No. Qu debemos cumplir?

1 A.5.1.1_Polticas para la seguridad de

la informacin

2 A.5.1.2_Revisin de polticas de
seguridad de la informacin

3 A.6.1.1_Roles y responsabilidades
para la seguridad de la informacin
4 A.6.1.2_Segregacin de tareas

5 A.6.1.3_Contacto con autoridades

6 A.6.1.4_Contacto con grupos de

especial inters

7 A.6.1.5_Seguridad de la informacin
en la administracin de proyectos

8 A.6.2.1_Poltica de dispositivos mvil

9 A.6.2.2_Teletrabajo

10 A.7.1.1_Investigacin

11 A.7.1.2_Trminos y condiciones del

empleo
12 A.7.2.1_Responsabilidades de la
Direccin

13 A.7.2.2_Concientizacin, educacin y
capacitacin en seguridad de la
informacin

14 A.7.2.3_Proceso disciplinario

15 A.7.3.1_Responsabilidades en la
terminacin o cambio de empleo

16 A.8.1.1_Inventario de activos

17 A.8.1.2_Propiedad de los activos

18 A.8.1.3_Uso aceptable de los activos

19 A.8.1.4_Devolucin de activos

20 A.8.2.1_Clasificacin de informacin

21 A.8.2.2_Etiquetado de informacin
22 A.8.2.3_Manejo de activos

23 A.8.3.1_Gestin de medios removibles

24 A.8.3.2_Disposicin de medios.

25 A.8.3.3_Transferencia de medios
fsicos

26 A.9.1.1_Poltica de control de acceso

27 A.9.1.2_Acceso a las redes y los

servicios de la red

28 A.9.2.1_Registro y cancelacin de
usuarios

29 A.9.2.2_Provisin de acceso de
usuarios

30 A.9.2.3_Gestin de derechos de
acceso privilegiado
31 A.9.2.4_Gestin de informacin
secreta de autenticacin de los
32 usuarios
A.9.2.5_Revisin de los derechos de
acceso de usuario
33 A.9.2.6_Eliminacin o ajuste de los
derechos de acceso

34 A.9.3.1_Uso de informacin secreta de

autentificacin
35 A.9.4.1_Restriccin de acceso a la
informacin

36 A.9.4.2_Procedimientos de inicio de
sesin seguros

37 A.9.4.3_Sistema de administracin de
contraseas
38 A.9.4.4_Uso de privilegios de los
programas de utilidades

39 A.9.4.5_Control de acceso a cdigo

fuente del programa
40 A.10.1.1_Poltica sobre el uso de
controles criptogrficos

41 A.10.1.2_Gestin de llaves

42 A.11.1.1_Permetro de seguridad fsica

43 A.11.1.2_Controles fsicos de entrada

44 A.11.1.3_Aseguramiento de oficinas,
salas e instalaciones
45 A.11.1.4_Proteccin contra amenazas
externas y ambientales
46 A.11.1.5_Trabajo en reas seguras

47 A.11.1.6_reas de entrega y carga

48 A.11.2.1_Ubicacin y proteccin de
equipo

49 A.11.2.2_Servicios pblicos

50 A.11.2.3_Seguridad del cableado

51 A.11.2.4_Mantenimiento de equipo

52 A.11.2.5_Retiro de activos

53 A.11.2.6_Seguridad de los equipos y

activos fuera de las instalaciones

54 A.11.2.7_Disposicin o reutilizacin
segura del equipo

55 A.11.2.8_Equipo de usuario
desatendido
56 A.11.2.9_Poltica de pantalla y
escritorio limpio

57 A.12.1.1_Procedimientos operativos
documentados
58 A.12.1.2_Gestin de cambios

59 A.12.1.3_Gestin de la capacidad
60 A.12.1.4_Separacin de entornos de
desarrollo, pruebas y operacin.

61 A.12.2.1_Controles contra malware

62 A.12.3.1_Respaldos de informacin

63 A.12.4.1_Registro de eventos

64 A.12.4.2_Proteccin del registro de la

informacin de actividades en
sistemas
65 A.12.4.3_Registros (log) del
administrador y operador

