1. CMMI (Capability Maturity Model Integration)
En español: "Modelo de Capacidad y Madurez Integrado".
1.1. Constelación "Desarrollo"
Áreas de proceso (Versión 1.3):
1.1. Constelación "Desarrollo"
Áreas de proceso (Versión 1.3):
2. PMBOK (Project Management Body Of Knowlwdge)
En español: Cuerpo de Conocimiento de Gestión de Proyectos.
PMBOK 5.
GRUPOS DE PROCESOS DE LA DIRECCIÓN DE PROYECTOS:
I. Grupo de Procesos de Inicio
II. Grupo de Procesos de Planificación
III. Grupo de Procesos de Ejecución
IV. Grupo de Procesos de Monitoreo y Control
V. Grupo de Procesos de Cierre
ÁREAS DE CONOCIMIENTO Y PROCESOS:
PMBOK 5.
GRUPOS DE PROCESOS DE LA DIRECCIÓN DE PROYECTOS:
I. Grupo de Procesos de Inicio
II. Grupo de Procesos de Planificación
III. Grupo de Procesos de Ejecución
IV. Grupo de Procesos de Monitoreo y Control
V. Grupo de Procesos de Cierre
ÁREAS DE CONOCIMIENTO Y PROCESOS:
1. Gestión de la Integración del Proyecto
1.1 DESARROLLAR
EL ACTA DE CONSTITUCIÓN DEL PROYECTO
1.2 DESARROLLAR
EL PLAN PARA LA DIRECCIÓN DEL PROYECTO
1.3 DIRIGIR
Y GESTIONAR EL TRABAJO DEL PROYECTO
1.4 MONITOREAR
Y CONTROLAR EL TRABAJO DEL PROYECTO
1.5 REALIZAR
EL CONTROL INTEGRADO DE CAMBIOS
1.6 CERRAR
EL PROYECTO O FASE
2. Gestión del Alcance del Proyecto
2.1 PLANIFICAR LA GESTIÓN DEL ALCANCE
2.2 RECOPILAR REQUISITOS
2.3 DEFINIR EL ALCANCE
2.4 CREAR LA EDT – ESTRUCTURA DE DESGLOSE DEL TRABAJO WBS
2.5 VALIDAR EL ALCANCE
2.6 CONTROLAR EL ALCANCE
3. Gestión del Tiempo del Proyecto
3.1 PLANIFICAR LA GESTIÓN DEL CRONOGRAMA
3.2 DEFINIR LAS ACTIVIDADES
3.3 SECUENCIAR LAS ACTIVIDADES
3.4 ESTIMAR LOS RECURSOS DE LAS ACTIVIDADES
3.5 ESTIMAR LA DURACIÓN DE LAS ACTIVIDADES
3.6 DESARROLLAR EL CRONOGRAMA
3.7 CONTROLAR EL CRONOGRAMA
4. Gestión de los Costos del Proyecto
4.1 PLANIFICAR LA GESTIÓN DE COSTOS
4.2 ESTIMAR LOS COSTOS
4.3 DETERMINAR EL PRESUPUESTO
4.4 CONTROLAR LOS COSTOS
5. Gestión de la Calidad del Proyecto
5.1 PLANIFICAR LA GESTIÓN DE CALIDAD
5.2 REALIZAR EL ASEGURAMIENTO DE CALIDAD
5.3 CONTROLAR LA CALIDAD
6. Gestión de los Recursos Humanos del Proyecto
6.1 PLANIFICAR LA GESTIÓN DE RECURSOS HUMANOS
6.2 ADQUIRIR EL EQUIPO DEL PROYECTO
6.3 DESARROLLAR EL EQUIPO DEL PROYECTO
6.4 DIRIGIR EL EQUIPO DEL PROYECTO
7. Gestión de las Comunicaciones del Proyecto
7.1 PLANIFICAR LA GESTIÓN DE LAS COMUNICACIONES
7.2 GESTIONAR LAS COMUNICACIONES
7.3 CONTROLAR LAS COMUNICACIONES
8. Gestión de los Riesgos del Proyecto
8.1 PLANIFICAR LA GESTIÓN DE RIESGOS
8.2 IDENTIFICAR LOS RIESGOS
8.3 REALIZAR EL ANÁLISIS CUALITATIVO DE RIESGOS
8.4 REALIZAR EL ANÁLISIS CUANTITATIVO DE RIESGOS
8.5 PLANIFICAR LA RESPUESTA A LOS RIESGOS
8.6 CONTROLAR LOS RIESGOS
9. Gestión de las Adquisiciones del Proyecto
9.1 PLANIFICAR LA GESTIÓN DE ADQUISICIONES DEL PROYECTO
9.2 EFECTUAR LAS ADQUISICIONES
9.3 CONTROLAR LAS ADQUISICIONES
9.4 CERRAR LAS ADQUISICIONES
