Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas creadas y administradas de Microsoft, conocidas como integradas, para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad para Azure Resource Manager. Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
Australian Government ISM PROTECTED
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Australian Government ISM PROTECTED. Para obtener más información sobre este estándar de cumplimiento, vea Australian Government ISM PROTECTED.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Instrucciones para la segurización del sistema: segurización del sistema operativo | 380 | Configuración del sistema operativo: 380 | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Instrucciones para la segurización del sistema: segurización del sistema operativo | 380 | Configuración del sistema operativo: 380 | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 430 | Suspensión del acceso a los sistemas: 430 | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 430 | Suspensión del acceso a los sistemas: 430 | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 441 | Acceso temporal a los sistemas: 441 | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 441 | Acceso temporal a los sistemas: 441 | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 441 | Acceso temporal a los sistemas: 441 | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 441 | Acceso temporal a los sistemas: 441 | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a los sistemas: 1503 | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1503 | Acceso estándar a los sistemas: 1503 | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a los sistemas: 1508 | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Instrucciones para la seguridad del personal: acceso a los sistemas y sus recursos | 1508 | Acceso con privilegios a los sistemas: 1508 | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Instrucciones para la administración del sistema: copia de seguridad y restauración de datos | 1511 | Realización de copias de seguridad: 1511 | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
Canada Federal PBMM
Para revisar cómo las integraciones de Azure Policy disponibles de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: Canada Federal PBMM. Para más información sobre este estándar de cumplimiento, consulte Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1 Administración de identidades y acceso | 1.1 | Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios con privilegios. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Administración de grupos de autoservicio habilitada" está establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Administración de grupos de autoservicio habilitada" está establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Administración de grupos de autoservicio habilitada" está establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Administración de grupos de autoservicio habilitada" está establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Usuarios que pueden administrar los grupos de seguridad" esté establecido en "Ninguno". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Usuarios que pueden administrar los grupos de seguridad" esté establecido en "Ninguno". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Usuarios que pueden administrar los grupos de seguridad" esté establecido en "Ninguno". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Usuarios que pueden administrar los grupos de seguridad" esté establecido en "Ninguno". | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de Office 365" esté establecido en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de Office 365" esté establecido en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de Office 365" esté establecido en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de Office 365" esté establecido en "No". | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.2 | Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios sin privilegios. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Usuarios que pueden administrar los grupos de Office 365" esté establecido en "Ninguno" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Usuarios que pueden administrar los grupos de Office 365" esté establecido en "Ninguno" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Usuarios que pueden administrar los grupos de Office 365" esté establecido en "Ninguno" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Usuarios que pueden administrar los grupos de Office 365" esté establecido en "Ninguno" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Autorizar acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Revisar las cuentas de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que no hay ningún usuario invitado. | Revisar privilegios de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Auditar funciones con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Revocar roles con privilegios según corresponda | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Usar Privileged Identity Management | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que el plan de tarifa estándar está seleccionado. | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.11 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de Storage Blob" no sea "Deshabilitado" | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 2 Security Center | 2.11 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de Storage Blob" no sea "Deshabilitado" | Implementar controles para proteger todos los medios | 1.1.0 |
| 2 Security Center | 2.11 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de Storage Blob" no sea "Deshabilitado" | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2 Security Center | 2.11 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de Storage Blob" no sea "Deshabilitado" | Proteger información especial | 1.1.0 |
| 2 Security Center | 2,12 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el acceso de red JIT" no sea "Deshabilitado". | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.14 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado". | Auditar funciones con privilegios | 1.1.0 |
| 2 Security Center | 2.14 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado". | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 2 Security Center | 2.14 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado". | Determinar eventos auditables | 1.1.0 |
| 2 Security Center | 2.14 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar la auditoría de SQL" no sea "Deshabilitado". | Revisar los datos de auditoría | 1.1.0 |
| 2 Security Center | 2.15 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado". | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 2 Security Center | 2.15 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado". | Implementar controles para proteger todos los medios | 1.1.0 |
| 2 Security Center | 2.15 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2 Security Center | 2.15 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado SQL" no sea "Deshabilitado". | Proteger información especial | 1.1.0 |
| 2 Security Center | 2.16 | Asegúrese de que se ha establecido "Correos electrónicos de contacto de seguridad". | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| 2 Security Center | 2,18 | Asegúrese de que "Enviar notificaciones sobre alertas de gravedad alta por correo electrónico" se ha establecido en "Activado". | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| 2 Security Center | 2.19 | Asegúrese de que "Enviar correo electrónico también a los propietarios de la suscripción" esté establecido en "Activado". | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que "Aprovisionamiento automático del agente de supervisión" esté establecido en "Activado". | Documentar operaciones de seguridad | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que "Aprovisionamiento automático del agente de supervisión" esté establecido en "Activado". | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las actualizaciones del sistema" no es "Deshabilitado". | Corregir errores del sistema de información | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las vulnerabilidades del sistema operativo" no sea "Deshabilitado". | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar las vulnerabilidades del sistema operativo" no sea "Deshabilitado". | Corregir errores del sistema de información | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar Endpoint Protection" no sea "Deshabilitado". | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado". | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado". | Implementar controles para proteger todos los medios | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar el cifrado de disco" no sea "Deshabilitado". | Proteger información especial | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar los grupos de seguridad de red" no sea "Deshabilitado". | Flujo de la información de control | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Supervisar los grupos de seguridad de red" no sea "Deshabilitado". | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 2 Security Center | 2.8 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el firewall de aplicaciones web" no sea "Deshabilitada" | Flujo de la información de control | 1.1.0 |
| 2 Security Center | 2.8 | Asegurarse de que la configuración de la directiva predeterminada de ASC "Supervisar el firewall de aplicaciones web" no sea "Deshabilitada" | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 2 Security Center | 2.9 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado". | Flujo de la información de control | 1.1.0 |
| 2 Security Center | 2.9 | Asegúrese de que la configuración de la directiva predeterminada de ASC "Habilitar la supervisión de firewalls de última generación (NGFW)" no sea "Deshabilitado". | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger contraseñas con cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir un proceso de administración de claves físicas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir el uso criptográfico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Determinar los requisitos de aserción | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Emisión de certificados de clave pública | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Administración de claves criptográficas simétricas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Restringir el acceso a las claves privadas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Revocar roles con privilegios según corresponda | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Finalizar sesión de usuario automáticamente | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegurarse de que los tokens de firma de acceso compartido se permiten solo mediante https | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegurarse de que los tokens de firma de acceso compartido se permiten solo mediante https | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegurarse de que los tokens de firma de acceso compartido se permiten solo mediante https | Proteger contraseñas con cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorización y administración del acceso | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar el acceso lógico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,6 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.8 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Flujo de la información de control | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.8 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.8 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.8 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.8 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 4 Servicios de base de datos | 4,1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4,1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4,1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4,1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.10 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con BYOK (use su propia clave). | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.11 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.11 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.11 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4,12 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4,12 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4,12 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4,12 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.13 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.13 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.13 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.14 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.14 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.14 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.14 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.15 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.15 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.15 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.15 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4,16 | Asegúrese de que "log_duration" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4,16 | Asegúrese de que "log_duration" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4,16 | Asegúrese de que "log_duration" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4,16 | Asegúrese de que "log_duration" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.17 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.17 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.17 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.17 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.18 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.18 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.18 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.18 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.19 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Automatizar la administración de cuentas | 1.1.0 |
| 4 Servicios de base de datos | 4.19 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 4 Servicios de base de datos | 4.19 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Supervisar el acceso en toda la organización | 1.1.0 |
| 4 Servicios de base de datos | 4.19 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 4 Servicios de base de datos | 4,2 | Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4,2 | Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4,2 | Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4,2 | Asegúrese de que la opción "AuditActionGroups" de la directiva de auditoría para un servidor SQL Server esté configurada correctamente. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que "Advanced Data Security" en un servidor SQL Server esté establecido en "Activado". | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que "Tipos de detección de amenazas" esté establecido en "Todo". | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que "Enviar alertas a" esté establecido. | Alertar al personal del volcado de información | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que "Enviar alertas a" esté establecido. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que "Enviar alertas a" esté establecido. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 4 Servicios de base de datos | 4.7 | Asegúrese de que la configuración de "Servicio de correo electrónico y coadministradores" sea "Habilitado". | Alertar al personal del volcado de información | 1.1.0 |
| 4 Servicios de base de datos | 4.7 | Asegúrese de que la configuración de "Servicio de correo electrónico y coadministradores" sea "Habilitado". | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 4 Servicios de base de datos | 4.7 | Asegúrese de que la configuración de "Servicio de correo electrónico y coadministradores" sea "Habilitado". | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 4 Servicios de base de datos | 4.8 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Automatizar la administración de cuentas | 1.1.0 |
| 4 Servicios de base de datos | 4.8 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 4 Servicios de base de datos | 4.8 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Supervisar el acceso en toda la organización | 1.1.0 |
| 4 Servicios de base de datos | 4.8 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 4 Servicios de base de datos | 4,9 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4,9 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4,9 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4,9 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger información especial | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegúrese de que existe un perfil de registro. | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegúrese de que existe un perfil de registro. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| 5 Registro y supervisión | 5.1.1 | Asegúrese de que existe un perfil de registro. | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegúrese de que existe un perfil de registro. | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegúrese de que existe un perfil de registro. | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegúrese de que el período de retención del registro de actividad está establecido en 365 días o más. | El registro de actividad debe conservarse durante al menos un año | 1.0.0 |
| 5 Registro y supervisión | 5.1.2 | Asegúrese de que el período de retención del registro de actividad está establecido en 365 días o más. | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegúrese de que el período de retención del registro de actividad está establecido en 365 días o más. | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegúrese de que el período de retención del registro de actividad está establecido en 365 días o más. | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el perfil de auditoría captura todas las actividades. | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el perfil de auditoría captura todas las actividades. | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el perfil de auditoría captura todas las actividades. | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el perfil de auditoría captura todas las actividades. | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el perfil de auditoría captura todas las actividades. | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global. | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global. | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global. | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que el perfil de registro captura los registros de actividad de todas las regiones, incluida la global. | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.6 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.6 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Mantener la integridad del sistema de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.6 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.7 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.1.7 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.1.7 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.7 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Revisar los datos de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la actualización de la directiva de seguridad. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la actualización de la directiva de seguridad. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la actualización de la directiva de seguridad. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la actualización de la directiva de seguridad. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Flujo de la información de control | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Cumplir con los períodos de retención definidos | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar los datos de usuarios finalizados | 1.1.0 |