66 A.12.4.4_Sincronizacin del reloj

67 A.12.5.1_Control de software
operacional
68 A.12.6.1_Gestin de vulnerabilidades
tcnicas

69 A.12.6.2_Restricciones en la
instalacin de software
70 A.12.7.1_Controles de auditora a los
sistemas de informacin.

71 A.13.1.1_Controles de red
72 A.13.1.2_Seguridad en los servicios de
red

73 A.13.1.3_Segregacin de redes

74 A.13.2.1_Polticas y procedimientos de
transferencia de informacin

75 A.13.2.2_Acuerdos de transferencia de
informacin

76 A.13.2.3_Mensajera electrnica

77 A.13.2.4_Acuerdos de confidencialidad
o no divulgacin

78 A.14.1.1_Anlisis y especificacin de
requisitos de seguridad

79 A.14.1.2_Servicios de aplicaciones
seguras en redes pblicas

80 A.14.1.3_Proteccin de aplicaciones de
servicios de transacciones

81 A.14.2.1_Poltica de desarrollo seguro

82 A.14.2.2_Procedimientos de control de
cambios a sistemas

83 A.14.2.3_Revisin tcnica de
aplicaciones despus de cambios en
la plataforma de operacin.

84 A.14.2.4_Restricciones a los cambios

en los paquetes de software

85 A.14.2.5_Principios de ingeniera en
sistemas seguros

86 A.14.2.6_Entorno de desarrollo seguro

87 A.14.2.7_Desarrollo de sistemas
subcontratado (outsourcing)
88 A.14.2.8_Pruebas de seguridad a
sistemas
89 A.14.2.9_Pruebas de aceptacin a los
sistemas.

90 A.14.3.1_Proteccin de datos prueba

91 A.15.1.1_Poltica de seguridad de la
informacin para la relacin con
proveedores

92 A.15.1.2_Abordar la seguridad dentro

los acuerdos con proveedores

93 A.15.1.3_Cadena de suministro en
tecnologas de la informacin y
comunicaciones
94 A.15.2.1_Monitoreo y revisin de los
servicios de proveedores
95 A.15.2.2_Gestin de cambios a los
servicios de proveedores

96 A.16.1.1_Responsabilidades y
procedimientos para la gestin de
incidentes de seguridad
97 A.16.1.2_Reporte de eventos de
seguridad de la informacin

98 A.16.1.3_Reporte de debilidades de
seguridad de la informacin

99 A.16.1.4_Evaluacin y decisin sobre

eventos de seguridad de la
informacin
100 A.16.1.5_Respuesta a incidentes de
seguridad de la informacin

101 A.16.1.6_Aprendizaje de incidentes de

seguridad de la informacin

102 A.16.1.7_Recopilacin de evidencia

103 A.17.1.1_Planeacin de la continuidad

de la seguridad de la informacin
104 A.17.1.2_Implementando la
continuidad de la seguridad de la
informacin

105 A.17.1.3_Verificacin, revisin y

evaluacin de la continuidad de la
seguridad de la informacin

106 A.17.2.1_Disponibilidad de las

instalaciones de procesamiento de la
informacin
107 A.18.1.1_Identificacin de la
legislacin aplicable y requisitos
contractuales

108 A.18.1.2_Derechos de propiedad

intelectual

109 A.18.1.3_Proteccin de registros

110 A.18.1.4_Privacidad y proteccin de

informacin de identificacin personal

111 A.18.1.5_Regulacin de controles

criptogrficos
112 A.18.2.1_Revisin independiente de la
seguridad de la informacin

