Categoría de Control(4) Organizacional(O) Personas Físicos Tecnológicos

So categorias nuevas de Loi que no esta Si se refiere a Relacionado con Relacionado a

control de acuerdo al ambito clasificado como individuos objetos físicos aspectos
en que esta relacionado Tecnología, personaso tecnológicos
Tipo de Control(3) físico. Preventivo(P) Detección(D) Correctivo©
El tipo de control es un el control que tiene por el control actúa el control actúa luego
atributo para ver los controles objeto prevenir la cuando ocurre un de que ocurre un
desde la perspectiva de cuándo ocurrencia de un incidente de seguridad incidente de seguridad
y cómo el control modifica el incidente de seguridad de la información de la información
riesgo con respecto a la
ocurrencia de un incidente de
seguridad de la información.

CiberSeguridad(4) Identificar(I) Proteger Detectar Responder

Las funciones proporcionan el Desarrollar la Desarrollar e Desarrollar e Desarrollar e
más alto nivel de estructura comprensión implementar las implementar las implementar las
para organizar actividades organizacional para salvaguardas actividades apropiadas actividades
básicas de ciberseguridad. administrar el riesgo de apropiadas para para identificar la apropiadas para
ciberseguridad de los asegurar la entrega de ocurrencia de un tomar medidas
sistemas, activos, datos y servicios críticos evento de con respecto a
Seguridad de Información(3) capacidades.
Integridad(I) Confidencialidad© ciberseguridad
Disponibilidad(D) un incidente de
Preservación de la propiedad de exactitud y estar disponible para Propiedad de ser ciberseguridad
confidencialidad, integridad y completitud accesos autorizados accesible y utilizable
disponibilidad de la
información

Dominios de Seguridad(4) Gobernanza y Protección (P) Defensa(D) Resilencia(R)®

ecosistema (G)
atributo para ver los controles Gobernanza de los Arquitectura y Gestión Detección y gestión de Continuidad de
desde la perspectiva de cuatro sistemas de información, de seguridad de TI, incidentes las operaciones y
dominios de seguridad de la gestión de riesgos gestión de identidad y gestión de crisis
información acceso, fisico y
ambiental

Capacidades Operativas(15) Valores(6) Gestión de(4) Seguridad de(5)

atributo para ver los controles Gobernanza, Activos, Recursos humanos,
desde la perspectiva del Protección de la Identidad y acceso, Física,
profesional información, Amenazas y Sistemas y redes,
Configuración segura, vulnerabilidades Aplicaciones,
Continuidad, Eventos de SI Relación proveedores,
Legal y cumplimiento,
Garantía de seguridad de
información.
 Recuperar
Desarrollar e
implementar las
actividades
apropiadas para
mantener planes
de resiliencia y
para restaurar las
capacidades o
servicios que se
vieron afectados
debido a un
incidente de
ciberseguridad.
Numeral Controles Descripción Objetivo Temas Tipo
Organizacional Preventivo
Personas Detección
Físico Correctivo
Tecnológico

6.1 6.1 Selección Las verificaciones de antecedentes de Asegurar que todo el personal sea Personas preventivo
todos los candidatos para convertirse en elegible y adecuado para las funciones
personal se deben llevar a cabo antes para las que se considera y permanece
de unirse a la organización y de forma elegibles y adecuados durante su empleo.
continúa teniendo en cuenta las leyes,
regulaciones y ética aplicables y deben ser
proporcionales a los requisitos
comerciales, la clasificación de la
información a la que se accederá y los
riesgos percibidos.

