Sunteți pe pagina 1din 49

ISO27k Statement of Applicability

Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant
Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: December
Control numbering and text corrected: April/July 2015
German version contributed by Comma Soft AG: August 2015
French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017, upda
Portuguese version contributed by Jansen Cesar Arruda: November 2017

This is a template or skeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO2
too - this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstance

Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about th
manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the contro
including useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat y
mitigate or reduce information risks by implementing security controls (e.g. some may be avoided, accepted or s
need additional or alternative controls, other than those listed here, and some may be imposed upon you in law

Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.

Copyright

This work is copyright © 2018, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons
welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or inco
(b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or s
as this.

The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair u
to reproduce a small part of their content here, encouraging widespread adoption of the ISO27k standards.
Statement of Applicability
Legend (for Selected Controls and Reasons for controls selection)
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA: r

ISO/IEC 27001:2013 Annex A controls

Clause Sec Control Objective/Control


5.1 Management direction for information security
5 Security Policies 5.1.1 Policies for information
5.1.2 Review of the policies for information security

6.1 Internal organisation


6.1.1 Information security roles and responsibilities
6.1.2 Segregation of duties
6 Organisation of 6.1.3 Contact with authorities
information 6.1.4 Contact with special interest groups
security 6.1.5 Information security in project management
6.2 Mobile devices and teleworking
6.2.1 Mobile device policy
6.2.2 Teleworking

7.1 Prior to employment


7.1.1 Screening
7.1.2 Terms and conditions of employment
7.2 During employment
7 Human resource 7.2.1
security Management responsibilities
7.2.2 Information security awareness, education and training
7.2.3 Disciplinary process
7.3 Termination and change of employment
7.3.1 Termination or change of employment responsibilities

8.1 Responsibility for assets


8.1.1 Inventory of assets
8.1.2 Ownership of assets
8.1.3 Acceptable use of assets
8.1.4 Return of assets
8.2 Information classification
8 Asset
8.2.1 Classification of information
management
8.2.2 Labeling of information
8.2.3 Handling of assets
8.3 Media handling
8.3.1 Management of removable media
8.3.2 Disposal of media
8.3.3 Physical media transfer

9.1 Business requirements of access control


9.1.1 Access control policy
9.1.2 Access to networks and network services
9.2 User access management
9.2.1 User registration and de-registration
9.2.2 User access provisioning
9.2.3 Management of privileged access rights
9.2.4
Management of secret authentication information of users
9 Access control 9.2.5 Review of user access rights
9.2.6 Removal or adjustment of access rights
9.3 User responsibilities
9.3.1 Use of secret authentication information
9.4 System and application access control
9.4.1 Information access restriction
9.4.2 Secure log-on procedures
9.4.3 Password management system
9.4.4 Use of privileged utility programs
9.4.5 Access control to program source code

10.1 Cryptographic controls


10 Cryptography 10.1.1 Policy on the use of cryptographic controls
10.1.2 Key management

11.1 Secure areas


11.1.1 Physical security perimeter
11.1.2 Physical entry controls
11.1.3 Securing office, room and facilities
11.1.4 Protecting against external end environmental threats
11.1.5 Working in secure areas
11.1.6 Delivery and loading areas
11 Physical and 11.2 Equipment
environmental 11.2.1 Equipment siting and protection
security 11.2.2 Supporting utilities
11.2.3 Cabling security
11.2.4 Equipment maintenance
11.2.5 Removal of assets
11.2.6 Security of equipment and assets off-premises
11.2.7 Secure disposal or re-use of equipment
11.2.8 Unattended user equipment
11.2.9 Clear desk and clear screen policy

12.1 Operational procedures and responsibilities


12.1.1 Documented operating procedures
12.1.2 Change management
12.1.3 Capacity management
12.1.4 Separation of development, testing and operational
environments
12.2 Protection from malware
12.2.1 Controls against malware
12.3 Backup
12.3.1 Information backup
12 Operations 12.4 Logging and monitoring
security 12.4.1 Event logging
12.4.2 Protection of log information
12.4.3 Administrator and operator logs
12.4.4 Clock synchronisaton
12.5 Control of operational software
12.5.1 Installation of software on operational systems
12.6 Technical vulnerability management
12.6.1 Management of technical vulnerabilities
12.6.2 Restrictions on software installation
12.7 Information systems audit considerations
12.7.1 Information systems audit controls

13.1 Network security management


13.1.1 Network controls
13.1.2 Security of network services
13 13.1.3 Segregation in networks
Communications 13.2 Information transfer
security 13.2.1 Information transfer policies and procedures
13.2.2 Agreements on information transfer
13.2.3 Electronic messaging
13.2.4 Confidentiality or non-disclosure agreements

14.1 Security requirements of information systems


14.1.1 Information security requirements analysis and specification
14.1.2 Securing applications services on public networks
14.1.3 Protecting application services transactions
14.2 Security in development and support processes
14.2.1 Secure development policy
14.2.2 System change control procedures
14 System
acquisition, 14.2.3 Technical review of applications after operating platform
development and changes
maintenance 14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.6 Secure development environment
14.2.7 Outsourced development
14.2.8 System security testing
14.2.9 System acceptance testing
14.3 Test data
14.3.1 Protection of test data

15.1 Information security in supplier relationships


15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15 Supplier 15.1.3 Information and communication technology supply chain
relationships
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services

