Documente Academic
Documente Profesional
Documente Cultură
Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant
Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: December 201
French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017
This is atemplate orskeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO27k im
too - this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstances, sp
Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about the In
manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the controls, I
including useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat you
to mitigate or reduce information risks by implementing security controls. Furthermore, you may need additional o
Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.
Copyright
This work is copyright 2016, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attr
You are welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or
properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or shared, der
this.
The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair use p
ISO/IEC to reproduce a small part of their content here.
Statement of Applicability
Legend (for Selected Controls and Reasons for controls selection)
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA: r
Controles
ISO 27001:2013 Controles de Seguridad actuales
8 Gestin de
Activos
8.2 Clasificacin de la informacin
8 Gestin de 8.2.1 Clasificacin de la informacin
Activos
8.2.2 Etiquetado de la informacin
8.2.3 Manejo de activos
8.3 Manejo de medios
8.3.1 Gestin de medios removibles
8.3.2 Eliminacin de medios
8.3.3 Transporte de medios fsicos
16.1.6
Aprendizaje de incidentes de seguridad de la informacin
16.1.7 Coleccin de evidencia
18.1
Cumplimiento con Requerimientos Legales y Contractuales
18.1.1 Identificacin de legislacin aplicable y requerimientos
contractuales
18.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Proteccin de registros
18 Cumplimiento 18.1.4 Privacidad y proteccin de informacin personal
identificable (PIR)
18.1.5 Regulacin de controles criptogrficos
18.2 Revisiones de seguridad de la informacin
18.2.1
Revisin independiente de seguridad de la informacin
18.2.2 Cumplimiento con polticas y estndares de seguridad
18.2.3 Revisin del cumplimiento tcnico
Vigente para el: dd/mm/aaaa
11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
11.1.3 Sichern von Bros, Rumen und Einrichtungen
11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
11.2 Gerte und Betriebsmittel
11.2.1 Platzierung und Schutz von Gerten und Betriebsmitteln
11 Physische und 11.2.2 Versorgungseinrichtungen
umgebungsbezoge
ne Sicherheit 11.2.3 Sicherheit der Verkabelung
11.2.4 Instandhaltung von Gerten und Betriebsmitteln
11.2.5 Entfernen von Werten
11.2.6 Sicherheit von Gerten, Betriebsmitteln und Werten auerhalb
der Rumlichkeiten
11.2.7 Sichere Entsorgung oder Wiederverwendung von Gerten und
Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergerte
11.2.9 Richtlinie fr eine aufgerumte Arbeitsumgebung und
Bildschirmsperren
13.1 Netzwerksicherheitsmanagement
13.1.1 Netzwerksteuerungsmanahmen
13.1.2 Sicherheit von Netzwerkdiensten
13 13.1.3 Trennung in Netzwerken
Kommunikationssi 13.2 Informationsbertragung
cherheit 13.2.1 Richtlinien und Verfahren zur Informationsbertragung
13.2.2 Vereinbarungen zur Informationsbertragung
13.2.3 Elektronische Nachrichtenbermittlung
13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Clause Sec
5 Politiques de 5.1
scurit 5.1.1
5.1.2
6.1
6.1.1
6.1.2
6 Organisation de la 6.1.3
scurit de 6.1.4
l'information 6.1.5
6.2
6.2.1
6.2.2
7.1
7.1.1
7.1.2
7.2
7 Scurit des 7.2.1
ressources
humaines 7.2.2
7.2.3
7.3
7.3.1
8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.2
8 Gestion des actifs 8.2.1
8.2.2
8.2.3
8.3
8.3.1
8.3.2
8.3.3
9.1
9.1.1
9.1.2
9.2
9.2.1
9.2.2
9.2.3
9.2.4
9 Contrle d'accs 9.2.5
9.2.6
9.3
9.3.1
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.4.5
10.1
10 Cryptographie 10.1.1
10.1.2
11.1
11.1.1
11.1.2
11.1.3
11.1.4
11.1.5
11.1.6
11 Scurit 11.2
physique et 11.2.1
environnementale 11.2.2
11.2.3
11.2.4
11.2.5
11.2.6
11.2.7
11.2.8
11.2.9
12.1
12.1.1
12.1.2
12.1.3
12.1.4
12.2
12.2.1
12.3
12.3.1
12 Scurit lie 12.4
l'exploitation 12.4.1
12.4.2
12.4.3
12.4.4
12.5
12.5.1
12.6
12.6.1
12.6.2
12.7
12.7.1
13.1
13.1.1
13.1.2
13.1.3
13 Scurit des
communications 13.2
13.2.1
13.2.2
13.2.3
13.2.4
14.1
14.1.1
14.1.2
14.1.3
14.2
14 Acquisition, 14.2.1
dveloppement et 14.2.2
maintenance des
systmes
dinformation
14 Acquisition,
dveloppement et
maintenance des
systmes
dinformation 14.2.3
14.2.4
14.2.5
14.2.6
14.2.7
14.2.8
14.2.9
14.3
14.3.1
15.1
15.1.1
15.1.2
15 Relations avec
les fournisseurs 15.1.3
15.2
15.2.1
15.2.2
16.1
16.1.1
16.1.2
16 Gestion des 16.1.3
incidents lis la
scurit de
linformation 16.1.4
16.1.5
16.1.6
16.1.7
17.1
17 Aspects de la 17.1.1
scurit de 17.1.2
linformation dans
la gestion de la
continuit de 17.1.3
lactivit 17.2
17.2.1
18.1
18.1.1
18.1.2
18.1.3
18 Conformit
18.1.4
18.1.5
18.2
18.2.1
18.2.2
18.2.3
applicabilit
mesures slectionnes et raisons de la slection des mesures)
CO: obligations contractuelles,BR/BP: exigences oprationnelles/meilleures pratiques adoptes,RRA: rsultats dapprciation des risques
Mesures
ISO/IEC 27001:2013 Annexe A : Mesures de scurit actuelles
Objectif de scurit/Mesure
Organisation interne
Fonctions et responsabilits lies la scurit de l'information
Sparation des tches
Relations avec les autorits
Relations avec des groupes de travail spcialiss
La scurit de l'information dans la gestion de projet
Appareils mobiles et tltravail
Politique en matire d'appareils mobiles
Tltravail
Avant l'embauche
Slection des candidats
Termes et conditions dembauche
Pendant la dure du contrat
Responsabilits de la direction
Sensibilisation, apprentissage et formation la scurit de
linformation
Processus disciplinaire
Rupture, terme ou modification du contrat de travail
Achvement ou modification des responsabilits associes au contrat
de travail
Mesures cryptographiques
Politique dutilisation des mesures cryptographiques
Gestion des cls
Zones scurises
Primtre de scurit physique
Contrle d'accs physique
Scurisation des bureaux, des salles et des quipements
Protection contre les menaces extrieures et environnementales
Travail dans les zones scurises
Zones de livraison et de chargement
Matriels
Emplacement et protection du matriel
Services gnraux
Scurit du cblage
Maintenance du matriel
Sortie des actifs
Scurit du matriel et des actifs hors des locaux
Mise au rebut ou recyclage scuris(e) des matriels
Matriels utilisateur laisss sans surveillance
Politique du bureau propre et de lcran verrouill