
Requisito "cualquier transferencia de datos sensibles o Parcial
personales está protegida". 27002: 8.3.3
27001: A.13.2.3
27002: 13.2.3
27001: A.18.1.4
N/A Parcial
27002: 18.1.4
27001: A.14.3.1
Falta la (s) especificación (es) en CCMv4:
27002: 14.3.1
Requisito de "Obtener autorización de los dueños Parcial
de los datos". 27001: A.12.1.4
27002: 12.1.4
Falta la (s) especificación (es) en CCMv4:
27001: A.6.1.2
N/A Total
27001: 6.2
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "revisión de las políticas organizacionales y
procedimientos al menos una vez al año".
Las medidas de seguridad del Anexo II del ENS no
especifican una periodicidad. Sin embargo, el Art. 31 27001:7.5.2 (c) Parcial
(Auditoría de la seguridad) exige una auditoría regular
ordinaria, al menos cada dos años, de lo especificado en el
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
27001: A.7.1.2
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 7.1.2 Total
27017: 7.1.2
27001: A.6.1.1
N/A 27002: 6.1.1 Total
27017: 6.1.1
27001: A.7.1.2
27002: 7.1.2
Falta la (s) especificación (es) en CCMv4.0: 27017: 7.1.2
Total
Requisito de "a intervalos planificados" 27001: A.13.2.4
27002: 13.2.4
27017: 13.2.4
27001: A.7.2.2
N/A 27002: 7.2.2 Total
27017: 7.2.2
27001: A.7.2.2
N/A 27002: 7.2.2 Parcial
27017: 7.2.2
27001: A.7.2.1
N/A 27002: 7.2.1 Parcial
27017: 7.2.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "...deben ser revisados y actualizados, al
menos anualmente." 27001: A.9.1.1
Las medidas de seguridad del Anexo II del ENS no
27002: 9.1.1
especifican una periodicidad. Sin embargo, el Art. 31 Total
(Auditoría de la seguridad) exige una auditoría regular 27001: A.5.1.2
ordinaria, al menos cada dos años, de lo especificado en el 27002: 5.1.2
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
27001: A.9.4.3
27002: 9.4.3
27017: 9.4.3
Falta la (s) especificación (es) en CCMv4.0:
27018: 9.4.3
Requisito de "...deben ser revisados y actualizados, al
menos anualmente." 27001: A.9.2.4
Las medidas de seguridad del Anexo II del ENS no 27002: 9.2.4
especifican una periodicidad. Sin embargo, el Art. 31 27017: 9.2.4 Parcial
(Auditoría de la seguridad) exige una auditoría regular 27001: A.7.2.2
ordinaria, al menos cada dos años, de lo especificado en el
27002:7.2.2
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual. 27001: A.9.2.6
27002: 9.2.6
27001: A.9.2.3
27002: 9.2.3
27001: A.8.1.1
27002: 8.1.1
N/A Parcial
27001: A.9.4.1
27002: 9.4.1
27001: A.6.1.2
N/A Total
27002: 6.1.2
27001: A.9.1.1
27002: 9.1.1
27001: A.9.1.2
N/A Total
27002: 9.1.2
27001: A.9.2.3
27002: 9.2.3
27001: A.9.2.5
27001: A.9.2.6
27001: A.9.4.1
N/A Parcial
27017: 9.4.1
27001: A.6.1.2
27001: A 9.2.5
27001: A.9.2.3
27002: 9.2.3
N/A Total
27017: 9.2.3
27018: 9.2.3
27001: A.9.2.3
Falta la (s) especificación (es) en CCMv4.0: 27002: 9.2.3
Requisito de "...por un tiempo limitado." Parcial
27017: 9.2.3
27018: 9.2.3
Falta la especificación del control V4 de forma completa en
el ENS-Anexo II y debe ser usada para cubrir la carencia Sin Mapeo Total
27001: A.12.4.1
27002: 12.4.1
27017: 12.4.1
27018: 12.4.1
27001: A.12.4.2
27002: 12.4.2