16.1 Management of information security incidents and


improvements
16.1.1 Responsibilities and procedures
16 Information 16.1.2 Reporting information security events
security incident 16.1.3 Reporting information security weaknesses
management 16.1.4 Assessment of and decision on information security events
16.1.5 Response to information security incidents
16.1.6 Learning from information security incidents
16.1.7 Collection of evidence

17.1 Information security continuity


17.1.1 Planning information security continuity
17 Information
security aspects of 17.1.2 Implementing information security continuity
business
continuity 17.1.3
Verify, review and evaluate information security continuity
management
17.2 Redundancies
17.2.1 Availability of information processing facilities

18.1 Compliance with legal and contractual requirements


18.1.1 Identification of applicable legislation and contractual
requirements
18.1.2 Intellectual property rights
18.1.3 Protection of records
18 Compliance 18.1.4 Privacy and protection of personally identifiable information
18.1.5 Regulation of cryptographic controls
18.2 Information security reviews
18.2.1 Independent review of information security
18.2.2 Compliance with security policies and standards
18.2.3 Technical compliance review
Current as of: DD/MM/YYYY

nts/adopted best practices,RRA: results of risk assessment,TSE: to some extent

Remarks (with Selected controls and


Current Remarks (overview of
justification for reasons for selection
controls implementation)
exclusions) LR CO BR/BP RRA
Declaración de Aplicabilidad
Leyenda (para la selección de controles y razón por la que se seleccionaron):
LR: requerimientos legales,CO: obligaciones contractuales,BR/BP: requerimientos del negocio/mejores prácticas
punto

Controles
ISO 27001:2013 Controles de Seguridad actuales

Cláusula Sección Objetivo de control / control


5.1 Dirección de la alta gerencia para la seguridad de la
5 Políticas de información
Seguridad 5.1.1 Políticas de seguridad de la información
5.1.2 Revisión de las políticas de seguridad de la información

6.1 Organización interna


6.1.1 Roles y responsabilidad de seguridad de la información
6.1.2 Segregación de deberes
6.1.3 Contacto con autoridades
6 Organización de 6.1.4 Contacto con grupos de interés especial
la Seguridad de la
Información 6.1.5
Seguridad de la información en la gestión de proyectos
6.2 Dispositivos móviles y teletrabajo
6.2.1 Política de dispositivos móviles
6.2.2 Teletrabajo

7.1 Previo al empleo


7.1.1 Verificación de antecedentes
7.1.2 Términos y condiciones del empleo
7.2 Durante el empleo
7 Seguridad en 7.2.1 Responsabilidades de la Alta Gerencia
los Recursos
Humanos 7.2.2 Conciencia, educación y entrenamiento de seguridad de la
información
7.2.3 Proceso disciplinario
7.3 Terminación y cambio de empleo
7.3.1 Termino de responsabilidades o cambio de empleo

8.1 Responsabilidad de los activos


8.1.1 Inventario de activos
8.1.2 Propiedad de activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos

8 Gestión de
Activos
8.2 Clasificación de la información
8 Gestión de 8.2.1 Clasificación de la información
Activos
8.2.2 Etiquetado de la información
8.2.3 Manejo de activos
8.3 Manejo de medios
8.3.1 Gestión de medios removibles
8.3.2 Eliminación de medios
8.3.3 Transporte de medios físicos

9.1 Requerimientos de negocio para el control de acceso


9.1.1 Política de control de acceso
9.1.2 Acceso a redes y servicios de red
9.2 Gestión de accesos de usuario
9.2.1 Registro y baja del usuario
9.2.2 Provisión de acceso a usuarios
9.2.3 Gestión de derechos de acceso privilegiados
9.2.4 Gestión de información de autenticación secreta de
usuarios
9 Control de Acceso9.2.5 Revisión de derechos de acceso de usuarios
9.2.6 Eliminación o ajuste de derechos de acceso
9.3 Responsabilidades del usuario
9.3.1 Uso de información de autenticación secreta
9.4 Control de acceso de sistemas y aplicaciones
9.4.1 Restricción de acceso a la información
9.4.2 Procedimientos de inicio de sesión seguro
9.4.3 Sistema de gestión de contraseñas
9.4.4 Uso de programas y utilidades privilegiadas
9.4.5 Control de acceso al código fuente del programa

10.1 Controles criptográficos


10 Criptografía 10.1.1 Política en el uso de controles criptográficos
10.1.2 Gestión de llaves

11.1 Áreas seguras


11.1.1 Perímetro de seguridad físico
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, habitaciones y facilidades
11.1.4 Protección contra amenazas externas y del ambiente
11.1.5 Trabajo en áreas seguras
11.1.6 Áreas de entrega y carga
11 Seguridad 11.2 Equipo
Física y del 11.2.1 Instalación y protección de equipo
Entorno 11.2.2 Servicios de soporte
11 Seguridad
Física y del
Entorno
11.2.3 Seguridad en el cableado
11.2.4 Mantenimiento de equipos
11.2.5 Retiro de activos
11.2.6 Seguridad del equipo y activos fuera de las instalaciones
11.2.7 Eliminación segura o reuso del equipo
11.2.8 Equipo de usuario desatendido
11.2.9 Política de escritorio limpio y pantalla limpia