10. Gestión de los Interesados del Proyecto
10.1 IDENTIFICAR
A LOS INTERESADOS
10.2 PLANIFICAR LA GESTIÓN DE LOS INTERESADOS
10.3 GESTIONAR LA PARTICIPACIÓN DE LOS INTERESADOS
10.4 CONTROLAR LA PARTICIPACIÓN DE LOS INTERESADOS
Correspondencia entre grupos de procesos y áreas de conocimiento de la Dirección de Proyectos
10.2 PLANIFICAR LA GESTIÓN DE LOS INTERESADOS
10.3 GESTIONAR LA PARTICIPACIÓN DE LOS INTERESADOS
10.4 CONTROLAR LA PARTICIPACIÓN DE LOS INTERESADOS
Correspondencia entre grupos de procesos y áreas de conocimiento de la Dirección de Proyectos
3. ITIL (Information Technology Infraestructure Library)
En español: Biblioteca de Infraestructura de Tecnologías de información.
ITIL EDICIÓN 2011
ITIL es una marca registrada de la Oficina del Gabinete del
Gobierno del Reino Unido de la Gran Bretaña e Irlanda del Norte.
1 1. ITIL SERVICE STRATEGY
1.1
Gestión de la Estrategia de los Servicios de TI
1.2
Gestión del Portafolio de Servicios
1.3
Gestión Financiera de los Servicios de TI
1.4
Gestión de la Demanda
1.5
Gestión de Relaciones con el Negocio
2 2. ITIL SERVICE DESIGN
2.1 Coordinación del Diseño
2.2 Gestión del Catálogo de Servicios
2.3 Gestión de Niveles de Servicios
2.4 Gestión de la Disponibilidad
2.5 Gestión de la Capacidad
2.6
Gestión de la Continuidad de Servicios de TI
2.7
Gestión de la Seguridad de la Información
2.8 Gestión de Proveedores
3 3. ITIL SERVICE TRANSITION
3.1
Planeación de la Transición y Soporte
3.2 Gestión de Cambios
3.3
Gestión de Activos y Configuraciones del
Servicio
3.4 Gestión de Liberación y Despliegue
3.5 Validaciones y Pruebas del Servicio
3.6 Evaluación de Cambios
3.7 Gestión del Conocimiento
4 4. ITIL SERVICE OPERATION
4.1 Gestión de Eventos
4.2 Gestión de Incidentes
4.3 Atención de Requerimientos
4.4 Gestión de Problemas
4.5 Gestión de Accesos
5 5. ITIL CONTINUAL SERVICE IMPROVEMENT
5.1 Seven – step Improvement Process
5.1.0 Identificar la Visión y Objetivos
5.1.1 Definir lo que se debe medir
5.1.2 Definir lo que se puede
medir
5.1.3 Recolectar Datos
5.1.4 Procesar los Datos
5.1.5 Analizar la Información
5.1.6 Presentar el Conocimiento
5.1.7 Implementar Acciones
Correctivas
4. COBIT (Control Objectives for Information and Related Technology)
En español: Objetivos de Control para Información y Tecnologías Relacionadas.
COBIT 5
ÁREAS, DOMINIOS Y PROCESOS:
A1. Gobierno de TI
D1. Evaluar, Dirigir y Controlar (EDM)
EDM01: Establecer y Mantener el Marco de Gobierno de TI.
EDM02: Asegurar la Entrega de Beneficios.
EDM03: Asegurar la Optimización de Riesgos.
EDM04: Asegurar la Optimización de Recursos.
EDM05: Asegurar ka Transparencia.
A2. Gestión
D2. Alinear, Planificar, Organizar (APO)
APO01: Gestionar el marco de TI.
APO02: Gestionar la Estrategia.
APO03: Gestionar la Arquitectura Empresarial.
APO04: Gestionar la Innovación.
APO05: Gestionar el Portafolio.