N/A Parcial
27017: 12.4.2
27018: 12.4.2
27001: A.12.4.3
27002: 12.4.3
27017: 12.4.3
27018: 12.4.3
27001: A.9.2.1
N/A Total
27002: 9.2.1
27001: A.9.1.2
27002: 9.1.2
27017: 9.1.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.9.2.4
Requisito de "procesos, procedimientos". 27002: 9.2.4
ENS se refiere únicamente a medidas técnicas Parcial
27017: 9.2.4
(mecanismos de autenticación). 27001: A.9.4.2
27002: 9.4.2
27017: 9.4.2
27018: 9.4.2
27001: A.9.2.4
27002: 9.2.4
27017: 9.2.4
27018: 9.2.4
Falta la (s) especificación (es) en CCMv4.0: 27001: A.9.3.1
Requisito de "medidas para la correcta gestión de 27002: 9.3.1
Total
contraseñas" 27017: 9.3.1
ENS no especifica 'correcta gestión' pero es algo implícito. 27018: 9.3.1
27001: A.9.4.3
27002: 9.4.3
27017: 9.4.3
27018: 9.4.3
27001: A.14.1.1
Falta la (s) especificación (es) en CCMv4.0: 27017: 14.1.1
Requisito de "b. Interoperabilidad del procesamiento de la 27001: A.14.1.2
información. 27002: 14.1.2
c. Portabilidad de los desarrollos de aplicaciones.
27017: 14.1.2
d. Intercambio, uso, portabilidad, integridad y persistencia Parcial
de información/datos" 27001: A.14.2
ENS no habla directamente de Interoperabilidad y 27002: 14.2
portabilidad, aunque se extraen los conceptos de 27001: A.14.2.1
comunicaciones seguras entre diferentes interfaces 27017: 14.2.1
27001: A.14.2.5
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "Revisar y actualizar las políticas y
procedimientos al menos una vez al año." 27001: A.5
Las medidas de seguridad del Anexo II del ENS no
27002: 5
especifican una periodicidad. Sin embargo, el Art. 31 Parcial
(Auditoría de la seguridad) exige una auditoría regular 27017: 5
ordinaria, al menos cada dos años, de lo especificado en el 27018: 5
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
27001: 5.3
27001: 6.1
N/A 27001: 9.1 Parcial
27001: A.12.1.3
27002: 12.1.3
27001: A.13.1.1
27002: 13.1.1
Falta la (s) especificación (es) en CCMv4.0:
27001: A.13.1.2
Requisito de "Revisar estas configuraciones al menos una Parcial
vez al año" 27002: 13.1.2
27001: A.13.1.3
27002: 13.1.3
27001: A.14.2.2
27002: 14.2.2
N/A 27001: A.14.2.3 Parcial
27001 A.14.2.4
27018: 12.1.2
27001 A.12.1.4
27002 12.1.4
N/A Parcial
27017 12.1.4
27018 12.1.4
27001: A.13.1.3
N/A 27002: 13.1.3 Parcial
27017: 13.1.3
27001: 7.4
27001: A.13.1.1
27002: 13.1.1
27017: 13.1.1
27018: 13.1.1
27001: A.13.1.2
27002: 13.1.2
27017: 13.1.2
27018: 13.1.2
27001: A.13.1.3
27002: 13.1.3
27017: 13.1.3
27018: 13.1.3
27001: A.13.2.1
N/A 27002: 13.2.1 Parcial
27017: 13.2.1
27018: 13.2.1
27001: A.13.2.2
27002: 13.2.2
27017: 13.2.2
27018: 13.2.2
27001: A.13.2.3
27002: 13.2.3
27017: 13.2.3
27018: 13.2.3
27001: A.13.2.4
27002: 13.2.4
27017: 13.2.4
27018: 13.2.4
27001: A.9.1.2
27002: 9.1.2
27017: 9.1.2
27001: A.9.4.2
27002: 9.4.2
N/A Parcial
27017: 9.4.2
27018: 9.4.2
27001: A.14.2.5
27002: 14.2.5
27017: 14.2.5
27001: A.14.1.2
27002: 14.1.2
27017: 14.1.2
N/A 27001: A.11.1.4 Parcial
27002: 11.1.4
27017: 11.1.4
27018: 16.1.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "Revisar y actualizar las políticas y
procedimientos al menos una vez al año."