12.1 Procedimientos Operacionales y Responsabilidades


12.1.1 Documentación de procedimientos operacionales
12.1.2 Gestión de cambios
12.1.3 Gestión de la capacidad
12.1.4 Separación de los ambientes de desarrollo, pruebas y
operación
12.2 Protección de Software Malicioso
12.2.1 Controles contra software malicioso
12.3 Respaldo
12.3.1 Respaldo de información
12.4 Bitácoras y monitoreo
12 Seguridad en 12.4.1
las Operaciones Bitácoras de eventos
12.4.2 Protección de información en bitácoras
12.4.3 Bitácoras de administrador y operador
12.4.4 Sincronización de relojes
12.5 Control de software operacional
12.5.1 Instalación de software en sistemas operacionales
12.6 Gestión de vulnerabilidades técnicas
12.6.1 Gestión de vulnerabilidades técnicas
12.6.2 Restricciones en la instalación de software
12.7
Consideraciones de auditoria de sistemas de información
12.7.1 Controles de auditoría de sistemas de información

13.1 Gestión de seguridad en red


13.1.1 Controles de red
13.1.2 Seguridad en los servicios en red
13.1.3 Segregación en redes
13 Seguridad en 13.2 Transferencia de información
las
Comunicaciones 13.2.1 Políticas y procedimientos para la transferencia de
información
13.2.2 Acuerdos en la transferencia de información
13.2.3 Mensajería electrónica
13.2.4 Acuerdos de confidencialidad o no-revelación
14.1
Requerimientos de seguridad en sistemas de información
14.1.1 Análisis y especificación de requerimientos de seguridad
14.1.2
Aseguramiento de servicios de aplicación en redes públicas
14.1.3
Protección de transacciones en servicios de aplicación
14.2 Seguridad en el proceso de desarrollo y soporte
14 Adquisición, 14.2.1 Política de desarrollo seguro
Desarrollo y 14.2.2 Procedimientos de control de cambios del sistema
Mantenimiento
de Sistemas 14.2.3 Revisión técnica de aplicaciones después de cambios a la
plataforma operativa
14.2.4 Restricción de cambios en paquetes de software
14.2.5 Principios de seguridad en la ingeniería de sistemas
14.2.6 Entorno de desarrollo seguro
14.2.7 Desarrollo tercerizado
14.2.8 Pruebas de seguridad del sistema
14.2.9 Pruebas de aceptación del sistema
14.3 Datos de prueba
14.3.1 Protección de datos de prueba

15.1 Seguridad de la información en relaciones con el


proveedor
15.1.1 Política de seguridad de la información en las relaciones
con el proveedor

15 Relaciones con 15.1.2 Atención de tópicos de seguridad en los acuerdos con el


Proveedores proveedor
15.1.3 Cadena de suministros de tecnologías de la información y
comunicaciones
15.2 Gestión de entrega de servicios de proveedor
15.2.1 Monitoreo y revisión de servicios del proveedor
15.2.2 Gestión de cambios a los servicios del proveedor

16.1 Gestión de incidentes de seguridad de la información y


mejoras
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la información

16 Gestión de 16.1.3 Reporte de debilidades de seguridad de la información


Incidentes de
Seguridad de la 16.1.4 Valoración y decisión de eventos de seguridad de la
Información información
16.1.5
Respuesta a incidentes de seguridad de la información
Seguridad de la
Información

16.1.6
Aprendizaje de incidentes de seguridad de la información
16.1.7 Colección de evidencia

17.1 Continuidad de la seguridad de la información


17.1.1 Planeación de la continuidad de la seguridad de la
información
17 Aspectos de
Seguridad de la 17.1.2 Implementación de la continuidad de la seguridad de la
Información para información
la Gestión de la
Continuidad del 17.1.3 Verificación, revisión y evaluación de la continuidad de la
Negocio seguridad de la información
17.2 Redundancias
17.2.1 Disponibilidad de facilidades de procesamiento de
información

18.1
Cumplimiento con Requerimientos Legales y Contractuales
18.1.1 Identificación de legislación aplicable y requerimientos
contractuales
18.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Protección de registros
18 Cumplimiento 18.1.4 Privacidad y protección de información personal
identificable (PIR)
18.1.5 Regulación de controles criptográficos
18.2 Revisiones de seguridad de la información
18.2.1
Revisión independiente de seguridad de la información
18.2.2 Cumplimiento con políticas y estándares de seguridad
18.2.3 Revisión del cumplimiento técnico
Vigente para el: dd/mm/aaaa

egocio/mejores prácticas adoptadas ,RRA: resultado de la valoración de riesgos;TSE: hasta cierto

Comentarios (justificación Controles seleccionados y Comentarios (visión general de


de exclusión) razones de selección la implementación)
LR CO BR/BP RRA
Statement of Applicability (Erklärung zur Anwendbarkeit)
Legende (für ausgewählte Maßnahmen und Gründe für die Auswahl von Maßnahmen)
LR: gesetzliche Anforderungen,CO: vertragliche Verpflichtungen,BR/BP: Geschäftsanforderungen/angeandte Be

DIN ISO/IEC 27001:2015 Annex Amaßnahmen

Clause Sec Control Objective/Control


5 5.1 Vorgaben der Leitung für Informationssicherheit
Informationssiche 5.1.1 Informationssicherheitsrichtlinien
rheitsrichtlinien 5.1.2 Überprüfung der Informationssicherheitsrichtlinien