6.2 6.2 Términos y condiciones Personas Preventivo

de empleo Los acuerdos contractuales de empleo Para garantizar que el personal
deben establecer las responsabilidades del comprenda sus responsabilidades de
personal y de la organización para la seguridad de la información para las
seguridad de la información. funciones para las que son considerados
6.3 6.3 Conciencia de seguridad Asegurar que el personal y las partes Personas Preventivo
de la información, educación interesadas relevantes conozcan y
y capacitación El personal de la organización y las partes cumplan con sus responsabilidades de
interesadas pertinentes deben recibir seguridad de la información.
información, educación y capacitación
adecuadas sobre seguridad de la
información y actualizaciones periódicas
de la política de seguridad de la
información de la organización, políticas y
procedimientos específicos del tema,
según sea pertinente para su función
laboral.
6.4 6.4 Proceso disciplinario Se debe formalizar y comunicar un Personas preventivo
proceso disciplinario para tomar medidas Asegurar que el personal y otras partes Correctivo
contra el personal y otras partes interesadas relevantes entiendan las
interesadas consecuencias de la violación de la
pertinentes que hayan cometido una política de seguridad de la información,
violación de la política de seguridad de la disuadir y tratar adecuadamente al
información personal y otras partes interesadas
relevantes que cometieron la violación.
6.5 6.5 Responsabilidades
después de la terminación o
cambio de empleo
6.6 6.6 Acuerdos de
confidencialidad o no
divulgación
6.7 6.7 Trabajo remoto
6.8 6.8 Informes de eventos de
seguridad de la información
To protect the organization’s interests as Personas Preventivo
Las responsabilidades y deberes de part of the process of changing or
seguridad de la información que sigan terminating employment or
siendo válidos después de la contracts.
terminación o el cambio de empleo se
debe definir, hacer cumplir y comunicar al
personal pertinente y a otras partes
interesadas.
mantener la confidencialidad de la Personas Correctivo
Los acuerdos de confidencialidad o no información accesible por el personal o
divulgación que reflejen las necesidades de partes externas
la organización para la protección de la
información deben ser identificados,
documentados, revisados y firmados
periódicamente por el personal y otras
partes interesadas pertinentes
garantizar la seguridad de la información Personas Preventivo
Las medidas de seguridad se deben cuando el personal está trabajando de
implementar cuando el personal trabaje de forma remota.
forma remota para proteger la información
a la que se accede, procesa o almacena
fuera de las instalaciones de la
organización.
Respaldar la notificación oportuna, Personas Detección
La organización debe proporcionar un coherente y eficaz de los eventos de
mecanismo para que el personal informe seguridad de la información que pueden
oportunamente sobre los eventos de ser identificados por el personal.
seguridad de la información observados o
sospechosos a través de los canales
apropiados.
Total
Seguridad CiberSeguridad Capaidad Operacional Dominio indicador
Información Identificar Gobernanza
Confidencialidad Proteger Protección
Integridad Detectar Defensa
Disponibilidad ReSponder Resilencia
ReCuperar

Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y

Integridad ecosistema
Disponibilidad

1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad ecosistema
Disponibilidad

1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad ecosistema
Disponibilidad

1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad Responder ecosistema
Disponibilidad

1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad Gestión de activos ecosistema
Disponibilidad

1
Confidencialidad proteger Seguridad Recursos humanos Gobernanza y
Gestión de activos ecosistema
Acuerdos de Proveedor

1
Confidencialidad Proteger Gestión de Activos Protección
Integridad Protección de información
Disponibilidad Seguridad Físca
Seguridad Sistema y red