Las medidas de seguridad del Anexo II del ENS no
especifican una periodicidad. Sin embargo, el Art. 31
(Auditoría de la seguridad) exige una auditoría regular Sin Mapeo Nulo
ordinaria, al menos cada dos años, de lo especificado en el
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
No específica 'registro y monitoreo' pero si "[org.3.3] Cómo
identificar
Falta la (s)yespecificación
reportar comportamientos anómalos"
(es) en CCMv4.0:
Requisito de "procesos, procedimientos ... para garantizar
la seguridad y retención de los registros de auditoría." 27001: A.18.1.3
ENS específica las medidas técnicas para el 'registro de Parcial
27002: 18.1.3
actividad' y la identificación de los eventos a auditar y su
tiempo de retención
27001: A.12.4.1
N/A Parcial
27002: 12.4.1
27001: A.12.4.2
27001: A.12.4.1
N/A Total
27002: 12.4.2
27001: A.12.4.3
N/A Total
27002: 12.4.3
27001: A.12.4.4
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "confiable" 27002: 12.4.4 Total
27017: 12.4.4
Falta la (s) especificación (es) en CCMv4.0: 27001: A.12.4.1
Requisito de "Revisar y actualizar el alcance al menos una
vez al año o siempre que haya un cambio en el entorno de 27002: 12.4.1 Total
amenazas." 27017: 12.4.1
27001: A.12.4.1
N/A 27002: 12.4.1 Total
27017: 12.4.1
27001: A.12.4.2
N/A Total
27002: 12.4.2
27001: A.10.1
Falta la (s) especificación (es) en CCMv4.0: 27002: 10.1
Requisito de "capacidad de supervisión e informes internos" Total
27001: A.10.1.2
27017: 10.1.2
27001: A.10.1.2
N/A Total
27017: 10.1.2
27001: A.16.1.1
Falta la especificación del control V4 de forma completa en 27002: 16.1.1
el ENS-Anexo II y debe ser usada para cubrir la carencia Total
27001: A.16.1.2
27017: 16.1.2
Falta la (s) especificación (es) en CCMv4.0:
Requisitos de "E-Discovery y Forense en nube"
"Revisar y actualizar políticas y procedimientos al menos
una vez al año." 27001: A.16.1
Las medidas de seguridad del Anexo II del ENS no 27002: 16.1
Parcial
especifican una periodicidad. Sin embargo, el Art. 31 27017: 16.1
(Auditoría de la seguridad) exige una auditoría regular 27018: 16.1
ordinaria, al menos cada dos años, de lo especificado en el
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
27001: A.16.1.4
27002: 16.1.4
27017: 16.1.4
Falta la (s) especificación (es) en CCMv4.0:
27018: 16.1.4
Requisito de "Evaluar procesos, procedimientos y medidas Total
técnicas" 27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
27018: 16.1.5
27001: A.16.1.1
27002: 16.1.1
27017: 16.1.1
27018: 16.1.1
27001: A.16.1.2
27002: 16.1.2
N/A Parcial
27017: 16.1.2
27018: 16.1.2
27001: A.16.1.5
27002: 16.1.5
27017: 16.1.5
27018: 16.1.5
27001: 4.2
27001: A.6.1.3
27002: 6.1.3
27017: 6.1.3
27018: 6.1.3
N/A 27001: A.16.1.1 Total
27002: 16.1.1
27001: A.18.1.1
27002: 18.1.1
27017: 18.1.1
27018: 18.1.1
27001: 6.2
27001: 7.1
27001: 8.1
Falta la (s) especificación (es) en CCMv4.0: 27001: 8.2
Requisito de "el SSRM" Parcial
27001: 9.1
27001: 9.3
27001: A.15.1
27001: A.15.2
27001: 6.2
27001: 7.4
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "de SSRM" 27001: 9.1 Parcial
27001: A.15.1.2
27001: A.15.1.3
27001: 6.2
27001: 7.4
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "el SSRM" 27001: 9.1 Parcial
27001: A.15.1.2