6.1 Interne Organisation


6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten
6.1.2 Aufgabentrennung
6 Organisation der 6.1.3 Kontakt mit Behörden
Informationssiche 6.1.4 Kontakt mit speziellen Interessengruppen
rheit 6.1.5 Informationssicherheit im Projektmanagement
6.2 Mobilgeräte und Telearbeit
6.2.1 Richtlinie zu Mobilgeräten
6.2.2 Telearbeit

7.1 Vor der Beschäftigung


7.1.1 Sicherheitsüberprüfung
7.1.2 Beschäftigungs- und Vertragsbedingungen
7.2 Während der Beschäftigung
7.2.1 Verantwortlichkeiten der Leitung
7
Personalsicherheit 7.2.2 Informationssicherheitsbewusstsein, -ausbildung und
-schulung
7.2.3 Maßregelungsprozess
7.3 Beendigung und Änderung der Beschäftigung
7.3.1 Verantwortlichkeiten bei Beendigung oder Änderung der
Beschäftigung

8.1 Verantwortlichkeit für Werte


8.1.1 Inventarisierung der Werte
8.1.2 Zuständigkeit für Werte
8.1.3 Zulässiger Gebrauch von Werten
8.1.4 Rückgabe von Werten
8.2 Informationsklassifizierung
8 Verwaltung der 8.2.1
Werte Klassifizierung von Information
8.2.2 Kennzeichnung von Information
8.2.3 Handhabung von Werten
8.3 Handhabung von Datenträgern
8.3.1 Handhabung von Wechseldatenträgern
8.3.2 Entsorgung von Datenträgern
8.3.3 Transport von Datenträgern

9.1 Geschäftsanforderungen an die Zuganssteuerung


9.1.1 Zugangssteuerungsrichtlinie
9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
9.2 Benutzerzugangsverwaltung
9.2.1 Registrierung und Deregistrierung von Benutzern
9.2.2 Zuteilung von Benutzerzugängen
9.2.3 Verwaltung privilegierter Zugangsrechte
9.2.4 Verwaltung geheimer Authentisierungsinformation von
Benutzern
9 9.2.5 Überprüfung von Benutzerzugangsrechten
Zugangssteuerung 9.2.6 Entzug oder Anpassung von Zugangsrechten
9.3 Benutzerverantwortlichkeiten
9.3.1 Gebrauch geheimer Authentisierungsinformation
9.4 Zugangssteuerung für Systeme und Anwendungen
9.4.1 Informationszugangsbeschränkung
9.4.2 Sichere Anmeldeverfahren
9.4.3 System zur Verwaltung von Kennwörtern
9.4.4
Gebrauch von Hilfsprogrammen mit privilegierten Rechten
9.4.5 Zugangssteuerung für Quellcode von Programmen

10.1 Kryptographische Maßnahmen


10 Kryptographie 10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen
10.1.2 Schlüsselverwaltung

11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
11.1.3 Sichern von Büros, Räumen und Einrichtungen
11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
11.2 Geräte und Betriebsmittel
11.2.1 Platzierung und Schutz von Geräten und Betriebsmitteln
11 Physische und 11.2.2 Versorgungseinrichtungen
umgebungsbezoge
ne Sicherheit 11.2.3 Sicherheit der Verkabelung
11.2.4 Instandhaltung von Geräten und Betriebsmitteln
11.2.5 Entfernen von Werten
11.2.6 Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb
der Räumlichkeiten
11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten und
Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergeräte
11.2.9 Richtlinie für eine aufgeräumte Arbeitsumgebung und
Bildschirmsperren

12.1 Betriebsabläufe und -verantwortlichkeiten


12.1.1 Dokumentierte Bedienabläufe
12.1.2 Änderungssteuerung
12.1.3 Kapazitätssteuerung
12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
12.2 Schutz vor Schadsoftware
12.2.1 Maßnahmen gegen Schadsoftware
12.3 Datensicherung
12.3.1 Sicherung von Information
12.4 Protokollierung und Überwachung
12
Betriebssicherheit 12.4.1 Ereignisprotokollierung
12.4.2 Schutz der Protokollinformation
12.4.3 Administratoren- und Bedienerprotokolle
12.4.4 Uhrensynchronisation
12.5 Steuerung von Software im Betrieb
12.5.1 Installation von Software auf Systemen im Betrieb
12.6 Handhabung technischer Schwachstellen
12.6.1 Handhabung von technischen Schwachstellen
12.6.2 Einschränkung von Softwareinstallation
12.7 Audit von Informationssystemen
12.7.1 Maßnahmen für Audits von Informationssystemen

13.1 Netzwerksicherheitsmanagement
13.1.1 Netzwerksteuerungsmaßnahmen
13.1.2 Sicherheit von Netzwerkdiensten
13 13.1.3 Trennung in Netzwerken
Kommunikationssi 13.2 Informationsübertragung
cherheit 13.2.1 Richtlinien und Verfahren zur Informationsübertragung
13.2.2 Vereinbarungen zur Informationsübertragung
13.2.3 Elektronische Nachrichtenübermittlung
13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14.1 Sicherheitsanforderungen an Informationssysteme