1
Confidencialidad Detectar Gestión eventos de SI
Integridad
Disponibilidad

Defensa 1
8
Introducción
1 Alcance
2 Referencias normativas
3 términos, definiciones y términos abreviados
3.1 Términos y definiciones
3.2 Términos abreviados
4 Estructura de este documento
4.1 Cláusulas
4.2 Temas y atributos
5 controles organizacionales
5.1 Políticas para la seguridad de la información
5.2 Roles y responsabilidades de seguridad de la información
5.3 Segregación de deberes
5.4 Responsabilidades de gestión
5.5 Contacto con las autoridades
5.6 Contacto con grupos de interés especial
5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos
5.9 Inventario de información y otros activos asociados
5.10 Uso aceptable de información y otros activos asociados
5.11 Devolución de activos
5.12 Clasificación de información
5.13 Etiquetado de información
5.14 Transferencia de información
5.15 Control de acceso
5.16 Gestión de identidad
5.17 Información de autenticación
5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores
5.20 Abordar la seguridad de la información dentro de los acuerdos de proveedores
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
5.22 Monitoreo, revisión y gestión de cambios de servicios de proveedores
5.23 Seguridad de la información para el uso de servicios en la nube
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
5.25 Evaluación y decisión sobre eventos de seguridad de la información
5.26 Respuesta a incidentes de seguridad de la información
5.27 Aprendiendo de los incidentes de seguridad de la información
5.28 Recopilación de evidencia
5.29 Seguridad de la información durante la interrupción
5.30 Preparación de las TIC para la continuidad del negocio
5.31 Requisitos legales, legales, regulatorios y contractuales
5.32 Derechos de propiedad intelectual
5.33 Protección de registros
5.34 Privacidad y protección de PII
5.35 Revisión independiente de seguridad de la información
5.36 Cumplimiento de políticas, reglas y estándares para la seguridad de la información
5.37 procedimientos operativos documentados
6.1 Detección
6.2 Términos y condiciones de empleo
6.3 Conciencia de seguridad de la información, educación y capacitación
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo remoto
6.8 Informes de eventos de seguridad de la información
7.1 Perímetros de seguridad física
7.2 Entrada física
7.3 Asegurar oficinas, habitaciones e instalaciones
7.4 Monitoreo de seguridad física
7.5 Protección contra amenazas físicas y ambientales
7.6 Trabajando en áreas seguras
7.7 Desk Borrar y Clear Screen
7.8 Equipo y protección de equipos
7.9 Seguridad de activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad de cableado
7.13 Mantenimiento del equipo
7.14 Eliminación o reutilización segura del equipo
8 controles tecnológicos
8.1 Dispositivos de punto final del usuario
8.2 Derechos de acceso privilegiados
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de capacidades
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de configuración
8.10 Deleción de información
8.11 Enmascaramiento de datos
8.12 Prevención de fugas de datos
8.13 copia de seguridad de información
8.14 Redundancia de las instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de monitoreo
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Networks Seguridad
8.21 Seguridad de los servicios de red
8.22 Segregación de redes
8.23 filtrado web
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Principios de arquitectura e ingeniería de sistemas seguros
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 separación de entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de sistemas de información durante las pruebas de auditoría
Anexo A usando atributos
A.1 General
A.2 Vistas de organización
Anexo B Correspondencia de ISO/IEC 27002: 2022 con ISO/IEC 27002: 2013
Introduction
1 Scope
2 Normative references
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
3.2 Abbreviated terms
4 Structure of this document
4.1 Clauses
4.2 Themes and attributes
5 Organizational controls
5.1 Policies for information security
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
5.8 Information security in project management
5.9 Inventory of information and other associated assets
5.10 Acceptable use of information and other associated assets
5.11 Return of assets
5.12 Classification of information
5.13 Labelling of information
5.14 Information transfer
5.15 Access control
5.16 Identity management
5.17 Authentication information
5.18 Access rights
5.19 Information security in supplier relationships
5.20 Addressing information security within supplier agreements
5.21 Managing information security in the ICT supply chain
5.22 Monitoring, review and change management of supplier services
5.23 Information security for use of cloud services
5.24 Information security incident management planning and preparation
5.25 Assessment and decision on information security events