27001: A.15.2
27001: 6.2
27001: 7.4
Falta la (s) especificación (es) en CCMv4.0: 27001: 9.1
Parcial
Requisito de "documentación SSRM" 27001: 9.3
27001: A.15.1.2
27001: A.15.1.3
27001: 8.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "las partes del SSRM" 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "No especifica todas las relaciones" 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
N/A 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: 8.1
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "(incluido SSRM)" 27001: A.15.1.2 Parcial
27001: A.15.1.3
27001: A.12.6
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "…al menos mensualmente"
27001: A.12.6.1 Total
27002: 12.6.1
27001: A.16.1.2
Falta la (s) especificación (es) en CCMv4.0:
27002: 16.1.2
Requisito de "…que incluyan la notificación a todos los Total
interesados" 27001: A.16.1.3
27002: 16.1.3
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "…dispositivos 'endpoint'"
Requisito de "Revisar y actualizar las políticas y los
procedimientos al menos una vez al año." 27001: A.6.2.1
Las medidas de seguridad del Anexo II del ENS no 27002: 6.2.1
Parcial
especifican una periodicidad. Sin embargo, el Art. 31 27017: 6.2.1
(Auditoría de la seguridad) exige una auditoría regular 27018: 6.2.1
ordinaria, al menos cada dos años, de lo especificado en el
Anexo III (Auditoría de la seguridad), lo cual incluye verificar
que se hace un análisis de riesgos anual.
27001: A.9.1.1
27002: 9.1.1
27001: A.9.2.2
27002: 9.2.2
Falta la (s) especificación (es) en CCMv4.0: 27001: A.12.1.2
Requisito de "...que se permiten usar por los dispositivos 27002: 12.1.2
Parcial
'Endpoint' cuando acceden o almacenan datos 27001: A.12.5
administrados por la organización." 27002: 12.5
27001: A.13.2.3
27002: 13.2.3
27001: A.14.2.2
27002:14.2.2
27001: A.8.1.1
N/A 27002: 8.1.1 Parcial
27017: 8.1.1
Falta la (s) especificación (es) en CCMv4.0: 27001: A.12.6.2
Parcial
Requisito de "dispositivos 'endpoint'" 27002:12.6.2
27001: A.14.2
27001: A.14.2.2
Falta la (s) especificación (es) en CCMv4.0: 27002: 14.2.2
Parcial
Requisito de "de los 'endpoints'" 27001: A.14.2.3
27001: A.14.2.4
27018: 12.1.2
27001: A.11.2.7
27002: 11.2.7
27001: A.18.1.1
27017: 18.1.1
N/A Parcial
27001: A.12.3.1
27017: 12.3.1
27018: A.11.4
27018: A.11.5
27001: A.12.2
27002: 12.2
N/A Parcial
27017: 12.2
27018: 12.2
27001: A.12.6.1
27002: 12.6.1
27001: A.13.1.2
Falta la (s) especificación (es) en CCMv4.0:
Requisito de "dispositivos 'endpoint'" 27002: 13.1.2 Parcial
27001: A.6.2.2
27002: 6.2.2
27018: 16.1
27001: A.12.3
27002: 12.3
27001: A.8.3.1
27002: 8.3.1
27001: A.12.2
27002: 12.2
Falta la especificación del control V4 de forma completa en 27001: A.18.1.3
Parcial
el ENS-Anexo II y debe ser usada para cubrir la carencia 27002: 18.1.3
27001: A.3.2.2
27002: 3.2.2
27001: A.6.1.1
27017: 6.1.1
27018: 12.3.1
27018: 10.1
27001: A.15.1.1
27002: 15.1.1
27001: A.14.1.2
27002: 14.1.2
27001: A.6.1.1
N/A Parcial
27017: 6.1.1
27001: A.9.2.2
27017: 9.2.2
27001: A.9.2.4
27017: 9.2.4
Final del mapeo
01/02/17/18
Adenda
N/A
N/A
N/A
N/A x
N/A
Falta la (s) especificación (es) en ISO:
El requisito de proporcionar un marco para establecer
los objetivos de continuidad del negocio.