Analyse und Spezifikation von
14.1.1 Informationssicherheitsanforderungen

14.1.2 Sicherung von Anwendungsdiensten in öffentlichen


Netzwerken
14.1.3 Schutz der Transaktionen bei Anwendungsdiensten
14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen
14.2.1 Richtlinie für sichere Entwicklung
14 Anschaffung,
Entwicklung und
Instandhalten von
14 Anschaffung, 14.2.2 System change control procedures
Entwicklung und Technische Überprüfung von Anwendungen nach Änderungen
Instandhalten von 14.2.3 an der Betriebsplattform
Systemen
14.2.4 Beschränkung
Grundsätze fürvon
die Änderungen an Softwarepaketen
Analyse, Entwicklung und Pflege sicherer
14.2.5 Systeme
14.2.6 Sichere Entwicklungsumgebung
14.2.7 Ausgegliederte Entwicklung
14.2.8 Testen der Systemsicherheit
14.2.9 Systemabnahmetest
14.3 Testdaten
14.3.1 Schutz von Testdaten

15.1 Informationssicherheit in Lieferantenbeziehungen


15.1.1
Informationssicherheitsrichtlinie für Lieferantenbeziehungen
15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen
15 15.1.3
Lieferantenbezieh Lieferkette für Informations- und Kommunikationstechnologie
ungen 15.2 Steuerung der Dienstleistungserbringung von Lieferanten
15.2.1 Überwachung und Überprüfung von
Lieferantendienstleistungen
15.2.2
Handhabung der Änderungen von Lieferantendienstleistungen

16.1 Handhabung von Informationssicherheitsvorfällen und


Verbesserungen
16.1.1 Verantwortlichkeiten und Verfahren
16 Handhabung 16.1.2 Meldung von Informationssichrheitsereignissen
von 16.1.3 Meldung von Schwächen in der Informationssicherheit
Informationssiche
rheitsvorfällen 16.1.4 Beurteilung von und Entscheidung über
Informationssicherheitsereignisse
16.1.5 Reaktion auf Informationssicherheitsvorfälle
16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
16.1.7 Sammeln von Beweismaterial

17.1 Aufrechterhaltung der Informationssicherheit


17 17.1.1 Planung zur Aufrechterhaltung der Informationssicherheit
Informationssiche 17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
rheitsaspekte
beim Business 17.1.3 Überprüfen und Bewerten der Aufrechterhaltung der
Continuity Informationssicherheit
Management 17.2 Redundanzen
17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen

18.1 Einhalten gesetzlicher und vertraglicher Anforderungen


18.1.1 Bestimmung der anwendbaren Gesetzgebung und der
vertraglichen Anforderungen
18.1.2 Geistige Eigentumsrechte
18.1.3 Schutz von Aufzeichnungen
18 Compliance 18.1.4 Privatsphäre und Schutz personenbezogener Information
18.1.5 Regelungen bezüglich kryptographischer Maßnahmen
18.2 Überprüfungen der Informationssicherheit
18.2.1 Unabhängige Überprüfung der Informationssicherheit
18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
18.2.3 Überprüfung der Einhaltung von technischen Vorgaben
Gültig ab: DD/MM/YYYY

äftsanforderungen/angeandte Best Practices,RRA: Ergebnisse der Risikobeurteilung,TSE: zum Teil


Ausgewählte Maßnahmen
Aktuelle Bemerkungen (mit und Gründe für die Bemerkungen (Überblick der
Maß- Begründung für Auswahl Implementierung)
nahmen Ausschlüsse) LR CO BR/BP RRA
Déclaration d'applicabilité
Légende (pour les mesures sélectionnées et raisons de la sélection des mesures)
LR: exigences légales,CO: obligations contractuelles,BR/BP: exigences opérationnelles/meilleures pratiques adoptées,RRA

ISO/IEC 27001:2013 Annexe A : Mesures de sécurité

Clause Sec Objectif de sécurité/Mesure


Orientations de la direction en matière de sécurité de
5 Politiques de 5.1 l'information
sécurité de
l’information 5.1.1 Politiques de sécurité de l'information
5.1.2 Revue des politiques de sécurité de l’information

6.1 Organisation interne


Fonctions et responsabilités liées à la sécurité de
6.1.1 l'information
6.1.2 Séparation des tâches
6 Organisation de la 6.1.3 Relations avec les autorités
sécurité de
l'information 6.1.4 Relations avec des groupes de travail spécialisés
6.1.5 La sécurité de l'information dans la gestion de projet
6.2 Appareils mobiles et télétravail
6.2.1 Politique en matière d'appareils mobiles
6.2.2 Télétravail

7.1 Avant l'embauche


7.1.1 Sélection des candidats
7.1.2 Termes et conditions d’embauche
7.2 Pendant la durée du contrat
7.2.1 Responsabilités de la direction
7 Sécurité des
ressources humaines Sensibilisation, apprentissage et formation à la sécurité de
7.2.2 l’information
7.2.3 Processus disciplinaire
7.3 Rupture, terme ou modification du contrat de travail
Achèvement ou modification des responsabilités
7.3.1 associées au contrat de travail

8.1 Responsabilités relatives aux actifs


8.1.1 Inventaire des actifs
8.1.2 Propriété des actifs
8.1.3 Utilisation correcte des actifs
8.1.4 Restitution des actifs
8.2 Classification de l'information
8 Gestion des actifs 8.2.1 Classification des informations
8.2.2 Marquage des informations
8 Gestion des actifs

8.2.3 Manipulation des actifs


8.3 Manipulation des supports
8.3.1 Gestion des supports amovibles
8.3.2 Mise au rebut des supports
8.3.3 Transfert physique des supports