113 A.18.2.2_Cumplimiento con polticas y

normas de seguridad

114 A.18.2.3_Inspeccin de cumplimiento

tcnico
 Objetivo de
Descripcin del control Dominio
control
Se debe definir, aprobar por la direccin,
publicar y comunicar a todos los empleados y
partes externas relevantes, un conjunto de 5.1 5
polticas para la seguridad de la informacin.
Las polticas para la seguridad de la
informacin deben revisarse a intervalos
planeados o si ocurren cambios significativos 5.1 5
para garantizar su continua idoneidad,
adecuacin y eficacia.
Todas las responsabilidades de la seguridad de
6.1 6
la informacin deben definirse y asignarse.
Las tareas en conflicto y reas de
responsabilidad deben segregarse para reducir
las oportunidades de modificacin no 6.1 6
autorizada, no intencional o mal uso de los
activos de la organizacin.
Se deben mantener contactos apropiados con
6.1 6
las autoridades relevantes.
Se deben mantener contactos apropiados con
grupos especiales de inters u otros foros de 6.1 6
seguridad especializados y asociaciones
profesionales.
La seguridad de la informacin debe incluirse
en la administracin de proyectos, 6.1 6
independientemente del tipo de proyecto.
Se debe adoptar una poltica y medidas de
seguridad de soporte para gestionar los riesgos 6.2 6
introducidos por el uso de dispositivos mviles.
Se debe implementar una poltica y medidas de
seguridad de soporte para proteger el acceso,
proceso o almacenamiento de la informacin 6.2 6
en los sitios de trabajo a distancia.
Se deben llevar a cabo verificaciones de
antecedentes a todos los candidatos al empleo
de acuerdo con las leyes, regulaciones
relevantes y la tica, y deben ser 7.1 7
proporcionales a los requisitos del negocio, la
clasificacin de la informacin a la que se
accede y los riesgos percibidos.
Los acuerdos contractuales con los empleados
y contratistas deben indicar sus 7.1 7
responsabilidades y las de la organizacin para
la seguridad de la informacin.
La direccin debe exigir a todos los empleados
y contratistas aplicar la seguridad de la
informacin de acuerdo con las polticas y 7.2 7
procedimientos establecidos en la
organizacin.
Todos los empleados de la organizacin y,
cuando sea relevante, contratistas deben
recibir concientizacin, educacin y 7.2 7
capacitacin apropiada y actualizaciones
regulares de polticas y procedimientos
organizacionales, cuando sea relevante para
Debe haber y comunicarse un proceso
disciplinario formal para tomar acciones contra 7.2 7
empleados que hayan cometido una violacin a
la seguridad de la informacin.
Las responsabilidades de la seguridad de la
informacin y obligaciones que permanecen
vlidos despus de la terminacin o el cambio 7.3 7
de empleo deben estar definidos, comunicados
a los empleados o contratistas y hacerse
cumplir.
Se deben identificar los activos asociados con
informacin e instalaciones de procesamiento
de informacin y se debe elaborar y mantener 8.1 8
un inventario de estos activos.
Los activos incluidos en el inventario deben
8.1 8
contar con un propietario.
Se debe identificar, documentar e implementar
reglas para el uso aceptable de la informacin
y de los activos asociados con la informacin y 8.1 8
las instalaciones de procesamiento de la
informacin.
Todos los empleados y los usuarios de partes
externas deben devolver todos los activos de la
organizacin en su posesin a la terminacin 8.1 8
de su empleo, contrato o acuerdo.
La informacin debe ser clasificada en trminos
de requisitos legales, valor, criticidad y 8.2 8
sensibilidad de su divulgacin o modificacin
no autorizada.
Se debe desarrollar e implementar un
apropiado conjunto de procedimientos para el
etiquetado de la informacin de acuerdo con el 8.2 8
esquema de clasificacin de la informacin
adoptado por la organizacin.
Se deben desarrollar e implementar
procedimientos para el manejo de activos de
acuerdo con el esquema de clasificacin de la 8.2 8
informacin adoptado por la organizacin.
Se deben implementar procedimientos para la
gestin de medios removibles de acuerdo con 8.3 8
el esquema de clasificacin adoptado por la
organizacin.
Se deben disponer de manera segura los
8.3 8
medios cuando ya no se requieran, utilizando
procedimientos formales.
Se deben proteger los medios que contengan
informacin contra acceso no autorizado, mal 8.3 8
uso o corrupcin durante la transportacin.
Se debe establecer, documentar y revisar una
poltica de control de acceso basada en los 9.1 9
requisitos del negocio y de la seguridad de la
informacin.
Se debe proporcionar a los usuarios