APO06: Gestionar el Presupuesto y los Costos.
APO07: Gestionarlos Recursos Humanos.
APO08: Gestionar las Relaciones.
APO09: Gestionar los Acuerdos de Servicio.
APO010: Gestionar los Proveedores.
APO011: Gestionar la Calidad.
APO012: Gestionar el Riesgo.
APO013: Gestionar la Seguridad.
D3. Construír, Adquirir e Implementar (BAI)
BAI01: Gestionar los Programas y Proyectos.
BAI02: Gestionar la Definición de Requisitos.
BAI03: Gestionar la Identificación de Soluciones.
BAI04: Gestionar la Disponibilidad y Capacidad.
BAI05: Gestionar la Habilitación del Cambio Organizacional.
BAI06: Gestionar los Cambios.
BAI07: Gestionar la Aceptación del Cambio y la Transición.
BAI08: Gestionar el Conocimiento.
BAI09: Gestionar los Activos.
BAI010: Gestionar la Configuración.
D4. Entregar, Servir y Proveer Soporte (DSS)
DSS01: Gestionar Operaciones.
DSS02: Gestionar Solicitudes de Servicio e Incidentes.
DSS03: Gestionar los Problemas.
DSS04: Gestionar Continuidad.
DSS05: Gestionar los Servicios de Seguridad.
DSS06: Gestionar Controles de Procesos del Negocio.
D5. Monitorear, Evaluar y Valorar (MEA)
MEA01: Desempeño y Cumplimiento.
MEA02: Sistema de Control Interno.
MEA03: Cumplimiento de los Requisitos Externos.
ENFOQUES:
E1. Gobierno y Calidad
E2. Estrategia
E3. Servicios
E4. Desarrollo
E5. Prevención
E6. Recursos
PRINCIPIOS:
P1. Satisfacer las necesidades de las partes interesadas.
P2. Cubrir la empresa extremo a extremo.
P3. Aplicar un Marco de Referencia Único Integrado.
P4. Hacer posible un enfoque holístico.
P5. Separar el Gobierno de la Gestión.
COBIT 5
ÁREAS, DOMINIOS Y PROCESOS:
A1. Gobierno de TI
D1. Evaluar, Dirigir y Controlar (EDM)
EDM01: Establecer y Mantener el Marco de Gobierno de TI.
EDM02: Asegurar la Entrega de Beneficios.
EDM03: Asegurar la Optimización de Riesgos.
EDM04: Asegurar la Optimización de Recursos.
EDM05: Asegurar ka Transparencia.
A2. Gestión
D2. Alinear, Planificar, Organizar (APO)
APO01: Gestionar el marco de TI.
APO02: Gestionar la Estrategia.
APO03: Gestionar la Arquitectura Empresarial.
APO04: Gestionar la Innovación.
APO05: Gestionar el Portafolio.
APO06: Gestionar el Presupuesto y los Costos.
APO07: Gestionarlos Recursos Humanos.
APO08: Gestionar las Relaciones.
APO09: Gestionar los Acuerdos de Servicio.
APO010: Gestionar los Proveedores.
APO011: Gestionar la Calidad.
APO012: Gestionar el Riesgo.
APO013: Gestionar la Seguridad.
D3. Construír, Adquirir e Implementar (BAI)
BAI01: Gestionar los Programas y Proyectos.
BAI02: Gestionar la Definición de Requisitos.
BAI03: Gestionar la Identificación de Soluciones.
BAI04: Gestionar la Disponibilidad y Capacidad.
BAI05: Gestionar la Habilitación del Cambio Organizacional.
BAI06: Gestionar los Cambios.
BAI07: Gestionar la Aceptación del Cambio y la Transición.
BAI08: Gestionar el Conocimiento.
BAI09: Gestionar los Activos.
BAI010: Gestionar la Configuración.
D4. Entregar, Servir y Proveer Soporte (DSS)
DSS01: Gestionar Operaciones.
DSS02: Gestionar Solicitudes de Servicio e Incidentes.
DSS03: Gestionar los Problemas.
DSS04: Gestionar Continuidad.
DSS05: Gestionar los Servicios de Seguridad.
DSS06: Gestionar Controles de Procesos del Negocio.
D5. Monitorear, Evaluar y Valorar (MEA)
MEA01: Desempeño y Cumplimiento.