9.1 Exigences métier en matière de contrôle d'accès


9.1.1 Politique de contrôle d’accès
9.1.2 Accès aux réseaux et aux services réseau
9.2 Gestion de l’accès utilisateur
9.2.1 Enregistrement et désinscription des utilisateurs
9.2.2 Distribution des accès aux utilisateurs
9.2.3 Gestion des droits d'accès à privilèges
Gestion des informations secrètes d'authentification des
9.2.4 utilisateurs
9 Contrôle d'accès 9.2.5 Revue des droits d’accès utilisateurs
9.2.6 Suppression ou adaptation des droits d'accès
9.3 Responsabilités des utilisateurs
9.3.1 Utilisation d'informations secrètes d'authentification
9.4 Contrôle de l'accès au système et à l’information
9.4.1 Restriction d’accès à l’information
9.4.2 Sécuriser les procédures de connexion
9.4.3 Système de gestion des mots de passe
9.4.4 Utilisation de programmes utilitaires à privilèges
9.4.5 Contrôle d’accès au code source des programmes

10.1 Mesures cryptographiques


10 Cryptographie 10.1.1 Politique d’utilisation des mesures cryptographiques
10.1.2 Gestion des clés

11.1 Zones sécurisées


11.1.1 Périmètre de sécurité physique
11.1.2 Contrôles physiques des accès

11.1.3 Sécurisation des bureaux, des salles et des équipements


Protection contre les menaces extérieures et
11.1.4 environnementales
11.1.5 Travail dans les zones sécurisées
11.1.6 Zones de livraison et de chargement
11 Sécurité physique
et environnementale 11.2 Matériels
11.2.1 Emplacement et protection des matériels
11.2.2 Services généraux
11.2.3 Sécurité du câblage
11.2.4 Maintenance des matériels
11.2.5 Sortie des actifs
11.2.6 Sécurité des matériels et des actifs hors des locaux
11.2.7 Mise au rebut ou recyclage sécurisé(e) des matériels
11.2.8 Matériels utilisateur laissés sans surveillance
11.2.9 Politique du bureau propre et de l’écran verrouillé

12.1 Procédures et responsabilités liées à l’exploitation


12.1.1 Procédures d’exploitation documentées
12.1.2 Gestion des changements
12.1.3 Dimensionnement
Séparation des environnements de développement, de
12.1.4 test et d'exploitation
12.2 Protection contre les logiciels malveillants
12.2.1 Mesures contre les logiciels malveillants
12.3 Sauvegarde
12.3.1 Sauvegarde des informations
12.4 Journalisation et surveillance
12.4.1 Journalisation des événements
12 Sécurité liée à
l'exploitation 12.4.2 Protection de l’information journalisée
12.4.3 Journaux administrateur et opérateur
12.4.4 Synchronisation des horloges
12.5 Maîtrise des logiciels en exploitation

12.5.1 Installation de logiciels sur des systèmes en exploitation


12.6 Gestion des vulnérabilités techniques
12.6.1 Gestion des vulnérabilités techniques
12.6.2 Restrictions liées à l'installation de logiciels

12.7 Considérations sur l’audit des systèmes d’information

12.7.1 Mesures relatives à l’audit des systèmes d’information

13.1 Gestion de la sécurité des réseaux


13.1.1 Contrôle des réseaux
13.1.2 Sécurité des services de réseau
13.1.3 Cloisonnement des réseaux
13 Sécurité des 13.2 Transfert de l'information
communications 13.2.1 Politiques et procédures de transfert de l'information
13.2.2 Accords en matière de transfert d'information
13.2.3 Messagerie électronique

13.2.4 Engagements de confidentialité ou de non-divulgation

Exigences de sécurité applicables aux systèmes


14.1 d’information
Analyse et spécification des exigences de sécurité de
14.1.1 l'information
Sécurisation des services d'application sur les réseaux
14.1.2 publics

14.1.3 Protection des transactions liées aux services d'application


Sécurité des processus de développement et d’assistance
14.2 technique
14 Acquisition,
développement et 14.2.1 Politique de développement sécurisé
maintenance des 14.2.2 Procédures de contrôle des changements de système
systèmes
d’information Revue technique des applications après changement
14.2.3 apporté à la plateforme d’exploitation
Restrictions relatives aux changements apportés aux
14.2.4 progiciels
14.2.5 Principe d'ingénierie de la sécurité des systèmes
14.2.6 Environnement de développement sécurisé
14.2.7 Développement externalisé
14.2.8 Test de la sécurité du système
14.2.9 Test de conformité du système
14.3 Données de test
14.3.1 Protection des données de test

15.1 Sécurité dans les relations avec les fournisseurs


Politique de sécurité de l'information dans les relations
15.1.1 avec les fournisseurs

15.1.2 La sécurité dans les accords conclus avec les fournisseurs


15 Relations avec les
fournisseurs chaîne d'approvisionnement des produits et des services
15.1.3 informatiques
15.2 Gestion de la prestation du service
15.2.1 Surveillance et revue des services des fournisseurs
Gestion des changements apportés dans les services des
15.2.2 fournisseurs

Gestion des incidents liés à la sécurité de l’information et


16.1 améliorations
16.1.1 Responsabilités et procédures
Signalement des événements liés à la sécurité de
16.1.2 l’information
16 Gestion des
incidents liés à la 16.1.3 Signalement des failles liées à la sécurité de l’information
sécurité de
l’information Appréciation des événements liés à la sécurité de
16.1.4 l'information et prise de décision