nicamente el acceso a la red y servicios de la 9.1 9
red para los que hayan sido especficamente
autorizados.
Se debe implementar un proceso formal de
registro y cancelacin de usuarios para permitir 9.2 9
la asignacin de derechos de acceso.
Se debe implementar un proceso formal para la
provisin de acceso a usuarios para asignar o
revocar derechos de acceso para todos los 9.2 9
tipos de usuarios a todos los sistemas y
servicios.
La asignacin y uso de los derechos de acceso
9.2 9
privilegiado deben restringirse y controlarse.
La asignacin de informacin secreta de
9.2 9
autenticacin debe controlarse a travs de un
proceso de gestin
Los propietarios de formal.
activos deben revisar los
9.2 9
derechos de acceso de los usuarios a intervalos
regulares.
Los derechos de acceso de todos los
empleados y usuarios de partes externas a la
informacin e instalaciones de procesamiento 9.2 9
de la informacin deben ser eliminados
despus de la terminacin de su empleo,
contrato o acuerdo, o adaptados a los cambios
Se debe exigir a los usuarios que sigan las
prcticas de la organizacin en el uso de su 9.3 9
informacin secreta de autenticacin.
Se debe restringir el acceso a la informacin y
a las funciones de las aplicaciones de los 9.4 9
sistemas de acuerdo con la poltica de control
de acceso.
Cuando se requiere por la poltica de control de
acceso, el acceso a los sistemas y aplicaciones 9.4 9
debe controlarse por un procedimiento de inicio
de sesin seguro.
Los sistemas de administracin de contraseas
9.4 9
deben ser interactivos y deben asegurar
contraseas de calidad.
El uso de programas de utilidades que puedan
ser capaces de anular los controles del sistema 9.4 9
y de las aplicaciones deben estar restringidas y
estrechamente controladas.
Se debe restringir el acceso al cdigo fuente
9.4 9
del programa.
Se debe desarrollar e implementar una poltica
sobre el uso de controles criptogrficos para la 10.1 10
proteccin de la informacin.
Se debe desarrollar e implementar una poltica
sobre el uso, proteccin y tiempo de vida de las 10.1 10
llaves criptogrficas, a travs de todo su ciclo
de vida.
Se deben definir y utilizar permetros de
seguridad para proteger las reas que
contienen informacin ya sea sensible o crtica 11.1 11
y las instalaciones de procesamiento de la
informacin.
Se deben proteger las reas seguras mediante
controles de entrada apropiados para 11.1 11
garantizar que slo el personal autorizado
tenga acceso permitido.
Se debe disear y aplicar seguridad fsica para
11.1 11
oficinas, salas e instalaciones.
Se debe disear y aplicar proteccin fsica
11.1 11
contra desastres naturales, ataques maliciosos
o
Seaccidentes.
deben disear y aplicar procedimientos para
11.1 11
trabajar en reas seguras.
Los puntos de acceso, tales como las reas de
entrega y carga y otros puntos en los que
personas no autorizadas puedan entrar en las
instalaciones deben ser controlados y, si es 11.1 11
posible, aislados de las instalaciones de
procesamiento de la informacin para evitar
acceso no autorizado.
El equipo debe estar situado y protegido para
reducir los riesgos de amenazas ambientales y 11.2 11
peligros, y las oportunidades para el acceso no
autorizado.
El equipo debe estar protegido contra fallas de
energa y otras interrupciones causadas por 11.2 11
fallas en los servicios pblicos.
El cableado de energa y telecomunicaciones
que transporten datos o soporten los servicios
de la informacin deben protegerse de 11.2 11
intercepcin, interferencia y dao.
El equipo debe mantenerse correctamente para
11.2 11
asegurar su continua disponibilidad e
integridad.
No se debe sacar del sitio sin autorizacin
11.2 11
previa el equipo, informacin o software.
Se debe aplicar seguridad a los activos fuera
de las instalaciones tomando en cuenta los 11.2 11
diferentes riesgos de trabajar fuera de las
instalaciones de la organizacin.
Todos los elementos del equipo que contiene
medios de almacenamiento deben ser
verificados para garantizar que cualquier dato 11.2 11
sensible y software licenciado ha sido
eliminado o sobrescrito de manera segura
previo a su disposicin o reutilizacin.
Los usuarios deben garantizar que el equipo
11.2 11
desatendido tenga la proteccin adecuada.
Se debe adoptar una poltica de escritorio
limpio de papeles y medios de almacenamiento
removibles y una poltica de pantalla limpia 11.2 11
para las instalaciones de procesamiento de la
informacin.
Deben documentarse los procedimientos
12.1 12
operativos y estar disponibles para todos los
usuarios
Se debenque los necesiten.