MEA02: Sistema de Control Interno.
MEA03: Cumplimiento de los Requisitos Externos.
ENFOQUES:
E1. Gobierno y Calidad
E2. Estrategia
E3. Servicios
E4. Desarrollo
E5. Prevención
E6. Recursos
PRINCIPIOS:
P1. Satisfacer las necesidades de las partes interesadas.
P2. Cubrir la empresa extremo a extremo.
P3. Aplicar un Marco de Referencia Único Integrado.
P4. Hacer posible un enfoque holístico.
P5. Separar el Gobierno de la Gestión.
5. ISO 27000 - Descripción & Vocabulario
Proporciona terminología y relacionamiento entre las normas 27000.
6. ISO 27001 - Requisitos SGSI
Proporciona los fundamentos de un SGSI.
7. ISO/IEC 27002 - Código de Prácticas
Proporciona las mejores prácticas de control.
ISO 27002: 2013
DOMINIOS: (14)
D1. POLÍTICAS DE SEGURIDAD
D2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
D3. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
D4. GESTIÓN DE ACTIVOS
D5. CONTROL DE ACCESOS
D6. CIFRADO
D7. SEGURIDAD FÍSICA Y AMBIENTAL
D8. SEGURIDAD EN LA OPERATIVA
D9. SEGURIDAD EN LAS TELECOMUNICACIONES
D10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
D11. RELACIONES CON SUMINISTRADORES
D12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
D13. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
D14. CUMPLIMIENTO
OBJETIVOS DE CONTROL: (35)
O1. DIRECTRICES DE LA DIRECCIÓN EN SEGURIDAD DE LA INFORMACIÓN
O2. ORGANIZACIÓN INTERNA
O3. DISPOSITIVOS PARA MOVILIDAD Y TELETRABAJO
O4. ANTES DE LA CONTRATACIÓN
O5. DURANTE LA CONTRATACIÓN
O6. CESE O CAMBIO DE PUESTO DE TRABAJO
O7. RESPONSABILIDAD SOBRE LOS ACTIVOS
O10. REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS
O11. GESTIÓN DE ACCESO DE USUARIO
O12. RESPONSABILIDADES DEL USUARIO
O13. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES
O14. CONTROLES CRIPTOGRÁFICOS
O15. ÁREAS SEGURAS
O16. SEGURIDAD DE LOS EQUIPOS
O17. RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN
O18. PROTECCIÓN CONTRA UN CÓDIGO MALICIOSO
O19. COPIAS DE SEGURIDAD
O20. REGISTRO DE ACTIVIDADES Y SUPERVISIÓN
O21. CONTROL DE SOFTWARE EN EXPLOTACIÓN
O22. GESTIÓN DE LA VULNERABILIDAD TÉCNICA
O23. CONSIDERACIONES DE LAS AUDITORÍAS DE LOS SISTEMAS DE INFORMACIÓN
O24. GESTIÓN DE LA SEGURIDAD EN LAS REDES
O25. INTERCAMBIO DE INFORMACIÓN CON PARTES EXTERNAS
O26. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
O27. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
O28. DATOS DE PRUEBA
O29. SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON SUMINISTRADORES
O30. GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR SUMINISTRADORES
O31. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS
O32. CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN
O33. REDUNDANCIAS
O34. CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y CONTRACTUALES
O35. REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN
CONTROLES: (114)
C1. CONJUNTO DE POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
O2.
C3.
C4.
C5.
C6.
C7.
O3.
C8.
C9.
D3. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
O4.
C10.
C11.
O5.
C12.
C13.
C14.
O6.
C15.
D4. GESTIÓN DE ACTIVOS
O7.
C16.
C17.
C18.
C19.
O8.
C20.
C21.
C22.
O9.
C23.
C24.
C25.
D5. CONTROL DE ACCESOS
O10.
C26.
C27.
O11.
C28.
C29.
C30.
C31.
C32.
C33.
O12.
C34.
O13.
C35.
C36.
C37.
C38.
C39.
D6. CIFRADO
O14.
C40.
C41.
D7. SEGURIDAD FÍSICA Y AMBIENTAL
O15.
C42.
C43.
C44.
C45.
C46.
C47.
O16.
C48.
C49.
C50.
C51.
C52.
C53.
C54.
C55.
C56.
D8. SEGURIDAD EN LA OPERATIVA
O17.
C57.