N/A
N/A
N/A
Falta la (s) especificación (es) en ISO:
"Establecer Líneas base de gestión de cambios"
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Falta la (s) especificación (es) en ISOs:
Requerimiento de "al menos anualmente"
N/A
N/A
N/A
Falta la (s) especificación (es) en ISOs:
requerimiento para revisar y actualizar las políticas y
procedimientos al menos anualmente.
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Falta la (s) especificación (es) en ISOs:
El Requerimiento de controlar la parada de los
registros de auditoría mediante un procedimiento que
asegure la segregación de funciones y
procedimientos de 'rotura del cristal'.
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
Falta la (s) especificación (es) en ISOs:
El Requerimiento para tener "políticas y
procedimientos sobre 'malware'"
N/A
N/A
N/A
Por categoría o
Medidas de Seguridad dimensión(es)
op Marco operacional
op.pl Planificación
op.pl.1 Análisis de riesgos Categoría
op.pl.2 Arquitectura de Seguridad Categoría
op.pl.3 Adquisición de nuevos componentes Categoría
op.pl.4 Dimensionamiento/gestión de la capacidad D
op.pl.5 Componentes certificados Categoría
op.acc Control de acceso
op.acc.1 Identificación TA
op.acc.2 Requisitos de acceso CITA
op.acc.3 Segregación de funciones y tareas CITA
op.acc.4 Protección de gestión de derechos de acceso CITA
op.exp Explotación
op.exp.1 Inventario de activos Categoría
op.exp.2 Configuración de seguridad Categoría
En las tablas del presente Anexo se han empleado las siguientes convenciones:
a) La tercera columna indica si la medida se exige atendiendo al nivel de seguridad de una o más dimensiones de seguridad, o atendiend
nivel de seguridad de las dimensiones, se indican cuales afectan utilizando sus iniciales.
b) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad, en algún nivel de seg
c) «n.a.» significa «no aplica» a efectos de cumplimiento normativo, por lo que no es exigible, sin perjuicio de que su implantación en el
d) Para indicar una mayor exigencia se emplean los refuerzos de seguridad (R) que se suman (+) a los requisitos base de la medida pero q
e) Para señalar que se puede elegir entre aplicar un refuerzo u otro, se indicará entre corchetes y separados por «o» [Rn o Rn+1].
medidas y refuerzos empiezan a aplicar en categoría MEDIA o superior; y el rojo para indicar qué medidas o refuerzos son solo de aplicació
superior al de categoría MEDIA.
el Esquema Nacional de Seguridad
aplica + R1 + R2
aplica + R1 + R1 + R2 + R3
aplica aplica aplica
aplica + R1 + R1
n.a. aplica aplica
aplica + R1 + R1
aplica aplica + R1
n.a. aplica + R1
aplica aplica aplica
aplica + R1 + R1 + R2 +R3
aplica + R1 + R1 + R2
n.a. aplica + R1
aplica + R1 + R2 + R1 + R2 + R3 + R4
aplica + R1 + R2 + R1 + R2 +R3
aplica + R1 + R2 + R3 + R4 + R1 + R2 + R3 + R4 +R5
aplica + R1 + R1
n.a. aplica aplica
aplica + R1 + R1 + R2
aplica + R1 + R1 + R2
aplica + R1 + R2 + R1 + R2
aplica + R1 + R2 + R1 + R2 + R3 + R4 + R5 + R6
aplica + R1 + R1
n.a. aplica + R1
aplica aplica + R1 + R2
aplica + R1 + R1
n.a. + R1 + R2 + R3 + R4 + R1 + R2 + R3 + R4
aplica + R1 + R1
es:
ad de una o más dimensiones de seguridad, o atendiendo a la categoría de seguridad del sistema. Cuando se exija por
ales.