controlar los cambios en la
organizacin, procesos de negocio,
instalaciones de procesamiento de la 12.1 12
informacin y sistemas que afecten a la
seguridad de la informacin.
El uso de recursos debe monitorearse, afinarse
para realizar proyecciones de los requisitos
futuros de la capacidad para garantizar el 12.1 12
desempeo requerido de los sistemas.
Se deben separar los entornos de desarrollo,
pruebas y operacin para reducir los riesgos de 12.1 12
acceso no autorizado o cambios al entorno de
operacin.
Se deben implementar controles de deteccin,
prevencin y recuperacin para protegerse 12.2 12
contra malware y combinarse con una
apropiada concientizacin a usuarios.
Copias de respaldos de la informacin, software
e imgenes de sistemas deben realizarse y
probarse regularmente de acuerdo con la 12.3 12
poltica de respaldos acordada.
Se deben generar, mantener y revisar
regularmente los registros de eventos de las
actividades de usuarios, excepciones, fallas y 12.4 12
eventos de seguridad de la informacin.
Se deben proteger contra acceso no autorizado
y manipulacin la informacin del registro (log) 12.4 12
e infraestructura.
Se deben registrar, proteger y revisar los
registros de eventos (log) de las actividades del 12.4 12
administrador y del operador de sistemas.
Los relojes de todos los sistemas de
procesamiento de la informacin relevantes
dentro de la organizacin o dominio de 12.4 12
seguridad deben estar sincronizados con una
sola fuente de tiempo de referencia.
Se deben implementar procedimientos para
12.5 12
controlar la instalacin de software en sistemas
operacionales.
Se debe obtener informacin acerca de las
vulnerabilidades tcnicas de los sistemas de
informacin que estn siendo utilizados de
manera oportuna, evaluar la exposicin de la 12.6 12
organizacin a tales vulnerabilidades y tomar
medidas apropiadas para tratar los riesgos
asociados.
Se debe establecer e implementar reglas que
12.6 12
gobiernen la instalacin de software por los
usuarios.
Los requisitos de la auditora y las actividades
que implican la verificacin de los sistemas
operacionales deben planearse y acordarse 12.7 12
cuidadosamente para minimizar las
interrupciones a los procesos del negocio.
Las redes deben gestionarse y controlarse para
13.1 13
proteger la informacin en los sistemas y
aplicaciones.
Los mecanismos de seguridad, niveles de
servicio y los requisitos de gestin para todos
los servicios de la red deben identificarse e 13.1 13
incluirse en los acuerdos de servicios de red, ya
sea que estos servicios sean provistos
internamente o se subcontraten.
Los grupos de servicios de informacin,
usuarios y sistemas de informacin deben estar 13.1 13
segregados en las redes.
Deben existir polticas formales de
transferencia, procedimientos y controles para
proteger la transferencia de informacin a 13.2 13
travs del uso de cualquier tipo de medio de
comunicacin.
Los acuerdos deben abordar la transferencia
segura de la informacin del negocio entre la 13.2 13
organizacin y partes externas.
La informacin involucrada en mensajes
13.2 13
electrnicos debe estar protegida
apropiadamente.
Se deben identificar, revisar regularmente y
documentar los requisitos para los acuerdos de
confidencialidad o no divulgacin reflejando las 13.2 13
necesidades de la organizacin para la
proteccin de la informacin.
Los requisitos relacionados con la seguridad de
la informacin deben estar incluidos en los
requisitos para los nuevos sistemas de 14.1 14
informacin o mejoras a los sistemas de
informacin existentes.
La informacin involucrada en servicios de
aplicaciones que pasan sobre redes pblicas
debe estar protegida de actividades 14.1 14
fraudulentas, disputas contractuales y
exposicin no autorizada y modificacin.
La informacin involucrada en transacciones de
servicios de aplicacin debe estar protegida
para prevenir transmisin incompleta, errores
de enrutamiento, alteracin de mensajes no 14.1 14
autorizados, divulgacin no autorizada,
duplicacin del mensaje no autorizado o
reproduccin.
Deben establecerse y aplicarse reglas para el
desarrollo de software y sistemas en los 14.2 14
desarrollos dentro de la organizacin.
Los cambios a los sistemas dentro del ciclo de
vida del desarrollo deben controlarse mediante 14.2 14
el uso de procedimientos formales de control
de cambios.
Cuando cambian las plataformas operativas,
las aplicaciones crticas del negocio deben
revisarse y probarse para garantizar que no 14.2 14
hay un impacto adverso en las operaciones de
la organizacin o en la seguridad.