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado". | Comprobar las funciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que "Disco del SO" esté cifrado. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que "Disco del SO" esté cifrado. | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que "Disco del SO" esté cifrado. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que "Disco del SO" esté cifrado. | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que la opción "Discos de datos" esté cifrada. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que la opción "Discos de datos" esté cifrada. | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que la opción "Discos de datos" esté cifrada. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que la opción "Discos de datos" esté cifrada. | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que la opción "Unattached disks" (Discos no asignados) esté cifrada. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que la opción "Unattached disks" (Discos no asignados) esté cifrada. | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que la opción "Unattached disks" (Discos no asignados) esté cifrada. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que la opción "Unattached disks" (Discos no asignados) esté cifrada. | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.5 | Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales. | Corregir errores del sistema de información | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Documentar operaciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Administración de puertas de enlace | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Actualizar las definiciones de antivirus | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que se han establecido los bloqueos de recursos para recursos de Azure de misión crítica | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegúrese de que el almacén de claves se puede recuperar. | Mantener la disponibilidad de la información | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorización y administración del acceso | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar el acceso lógico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Exigir la existencia de usuario único | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 9 AppService | 9.10 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Automatizar la administración de cuentas | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Supervisar el acceso en toda la organización | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 9 AppService | 9,6 | Asegúrese de que la versión de ".NET Framework" es la más reciente, si se usa como parte de la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.7 | Asegúrese de que la "Versión de PHP" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.8 | Asegúrese de que la "Versión de Python" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.9 | Asegúrese de que la "Versión de Java" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1 Administración de identidades y acceso | 1.1 | Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios con privilegios. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a su panel de acceso" esté establecido en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Los permisos de usuario invitado están limitados" esté establecido en "Sí". | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Los miembros pueden invitar" se ha establecido en "No" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Los invitados pueden invitar" esté establecido en "No" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí". | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los usuarios pueden crear grupos de seguridad en Azure Portal" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los usuarios pueden crear grupos de seguridad en Azure Portal" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los usuarios pueden crear grupos de seguridad en Azure Portal" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los usuarios pueden crear grupos de seguridad en Azure Portal" esté establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que la opción "Los usuarios pueden crear grupos de Microsoft 365 en Azure Portals" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que la opción "Los usuarios pueden crear grupos de Microsoft 365 en Azure Portals" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que la opción "Los usuarios pueden crear grupos de Microsoft 365 en Azure Portals" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que la opción "Los usuarios pueden crear grupos de Microsoft 365 en Azure Portals" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.2 | Asegúrese de que la autenticación multifactor esté habilitada para todos los usuarios sin privilegios. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Autorizar acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Asegurarse de que "Requerir autenticación multifactor para unir dispositivos" esté establecido en "Sí". | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegúrese de que no existe ningún rol de propietario de suscripción personalizado. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autenticación para el módulo criptográfico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autorizar acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegurarse de que el rol personalizado esté asignado para Administrar los bloqueos de recursos | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegurarse de que el rol personalizado esté asignado para Administrar los bloqueos de recursos | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegurarse de que el rol personalizado esté asignado para Administrar los bloqueos de recursos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.23 | Asegurarse de que el rol personalizado esté asignado para Administrar los bloqueos de recursos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar las cuentas de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar privilegios de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que el número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación no esté establecido en "0" | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que el número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación no esté establecido en "0" | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que el número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación no esté establecido en "0" | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que el número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación no esté establecido en "0" | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Auditar funciones con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Revocar roles con privilegios según corresponda | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegúrese de que "Notificar a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí". | Usar Privileged Identity Management | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.1 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2,10 | Asegurarse de que la integración de Microsoft Cloud App Security (MCAS) con Security Center esté seleccionada | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.11 | Asegúrese de que "Aprovisionamiento automático del agente de supervisión" esté establecido en "Activado". | Documentar operaciones de seguridad | 1.1.0 |
| 2 Security Center | 2.11 | Asegúrese de que "Aprovisionamiento automático del agente de supervisión" esté establecido en "Activado". | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Establecer un panel de control de configuración | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 2 Security Center | 2,12 | Asegurarse de que ninguna de las opciones de la directiva predeterminada de ASC no esté establecida en "Deshabilitado" | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 2 Security Center | 2,13 | Asegúrese de que la opción "Direcciones de correo electrónico adicionales" esté configurada con un correo electrónico de contacto de seguridad | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| 2 Security Center | 2.14 | Asegúrese de que la opción "Notify about alerts with the following severity" ("Notificar alertas con la gravedad siguiente") esté establecida en "Alto" | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.2 | Asegúrese de que Azure Defender esté establecido en Activado para App Service | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.3 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores de bases de datos de Azure SQL | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.4 | Asegúrese de que Azure Defender esté establecido en Activado para los servidores SQL Server de las máquinas | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.5 | Asegúrese de que Azure Defender esté establecido en Activado para Storage | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.6 | Asegúrese de que Azure Defender esté establecido en Activado para Kubernetes. | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.7 | Asegúrese de que Azure Defender esté establecido en Activado para registros de contenedor. | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.8 | Asegúrese de que Azure Defender esté establecido en Activado para Key Vault | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Administración de puertas de enlace | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Security Center | 2.9 | Asegurarse de que esté seleccionada la integración de Windows Defender ATP (WDATP) con Security Center | Actualizar las definiciones de antivirus | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger contraseñas con cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob service para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob service para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob service para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob service para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob service para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el servicio de Table esté habilitado para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el servicio de Table esté habilitado para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el servicio de Table esté habilitado para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el servicio de Table esté habilitado para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el servicio de Table esté habilitado para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir un proceso de administración de claves físicas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir el uso criptográfico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Determinar los requisitos de aserción | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Emisión de certificados de clave pública | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Administración de claves criptográficas simétricas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Restringir el acceso a las claves privadas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para el servicio de cola para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Revocar roles con privilegios según corresponda | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de firma de acceso compartido expiren en una hora | Finalizar sesión de usuario automáticamente | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorización y administración del acceso | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar el acceso lógico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Flujo de la información de control | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegúrese de que "Servicios de Microsoft de confianza" está habilitado para el acceso a la cuenta de almacenamiento. | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegúrese de que el almacenamiento de datos críticos esté cifrado con la clave administrada por el cliente. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegúrese de que el almacenamiento de datos críticos esté cifrado con la clave administrada por el cliente. | Implementar controles para proteger todos los medios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegúrese de que el almacenamiento de datos críticos esté cifrado con la clave administrada por el cliente. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegúrese de que el almacenamiento de datos críticos esté cifrado con la clave administrada por el cliente. | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.2.1 | Asegúrese de que la protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado". | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.3 | Asegurarse de que el valor de la opción VA Análisis periódicos esté habilitado en un servidor SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.3 | Asegurarse de que el valor de la opción VA Análisis periódicos esté habilitado en un servidor SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.4 | Asegúrese de que la configuración de la evaluación de vulnerabilidades de "Enviar informes de examen a" esté establecida para un servidor SQL Server | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4 Servicios de base de datos | 4.2.4 | Asegúrese de que la configuración de la evaluación de vulnerabilidades de "Enviar informes de examen a" esté establecida para un servidor SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.4 | Asegúrese de que la configuración de la evaluación de vulnerabilidades de "Enviar informes de examen a" esté establecida para un servidor SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que el valor de VA "También enviar notificaciones por correo electrónico a los administradores y los propietarios de la suscripción" se ha establecido para un servidor SQL Server | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que el valor de VA "También enviar notificaciones por correo electrónico a los administradores y los propietarios de la suscripción" se ha establecido para un servidor SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que el valor de VA "También enviar notificaciones por correo electrónico a los administradores y los propietarios de la suscripción" se ha establecido para un servidor SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos MySQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_checkpoints" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Flujo de la información de control | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que el administrador de Azure Active Directory está configurado. | Automatizar la administración de cuentas | 1.1.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que el administrador de Azure Active Directory está configurado. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que el administrador de Azure Active Directory está configurado. | Supervisar el acceso en toda la organización | 1.1.0 |
| 4 Servicios de base de datos | 4.4. | Asegúrese de que el administrador de Azure Active Directory está configurado. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Proteger información especial | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegurarse de que existe un "Valor de diagnóstico" | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Revisar los datos de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Mantener la integridad del sistema de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Revisar los datos de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la regla Crear o actualizar grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegúrese de que los registros de diagnóstico estén habilitados para todos los servicios que los admitan. | Revisar los datos de auditoría | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Flujo de la información de control | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Cumplir con los períodos de retención definidos | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar los datos de usuarios finalizados | 1.1.0 |
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado". | Comprobar las funciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Controlar el acceso físico | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que los discos del sistema operativo y datos estén cifrados con CMK | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que los discos del sistema operativo y datos estén cifrados con CMK | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que los discos del sistema operativo y datos estén cifrados con CMK | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegúrese de que los discos del sistema operativo y datos estén cifrados con CMK | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.5 | Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales. | Corregir errores del sistema de información | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Documentar operaciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Administración de puertas de enlace | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Actualizar las definiciones de antivirus | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Proteger información especial | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegúrese de que la fecha de expiración se haya establecida en todas las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegúrese de que la fecha de expiración se haya establecido en todos los secretos | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que se han establecido los bloqueos de recursos para recursos de Azure de misión crítica | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegúrese de que el almacén de claves se puede recuperar. | Mantener la disponibilidad de la información | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorización y administración del acceso | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar el acceso lógico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Exigir la existencia de usuario único | 1.1.0 |
| 9 AppService | 9.1 | Asegúrese de que la autenticación de App Service está establecida en Azure App Service. | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 9 AppService | 9.10 | Asegúrese de que las implementaciones de FTP estén deshabilitadas | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.10 | Asegúrese de que las implementaciones de FTP estén deshabilitadas | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.10 | Asegúrese de que las implementaciones de FTP estén deshabilitadas | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir el uso criptográfico | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Determinar los requisitos de aserción | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Emisión de certificados de clave pública | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Mantener la disponibilidad de la información | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Administración de claves criptográficas simétricas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Restringir el acceso a las claves privadas | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.2 | Asegúrese de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service. | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegúrese de que la aplicación web usa la versión más reciente del cifrado TLS. | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Automatizar la administración de cuentas | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Supervisar el acceso en toda la organización | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 9 AppService | 9,6 | Asegúrese de que la "Versión de PHP" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.7 | Asegúrese de que la "Versión de Python" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.8 | Asegúrese de que la "Versión de Java" es la más reciente si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.9 | Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web. | Corregir errores del sistema de información | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1 Administración de identidades y acceso | 1.1 | Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.10 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.11 | Asegurarse de que los "usuarios pueden registrar aplicaciones" se establece en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.12 | Asegurarse de que "Restricciones de acceso de los usuarios invitados" está establecido en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.13 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Aplicar el acceso lógico | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1,14 | Asegurarse de que "Restringir el acceso al portal de administración de Azure AD" está establecido en "Sí" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.15 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.16 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.17 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.18 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Autorizar acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.19 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.2 | Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.20 | Garantía de que no se ha creado ningún rol de propietario de suscripción personalizado | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autenticación para el módulo criptográfico | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autorizar acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.21 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 Administración de identidades y acceso | 1.22 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar las cuentas de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.3 | Asegúrese de que los usuarios invitados se revisen mensualmente | Revisar privilegios de usuario | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que la opción "Restaurar la autenticación multifactor en todos los dispositivos recordados" está habilitada | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que la opción "Restaurar la autenticación multifactor en todos los dispositivos recordados" está habilitada | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 Administración de identidades y acceso | 1.4 | Asegurarse de que la opción "Restaurar la autenticación multifactor en todos los dispositivos recordados" está habilitada | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.6 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.7 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Auditar funciones con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Revocar roles con privilegios según corresponda | 1.1.0 |