16.1.5 Réponse aux incidents liés à la sécurité de l’information


Tirer des enseignements des incidents liés à la sécurité de
16.1.6 l’information
16.1.7 Collecte de preuves

17.1 Continuité de la sécurité de l'information


Organisation de la continuité de la sécurité de
17.1.1 l'information
17 Aspects de la
sécurité de Mise en oeuvre de la continuité de la sécurité de
l’information dans la 17.1.2 l'information
gestion de la
continuité de Vérifier, revoir et évaluer la continuité de la sécurité de
l’activité 17.1.3 l'information
17.2 Redondances

17.2.1 Disponibilité des moyens de traitement de l’information

18.1 Conformité aux obligations légales et réglementaires


Identification de la législation et des exigences
18.1.1 contractuelles applicables
18.1.2 Droits de propriété intellectuelle
18.1.3 Protection des enregistrements
Protection de la vie privée et protection des données à
18.1.4 caractère personnel
18 Conformité

18.1.5 Réglementation relative aux mesures cryptographiques


18.2 Revue de la sécurité de l’information
18.2.1 Revue indépendante de la sécurité de l’information

18.2.2 Conformité avec les politiques et les normes de sécurité


18.2.3 Vérification de la conformité technique
À jour au: JJ/MM/AAAA

meilleures pratiques adoptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point

Remarques (avec Mesures sélectionnées et Remarques (aperçu de la mise


Mesures
justification des raisons de sélection
actuelles en œuvre)
exclusions) LR CO BR/BP RRA
Declaração de aplicabilidade
Legenda (para seleção de controles e justificativa da seleção)
LR: requerimentos legais,CO: obrigações contratuais,BR/BP: requerimentos de negócio/melhores práticas adot

Controles
ISO 27001:2013 Controles de Segurança atuais

Clausula Secção Objetivo de controle / controle


5.1
Orientação da direção para segurança da informação
5 Políticas de segurança 5.1.1
da informação Políticas para segurança da informação
5.1.2 Análise crítica das políticas para segurança da
informação

6.1 Organização interna


6.1.1 Responsabilidades e papéis pela segurança da
informação
6.1.2 Segregação de funções
6.1.3 Contato com autoridades
6 Organização da
segurança da informação 6.1.4 Contato com grupos especiais
6.1.5 Segurança da informação no gerenciamento de
projetos
6.2 Dispositivos móveis e trabalho remoto
6.2.1 Política para o uso de dispositivo móvel
6.2.2 Trabalho remoto

7.1 Antes da contratação


7.1.1 Seleção
7.1.2 Termos e condições de contratação
7.2 Durante a contratação
7.2.1 Responsabilidades da direção
7 Segurança em recursos
humanos 7.2.2 Conscientização, educação e treinamento em
segurança da informação
7.2.3 Processo disciplinar
7.3 Encerramento e mudança da contratação
7.3.1 Responsabilidades pelo encerramento ou mudança
da contratação

8.1 Responsabilidade pelos ativos


8.1.1 Inventário dos ativos
8.1.2 Proprietário dos ativos
8.1.3 Uso aceitável dos ativos
8.1.4 Devolução de ativos
8.2 Classificação da informação
8 Gestão de ativos
8 Gestão de ativos 8.2.1 Classificação da informação
8.2.2 Rótulos e tratamento da informação
8.2.3 Tratamento dos ativos
8.3 Tratamento de mídias
8.3.1 Gerenciamento de mídias removíveis
8.3.2 Descarte de mídias
8.3.3 Transferência física de mídias

9.1 Requisitos do negócio para controle de acesso


9.1.1 Política de controle de acesso
9.1.2 Acesso às redes e aos serviços de rede
9.2 Gerenciamento de acesso do usuário
9.2.1 Registro e cancelamento de usuário
9.2.2 Provisionamento para acesso de usuário
9.2.3 Gerenciamento de direitos de acesso privilegiados
9.2.4 Gerenciamento da informação de autenticação
secreta de usuários
9.2.5 Análise crítica dos direitos de acesso de usuário
9 Controle de acesso
9.2.6 Retirada ou ajuste de direitos de acesso
9.3 Responsabilidades dos usuários
9.3.1 Uso da informação de autenticação secreta
9.4 Controle de acesso ao sistema e à aplicação
9.4.1 Restrição de acesso à informação
9.4.2 Procedimentos seguros de entrada no sistema (log-
on)
9.4.3 Sistema de gerenciamento de senha
9.4.4 Uso de programas utilitários privilegiados
9.4.5 Controle de acesso ao código-fonte de programas

10.1 Controles criptográficos


10 Criptografia 10.1.1 Política para o uso de controles criptográficos
10.1.2 Gerenciamento de chaves

11.1 Áreas seguras


11.1.1 Perímetro de segurança física
11.1.2 Controles de entrada física
11.1.3 Segurança em escritórios, salas e instalações
11.1.4 Proteção contra ameaças externas e do meio-
ambiente
11.1.5 Trabalhando em áreas seguras
11.1.6 Áreas de entrega e de carregamento
11.2 Equipamentos
11 Segurança física e do 11.2.1
ambiente Escolha do local e proteção do equipamento
11.2.2 Utilidades
11.2.3 Segurança do cabeamento
11.2.4 Manutenção dos equipamentos
ambiente