C58.
C59.
C60.
O18.
C61.
O19.
C62.
O20.
C63.
C64.
C65.
C66.
O21.
C67.
O22.
C68.
C69.
O23.
C70.
D9. SEGURIDAD EN LAS TELECOMUNICACIONES
O24.
C71.
C72.
C73.
O25.
C74.
C75.
C76.
C77.
D10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
O26.
C78.
C79.
C80.
O27.
C81.
C82.
C83.
C84.
C85.
C86.
C87.
C88.
C89. PRUEBAS DE ACEPTACIÓN
D11. RELACIONES CON SUMINISTRADORES
O29.
C91. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA SUMINISTRADORES
C92. TRATAMIENTO DEL RIESGO DENTRO DE ACUERDOS DE SUMINISTRADORES
C93. CADENA DE SUMINISTRADORES EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
O30.
C94. SUPERVISIÓN Y REVISIÓN DE LOS SERVICIOS PRESTADOS POR TERCEROS
C95. GESTIÓN DE CAMBIOS EN LOS SERVICIOS PRESTADOS POR TERCEROS.
D12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
O31.
C96. RESPONSABILIDADES Y PROCEDIMIENTOS
C97. NOTIFICACIÓN DE LOS EVENTOS DE SEGURIDAD DE LA INFORMACIÓN.
C98. NOTIFICACIÓN DE PUNTOS DÉBILES DE LA SEGURIDAD.
C99. VALORACIÓN DE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN Y TOMA DE DECISIONES.
C100. RESPUESTA A LOS INCIDENTES DE SEGURIDAD
C101. APRENDIZAJE DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
C102. RECOPILACIÓN DE EVIDENCIAS.
D13. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
O32.
C103. PLANIFICACIÓN DE LA CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN.
C104. IMPLANTACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN
C105. VERIFICACIÓN, REVISIÓN Y EVALUACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN.
O33.
C106. DISPONIBILIDAD DE INSTALACIONES PARA EL PROCESAMIENTO DE LA INFORMACIÓN.
D14. CUMPLIMIENTO
O34.
C107. IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE
C108. DERECHOS DE PROPIEDAD INTELECTUAL (DPI)
C109. PROTECCIÓN DE LOS REGISTROS DE LA ORGANIZACIÓN
C110. PROTECCIÓN DE DATOS Y PRIVACIDAD DE LA INFORMACIÓN PERSONAL.
C111. REGULACIÓN DE LOS CONTROLES CRIPTOGRÁFICOS
O35.
C112. REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN.
C113. CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD
C114. COMPROBACIÓN DEL CUMPLIMIENTO
DOMINIOS: (14)
D1. POLÍTICAS DE SEGURIDAD
D2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
D3. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
D4. GESTIÓN DE ACTIVOS
D5. CONTROL DE ACCESOS
D6. CIFRADO
D7. SEGURIDAD FÍSICA Y AMBIENTAL
D8. SEGURIDAD EN LA OPERATIVA
D9. SEGURIDAD EN LAS TELECOMUNICACIONES
D10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
D11. RELACIONES CON SUMINISTRADORES
D12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
D13. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
D14. CUMPLIMIENTO
OBJETIVOS DE CONTROL: (35)
O1. DIRECTRICES DE LA DIRECCIÓN EN SEGURIDAD DE LA INFORMACIÓN
O2. ORGANIZACIÓN INTERNA
O3. DISPOSITIVOS PARA MOVILIDAD Y TELETRABAJO
O4. ANTES DE LA CONTRATACIÓN
O5. DURANTE LA CONTRATACIÓN