| 1 Administración de identidades y acceso | 1.8 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Usar Privileged Identity Management | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Autorización y administración del acceso | 1.1.0 |
| 1 Administración de identidades y acceso | 1.9 | Asegurarse de que "Los usuarios pueden permitir que las aplicaciones accedan a los datos de la compañía en su nombre" esté en "No". | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Asegurarse de que Microsoft Defender para servidores esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,10 | Garantía de que la integración de Microsoft Defender for Cloud Apps (MCAS) con Microsoft Defender for Cloud está seleccionada | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.11 | Garantía de que el aprovisionamiento automático del "agente de Log Analytics para máquinas virtuales de Azure" está establecido en "Activado" | Documentar operaciones de seguridad | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.11 | Garantía de que el aprovisionamiento automático del "agente de Log Analytics para máquinas virtuales de Azure" está establecido en "Activado" | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Establecer un panel de control de configuración | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,12 | Garantía de que ninguna de las opciones de la directiva predeterminada de ASC está establecida en "Deshabilitado" | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2,13 | Asegurarse de que la opción "Direcciones de correo electrónico adicionales" esté configurada con un correo electrónico de contacto de seguridad | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| 2 Microsoft Defender for Cloud | 2.14 | Asegurarse de que la opción "Notificar sobre alertas con la siguiente gravedad" esté establecida en "Alto" | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Asegurarse de que Microsoft Defender para App Service esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Asegurarse de que Microsoft Defender para Azure SQL Database esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | Asegurarse de que Microsoft Defender para servidores SQL Server en máquinas esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Asegurarse de que Microsoft Defender para Storage esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Asegurarse de que Microsoft Defender para Kubernetes esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Asegurarse de que Microsoft Defender para registros de contenedor está establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Asegurarse de que Microsoft Defender para Key Vault esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Administración de puertas de enlace | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Asegurarse de que la integración de Microsoft Defender para punto de conexión (WDATP) con Microsoft Defender for Cloud está seleccionada | Actualizar las definiciones de antivirus | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger contraseñas con cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.10 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,11 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,12 | Asegurarse de que la "versión mínima de TLS" esté establecida en "Versión 1.2" | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,12 | Asegurarse de que la "versión mínima de TLS" esté establecida en "Versión 1.2" | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3,12 | Asegurarse de que la "versión mínima de TLS" esté establecida en "Versión 1.2" | Proteger contraseñas con cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir un proceso de administración de claves físicas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir el uso criptográfico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Determinar los requisitos de aserción | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Emisión de certificados de clave pública | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Administración de claves criptográficas simétricas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.2 | Asegurarse de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Restringir el acceso a las claves privadas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.3 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Revocar roles con privilegios según corresponda | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.4 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Finalizar sesión de usuario automáticamente | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Autorización y administración del acceso | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar el acceso lógico | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.5 | Asegúrese de que "Nivel de acceso público" se haya establecido en Privado para los contenedores de blobs | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento | Flujo de la información de control | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.7 | Asegurarse de que "Servicios de Microsoft de confianza" esté habilitado para el acceso a la cuenta de almacenamiento | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Implementar controles para proteger todos los medios | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 Cuentas de almacenamiento | 3.9 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.1.2 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.1.3 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.2.1 | Asegurarse de que la Protección contra amenazas avanzada (ATP) en un servidor SQL Server esté establecida en "Habilitado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.3 | Asegurarse de que la configuración de VA "Exámenes periódicos" está establecida en "activado" para cada servidor SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.3 | Asegurarse de que la configuración de VA "Exámenes periódicos" está establecida en "activado" para cada servidor SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.4 | Asegurarse de que la configuración de VA "Enviar informes de examen a" está configurada para un servidor SQL Server | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4 Servicios de base de datos | 4.2.4 | Asegurarse de que la configuración de VA "Enviar informes de examen a" está configurada para un servidor SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.4 | Asegurarse de que la configuración de VA "Enviar informes de examen a" está configurada para un servidor SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que la configuración de evaluación de vulnerabilidades "Enviar también notificaciones por correo electrónico a administradores y propietarios de suscripciones" está establecida para cada SQL Server | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que la configuración de evaluación de vulnerabilidades "Enviar también notificaciones por correo electrónico a administradores y propietarios de suscripciones" está establecida para cada SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4 Servicios de base de datos | 4.2.5 | Asegurarse de que la configuración de evaluación de vulnerabilidades "Enviar también notificaciones por correo electrónico a administradores y propietarios de suscripciones" está establecida para cada SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4 Servicios de base de datos | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4 Servicios de base de datos | 4.3.6 | Asegurarse de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Flujo de la información de control | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 4 Servicios de base de datos | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Proteger información especial | 1.1.0 |
| 4 Servicios de base de datos | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4 Servicios de base de datos | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Proteger contraseñas con cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Automatizar la administración de cuentas | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Supervisar el acceso en toda la organización | 1.1.0 |
| 4 Servicios de base de datos | 4.5 | Asegúrese de que el administrador de Azure Active Directory está configurado. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4 Servicios de base de datos | 4.6 | Asegúrese de que el protector de TDE de SQL Server esté cifrado con una clave administrada por el cliente. | Proteger información especial | 1.1.0 |
| 5 Registro y supervisión | 5.1.1 | Asegurarse de que existe un "Valor de diagnóstico" | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Revisar los datos de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Mantener la integridad del sistema de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK (use su propia clave). | Proteger la información de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.1.5 | Asegúrese de que el registro de Azure KeyVault esté habilitado. | Revisar los datos de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la regla Eliminar grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.7 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.8 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Alertar al personal del volcado de información | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5 Registro y supervisión | 5.2.9 | Asegúrese de que existe una alerta de registro de actividad para la regla de firewall Crear, actualizar o eliminar SQL Server. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Auditar funciones con privilegios | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Determinar eventos auditables | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 Registro y supervisión | 5.3 | Asegurarse de que los registros de diagnóstico están habilitados para todos los servicios que lo admiten | Revisar los datos de auditoría | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Flujo de la información de control | 1.1.0 |
| 6 Redes | 6.3 | Asegúrese de que ninguna instancia de SQL Database permita la entrada 0.0.0.0/0 (cualquier IP). | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Cumplir con los períodos de retención definidos | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 6 Redes | 6.4 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar los datos de usuarios finalizados | 1.1.0 |
| 6 Redes | 6.5 | Asegúrese de que Network Watcher está "Habilitado". | Comprobar las funciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Controlar el acceso físico | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 7 Máquinas virtuales | 7.1 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.2 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.3 | Asegúrese de que los discos no conectados estén cifrados con CMK | Proteger información especial | 1.1.0 |
| 7 Máquinas virtuales | 7.5 | Asegúrese de que se aplican las revisiones del sistema operativo más recientes para todas las máquinas virtuales. | Corregir errores del sistema de información | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Documentar operaciones de seguridad | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Administración de puertas de enlace | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Actualizar las definiciones de antivirus | 1.1.0 |
| 7 Máquinas virtuales | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 Máquinas virtuales | 7.7 | Asegurarse de que VHD está cifrado | Proteger información especial | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.5 | Asegurarse de que se han establecido los bloqueos de recursos para recursos de Azure de misión crítica | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8,6 | Asegúrese de que el almacén de claves se puede recuperar. | Mantener la disponibilidad de la información | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Autorización y administración del acceso | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar el acceso lógico | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 9 AppService | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Exigir la existencia de usuario único | 1.1.0 |
| 9 AppService | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 9 AppService | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir el uso criptográfico | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Determinar los requisitos de aserción | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Emisión de certificados de clave pública | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Mantener la disponibilidad de la información | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Administración de claves criptográficas simétricas | 1.1.0 |
| 9 AppService | 9.11 | Asegurarse de que se usan Azure Keyvaults para almacenar secretos | Restringir el acceso a las claves privadas | 1.1.0 |
| 9 AppService | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 AppService | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 AppService | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Proteger contraseñas con cifrado | 1.1.0 |
| 9 AppService | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Automatizar la administración de cuentas | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Supervisar el acceso en toda la organización | 1.1.0 |
| 9 AppService | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 9 AppService | 9,6 | Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.7 | Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.8 | Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 AppService | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v2.0.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autenticación para el módulo criptográfico | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Autorizar acceso remoto | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Documentar las directrices de acceso remoto | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1.1 | 1.1.1 | Asegurarse de que los valores predeterminados de seguridad están habilitados en Azure Active Directory | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1.1 | 1.1.2 | Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1.1 | 1.1.3 | Asegurarse de que "Estado de Autenticación multifactor" esté "Habilitado" para todos los usuarios sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1.1 | 1.1.4 | Asegúrese de que la opción "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1.1 | 1.1.4 | Asegúrese de que la opción "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1.1 | 1.1.4 | Asegúrese de que la opción "Permitir a los usuarios que se recuerde la autenticación multifactor en los dispositivos en los que confían" esté "Deshabilitado" | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Auditar funciones con privilegios | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Revocar roles con privilegios según corresponda | 1.1.0 |
| 1 | 1.10 | Asegurarse de que "¿Enviar una notificación a todos los administradores cuando otros administradores restablezcan su contraseña?" esté establecido en "Sí" esté establecido en "Sí". | Usar Privileged Identity Management | 1.1.0 |
| 1 | 1.11 | Asegúrese de que User consent for applications esté establecido en Do not allow user consent |
Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.11 | Asegúrese de que User consent for applications esté establecido en Do not allow user consent |
Autorización y administración del acceso | 1.1.0 |
| 1 | 1.11 | Asegúrese de que User consent for applications esté establecido en Do not allow user consent |
Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.13 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.13 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.13 | Asegurarse de que "Los usuarios pueden agregar aplicaciones de la galería a Aplicaciones" se ha establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1,14 | Asegúrese de que la opción "Los usuarios pueden registrar aplicaciones" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1,14 | Asegúrese de que la opción "Los usuarios pueden registrar aplicaciones" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1,14 | Asegúrese de que la opción "Los usuarios pueden registrar aplicaciones" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Aplicar el acceso lógico | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 | 1.15 | Asegúrese de que las "Restricciones de acceso de los usuarios invitados" estén establecidas en "El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Aplicar el acceso lógico | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 | 1.16 | Asegurarse de que "Restricciones de invitación de invitado" está establecido en "Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Aplicar el acceso lógico | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 1 | 1.17 | Asegúrese de que "Restringir el acceso al portal de administración de Azure AD" esté establecido en "Sí" | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 1 | 1.18 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.18 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.18 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.18 | Asegurarse de que la opción "Restringir la capacidad del usuario para acceder a las características de grupos del panel de acceso" esté establecida en "Sí" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.19 | Asegurarse de que "Los usuarios pueden crear grupos de seguridad en portales de Azure, API o PowerShell" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.20 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.20 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.20 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.20 | Asegurarse de que la opción "Los propietarios pueden administrar solicitudes de pertenencia a grupos en el Panel de acceso" esté establecida en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.21 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.21 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.21 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.21 | Asegurarse de que "Los usuarios pueden crear grupos de Microsoft 365 en portales de Azure, API o PowerShell" esté establecido en "No" | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Autorizar acceso remoto | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Documentar las directrices de acceso remoto | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1 | 1.22 | Asegurarse de que "Requerir autenticación multifactor para registrar o unir dispositivos con Azure AD" esté establecido en "Sí" | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Diseñar un modelo de control de acceso | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.23 | Asegúrese de que no existen roles de administrador de suscripciones personalizados | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.24 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 1 | 1.24 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Autorización y administración del acceso | 1.1.0 |