5.26 Response to information security incidents
5.27 Learning from information security incidents
5.28 Collection of evidence
5.29 Information security during disruption
5.30 ICT readiness for business continuity
5.31 Legal, statutory, regulatory and contractual requirements
5.32 Intellectual property rights
5.33 Protection of records
5.34 Privacy and protection of PII
5.35 Independent review of information security
5.36 Compliance with policies, rules and standards for information security
5.37 Documented operating procedures
6.1 Screening
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination or change of employment
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting
7.1 Physical security perimeters
7.2 Physical entry
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.5 Protecting against physical and environmental threats
7.6 Working in secure areas
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities
7.12 Cabling security
7.13 Equipment maintenance
7.14 Secure disposal or re-use of equipment
8 Technological controls
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.6 Capacity management
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information backup
8.14 Redundancy of information processing facilities
8.15 Logging
8.16 Monitoring activities
8.17 Clock synchronization
8.18 Use of privileged utility programs
8.19 Installation of software on operational systems
8.20 Networks security
8.21 Security of network services
8.22 Segregation of networks
8.23 Web filtering
8.24 Use of cryptography
8.25 Secure development life cycle
8.26 Application security requirements
8.27 Secure system architecture and engineering principles
8.28 Secure coding
8.29 Security testing in development and acceptance
8.30 Outsourced development
8.31 Separation of development, test and production environments
8.32 Change management
8.33 Test information
8.34 Protection of information systems during audit testing
Annex A Using attributes
A.1 General
A.2 Organizational views
Annex B Correspondence of ISO/IEC 27002:2022 with ISO/IEC 27002:2013
Introducción Introducción
1 Alcance 1 Alcance
2 Referencias normativas 2 Referencias normativas
3 términos, definiciones y términos abreviados 3 términos, definiciones y términos abrevia
3.1 Términos y definiciones 3.1 Términos y definiciones
3.2 Términos abreviados 3.2 Términos abreviados
4 Estructura de este documento 4 Estructura de este documento
4.1 Cláusulas 4.1 Cláusulas
4.2 Temas y atributos 4.2 Temas y atributos
5 controles organizacionales 5 controles organizacionales
5.1 Políticas para la seguridad de la información 5.1 Políticas para la seguridad de la inform
5.2 Roles y responsabilidades de seguridad de la información 5.2 Roles y responsabilidades de seguridad
5.3 Segregación de deberes 5.3 Segregación de deberes
5.4 Responsabilidades de gestión 5.4 Responsabilidades de gestión
5.5 Contacto con las autoridades 5.5 Contacto con las autoridades
5.6 Contacto con grupos de interés especial 5.6 Contacto con grupos de interés especia
5.7 Inteligencia de amenazas 5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos 5.8 Seguridad de la información en la gesti
5.9 Inventario de información y otros activos asociados 5.9 Inventario de información y otros activ
5.10 Uso aceptable de información y otros activos asociados 5.10 Uso aceptable de información y otros
5.11 Devolución de activos 5.11 Devolución de activos
5.12 Clasificación de información 5.12 Clasificación de información
5.13 Etiquetado de información 5.13 Etiquetado de información
5.14 Transferencia de información 5.14 Transferencia de información
5.15 Control de acceso 5.15 Control de acceso
5.16 Gestión de identidad 5.16 Gestión de identidad
5.17 Información de autenticación 5.17 Información de autenticación
5.18 Derechos de acceso 5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores 5.19 Seguridad de la información en las rel
5.20 Abordar la seguridad de la información dentro de los acuerdos de proveedores 5.20 Abordar la seguridad de la informació
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC 5.21 Gestión de la seguridad de la informa
5.22 Monitoreo, revisión y gestión de cambios de servicios de proveedores 5.22 Monitoreo, revisión y gestión de camb
5.23 Seguridad de la información para el uso de servicios en la nube 5.23 Seguridad de la información para el u
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información 5.24 Planificación y preparación de la gesti
5.25 Evaluación y decisión sobre eventos de seguridad de la información 5.25 Evaluación y decisión sobre eventos d
5.26 Respuesta a incidentes de seguridad de la información 5.26 Respuesta a incidentes de seguridad d
5.27 Aprendiendo de los incidentes de seguridad de la información 5.27 Aprendiendo de los incidentes de seg
5.28 Recopilación de evidencia 5.28 Recopilación de evidencia
5.29 Seguridad de la información durante la interrupción 5.29 Seguridad de la información durante l