O6. CESE O CAMBIO DE PUESTO DE TRABAJO
O7. RESPONSABILIDAD SOBRE LOS ACTIVOS
O8. CLASIFICACIÓN DE LA INFORMACIÓN
O9. MANEJO DE LOS SOPORTES DE ALMACENAMIENTOO10. REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS
O11. GESTIÓN DE ACCESO DE USUARIO
O12. RESPONSABILIDADES DEL USUARIO
O13. CONTROL DE ACCESO A SISTEMAS Y APLICACIONES
O14. CONTROLES CRIPTOGRÁFICOS
O15. ÁREAS SEGURAS
O16. SEGURIDAD DE LOS EQUIPOS
O17. RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN
O18. PROTECCIÓN CONTRA UN CÓDIGO MALICIOSO
O19. COPIAS DE SEGURIDAD
O20. REGISTRO DE ACTIVIDADES Y SUPERVISIÓN
O21. CONTROL DE SOFTWARE EN EXPLOTACIÓN
O22. GESTIÓN DE LA VULNERABILIDAD TÉCNICA
O24. GESTIÓN DE LA SEGURIDAD EN LAS REDES
O25. INTERCAMBIO DE INFORMACIÓN CON PARTES EXTERNAS
O26. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
O27. SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
O28. DATOS DE PRUEBA
O29. SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON SUMINISTRADORES
O30. GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR SUMINISTRADORES
O31. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS
O32. CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN
O33. REDUNDANCIAS
O34. CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y CONTRACTUALES
O35. REVISIONES DE LA SEGURIDAD DE LA INFORMACIÓN
CONTROLES: (114)
C1. CONJUNTO DE POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
C2. REVISIÓN DE
LAS POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
C3. ASIGNACIÓN
DE RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN
C4. SEGREGACIÓN
DE TAREAS
C5. CONTACTO
CON LAS AUTORIDADES
C6. CONTACTO
CON GRUPOS DE INTERÉS ESPECIAL
C7. SEGURIDAD
DE LA INFORMACIÓN EN LA GESTIÓN DE PROYECTOS
C8. POLÍTICA DE
USO DE DISPOSITIVOS PARA MOVILIDAD
C9. TELETRABAJO
C10. INVESTIGACIÓN
DE ANTECEDENTES
C11. TÉRMINOS Y
CONDICIONES DE CONTRATACIÓN
C12. RESPONSABILIDADES
DE GESTIÓN
C13. CONCIENCIACIÓN,
EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN
C14. PROCESO
DISCIPLINARIO
C15. CESE O
CAMBIO DE PUESTO DE TRABAJO
C16. INVENTARIO
DE ACTIVOS
C17. PROPIEDAD DE
LOS ACTIVOS
C18. USO
ACEPTABLE DE LOS ACTIVOS
C19. DEVOLUCIÓN
DE ACTIVOS
C20. DIRECTRICES
DE CLASIFICACIÓN
C21. ETIQUETADO Y
MANIPULACIÓN DE LA INFORMACIÓN
C22. MANIPULACIÓN
DE ACTIVOS
C23. GESTIÓN DE
SOPORTES EXTRAÍBLES
C24. ELIMINACIÓN
DE SOPORTES
C25. SOPORTES
FÍSICOS EN TRÁNSITO
C26. POLÍTICA DE
CONTROL DE ACCESOS
C27. CONTROL DE
ACCESO ALAS REDES Y SERVICIOS ASOCIADOS
C28. GESTIÓN DE
ALTAS / BAJAS EN EL REGISTRO DE USUARIOS
C29. GESTIÓN DE
LOS DERECHOS DE ACCESO ASIGNADOS A USUARIOS
C30. GESTIÓN DE
LOS DERECHOS DE ACCESO CON PRIVILEGIOS ESPECIALES
C31. GESTIÓN DE
INFORMACIÓN CONFIDENCIAL DE AUTENTICACIÓN DE USUARIOS
C32. REVISIÓN DE
LOS DERECHOS DE ACCESO DE LOS USUARIOS
C33. RETIRADA O
ADAPTACIÓN DE LOS DERECHOS DE ACCESO