| 1 | 1.24 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 1 | 1.24 | Asegurarse de que a un rol personalizado se le asignan permisos para administrar los bloqueos de recursos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Revisar las cuentas de usuario | 1.1.0 |
| 1 | 1.5 | Asegúrese de que los usuarios invitados se revisen regularmente | Revisar privilegios de usuario | 1.1.0 |
| 1 | 1.8 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Automatizar la administración de cuentas | 1.1.0 |
| 1 | 1.8 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 | 1.8 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 | 1.8 | Asegurarse de que "Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticación" esté establecido en "0" | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 1 | 1.9 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Automatizar la administración de cuentas | 1.1.0 |
| 1 | 1.9 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 1 | 1.9 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 1 | 1.9 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Supervisar el acceso en toda la organización | 1.1.0 |
| 1 | 1.9 | Asegúrese de que "Notificar a los usuarios en los restablecimientos de contraseña" esté establecido en "Sí". | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 10 | 10.1 | Asegúrese de que estén establecidos los bloqueos de recursos para los recursos de Azure críticos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.1 | Asegúrese de que Microsoft Defender para servidores esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.10 | Asegúrese de que Microsoft Defender para Key Vault esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.11 | Asegúrese de que Microsoft Defender para DNS esté establecido en "Activado" | [En desuso]: se debe habilitar Azure Defender para DNS | 1.1.0-deprecated |
| 2.1 | 2.1.12 | Asegúrese de que Microsoft Defender para Resource Manager esté establecido en "Activado" | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Establecer un panel de control de configuración | 1.1.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 2.1 | 2.1.14 | Asegúrese de que ninguna de las configuraciones de la directiva predeterminada de ASC esté establecida en "Deshabilitada" | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 2.1 | 2.1.15 | Asegúrese de que el aprovisionamiento automático del "Agente de Log Analytics para máquinas virtuales de Azure" esté establecido en "Activado" | Documentar operaciones de seguridad | 1.1.0 |
| 2.1 | 2.1.15 | Asegúrese de que el aprovisionamiento automático del "Agente de Log Analytics para máquinas virtuales de Azure" esté establecido en "Activado" | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.17 | Asegúrese de que el aprovisionamiento automático de los "Componentes de Microsoft Defender para contenedores" esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.19 | Asegurarse de que la opción "Direcciones de correo electrónico adicionales" esté configurada con un correo electrónico de contacto de seguridad | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.2 | Asegúrese de que Microsoft Defender para App Services esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.20 | Asegurarse de que la opción "Notificar sobre alertas con la siguiente gravedad" esté establecida en "Alto" | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.21 | Asegúrese de que la integración de Microsoft Defender for Cloud Apps con Microsoft Defender for Cloud esté seleccionada | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.22 | Asegúrese de que la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud esté seleccionada | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.3 | Asegúrese de que Microsoft Defender for Databases esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| 2.1 | 2.1.3 | Asegúrese de que Microsoft Defender for Databases esté establecido en "Activado" | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| 2.1 | 2.1.3 | Asegúrese de que Microsoft Defender for Databases esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| 2.1 | 2.1.3 | Asegúrese de que Microsoft Defender for Databases esté establecido en "Activado" | Microsoft Defender para Azure Cosmos DB debe estar habilitado | 1.0.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.4 | Asegúrese de que Microsoft Defender para Azure SQL Databases esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.5 | Asegúrese de que Microsoft Defender para SQL Servers en máquinas esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.6 | Asegúrese de que Microsoft Defender para las bases de datos relacionales de código abierto esté establecido en "Activado" | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.7 | Asegúrese de que Microsoft Defender para Storage esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Administración de puertas de enlace | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 2.1 | 2.1.8 | Asegúrese de que Microsoft Defender para contenedores esté establecido en "Activado" | Actualizar las definiciones de antivirus | 1.1.0 |
| 2.1 | 2.1.9 | Asegúrese de que Microsoft Defender para Azure Cosmos DB esté establecido en "Activado" | Microsoft Defender para Azure Cosmos DB debe estar habilitado | 1.0.0 |
| 3 | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 | 3.1 | Asegúrese de la opción "Se requiere transferencia segura" esté establecida en "Habilitada". | Proteger contraseñas con cifrado | 1.1.0 |
| 3 | 3,12 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 3 | 3,12 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Implementar controles para proteger todos los medios | 1.1.0 |
| 3 | 3,12 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 | 3,12 | Asegurarse de que el almacenamiento de datos críticos está cifrado con claves administradas por el cliente | Proteger información especial | 1.1.0 |
| 3 | 3.13 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Auditar funciones con privilegios | 1.1.0 |
| 3 | 3.13 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 | 3.13 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 | 3.13 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Determinar eventos auditables | 1.1.0 |
| 3 | 3.13 | Asegurarse de que el registro de almacenamiento esté habilitado para Blob Service para las solicitudes "Read", "Write" y "Delete" | Revisar los datos de auditoría | 1.1.0 |
| 3 | 3,14 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Auditar funciones con privilegios | 1.1.0 |
| 3 | 3,14 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 | 3,14 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 | 3,14 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Determinar eventos auditables | 1.1.0 |
| 3 | 3,14 | Asegurarse de que el registro de almacenamiento esté habilitado para Table Service para las solicitudes "Read", "Write" y "Delete" | Revisar los datos de auditoría | 1.1.0 |
| 3 | 3,15 | Asegúrese de que la "versión mínima de TLS" para las cuentas de almacenamiento esté establecida en la "versión 1.2". | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 3 | 3,15 | Asegúrese de que la "versión mínima de TLS" para las cuentas de almacenamiento esté establecida en la "versión 1.2". | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 3 | 3,15 | Asegúrese de que la "versión mínima de TLS" para las cuentas de almacenamiento esté establecida en la "versión 1.2". | Proteger contraseñas con cifrado | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir un proceso de administración de claves físicas | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir el uso criptográfico | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Determinar los requisitos de aserción | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Emisión de certificados de clave pública | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Administración de claves criptográficas simétricas | 1.1.0 |
| 3 | 3.4 | Asegúrese de que las claves de acceso de la cuenta de almacenamiento se regeneren periódicamente | Restringir el acceso a las claves privadas | 1.1.0 |
| 3 | 3.5 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Auditar funciones con privilegios | 1.1.0 |
| 3 | 3.5 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 3 | 3.5 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 3 | 3.5 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Determinar eventos auditables | 1.1.0 |
| 3 | 3.5 | Asegurarse de que el registro de almacenamiento esté habilitado para Queue Service para las solicitudes de lectura, escritura y eliminación | Revisar los datos de auditoría | 1.1.0 |
| 3 | 3,6 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 3 | 3,6 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Revocar roles con privilegios según corresponda | 1.1.0 |
| 3 | 3,6 | Asegurarse de que los tokens de Firma de acceso compartido expiren en una hora | Finalizar sesión de usuario automáticamente | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Autorización y administración del acceso | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Aplicar el acceso lógico | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 3 | 3.7 | Asegúrese de que "Nivel de acceso público" está deshabilitado para las cuentas de almacenamiento con contenedores de blobs. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 3 | 3.9 | Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento. | Flujo de la información de control | 1.1.0 |
| 3 | 3.9 | Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 3 | 3.9 | Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento. | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 3 | 3.9 | Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento. | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 3 | 3.9 | Asegúrese de que "Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento" esté habilitado para el acceso a la cuenta de almacenamiento. | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 4,1 | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar funciones con privilegios | 1.1.0 |
| 4,1 | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4,1 | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Determinar eventos auditables | 1.1.0 |
| 4,1 | 4.1.1 | Asegúrese de que la opción "Auditando" esté establecida en "Activada". | Revisar los datos de auditoría | 1.1.0 |
| 4,1 | 4.1.2 | Asegúrese de que ninguna instancia de Azure SQL Databases permita la entrada 0.0.0.0/0 (cualquier IP) | Flujo de la información de control | 1.1.0 |
| 4,1 | 4.1.2 | Asegúrese de que ninguna instancia de Azure SQL Databases permita la entrada 0.0.0.0/0 (cualquier IP) | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Implementar controles para proteger todos los medios | 1.1.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4,1 | 4.1.3 | Asegúrese de que el protector de Cifrado de datos transparente (TDE) de SQL Server esté cifrado con la clave administrada por el cliente | Proteger información especial | 1.1.0 |
| 4,1 | 4.1.4 | Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers | Automatizar la administración de cuentas | 1.1.0 |
| 4,1 | 4.1.4 | Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 4,1 | 4.1.4 | Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers | Supervisar el acceso en toda la organización | 1.1.0 |
| 4,1 | 4.1.4 | Asegúrese de que el administrador de Azure Active Directory esté configurado para SQL Servers | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 4,1 | 4.1.5 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4,1 | 4.1.5 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Implementar controles para proteger todos los medios | 1.1.0 |
| 4,1 | 4.1.5 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4,1 | 4.1.5 | Asegúrese de que la opción "Cifrado de datos" esté establecida en "Activado" en una base de datos SQL Database. | Proteger información especial | 1.1.0 |
| 4,1 | 4.1.6 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4,1 | 4.1.6 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4,1 | 4.1.6 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4,1 | 4.1.6 | Asegúrese de que la retención de "Auditoría" sea "más de 90 días". | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4,2 | 4.2.1 | Asegúrese de que Microsoft Defender para SQL esté establecido en "Activado" para SQL Servers críticos | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 4,2 | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4,2 | 4.2.2 | Asegúrese de que la evaluación de vulnerabilidades (VA) esté habilitada en un servidor SQL Server mediante la configuración de una cuenta de almacenamiento | Corregir errores del sistema de información | 1.1.0 |
| 4,2 | 4.2.3 | Asegúrese de que la configuración de la valoración de vulnerabilidad (VA) "Exámenes periódicos" esté establecida en "activado" para cada servidor SQL | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4,2 | 4.2.3 | Asegúrese de que la configuración de la valoración de vulnerabilidad (VA) "Exámenes periódicos" esté establecida en "activado" para cada servidor SQL | Corregir errores del sistema de información | 1.1.0 |
| 4,2 | 4.2.4 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar informes de examen a" esté establecida para un servidor SQL | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4,2 | 4.2.4 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar informes de examen a" esté establecida para un servidor SQL | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4,2 | 4.2.4 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar informes de examen a" esté establecida para un servidor SQL | Corregir errores del sistema de información | 1.1.0 |
| 4,2 | 4.2.5 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 4,2 | 4.2.5 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 4,2 | 4.2.5 | Asegúrese de que la configuración de la valoración de vulnerabilidades (VA) "Enviar también notificaciones por correo electrónico a los administradores y propietarios de la suscripción" esté establecida para cada SQL Server | Corregir errores del sistema de información | 1.1.0 |
| 4.3 | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4.3 | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4.3 | 4.3.1 | Asegúrese de que "Aplicar conexión SSL" esté establecido en "HABILITADO" para el servidor de bases de datos PostgreSQL. | Proteger contraseñas con cifrado | 1.1.0 |
| 4.3 | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Auditar funciones con privilegios | 1.1.0 |
| 4.3 | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4.3 | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Determinar eventos auditables | 1.1.0 |
| 4.3 | 4.3.2 | Asegurarse de que el parámetro de servidor "log_checkpoints" está establecido en "Activado" para el servidor de bases de datos PostgreSQL | Revisar los datos de auditoría | 1.1.0 |
| 4.3 | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4.3 | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4.3 | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4.3 | 4.3.3 | Asegúrese de que "log_connections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4.3 | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4.3 | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4.3 | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4.3 | 4.3.4 | Asegúrese de que "log_disconnections" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4.3 | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar funciones con privilegios | 1.1.0 |
| 4.3 | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 4.3 | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Determinar eventos auditables | 1.1.0 |
| 4.3 | 4.3.5 | Asegúrese de que "connection_throttling" del parámetro del servidor está establecido en "ACTIVADO" para el servidor de bases de datos PostgreSQL. | Revisar los datos de auditoría | 1.1.0 |
| 4.3 | 4.3.6 | Asegúrese de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Cumplir con los períodos de retención definidos | 1.1.0 |
| 4.3 | 4.3.6 | Asegúrese de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 4.3 | 4.3.6 | Asegúrese de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 4.3 | 4.3.6 | Asegúrese de que el parámetro de servidor "log_retention_days" sea superior a 3 días para el servidor de la base de datos PostgreSQL | Conservar los datos de usuarios finalizados | 1.1.0 |
| 4.3 | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Flujo de la información de control | 1.1.0 |
| 4.3 | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 4.3 | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 4.3 | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 4.3 | 4.3.7 | Asegurarse de que se ha deshabilitado la opción "Permitir el acceso a servicios de Azure" para el servidor de bases de datos PostgreSQL | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 4.3 | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 4.3 | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Implementar controles para proteger todos los medios | 1.1.0 |
| 4.3 | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4.3 | 4.3.8 | Asegurarse de que el "Cifrado doble de infraestructura" para el servidor de base de datos PostgreSQL esté "Habilitado" | Proteger información especial | 1.1.0 |
| 4.4. | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4.4. | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4.4. | 4.4.1 | Asegurarse de que "Exigir conexión SSL" está establecido en "Habilitado" para el servidor de base de datos MySQL estándar | Proteger contraseñas con cifrado | 1.1.0 |
| 4.4. | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 4.4. | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 4.4. | 4.4.2 | Asegurarse de que la "Versión de TLS" esté establecida en "TLSV1.2" para el servidor de bases de datos flexible de MySQL | Proteger contraseñas con cifrado | 1.1.0 |
| 5,1 | 5.1.1 | Asegúrese de que exista un "Valor de diagnóstico" | Determinar eventos auditables | 1.1.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar funciones con privilegios | 1.1.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Determinar eventos auditables | 1.1.0 |
| 5,1 | 5.1.2 | Asegurarse de que la configuración de diagnóstico capture las categorías adecuadas | Revisar los datos de auditoría | 1.1.0 |
| 5,1 | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente. | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5,1 | 5.1.3 | Asegúrese de que el contenedor de almacenamiento donde se almacenan los registros de actividad no sea accesible públicamente. | Proteger la información de auditoría | 1.1.0 |
| 5,1 | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad esté cifrada con una clave administrada por el cliente. | Habilitar la autorización doble o conjunta | 1.1.0 |
| 5,1 | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad esté cifrada con una clave administrada por el cliente. | Mantener la integridad del sistema de auditoría | 1.1.0 |
| 5,1 | 5.1.4 | Asegúrese de que la cuenta de almacenamiento que contiene el contenedor con los registros de actividad esté cifrada con una clave administrada por el cliente. | Proteger la información de auditoría | 1.1.0 |
| 5,1 | 5.1.5 | Asegúrese de que el registro de Azure Key Vault esté "Habilitado" | Auditar funciones con privilegios | 1.1.0 |
| 5,1 | 5.1.5 | Asegúrese de que el registro de Azure Key Vault esté "Habilitado" | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5,1 | 5.1.5 | Asegúrese de que el registro de Azure Key Vault esté "Habilitado" | Determinar eventos auditables | 1.1.0 |
| 5,1 | 5.1.5 | Asegúrese de que el registro de Azure Key Vault esté "Habilitado" | Revisar los datos de auditoría | 1.1.0 |