11.2.5 Remoção de ativos


11.2.6 Segurança de equipamentos e ativos fora das
dependências da organização
11.2.7 Reutilização e alienação segura de equipamentos
11.2.8 Equipamento de usuário sem monitoração
11.2.9 Política de mesa limpa e tela limpa

12.1 Responsabilidades e procedimentos operacionais


12.1.1 Documentação dos procedimentos de operação
12.1.2 Gestão de mudanças
12.1.3 Gestão de capacidade
12.1.4 Separação dos ambientes de desenvolvimento, teste
e de produção
12.2 Proteção contra códigos maliciosos
12.2.1 Controles contra códigos maliciosos
12.3 Cópias de segurança
12.3.1 Cópias de segurança das informações
12.4 Registros e monitoramento
12.4.1 Registros de eventos
12 Segurança nas
operações 12.4.2 Proteção das informações dos registros de eventos
(logs)
12.4.3 Registros de eventos (log) de administrador e
operador
12.4.4 Sincronização dos relógios
12.5 Controle de software operacional
12.5.1 Instalação de software nos sistemas operacionais
12.6 Gestão de vulnerabilidades técnicas
12.6.1 Gestão de vulnerabilidades técnicas
12.6.2 Restrições quanto à instalação de software
12.7 Considerações quanto à auditoria de sistemas de
informação
12.7.1 Controles de auditoria de sistemas de informação

13.1 Gerenciamento da segurança em redes


13.1.1 Controles de redes
13.1.2 Segurança dos serviços de rede
13.1.3 Segregação de redes
13 Segurança nas 13.2 Transferência de informação
comunicações
13.2.1 Políticas e procedimentos para transferência de
informações
13.2.2 Acordos para transferência de informações
13.2.3 Mensagens eletrônicas
13.2.4 Acordos de confidencialidade e não divulgação

14.1
Requisitos de segurança de sistemas de informação
14.1.1 Análise e especificação dos requisitos de segurança
da informação
14.1.2 Serviços de aplicação seguros em redes públicas
14.1.3
Protegendo as transações nos aplicativos de serviços
14.2 Segurança em processos de desenvolvimento e de
suporte
14.2.1 Política de desenvolvimento seguro
14 Aquisição, 14.2.2 Procedimentos para controle de mudanças de
desenvolvimento e sistemas
manutenção de sistemas
14.2.3 Análise crítica técnica das aplicações após mudanças
nas plataformas operacionais
14.2.4
Restrições sobre mudanças em pacotes de Software
14.2.5 Princípios para projetar sistemas seguros
14.2.6 Ambiente seguro para desenvolvimento
14.2.7 Desenvolvimento terceirizado
14.2.8 Teste de segurança do sistema
14.2.9 Teste de aceitação de sistemas
14.3 Dados para teste
14.3.1 Proteção dos dados para teste

15.1 Segurança da informação na cadeia de suprimento


15.1.1 Política de segurança da informação no
relacionamento com os fornecedores
15.1.2 Identificando segurança da informação nos acordos
com fornecedores

15 Relacionamento na 15.1.3 Cadeia de suprimento na tecnologia da comunicação


cadeia de suprimento e informação
15.2
Gerenciamento da entrega do serviço do fornecedor
15.2.1 Monitoramento e análise crítica de serviços com
fornecedores
15.2.2 Gerenciamento de mudanças para serviços com
fornecedores

16.1 Gestão de incidentes de segurança da informação e


melhorias
16.1.1 Responsabilidades e procedimentos
16.1.2
Notificação de eventos de segurança da informação

16 Gestão de incidentes 16.1.3 Notificando fragilidades de segurança da informação


de segurança da
informação 16.1.4 Avaliação e decisão dos eventos de segurança da
informação
16 Gestão de incidentes
de segurança da
informação

16.1.5
Resposta aos incidentes de segurança da informação
16.1.6 Aprendendo com os incidentes de segurança da
informação
16.1.7 Coleta de evidências

17.1 Continuidade da segurança da informação


17.1.1 Planejando a continuidade da segurança da
informação
17 Aspectos da 17.1.2 Implementando a continuidade da segurança da
segurança da informação informação
na gestão da
continuidade do negócio 17.1.3 Verificação, análise crítica e avaliação da
continuidade da segurança da informação
17.2 Redundâncias
17.2.1 Disponibilidade dos recursos de processamento da
informação

18.1 Conformidade com requisitos legais e contratuais


18.1.1 Identificação da legislação aplicável e de requisitos
contratuais
18.1.2 Direitos de propriedade intelectual
18.1.3 Proteção de registros
18.1.4 Proteção e privacidade de informações de
identificação pessoal
18 Conformidade
18.1.5 Regulamentação de controles de criptografia
18.2 Análise crítica da segurança da informação
18.2.1 Análise crítica independente da segurança da
informação
18.2.2 Conformidade com as políticas e procedimentos de
segurança da informação
18.2.3 Análise crítica da conformidade técnica
Vigente a partir de: dd/mm/aaaa

hores práticas adotadas,RRA: resultado da avaliação de risco;TSE: até certo ponto

Comentarios Controles selecionados e razões da Comentários (visão geral da


(justificativa de seleção implementação)
execlusão)
LR CO BR/BP RRA