C34. USO DE
INFORMACIÓN CONFIDENCIAL PARA LA AUTENTICACIÓN
C35. RESTRICCIÓN
DEL ACCESO A LA INFORMACIÓN
C36. PROCEDIMIENTOS
SEGUROA DE INICIO DE SESIÓN
C37. GESTIÓN DE
CONTRASEÑAS DE USUARIO
C38. USO DE
HERRAMIENTAS DE ADMINISTRACIÓN DE SISTEMAS
C39. CONTROL DE
ACCESO AL CÓDIGO FUENTE DE LOS PROGRAMAS
C40. POLÍTICA DE
USO DE LOS CONTROLES CRIPTOGRÁFICOS
C41. GESTIÓN DE
CLAVES
C42. PERÍMETRO DE
SEGURIDAD FÍSICA
C43. CONTROLES
FÍSICOS DE ENTRADA
C44. SEGURIDAD DE
OFICINAS, DESPACHOS Y RECURSOS
C45. PROTECCIÓN
CONTRA LAS AMENAZAS EXTERNAS Y AMBIENTALES
C46. EL TRABAJO
EN ÁREAS SEGURAS
C47. ÁREAS DE
ACCESO PÚBLICO, CARGA Y DESCARGA
C48. EMPLAZAMIENTO
Y PROTECCIÓN DE EQUIPOS
C49. INSTALACIONES
DE SUMINISTRO
C50. SEGURIDAD
DEL CABLEADO
C51. MANTENIMIENTO
DE LOS EQUIPOS
C52. SALIDAS DE
ACTIVOS FUERA DE LAS DEPENDENCIAS DE LA EMPRESA
C53. SEGURIDAD DE
LOS EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES
C54. REUTILIZACIÓN
O RETIRADA SEGURA DE DISPOSITIVOS DE ALMACENAMIENTO
C55. EQUIPO
INFORMÁTICO DE USUARIO DESATENDIDO
C56. POLÍTICA DE
PUESTO DE TRABAJO DESPEJADO Y BLOQUEO DE PANTALLA
C57. DOCUMENTACIÓN
DE PROCEDIMIENTOS DE OPERACIÓN
C58. GESTIÓN DE
CAMBIOS
C59. GESTIÓN DE
CAPACIDADES
C60. SEPARACIÓN
DE ENTORNOS DE DESARROLLO, PRUEBA Y PRODUCCIÓN
C61. CONTROLES
CONTRA EL CÓDIGO MALICIOSO
C62. COPIAS DE
SEGURIDAD DE LA INFORMACIÓN
C63. REGISTRO Y
GESTIÓN DE EVENTOS DE ACTIVIDAD
C64. PROTECCIÓN
DE LOS REGISTROS DE INFORMACIÓN
C65. REGISTROS DE
ACTIVIDAD DEL ADMINISTRADOR Y OPERADOR DEL SISTEMA
C66. SINCRONIZACIÓN
DE RELOJES
C67. INSTALACIÓN
DEL SOFTWARE EN SISTEMAS EN PRODUCIÓN
C68. GESTIÓN DE
LAS VULNERABILIDADES TÉCNICAS
C69. RESTRICCIONES
EN LA INSTALACIÓN DE SOFTWARE
C70. CONTROLES DE
AUDITORÍA EN LOS SISTEMAS DE INFORMACIÓN
C71. CONTROLES DE
RED
C72. MECANISMOS
DE SEGURIDAD ASOCIADOS A SERVICIOS EN RED
C73. SEGREGACIÓN
DE REDES
C74. POLÍTICAS Y
PROCEDIMIENTOS DE INTERCAMBIO DE INFORMACIÓN
C75. ACUERDOS DE
INTERCAMBIO
C76. MENSAJERÍA
ELECTRÓNICA
C77. ACUERDOS DE
CONFIDENCIALIDAD Y SECRETO
C78. ANÁLISIS Y
ESPECIFICACIÓN DE LOS REQUISITOSDE SEGURIDAD
C79. SEGURIDAD DE
LAS COMUNICACIONES EN SERVICIOS ACCESIBLES POR REDES PÚBLICAS
C80. PROTECCIÓN
DE LAS TRANSACCIONES POR REDES TELEMÁTICAS
C81. POLÍTICA DE
DESARROLLO SEGURO DE SOFTWARE
C82. PROCEDIMIENTOS
DE CONTROL DE CAMBIOS EN EL SISTEMA
C83. REVISIÓN
TÉCNICA DE LAS APLICACIONES TRAS EFECTUAR CAMBIOS EN EL SISTEMA OPERATIVO.
C84. RESTRICCIONES
A LOS CAMBIOS EN LOS PAQUETES DE SOFTWARE
C85. USO DE
PRINCIPIOS DE INGENIERÍA EN PROTECCIÓN DE SISTEMAS
C86. SEGURIDAD EN
ENTORNOS DE DESARROLLO
C87. EXTERNALIZACIÓN
DEL DESARROLLO DE SOFTWARE
C88. PRUEBAS DE
FUNCIONALIDAD DURANTE EL DESARROLLO DE LOS SISTEMAS.
C89. PRUEBAS DE
ACEPTACIÓN
DOMINIOS (14), OBJETIVOS DE CONTROL(35) Y CONTROLES (114):
D1. POLÍTICAS DE SEGURIDAD
O1.