Se deben disuadir las modificaciones a los
paquetes de software, limitar a los cambios 14.2 14
necesarios y todos los cambios deben estar
estrictamente controlados.
Se deben establecer, documentar, mantener y
aplicar principios de ingeniera para sistemas 14.2 14
seguros a cualquier esfuerzo de
implementacin de sistemas de informacin.
Las organizaciones deben establecer y proteger
apropiadamente los entornos de desarrollo
seguro para el desarrollo del sistema y los 14.2 14
esfuerzos de integracin que cubran todo el
ciclo de vida del desarrollo del sistema.
La organizacin debe supervisar y monitorear
14.2 14
la actividad del desarrollo de sistemas
subcontratados (outsourcing).
Se deberan realizar pruebas de funcionalidad
14.2 14
en aspectos de seguridad durante las etapas
del desarrollo.
Se deben establecer programas de pruebas de
aceptacin y criterios relacionados para los 14.2 14
nuevos sistemas de informacin,
actualizaciones y nuevas versiones.
Los datos de prueba deben seleccionarse,
14.3 14
protegerse y controlarse cuidadosamente.
Se deben acordar con los proveedores y
documentarse los requisitos de seguridad de la
informacin para la mitigacin de los riesgos 15.1 15
asociados con el acceso de proveedores a los
activos de la organizacin.
Todos los requisitos de seguridad de la
informacin relevantes deben establecerse y
acordarse con cada proveedor que pueda 15.1 15
acceder, procesar, almacenar, comunicar, o
proporcionar componentes de la infraestructura
de TI de la informacin de la organizacin.
Los acuerdos con proveedores deben incluir los
requisitos para tratar los riesgos de seguridad
de la informacin asociados con la informacin 15.1 15
y los servicios de tecnologa de las
comunicaciones y la cadena de suministro de
productos.
Las organizaciones deben monitorear, revisar y
15.2 15
auditar regularmente la entrega del servicio de
proveedores.
Los cambios en la provisin de servicios por
parte de proveedores, incluyendo el
mantenimiento y la mejora de las polticas de
seguridad de la informacin existentes, 15.2 15
procedimientos y controles, deben ser
administrados, tomando en cuenta la criticidad
de la informacin del negocio, sistemas y
procesos involucrados y la revaloracin de los
Se deben establecer responsabilidades y
procedimientos de gestin para garantizar una 16.1 16
rpida, eficaz y ordenada respuesta a los
incidentes de seguridad de la informacin.
Los eventos de seguridad de la informacin
deben reportarse a travs de canales de 16.1 16
gestin apropiados tan rpido como sea
posible.
Se debe exigir a los empleados y contratistas
que utilizan los sistemas y servicios de
informacin de la organizacin anotar e 16.1 16
informar cualquier debilidad de seguridad de la
informacin observada o sospechosa en los
sistemas y servicios.
Los eventos de seguridad de la informacin
deben evaluarse y se debe decidir si son 16.1 16
clasificados como incidentes de seguridad de la
informacin.
Se debe responder a los incidentes de
seguridad de la informacin de acuerdo con los 16.1 16
procedimientos documentados.
El conocimiento obtenido a partir del anlisis y
la resolucin de incidentes de seguridad de la
informacin debe utilizarse para reducir la 16.1 16
probabilidad o el impacto de futuros incidentes.
La organizacin debe definir y aplicar
procedimientos para la identificacin,
recopilacin, adquisicin y preservacin de la 16.1 16
informacin que puede servir como evidencia.
La organizacin debe determinar sus requisitos
de seguridad de la informacin y la continuidad
de la gestin de seguridad de la informacin en 17.1 17
situaciones adversas, por ejemplo, durante una
crisis o desastre.
La organizacin debe establecer, documentar,
implementar y mantener procesos,
procedimientos y controles para garantizar el 17.1 17
nivel requerido de continuidad para la
seguridad de la informacin durante una
situacin adversa.
La organizacin debe verificar los controles de
continuidad de seguridad de la informacin
establecidos e implementados a intervalos 17.1 17
regulares con el objetivo de garantizar que son
vlidos y eficaces durante situaciones
adversas.
Las instalaciones de procesamiento de la
informacin deben implementarse con 17.2 17
suficiente redundancia para cumplir con los
requisitos de disponibilidad.
Todos los requisitos legislativos, regulatorios,
contractuales relevantes y el enfoque de la
organizacin para cumplir con estos requisitos
deben estar explcitamente identificados, 18.1 18
documentados y mantenerse actualizados para
cada sistema de informacin y la organizacin.