5.30 Preparación de las TIC para la continuidad del negocio 5.30 Preparación de las TIC para la continu
5.31 Requisitos legales, legales, regulatorios y contractuales 5.31 Requisitos legales, legales, regulatorio
5.32 Derechos de propiedad intelectual 5.32 Derechos de propiedad intelectual
5.33 Protección de registros 5.33 Protección de registros
5.34 Privacidad y protección de PII 5.34 Privacidad y protección de PII
5.35 Revisión independiente de seguridad de la información 5.35 Revisión independiente de seguridad
5.36 Cumplimiento de políticas, reglas y estándares para la seguridad de la información 5.36 Cumplimiento de políticas, reglas y es
5.37 procedimientos operativos documentados 5.37 procedimientos operativos document
6.1 Detección 6.1 Detección
6.2 Términos y condiciones de empleo 6.2 Términos y condiciones de empleo
6.3 Conciencia de seguridad de la información, educación y capacitación 6.3 Conciencia de seguridad de la informac
6.4 Proceso disciplinario 6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo 6.5 Responsabilidades después de la termi
6.6 Acuerdos de confidencialidad o no divulgación 6.6 Acuerdos de confidencialidad o no divu
6.7 Trabajo remoto 6.7 Trabajo remoto
6.8 Informes de eventos de seguridad de la información 6.8 Informes de eventos de seguridad de la
7.1 Perímetros de seguridad física 7.1 Perímetros de seguridad física
7.2 Entrada física 7.2 Entrada física
7.3 Asegurar oficinas, habitaciones e instalaciones 7.3 Asegurar oficinas, habitaciones e instal
7.4 Monitoreo de seguridad física 7.4 Monitoreo de seguridad física
7.5 Protección contra amenazas físicas y ambientales 7.5 Protección contra amenazas físicas y am
7.6 Trabajando en áreas seguras 7.6 Trabajando en áreas seguras
7.7 Desk Borrar y Clear Screen 7.7 Desk Borrar y Clear Screen
7.8 Equipo y protección de equipos 7.8 Equipo y protección de equipos
7.9 Seguridad de activos fuera de las instalaciones 7.9 Seguridad de activos fuera de las instal
7.10 Medios de almacenamiento 7.10 Medios de almacenamiento
7.11 Utilidades de apoyo 7.11 Utilidades de apoyo
7.12 Seguridad de cableado 7.12 Seguridad de cableado
7.13 Mantenimiento del equipo 7.13 Mantenimiento del equipo
7.14 Eliminación o reutilización segura del equipo 7.14 Eliminación o reutilización segura del
8 controles tecnológicos 8 controles tecnológicos
8.1 Dispositivos de punto final del usuario 8.1 Dispositivos de punto final del usuario
8.2 Derechos de acceso privilegiados 8.2 Derechos de acceso privilegiados
8.3 Restricción de acceso a la información 8.3 Restricción de acceso a la información
8.4 Acceso al código fuente 8.4 Acceso al código fuente
8.5 Autenticación segura 8.5 Autenticación segura
8.6 Gestión de capacidades 8.6 Gestión de capacidades
8.7 Protección contra malware 8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas 8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de configuración 8.9 Gestión de configuración
8.10 Deleción de información 8.10 Deleción de información
8.11 Enmascaramiento de datos 8.11 Enmascaramiento de datos
8.12 Prevención de fugas de datos 8.12 Prevención de fugas de datos
8.13 copia de seguridad de información 8.13 copia de seguridad de información
8.14 Redundancia de las instalaciones de procesamiento de información 8.14 Redundancia de las instalaciones de p
8.15 Registro 8.15 Registro
8.16 Actividades de monitoreo 8.16 Actividades de monitoreo
8.17 Sincronización del reloj 8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados 8.18 Uso de programas de utilidad privileg
8.19 Instalación de software en sistemas operativos 8.19 Instalación de software en sistemas o
8.20 Networks Seguridad 8.20 Networks Seguridad
8.21 Seguridad de los servicios de red 8.21 Seguridad de los servicios de red
8.22 Segregación de redes 8.22 Segregación de redes
8.23 filtrado web 8.23 filtrado web
8.24 Uso de criptografía 8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro 8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación 8.26 Requisitos de seguridad de la aplicació
8.27 Principios de arquitectura e ingeniería de sistemas seguros 8.27 Principios de arquitectura e ingeniería
8.28 Codificación segura 8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación 8.29 Pruebas de seguridad en desarrollo y
8.30 Desarrollo subcontratado 8.30 Desarrollo subcontratado
8.31 separación de entornos de desarrollo, prueba y producción 8.31 separación de entornos de desarrollo
8.32 Gestión de cambios 8.32 Gestión de cambios
8.33 Información de prueba 8.33 Información de prueba
8.34 Protección de sistemas de información durante las pruebas de auditoría 8.34 Protección de sistemas de informació
Anexo A usando atributos Anexo A usando atributos
A.1 General A.1 General
A.2 Vistas de organización A.2 Vistas de organización
Anexo B Correspondencia de ISO/IEC 27002: 2022 con ISO/IEC 27002: 2013 Anexo B Correspondencia de ISO/IEC 2700
finiciones y términos abreviados
definiciones