| 5.2 | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5.2 | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.1 | Asegúrese de que existe una alerta de registro de actividad para la creación de una asignación de directiva. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| 5.2 | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.2 | Asegúrese de que existe una alerta de registro de actividad para la eliminación de una asignación de directiva | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.3 | Asegúrese de que existe una alerta de registro de actividad para crear o actualizar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.4 | Asegúrese de que existe una alerta de registro de actividad para eliminar el grupo de seguridad de red. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.5 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de creación o actualización. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.6 | Asegúrese de que existe una alerta de registro de actividad para la solución de seguridad de eliminación. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.7 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Crear o actualizar SQL Server | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.7 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Crear o actualizar SQL Server | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.7 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Crear o actualizar SQL Server | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.7 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Crear o actualizar SQL Server | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5.2 | 5.2.8 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Eliminar SQL Server | Alertar al personal del volcado de información | 1.1.0 |
| 5.2 | 5.2.8 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Eliminar SQL Server | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 5.2 | 5.2.8 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Eliminar SQL Server | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 5.2 | 5.2.8 | Asegúrese de que exista una alerta de registro de actividad para la regla de firewall Eliminar SQL Server | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Cumplir con los períodos de retención definidos | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Auditar funciones con privilegios | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Determinar eventos auditables | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Conservar los datos de usuarios finalizados | 1.1.0 |
| 5 | 5.4 | Asegúrese de que el registro de recursos de Azure Monitor esté habilitado para todos los servicios que lo admitan | Revisar los datos de auditoría | 1.1.0 |
| 6 | 6.5 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Cumplir con los períodos de retención definidos | 1.1.0 |
| 6 | 6.5 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 6 | 6.5 | Asegurarse de que el período de retención del registro de flujo de grupo de seguridad de red es de "más de 90 días" | Conservar los datos de usuarios finalizados | 1.1.0 |
| 6 | 6.6 | Asegúrese de que Network Watcher está "Habilitado". | Comprobar las funciones de seguridad | 1.1.0 |
| 7 | 7.2 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Controlar el acceso físico | 1.1.0 |
| 7 | 7.2 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 7 | 7.2 | Asegúrese de que las máquinas virtuales utilicen discos administrados | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 7 | 7.3 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 | 7.3 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 | 7.3 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 | 7.3 | Asegurarse de que los discos "sistema operativo y datos" están cifrados con la clave administrada por el cliente (CMK) | Proteger información especial | 1.1.0 |
| 7 | 7.4 | Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK) | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 | 7.4 | Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK) | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 | 7.4 | Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK) | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 | 7.4 | Asegúrese de que los "discos no conectados" están cifrados con la "clave administrada por el cliente" (CMK) | Proteger información especial | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Documentar operaciones de seguridad | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Administración de puertas de enlace | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Actualizar las definiciones de antivirus | 1.1.0 |
| 7 | 7.6 | Asegúrese de que Endpoint Protection esté instalado para todas las máquinas virtuales | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 7 | 7.7 | [Heredado] Asegúrese de que los discos duros virtuales estén cifrados | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 7 | 7.7 | [Heredado] Asegúrese de que los discos duros virtuales estén cifrados | Implementar controles para proteger todos los medios | 1.1.0 |
| 7 | 7.7 | [Heredado] Asegúrese de que los discos duros virtuales estén cifrados | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 7 | 7.7 | [Heredado] Asegúrese de que los discos duros virtuales estén cifrados | Proteger información especial | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 | 8.1 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves de RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 | 8,2 | Asegurarse de que la fecha de expiración está establecida para todas las claves de almacenes de claves que no son RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 | 8.3 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves de RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir un proceso de administración de claves físicas | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir el uso criptográfico | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Determinar los requisitos de aserción | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Emisión de certificados de clave pública | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Administración de claves criptográficas simétricas | 1.1.0 |
| 8 | 8,4 | Asegurarse de que la fecha de expiración está establecida para todos los secretos de almacenes de claves que no son RBAC | Restringir el acceso a las claves privadas | 1.1.0 |
| 9 | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Exigir la existencia de usuario único | 1.1.0 |
| 9 | 9.1 | Asegurarse de que la autenticación de App Service está configurada para las aplicaciones en Azure App Service | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 9 | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 | 9.10 | Asegurarse de que las implementaciones de FTP están deshabilitadas | Proteger contraseñas con cifrado | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Definir el uso criptográfico | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Determinar los requisitos de aserción | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Emisión de certificados de clave pública | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Mantener la disponibilidad de la información | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Administración de claves criptográficas simétricas | 1.1.0 |
| 9 | 9.11 | Asegúrese de que se use Azure Key Vaults para almacenar los secretos | Restringir el acceso a las claves privadas | 1.1.0 |
| 9 | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 | 9.2 | Asegurarse de que la aplicación web redirige todo el tráfico HTTP a HTTPS en Azure App Service | Proteger contraseñas con cifrado | 1.1.0 |
| 9 | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 9 | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 9 | 9.3 | Asegurarse de que la aplicación web usa la versión más reciente del cifrado TLS | Proteger contraseñas con cifrado | 1.1.0 |
| 9 | 9,4 | Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada. | Autenticación para el módulo criptográfico | 1.1.0 |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Automatizar la administración de cuentas | 1.1.0 |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Supervisar el acceso en toda la organización | 1.1.0 |
| 9 | 9.5 | Asegúrese de que el registro con Azure Active Directory esté habilitado en App Service. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 9 | 9,6 | Asegurarse de que la "Versión de PHP" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 | 9.7 | Asegurarse de que la "versión de Python" es la versión estable más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 | 9.8 | Asegurarse de que la "Versión de Java" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
| 9 | 9.9 | Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web | Corregir errores del sistema de información | 1.1.0 |
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.2.007 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.2.007 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC.3.017 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC.3.017 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | AC.3.018 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Control de acceso | AC.3.021 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Auditoría y responsabilidad | AU.2.041 | Garantiza que las acciones que realicen usuarios individuales del sistema solo puedan rastrearse hasta llegar a dichos usuarios para que se les pueda responsabilizar de sus acciones. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | El registro de actividad debe conservarse durante al menos un año | 1.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Auditoría y responsabilidad | AU.2.042 | Crea y conserva registros y registros de auditoría del sistema en la medida necesaria para habilitar la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| Auditoría y responsabilidad | AU.3.049 | Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Evaluación de la seguridad | CA.2.158 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Evaluación de la seguridad | CA.3.161 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Administración de la configuración | CM.2.061 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Administración de la configuración | CM.2.065 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| Respuesta a los incidentes | IR.2.092 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR.2.092 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR.2.092 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR.2.093 | Detección y notificación de eventos. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR.2.093 | Detecta y notifica eventos. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Recuperación | RE.2.137 | Ejecuta y prueba periódicamente copias de seguridad de los datos. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Recuperación | RE.3.139 | Realiza periódicamente copias de seguridad completas y resistentes de los datos en función de las especificaciones de la organización. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RM.2.141 | Evalúa periódicamente el riesgo que corren las operaciones de la organización (como la misión, las funciones, la imagen o la reputación), los recursos de la organización y los individuos por el funcionamiento de los sistemas de la organización, así como por los procesos, el almacenamiento y la transmisión de CUI correspondientes. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RM.2.142 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Administración de riesgos | RM.3.144 | Realiza periódicamente evaluaciones de riesgos para identificar y priorizar los riesgos en función de las categorías de riesgo, los orígenes de riesgo y los criterios de medición de riesgos establecidos. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.181 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.187 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI.1.213 | Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI.2.216 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | El registro de actividad debe conservarse durante al menos un año | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 |
| Integridad del sistema y de la información | SI.2.217 | Identifica el uso no autorizado de los sistemas de la organización. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Control de directivas y procedimientos | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (5) | Cierre de sesión por inactividad | Definición y aplicación de la directiva de registro de inactividad | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-2 (9) | Restricciones de uso de cuentas o grupos compartidos | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 (10) | Terminación de credenciales de cuentas de grupo o compartidas | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Control de acceso | AC-2 (11) | Condiciones de uso | Exigencia del uso adecuado de todas las cuentas | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (13) | Deshabilitación de cuentas para individuos de alto riesgo | Deshabilitación de cuentas de usuario que suponen un riesgo significativo | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Control de acceso | AC-4 (8) | Filtros de directiva de seguridad | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Documentación de la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Separación de las obligaciones de las personas | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-6 (5) | Cuentas con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Revisar privilegios de usuario | 1.1.0 |
| Control de acceso | AC-6 (8) | Niveles de privilegios para la ejecución de código | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-7 | Intentos de inicio de sesión incorrectos | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Control de acceso | AC-10 | Control de sesiones simultáneas | Definición y aplicación del límite de sesiones simultáneas | 1.1.0 |
| Control de acceso | AC-12 | Finalización de la sesión | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierres de sesión iniciados por el usuario/Pantallas de mensajes | Muestra de un mensaje de cierre de sesión explícito | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierres de sesión iniciados por el usuario/Pantallas de mensajes | Proporción de la capacidad de cierre de sesión | 1.1.0 |
| Control de acceso | AC-14 | Acciones permitidas sin identificación o autenticación | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Entrenamiento de movilidad de documentos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (1) | Supervisión o control automatizados | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-17 (3) | Puntos de control de acceso administrados | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (9) | Desconexión o deshabilitación del acceso | Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-19 | Control de acceso para los dispositivos móviles | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Control de acceso | AC-20 (1) | Límites de uso autorizado | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Implementar controles para proteger todos los medios | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Facilitación del uso compartido de la información | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directivas y procedimientos de aprendizaje y concienciación de la seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directivas y procedimientos de aprendizaje y concienciación de la seguridad | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 (2) | Amenaza interna | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 (3) | Ejercicios prácticos | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 (4) | Comunicaciones sospechosas y comportamiento anómalo del sistema | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Conservación de registros de formación | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Control de directivas y procedimientos | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-2 | Auditoría de eventos | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-2 (3) | Revisiones y actualizaciones | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| Auditoría y responsabilidad | AU-3 | Contenido de los registros de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-3 (1) | Información de auditoría adicional | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Auditoría y responsabilidad | AU-4 | Capacidad de almacenamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 | Respuesta a errores de procesamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 (2) | Alertas en tiempo real | Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Integración del análisis del registro de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (7) | Acciones permitidas | Especificación de acciones permitidas asociadas con la información de auditoría del cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (10) | Ajuste de nivel de auditoría | Ajuste del nivel de revisión, análisis y creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 (1) | Procesamiento automático | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-8 | Marcas de tiempo | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-8 (1) | Sincronización con un recurso de hora autorizado | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Habilitar la autorización doble o conjunta | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (2) | Auditoría de copias de seguridad en sistemas o componentes físicos separados | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (3) | Protección criptográfica | Mantener la integridad del sistema de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (4) | Acceso por subconjunto de usuarios con privilegios | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-10 | No rechazo | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Cumplir con los períodos de retención definidos | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar los datos de usuarios finalizados | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar funciones con privilegios | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Compilación de los registros de auditoría en la auditoría de todo el sistema | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (3) | Cambios realizados por personas autorizadas | Ofrecimiento de la capacidad de ampliar o limitar la auditoría de los recursos implementados por el cliente | 1.1.0 |
| Evaluación de seguridad y autorización | CA-1 | Directiva y procedimientos de autorización y valoración de seguridad | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Generación de informe de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (1) | Asesores independientes | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (2) | Valoraciones especializadas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (3) | Organizaciones externas | Aceptación de resultados de la valoración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (3) | Conexiones no clasificadas del sistema de seguridad no nacional | Implementación de protección de límites del sistema | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (5) | Restricciones de las conexiones de sistema externo | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Desarrollo de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Asignación de un oficial de autorización (AO) | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Garantía de que los recursos están autorizados | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Actualización de la autorización de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 (1) | Valoración independiente | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 (3) | Análisis de tendencias | Análisis de los datos obtenidos de la supervisión continua | 1.1.0 |
| Evaluación de seguridad y autorización | CA-8 (1) | Agente o equipo de penetración independiente | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-9 | Conexiones internas del sistema | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Administración de la configuración | CM-1 | Procedimientos y directivas de administración de configuración | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (3) | Retención de configuraciones anteriores | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de los cambios documentados propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (4) | Representante de seguridad | Asignación de un representante de seguridad de la información para cambiar el control | 1.1.0 |