C1.
C2.
D2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓND1. POLÍTICAS DE SEGURIDAD
O1.
C1.
C2.
O2.
C3.
C4.
C5.
C6.
C7.
O3.
C8.
C9.
D3. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
O4.
C10.
C11.
O5.
C12.
C13.
C14.
O6.
C15.
D4. GESTIÓN DE ACTIVOS
O7.
C16.
C17.
C18.
C19.
O8.
C20.
C21.
C22.
O9.
C23.
C24.
C25.
D5. CONTROL DE ACCESOS
O10.
C26.
C27.
O11.
C28.
C29.
C30.
C31.
C32.
C33.
O12.
C34.
O13.
C35.
C36.
C37.
C38.
C39.
D6. CIFRADO
O14.
C40.
C41.
D7. SEGURIDAD FÍSICA Y AMBIENTAL
O15.
C42.
C43.
C44.
C45.
C46.
C47.
O16.
C48.
C49.
C50.
C51.
C52.
C53.
C54.
C55.
C56.
D8. SEGURIDAD EN LA OPERATIVA
O17.
C57.
C58.
C59.
C60.
O18.
C61.
O19.
C62.
O20.
C63.
C64.
C65.
C66.
O21.
C67.
O22.
C68.
C69.
O23.
C70.
D9. SEGURIDAD EN LAS TELECOMUNICACIONES
O24.
C71.
C72.
C73.
O25.
C74.
C75.
C76.
C77.
D10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
O26.
C78.
C79.
C80.
O27.
C81.
C82.
C83.
C84.
C85.
C86.
C87.
C88.
C89. PRUEBAS DE ACEPTACIÓN
O28.
C90. PROTECCIÓN DE LOS DATOS UTILIZADOS EN PRUEBASD11. RELACIONES CON SUMINISTRADORES
O29.
C91. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA SUMINISTRADORES
C92. TRATAMIENTO DEL RIESGO DENTRO DE ACUERDOS DE SUMINISTRADORES
C93. CADENA DE SUMINISTRADORES EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
O30.
C94. SUPERVISIÓN Y REVISIÓN DE LOS SERVICIOS PRESTADOS POR TERCEROS
C95. GESTIÓN DE CAMBIOS EN LOS SERVICIOS PRESTADOS POR TERCEROS.
D12. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
O31.
C96. RESPONSABILIDADES Y PROCEDIMIENTOS
C97. NOTIFICACIÓN DE LOS EVENTOS DE SEGURIDAD DE LA INFORMACIÓN.
C98. NOTIFICACIÓN DE PUNTOS DÉBILES DE LA SEGURIDAD.
C99. VALORACIÓN DE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN Y TOMA DE DECISIONES.
C100. RESPUESTA A LOS INCIDENTES DE SEGURIDAD
C101. APRENDIZAJE DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
C102. RECOPILACIÓN DE EVIDENCIAS.
D13. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
O32.
C103. PLANIFICACIÓN DE LA CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN.
C104. IMPLANTACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN
C105. VERIFICACIÓN, REVISIÓN Y EVALUACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN.
O33.
C106. DISPONIBILIDAD DE INSTALACIONES PARA EL PROCESAMIENTO DE LA INFORMACIÓN.
D14. CUMPLIMIENTO
O34.
C107. IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE
C108. DERECHOS DE PROPIEDAD INTELECTUAL (DPI)
C109. PROTECCIÓN DE LOS REGISTROS DE LA ORGANIZACIÓN
C110. PROTECCIÓN DE DATOS Y PRIVACIDAD DE LA INFORMACIÓN PERSONAL.
C111. REGULACIÓN DE LOS CONTROLES CRIPTOGRÁFICOS
O35.
C112. REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN.
C113. CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD
C114. COMPROBACIÓN DEL CUMPLIMIENTO
8. ISO/IEC 27003 - Guía para Implantación
Proporciona directrices detalladas para la implantación de un SGSI (27001) utilizando ejemplos y estudios de caso.
10. ISO 27005 / 31000 - Gestión del Riesgo9. ISO/IEC 27004 - Medición
Proporciona la metodología para la medición de la efectividad del SGSI (27001) y de los controles (27002).
Proporciona una metodología para uso en el SGSI (27001).
11. MAGERIT
En español: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
12. ISO 12207
No hay comentarios:
Publicar un comentario