o varias dimensiones de seguridad, en algún nivel de seguridad determinado, se utiliza la voz «aplica».
o es exigible, sin perjuicio de que su implantación en el sistema pudiera ser beneficioso técnicamente.
e se suman (+) a los requisitos base de la medida pero que no siempre son incrementales entre sí.
ntre corchetes y separados por «o» [Rn o Rn+1].
ra indicar qué medidas o refuerzos son solo de aplicación en categoría ALTA o requieren un esfuerzo en seguridad
Control/es de CCMv4.0 Relacionados
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, CEK-02, GRC-
01, GRC-06, GRC-07, STA-01, STA-12, UEM-01
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, CEK-02, CEK-13,
IVS-01, LOG-01, STA-01, STA-12, UEM-01
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, GRC-03, IAM-
01, IVS-01, LOG-01, LOG-02, SEF-08, UEM-01, UEM-05
A&A-01, A&A-02, A&A-03, A&A-04, A&A-05, A&A-06, IVS-01, TVM-05,
UEM-01, UEM-05
A&A-03, A&A-05, A&A-06, CEK-07, DCS-05, GRC-02
AIS-07, CEK-04, IAM-06, IVS-02, IVS-08, STA-06
IVS-02
IVS-02, STA-06
CEK-03, CEK-04, UEM-02
IAM-04, IAM-06, IAM-12, IAM-13, IVS-06, LOG-02, LOG-04
IAM-01,IAM-16, IVS-06, UEM-14
IAM-04, IAM-09, IVS-06
CEK-18, IAM-03, IAM-05, IVS-06
Autores Colaboradores
Colaboradores
Kai Axford
Darin Blank
Kevin Burgin
Martin Capuder
Vishal Chaudhary
Aradhna Chetal
Jeff Cook
Angela Dogan
Doug Egan
Andreas von Grebmer
Mohin Gulzar
Frank Jaramillo
Gaurav Khanna
Keri Kusznir
Jens Laundrup
Robin Lyons
Loredana Mancini
Julien Mauvieux
Bill Marriott
Claus Matzke
Matthew Meersman
Kai Axford
Darin Blank
Kevin Burgin
Martin Capuder
Vishal Chaudhary
Aradhna Chetal
Jeff Cook
Angela Dogan
Doug Egan
Andreas von Grebmer
Mohin Gulzar
Frank Jaramillo
Gaurav Khanna
Keri Kusznir
Jens Laundrup
Robin Lyons
Loredana Mancini
Julien Mauvieux
Bill Marriott
Claus Matzke
Matthew Meersman
David Nance
Christine Peters
Lisa Peterson
Paul Rich
Max Simakov
Tima Soni
Luke Synnestvedt
Eric Tierling
Raj Tuliani
Equipo Editorial
Controls Applicability Matrix CCM v4.0 - CCM v3.0.1 Mapping CCM v4.0 - ISO27001/02/17/18 Map
(Los nombres están en orden alfabético) (Los nombres están en orden alfabético) (Los nombres están en orden alfabético))
Alberto Bernáldez
Vicente Campayo
Ramón Codina
Alejandro del Río
Diego Fernández
Ana Galán
Juan A. González
Ignacio Hornes
Jorge Laredo
José Pablo Lemus
José A. Mañas
Diana Molero
José Nadal
Adrian Prieto
Guillermo Villatores