| Administración de la configuración | CM-3 (6) | Administración de criptografía | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-5 | Restricciones de acceso para cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-5 (1) | Cumplimiento de acceso o auditoría automatizados | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Administración de la configuración | CM-5 (2) | Revisión de los cambios del sistema | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Administración de la configuración | CM-5 (3) | Componentes firmados | Restricción de la instalación de software y firmware no autorizados | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Revisión y reevaluación de los privilegios | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Corregir errores del sistema de información | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Administración de la configuración | CM-7 | Funcionalidad mínima | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Creación de la protección del plan de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Seguimiento del uso de licencias de software | 1.1.0 |
| Administración de la configuración | CM-10 (1) | Software de código abierto | Restricción del uso de software de código abierto | 1.1.0 |
| Planes de contingencia | CP-1 | Procedimientos y directiva de los planes de contingencia | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de un plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Distribución de directivas y procedimientos | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Revisión del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Actualización del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 (2) | Planificación de capacidad | Realización del planeamiento de capacidad | 1.1.0 |
| Planes de contingencia | CP-2 (3) | Reanudación de misiones esenciales o funciones empresariales | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (4) | Reanudación de todas las misiones o funciones empresariales | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Planes de contingencia | CP-2 (5) | Continuación de funciones empresariales o misiones esenciales | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (8) | Identificación de recursos críticos | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| Planes de contingencia | CP-3 | Aprendizaje sobre contingencia | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| Planes de contingencia | CP-3 (1) | Eventos simulados | Incorporación de formación de contingencia simulada | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-4 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Evaluación de las capacidades alternativas del sitio de procesamiento | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Prueba del plan de contingencia en una ubicación de procesamiento alternativa | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-6 (1) | Separación del sitio principal | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Planes de contingencia | CP-6 (2) | Objetivos de tiempo o punto de recuperación | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| Planes de contingencia | CP-6 (3) | Accesibilidad | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (1) | Separación del sitio principal | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (2) | Accesibilidad | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-7 (4) | Preparación para el uso | Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | 1.1.0 |
| Planes de contingencia | CP-8 (1) | Prioridad de los aprovisionamientos de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Implementar controles para proteger todos los medios | 1.1.0 |
| Planes de contingencia | CP-9 (3) | Almacenamiento independiente para la información crítica | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Planes de contingencia | CP-9 (5) | Transferencia al sitio de almacenamiento alternativo | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-10 | Reconstitución y recuperación del sistema de información | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Planes de contingencia | CP-10 (2) | Recuperación de la transacción | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Planes de contingencia | CP-10 (4) | Restauración en el período de tiempo | Restauración de los recursos al estado operativo | 1.1.1 |
| Identificación y autenticación | IA-1 | Procedimientos y directivas de identificación y autenticación | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Exigir la existencia de usuario único | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-2 (1) | Acceso de red a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (2) | Acceso de red a cuentas sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (3) | Acceso local a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (5) | Autenticación de grupos | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Identificación y autenticación | IA-2 (12) | Aceptación de credenciales de PIV | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Asignación de identificadores del sistema | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Identificación y autenticación | IA-4 (4) | Identificación del estado del usuario | Identificación del estado de los usuarios individuales | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Actualización de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Proteger contraseñas con cifrado | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Enlace de autenticadores e identidades dinámicamente | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de parámetros para buscar autenticadores y verificadores de secretos | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Asignación de identidades autenticadas a personas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Restringir el acceso a las claves privadas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (3) | Registro de terceros en persona o de confianza | Distribución de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (6) | Protección de autenticadores | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Identificación y autenticación | IA-5 (7) | Autenticadores estáticos no integrados sin cifrar | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Identificación y autenticación | IA-5 (11) | Autenticación basada en el token de hardware | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Identificación y autenticación | IA-5 (13) | Expiración de los autenticadores en caché | Aplicación de la expiración de los autenticadores almacenados en caché | 1.1.0 |
| Identificación y autenticación | IA-6 | Comentarios de autenticador | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Identificación y autenticación | IA-7 | Autenticación del módulo criptográfico | Autenticación para el módulo criptográfico | 1.1.0 |
| Identificación y autenticación | IA-8 | Identificación y autenticación (usuarios que no pertenecen a la organización) | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Identificación y autenticación | IA-8 (1) | Aceptación de credenciales de PIV de otras agencias | Aceptación de credenciales de PIV | 1.1.0 |
| Identificación y autenticación | IA-8 (2) | Aceptación de credenciales de terceros | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| Identificación y autenticación | IA-8 (3) | Uso de productos aprobados por FICAM | Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | 1.1.0 |
| Identificación y autenticación | IA-8 (4) | Uso de perfiles emitidos por FICAM | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| Respuesta a los incidentes | IR-1 | Procedimientos y directiva de respuesta a los incidentes | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 | Aprendizaje sobre la respuesta a los incidentes | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-2 (1) | Eventos simulados | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 (2) | Entornos de entrenamiento automatizado | Empleo de un entorno de formación automatizado | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollo de medidas de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (2) | Reconfiguración dinámica | Inclusión de reconfiguración dinámica de recursos implementados por el cliente | 1.1.0 |
| Respuesta a los incidentes | IR-4 (3) | Continuidad de las operaciones | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| Respuesta a los incidentes | IR-4 (4) | Correlación de la información | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (6) | Amenazas internas: funcionalidades específicas | Implementación de la capacidad de control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (8) | Correlación con organizaciones externas | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-6 (1) | Informes automatizados | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 | Ayuda para la respuesta a los incidentes | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Protección del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Alertar al personal del volcado de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de los sistemas y componentes contaminados | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de la información volcada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Aislamiento de volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (1) | Personal responsable | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 (2) | Cursos | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (3) | Operaciones posteriores al volcado | Desarrollo de procedimientos de respuesta de volcado | 1.1.0 |
| Respuesta a los incidentes | IR-9 (4) | Exposición a personal no autorizado | Desarrollo de medidas de seguridad | 1.1.0 |
| Mantenimiento | MA-1 | Procedimientos y directiva de mantenimiento del sistema | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 | Mantenimiento no local | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (2) | Mantenimiento no local de documentos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (3) | Seguridad o saneamiento comparable | Realización de todo el mantenimiento no local | 1.1.0 |
| Mantenimiento | MA-4 (6) | Protección criptográfica | Implementación de mecanismos criptográficos | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Administración del personal de mantenimiento | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-6 | Mantenimiento temporal | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| Protección de elementos multimedia | MP-1 | Procedimientos y directivas de protección de elementos multimedia | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-2 | Acceso a medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-3 | Marcado de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección física y del entorno | PE-1 | Procedimientos y directivas de protección física y del entorno | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Protección física y del entorno | PE-2 | Autorizaciones de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-12 | Iluminación de emergencia | Uso de iluminación de emergencia automática | 1.1.0 |
| Protección física y del entorno | PE-13 | Protección contra incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Ejecución de los ataques de simulación | 1.1.0 |
| Protección física y del entorno | PE-13 (2) | Dispositivos o sistemas de eliminación | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (3) | Extinción automática de incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 | Controles de temperatura y humedad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-15 | Protección contra daños por el agua | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Definición de los requisitos para administrar recursos | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Administración del transporte de recursos | 1.1.0 |
| Protección física y del entorno | PE-17 | Lugar de trabajo alternativo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Protección física y del entorno | PE-18 | Ubicación de los componentes del sistema de información | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Planificación | PL-1 | Procedimientos y directiva del planeamiento de seguridad | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de un programa de privacidad | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Prohibición de prácticas ilegales | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Planificación | PL-4 (1) | Restricciones de elementos multimedia y redes sociales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Seguridad del personal | PS-1 | Procedimientos y directiva de seguridad del personal | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-2 | Designación de riesgos de puestos | Asignación de designaciones de riesgo | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Implementación del filtrado de personal | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Seguridad del personal | PS-3 (3) | Información con medidas de protección especiales | Proteger información especial | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Conservar los datos de usuarios finalizados | 1.1.0 |
| Seguridad del personal | PS-4 (2) | Notificación automatizada | Automatización de la notificación de la finalización de contrato de los empleados | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Implementación del proceso formal de sanción | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Notificación al personal sobre las sanciones | 1.1.0 |
| Evaluación de riesgos | RA-1 | Directiva de evaluación de riesgos y procedimientos | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (4) | Información detectable | Toma de medidas en respuesta a la información del cliente | 1.1.0 |
| Evaluación de riesgos | RA-5 (5) | Acceso con privilegios | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realización del modelado de amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar funciones con privilegios | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Correlación de los registros de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Determinar eventos auditables | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los datos de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (10) | Correlación de información de examen | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-1 | Procedimientos y directiva de adquisición del sistema y los servicios | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un programa de privacidad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Control de la asignación de recursos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (1) | Propiedades funcionales de controles de seguridad | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (2) | Información de diseño e implementación para controles de seguridad | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Adquisición del sistema y los servicios | SA-4 (8) | Plan de supervisión continua | Obtención de un plan de supervisión continua para los controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (9) | Funciones, puertos, protocolos, servicios en uso | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (10) | Uso de productos PIV aprobados | Uso de tecnología aprobada por FIPS 201 para PIV | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Distribución de la documentación del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Acciones definidas del cliente del documento | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de documentación para administradores | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (2) | Identificación de funciones, puertos, protocolos o servicios | Identificación de proveedores de servicios externos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (4) | Intereses coherentes de consumidores y proveedores | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (5) | Procesamiento, almacenamiento y ubicación del servicio | Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 (1) | Comprobación de integridad de software o firmware | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-15 | Proceso de desarrollo, estándares y herramientas | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición del sistema y los servicios | SA-16 | Cursos proporcionados por desarrolladores | Requerimiento a los desarrolladores de que proporcionen formación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-1 | Directivas y procedimientos para la protección del sistema y de las comunicaciones | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Autorizar acceso remoto | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-3 | Aislamiento de la función de seguridad | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Desarrollo y documentación de un plan de respuesta de DDoS | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Control de la asignación de recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Administración de la disponibilidad y la capacidad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (7) | Impedimento de la tunelización dividida para dispositivos remotos | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (8) | Enrutamiento del tráfico a servidores proxy autenticados | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (12) | Protección basada en host | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (13) | Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Administración de transferencias entre componentes del sistema activos y en espera | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (20) | Aislamiento o segregación dinámicos | Garantía de que el sistema pueda aislar dinámicamente los recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (21) | Aislamiento de los componentes del sistema de información | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-10 | Desconexión de red | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Determinar los requisitos de aserción | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Administración de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Restringir el acceso a las claves privadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (1) | Disponibilidad | Mantener la disponibilidad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (2) | Claves simétricas | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (3) | Claves asimétricas | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-13 | Protección criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-17 | Certificados de infraestructura de clave pública | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Establecimiento de las restricciones de uso de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones/nombres seguro (origen de autoridad) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones/nombres seguro (origen de autoridad) | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o de almacenamiento en caché) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o de almacenamiento en caché) | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-22 | Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 (1) | Invalidación de los identificadores de sesión al cerrar sesión | Invalidación de los identificadores de sesión al cerrar sesión | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-24 | Error en estado conocido | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Proteger información especial | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-39 | Aislamiento de procesos | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Integridad del sistema y de la información | SI-1 | Procedimientos y directiva de integridad de la información y el sistema | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Automatización de la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Documentar operaciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Autorización, supervisión y control de VoIP | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Implementación de protección de límites del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Alertar al personal del volcado de información | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (14) | Detección de intrusiones inalámbricas | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (22) | Servicios de red no autorizados | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (24) | Indicadores de compromiso | Detección de cualquier indicador de compromiso | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Difusión de alertas de seguridad al personal | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Generación de alertas de seguridad internas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Implementación de directivas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-5 (1) | Alertas y advertencias automatizadas | Uso de mecanismos automatizados para las alertas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Comprobar las funciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-7 | Integridad de la información, el firmware y el software | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (5) | Respuesta automática a infracciones de integridad | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (14) | Código ejecutable de máquina o binario | Prohibición de código ejecutable binario o máquina | 1.1.0 |