Se deben implementar procedimientos

apropiados para garantizar el cumplimiento con
los requisitos legislativos, regulatorios y 18.1 18
contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de
software patentado.
Los registros deben estar protegidos contra
prdida, destruccin, falsificacin, acceso no
autorizado y divulgacin no autorizada, de 18.1 18
acuerdo con los requisitos legales, regulatorios,
contractuales y de negocios.
Se debe asegurar la privacidad y proteccin de
la informacin de identificacin personal
conforme sea requerido en la legislacin y 18.1 18
regulacin relevante aplicable.
Los controles criptogrficos deben ser usados
en cumplimiento con todos los acuerdos, 18.1 18
legislacin y regulaciones relevantes.
El enfoque de la organizacin para la gestin
de la seguridad de la informacin y su
implementacin (es decir, objetivos de control,
controles, polticas, procesos y procedimientos 18.2 18
para la seguridad de la informacin) deben ser
revisados independientemente a intervalos
planeados o cuando se ocurran cambios
Los gerentes deben revisar regularmente el
cumplimiento del procesamiento de la
informacin y procedimientos dentro de su rea 18.2 18
de responsabilidad con las polticas de
seguridad apropiadas, normas y cualquier otro
requisito de seguridad.
Los sistemas de informacin deben ser
revisados regularmente para su cumplimiento 18.2 18
con las polticas y normas de seguridad de la
informacin de la organizacin.