e este documento

anizacionales
ra la seguridad de la información
ponsabilidades de seguridad de la información
n de deberes
lidades de gestión
on las autoridades
on grupos de interés especial
a de amenazas
de la información en la gestión de proyectos
de información y otros activos asociados
able de información y otros activos asociados
n de activos
ón de información
o de información
ncia de información

ón de autenticación

de la información en las relaciones con los proveedores

a seguridad de la información dentro de los acuerdos de proveedores
e la seguridad de la información en la cadena de suministro de las TIC
o, revisión y gestión de cambios de servicios de proveedores
de la información para el uso de servicios en la nube
ón y preparación de la gestión de incidentes de seguridad de la información
n y decisión sobre eventos de seguridad de la información
a a incidentes de seguridad de la información
ndo de los incidentes de seguridad de la información
ón de evidencia
de la información durante la interrupción
ón de las TIC para la continuidad del negocio
s legales, legales, regulatorios y contractuales
de propiedad intelectual
n de registros
d y protección de PII
ndependiente de seguridad de la información
ento de políticas, reglas y estándares para la seguridad de la información
entos operativos documentados
 condiciones de empleo
de seguridad de la información, educación y capacitación

lidades después de la terminación o cambio de empleo

e confidencialidad o no divulgación

e eventos de seguridad de la información

de seguridad física

ficinas, habitaciones e instalaciones

de seguridad física
contra amenazas físicas y ambientales
en áreas seguras
r y Clear Screen
otección de equipos
de activos fuera de las instalaciones
e almacenamiento

de cableado
miento del equipo
n o reutilización segura del equipo

s de punto final del usuario

e acceso privilegiados
de acceso a la información
ódigo fuente

capacidades
contra malware
vulnerabilidades técnicas
configuración
de información
amiento de datos
n de fugas de datos
eguridad de información
cia de las instalaciones de procesamiento de información

es de monitoreo
ción del reloj
ogramas de utilidad privilegiados
n de software en sistemas operativos

de los servicios de red

ón de redes

da de desarrollo seguro
s de seguridad de la aplicación
 de arquitectura e ingeniería de sistemas seguros

e seguridad en desarrollo y aceptación

o subcontratado
n de entornos de desarrollo, prueba y producción

ón de prueba
n de sistemas de información durante las pruebas de auditoría

spondencia de ISO/IEC 27002: 2022 con ISO/IEC 27002: 2013