| Integridad del sistema y de la información | SI-10 | Validación de la entrada de información | Realización de la validación de la entrada de información | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Generación de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Muestra de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Controlar el acceso físico | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Integridad del sistema y de la información | SI-16 | Protección de la memoria | Se debe habilitar Azure Defender para servidores | 1.0.3 |
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Control de directivas y procedimientos | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (5) | Cierre de sesión por inactividad | Definición y aplicación de la directiva de registro de inactividad | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-2 (9) | Restricciones de uso de cuentas o grupos compartidos | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 (10) | Terminación de credenciales de cuentas de grupo o compartidas | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Documentación de la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Separación de las obligaciones de las personas | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-6 (5) | Cuentas con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-7 | Intentos de inicio de sesión incorrectos | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Control de acceso | AC-10 | Control de sesiones simultáneas | Definición y aplicación del límite de sesiones simultáneas | 1.1.0 |
| Control de acceso | AC-12 | Finalización de la sesión | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | AC-14 | Acciones permitidas sin identificación o autenticación | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Entrenamiento de movilidad de documentos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (1) | Supervisión o control automatizados | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-17 (3) | Puntos de control de acceso administrados | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (9) | Desconexión o deshabilitación del acceso | Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-19 | Control de acceso para los dispositivos móviles | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Control de acceso | AC-20 (1) | Límites de uso autorizado | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Implementar controles para proteger todos los medios | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Facilitación del uso compartido de la información | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Procedimientos y directiva de entrenamiento y concienciación de seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Procedimientos y directiva de entrenamiento y concienciación de seguridad | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 (2) | Amenaza interna | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Conservación de registros de formación | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Control de directivas y procedimientos | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-2 | Auditoría de eventos | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-2 (3) | Revisiones y actualizaciones | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| Auditoría y responsabilidad | AU-3 | Contenido de los registros de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-3 (1) | Información de auditoría adicional | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Auditoría y responsabilidad | AU-4 | Capacidad de almacenamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 | Respuesta a errores de procesamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 (1) | Procesamiento automático | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-8 | Marcas de tiempo | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-8 (1) | Sincronización con un recurso de hora autorizado | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Habilitar la autorización doble o conjunta | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (2) | Auditoría de copias de seguridad en sistemas o componentes físicos separados | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (4) | Acceso por subconjunto de usuarios con privilegios | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Cumplir con los períodos de retención definidos | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar los datos de usuarios finalizados | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar funciones con privilegios | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Evaluación de seguridad y autorización | CA-1 | Directiva y procedimientos de autorización y valoración de seguridad | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Generación de informe de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (1) | Asesores independientes | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (2) | Valoraciones especializadas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (3) | Organizaciones externas | Aceptación de resultados de la valoración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (3) | Conexiones no clasificadas del sistema de seguridad no nacional | Implementación de protección de límites del sistema | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (5) | Restricciones de las conexiones de sistema externo | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Desarrollo de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Asignación de un oficial de autorización (AO) | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Garantía de que los recursos están autorizados | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Actualización de la autorización de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 (1) | Valoración independiente | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| Evaluación de seguridad y autorización | CA-8 (1) | Agente o equipo de penetración independiente | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-9 | Conexiones internas del sistema | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Administración de la configuración | CM-1 | Procedimientos y directivas de administración de configuración | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (3) | Retención de configuraciones anteriores | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-5 | Restricciones de acceso para cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-5 (1) | Cumplimiento de acceso o auditoría automatizados | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Administración de la configuración | CM-5 (3) | Componentes firmados | Restricción de la instalación de software y firmware no autorizados | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Revisión y reevaluación de los privilegios | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Corregir errores del sistema de información | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Administración de la configuración | CM-7 | Funcionalidad mínima | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Creación de la protección del plan de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Seguimiento del uso de licencias de software | 1.1.0 |
| Administración de la configuración | CM-10 (1) | Software de código abierto | Restricción del uso de software de código abierto | 1.1.0 |
| Planes de contingencia | CP-1 | Procedimientos y directiva de los planes de contingencia | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de un plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Distribución de directivas y procedimientos | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Revisión del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Actualización del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 (2) | Planificación de capacidad | Realización del planeamiento de capacidad | 1.1.0 |
| Planes de contingencia | CP-2 (3) | Reanudación de misiones esenciales o funciones empresariales | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (8) | Identificación de recursos críticos | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| Planes de contingencia | CP-3 | Aprendizaje sobre contingencia | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-4 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-6 (1) | Separación del sitio principal | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Planes de contingencia | CP-6 (3) | Accesibilidad | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (1) | Separación del sitio principal | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (2) | Accesibilidad | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-8 (1) | Prioridad de los aprovisionamientos de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Implementar controles para proteger todos los medios | 1.1.0 |
| Planes de contingencia | CP-9 (3) | Almacenamiento independiente para la información crítica | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Planes de contingencia | CP-10 | Reconstitución y recuperación del sistema de información | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Planes de contingencia | CP-10 (2) | Recuperación de la transacción | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Identificación y autenticación | IA-1 | Procedimientos y directivas de identificación y autenticación | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Exigir la existencia de usuario único | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-2 (1) | Acceso de red a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (2) | Acceso de red a cuentas sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (3) | Acceso local a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (5) | Autenticación de grupos | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Identificación y autenticación | IA-2 (12) | Aceptación de credenciales de PIV | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Asignación de identificadores del sistema | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Identificación y autenticación | IA-4 (4) | Identificación del estado del usuario | Identificación del estado de los usuarios individuales | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Actualización de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Proteger contraseñas con cifrado | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Enlace de autenticadores e identidades dinámicamente | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de parámetros para buscar autenticadores y verificadores de secretos | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Asignación de identidades autenticadas a personas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Restringir el acceso a las claves privadas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (3) | Registro de terceros en persona o de confianza | Distribución de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (6) | Protección de autenticadores | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Identificación y autenticación | IA-5 (7) | Autenticadores estáticos no integrados sin cifrar | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Identificación y autenticación | IA-5 (11) | Autenticación basada en el token de hardware | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Identificación y autenticación | IA-6 | Comentarios de autenticador | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Identificación y autenticación | IA-7 | Autenticación del módulo criptográfico | Autenticación para el módulo criptográfico | 1.1.0 |
| Identificación y autenticación | IA-8 | Identificación y autenticación (usuarios que no pertenecen a la organización) | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Identificación y autenticación | IA-8 (1) | Aceptación de credenciales de PIV de otras agencias | Aceptación de credenciales de PIV | 1.1.0 |
| Identificación y autenticación | IA-8 (2) | Aceptación de credenciales de terceros | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| Identificación y autenticación | IA-8 (3) | Uso de productos aprobados por FICAM | Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | 1.1.0 |
| Identificación y autenticación | IA-8 (4) | Uso de perfiles emitidos por FICAM | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| Respuesta a los incidentes | IR-1 | Procedimientos y directiva de respuesta a los incidentes | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 | Aprendizaje sobre la respuesta a los incidentes | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollo de medidas de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-6 (1) | Informes automatizados | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 | Ayuda para la respuesta a los incidentes | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Protección del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Alertar al personal del volcado de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de los sistemas y componentes contaminados | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de la información volcada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Aislamiento de volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (1) | Personal responsable | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 (2) | Cursos | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (3) | Operaciones posteriores al volcado | Desarrollo de procedimientos de respuesta de volcado | 1.1.0 |
| Respuesta a los incidentes | IR-9 (4) | Exposición a personal no autorizado | Desarrollo de medidas de seguridad | 1.1.0 |
| Mantenimiento | MA-1 | Procedimientos y directiva de mantenimiento del sistema | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 | Mantenimiento no local | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (2) | Mantenimiento no local de documentos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Administración del personal de mantenimiento | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-6 | Mantenimiento temporal | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| Protección de elementos multimedia | MP-1 | Procedimientos y directivas de protección de elementos multimedia | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-2 | Acceso a medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-3 | Marcado de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección física y del entorno | PE-1 | Procedimientos y directivas de protección física y del entorno | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Protección física y del entorno | PE-2 | Autorizaciones de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-12 | Iluminación de emergencia | Uso de iluminación de emergencia automática | 1.1.0 |
| Protección física y del entorno | PE-13 | Protección contra incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (2) | Dispositivos o sistemas de eliminación | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (3) | Extinción automática de incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 | Controles de temperatura y humedad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-15 | Protección contra daños por el agua | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Definición de los requisitos para administrar recursos | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Administración del transporte de recursos | 1.1.0 |
| Protección física y del entorno | PE-17 | Lugar de trabajo alternativo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Planificación | PL-1 | Procedimientos y directiva del planeamiento de seguridad | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de un programa de privacidad | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Prohibición de prácticas ilegales | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Planificación | PL-4 (1) | Restricciones de elementos multimedia y redes sociales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Seguridad del personal | PS-1 | Procedimientos y directiva de seguridad del personal | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-2 | Designación de riesgos de puestos | Asignación de designaciones de riesgo | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Implementación del filtrado de personal | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Seguridad del personal | PS-3 (3) | Información con medidas de protección especiales | Proteger información especial | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Conservar los datos de usuarios finalizados | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Implementación del proceso formal de sanción | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Notificación al personal sobre las sanciones | 1.1.0 |
| Evaluación de riesgos | RA-1 | Directiva de evaluación de riesgos y procedimientos | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (5) | Acceso con privilegios | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realización del modelado de amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar funciones con privilegios | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Correlación de los registros de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Determinar eventos auditables | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los datos de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Adquisición del sistema y los servicios | SA-1 | Procedimientos y directiva de adquisición del sistema y los servicios | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un programa de privacidad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Control de la asignación de recursos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (1) | Propiedades funcionales de controles de seguridad | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (2) | Información de diseño e implementación para controles de seguridad | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Adquisición del sistema y los servicios | SA-4 (8) | Plan de supervisión continua | Obtención de un plan de supervisión continua para los controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (9) | Funciones, puertos, protocolos, servicios en uso | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (10) | Uso de productos PIV aprobados | Uso de tecnología aprobada por FIPS 201 para PIV | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Distribución de la documentación del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Acciones definidas del cliente del documento | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de documentación para administradores | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (2) | Identificación de funciones, puertos, protocolos o servicios | Identificación de proveedores de servicios externos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (4) | Intereses coherentes de consumidores y proveedores | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (5) | Procesamiento, almacenamiento y ubicación del servicio | Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 (1) | Comprobación de integridad de software o firmware | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-1 | Directivas y procedimientos para la protección del sistema y de las comunicaciones | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Autorizar acceso remoto | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Desarrollo y documentación de un plan de respuesta de DDoS | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Control de la asignación de recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Administración de la disponibilidad y la capacidad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (7) | Impedimento de la tunelización dividida para dispositivos remotos | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (8) | Enrutamiento del tráfico a servidores proxy autenticados | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (12) | Protección basada en host | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (13) | Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Administración de transferencias entre componentes del sistema activos y en espera | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-10 | Desconexión de red | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Determinar los requisitos de aserción | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Administración de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Restringir el acceso a las claves privadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (2) | Claves simétricas | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (3) | Claves asimétricas | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-13 | Protección criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-17 | Certificados de infraestructura de clave pública | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Establecimiento de las restricciones de uso de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones/nombres seguro (origen de autoridad) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones/nombres seguro (origen de autoridad) | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-22 | Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Proteger información especial | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-39 | Aislamiento de procesos | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Integridad del sistema y de la información | SI-1 | Procedimientos y directiva de integridad de la información y el sistema | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Automatización de la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Documentar operaciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Autorización, supervisión y control de VoIP | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Implementación de protección de límites del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Alertar al personal del volcado de información | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (14) | Detección de intrusiones inalámbricas | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Difusión de alertas de seguridad al personal | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Generación de alertas de seguridad internas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Implementación de directivas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Comprobar las funciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-7 | Integridad de la información, el firmware y el software | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-10 | Validación de la entrada de información | Realización de la validación de la entrada de información | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Generación de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Muestra de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Controlar el acceso físico | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Integridad del sistema y de la información | SI-16 | Protección de la memoria | Se debe habilitar Azure Defender para servidores | 1.0.3 |
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración de privilegios | 1154.01c3System.4 - 01.c | Los contratistas únicamente reciben un nivel mínimo de acceso físico y al sistema después de que la organización evalúe la capacidad que tienen para cumplir los requisitos de seguridad y de que los contratistas se comprometan a cumplir esos requisitos. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Identificación y autenticación de usuario | 11208.01q1Organizational.8 - 01.q | La organización requiere que las firmas electrónicas, exclusivas para una persona, no se puedan reutilizar ni reasignar a otra persona. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| 01 Programa de Information Protection | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 01 Programa de Information Protection | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 Programa de administración de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 Programa de administración de seguridad de la información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 Programa de administración de seguridad de la información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 01 Programa de Information Protection | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 Programa de administración de seguridad de la información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Prohibición de prácticas ilegales | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 Antes del empleo | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Asignación de designaciones de riesgo | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Borrado del personal con acceso a información clasificada | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Implementación del filtrado de personal | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Proteger información especial | 1.1.0 |
| 01 Programa de Information Protection | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 Antes del empleo | Revisión de individuos con una frecuencia definida | 1.1.0 |
| 01 Programa de Information Protection | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 Antes del empleo | Borrado del personal con acceso a información clasificada | 1.1.0 |
| 01 Programa de Information Protection | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 Antes del empleo | Implementación del filtrado de personal | 1.1.0 |
| 01 Programa de Information Protection | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 Antes del empleo | Proteger información especial | 1.1.0 |
| 01 Programa de Information Protection | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 Antes del empleo | Revisión de individuos con una frecuencia definida | 1.1.0 |
| 01 Programa de Information Protection | 0107.02d1Organizational.1-02.d | 0107.02d1Organizational.1-02.d 02.03 Durante el empleo | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Implementación de planes de supervisión, entrenamiento y pruebas de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Requerimiento a los desarrolladores de que proporcionen formación | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Conservación de registros de formación | 1.1.0 |
| 01 Programa de Information Protection | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 Durante el empleo | Revisión de los planes de supervisión, entrenamiento y pruebas de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Implementación del proceso formal de sanción | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Notificación al personal sobre las sanciones | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Prohibición de prácticas ilegales | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 01 Programa de Information Protection | 0110.02d2Organizational.1-02.d | 0110.02d2Organizational.1-02.d 02.03 Durante el empleo | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 0110.02d2Organizational.1-02.d | 0110.02d2Organizational.1-02.d 02.03 Durante el empleo | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| 01 Programa de Information Protection | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 Durante el empleo | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 01 Programa de Information Protection | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 Organización interna | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 Organización interna | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 01 Programa de Information Protection | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 Organización interna | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 01 Programa de Information Protection | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 Organización interna | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 01 Programa de Information Protection | 01111.05a2Organizational.5-05.a | 01111.05a2Organizational.5-05.a 05.01 Organización interna | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Exigencia del uso adecuado de todas las cuentas | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Supervisión de la actividad de la cuenta | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| 01 Programa de Information Protection | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 Durante el empleo | Seguimiento del uso de licencias de software | 1.1.0 |
| 01 Programa de Information Protection | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 Directiva de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 Directiva de seguridad de la información | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 Directiva de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| 01 Programa de Information Protection | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| 01 Programa de Information Protection | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| 01 Programa de Information Protection | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0117.05a1Organizational.1-05.a | 0117.05a1Organizational.1-05.a 05.01 Organización interna | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Establecimiento de un programa de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 01 Programa de Information Protection | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 Organización interna | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Establecimiento de un programa de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 01 Programa de Information Protection | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 Organización interna | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Emplear casos empresariales para registrar los recursos necesarios | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Establecimiento de un programa de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Control de la asignación de recursos | 1.1.0 |
| 01 Programa de Information Protection | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 Organización interna | Garantía del compromiso de la dirección | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Realización de una evaluación de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Implementar la estrategia de administración de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 Organización interna | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 01 Programa de Information Protection | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 Organización interna | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 01 Programa de Information Protection | 0123.05a2Organizational.4-05.a | 0123.05a2Organizational.4-05.a 05.01 Organización interna | Establecimiento de un programa de privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0123.05a2Organizational.4-05.a | 0123.05a2Organizational.4-05.a 05.01 Organización interna | Administrar contactos para las autoridades y los grupos de interés especial | 1.1.0 |
| 01 Programa de Information Protection | 0124.05a3Organizational.1-05.a | 0124.05a3Organizational.1-05.a 05.01 Organización interna | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 01 Programa de Information Protection | 0124.05a3Organizational.1-05.a | 0124.05a3Organizational.1-05.a 05.01 Organización interna | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Aceptación de resultados de la valoración | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Evaluación de los controles de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Realización de una evaluación de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 Organización interna | Realización de una evaluación de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.d 02.03 Durante el empleo | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.d 02.03 Durante el empleo | Implementación del proceso formal de sanción | 1.1.0 |
| 01 Programa de Information Protection | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.d 02.03 Durante el empleo | Notificación al personal sobre las sanciones | 1.1.0 |
| 01 Programa de Information Protection | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.d 02.03 Durante el empleo | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 01 Programa de Information Protection | 0137.02a1Organizational.3-02.a | 0137.02a1Organizational.3-02.a 02.01 Antes del empleo | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| 01 Programa de Information Protection | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 Directiva de seguridad de la información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 01 Programa de Information Protection | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 Directiva de seguridad de la información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 01 Programa de Information Protection | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 Directiva de seguridad de la información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 01 Programa de Information Protection | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 Directiva de seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| 01 Programa de Information Protection | 0165.05a3Organizational.3-05.a | 0165.05a3Organizational.3-05.a 05.01 Organización interna | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| 01 Programa de Information Protection | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 Organización interna | Aceptación de resultados de la valoración | 1.1.0 |
| 01 Programa de Information Protection | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 Organización interna | Evaluación de los controles de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 Organización interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 Organización interna | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 Organización interna | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 Organización interna | Evaluación de los controles de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 Organización interna | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 Organización interna | Generación de informe de evaluación de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 Organización interna | Desarrollo de POA&M | 1.1.0 |
| 01 Programa de Information Protection | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 Organización interna | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 01 Programa de Information Protection | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 Organización interna | Implementar los planes de acción e hitos para el proceso del programa de seguridad | 1.1.0 |
| 01 Programa de Information Protection | 0180.05h2Organizational.1-05.h | 0180.05h2Organizational.1-05.h 05.01 Organización interna | Evaluación de los controles de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Realización del modelado de amenazas | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Corregir errores del sistema de información | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Ajuste del nivel de revisión, análisis y creación de informes de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Correlación de los registros de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Integración del análisis del registro de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los datos de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil | Especificación de acciones permitidas asociadas con la información de auditoría del cliente | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Comprobar las funciones de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Alertar al personal del volcado de información | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 02 Endpoint Protection | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 Protección contra código malintencionado y móvil | Autorizar acceso remoto | 1.1.0 |
| 02 Endpoint Protection | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 Protección contra código malintencionado y móvil | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| 02 Endpoint Protection | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 Protección contra código malintencionado y móvil | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| 02 Endpoint Protection | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 Protección contra código malintencionado y móvil | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Facilitación del uso compartido de la información | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| 02 Endpoint Protection | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Diseñar un modelo de control de acceso | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Correlación de los registros de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Corregir errores del sistema de información | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los datos de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 02 Endpoint Protection | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Auditar funciones con privilegios | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Correlación de los registros de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Determinar eventos auditables | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Realización del modelado de amenazas | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Corregir errores del sistema de información | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisar los datos de auditoría | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Autorización y administración del acceso | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Aplicar el acceso lógico | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Administración de puertas de enlace | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 02 Endpoint Protection | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil | Actualizar las definiciones de antivirus | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Corregir errores del sistema de información | 1.1.0 |
| 02 Endpoint Protection | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Protección del acceso inalámbrico | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Restricción del uso de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia | Restricción del uso de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia | Restricción del uso de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia | Restricción del uso de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia | Restricción del uso de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Facilitación del uso compartido de la información | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0307.09q2Organizational.12-09.q | 0307.09q2Organizational.12-09.q 09.07 Control de elementos multimedia | Flujo de la información de control | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0307.09q2Organizational.12-09.q | 0307.09q2Organizational.12-09.q 09.07 Control de elementos multimedia | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Definir un proceso de administración de claves físicas | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Definir el uso criptográfico | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Determinar los requisitos de aserción | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Emisión de certificados de clave pública | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Administración de claves criptográficas simétricas | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Administración del transporte de recursos | 1.1.0 |
| 03 Seguridad de elementos multimedia portables | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia | Restringir el acceso a las claves privadas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Implementación de protección de límites del sistema | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Implementar controles para proteger todos los medios | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Administración del transporte de recursos | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0405.01y1Organizational.12345678-01.y | 0405.01y1Organizational.12345678-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0407.01y2Organizational.1-01.y | 0407.01y2Organizational.1-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0407.01y2Organizational.1-01.y | 0407.01y2Organizational.1-01.y 01.07 Informática móvil y teletrabajo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo | Implementar controles para proteger todos los medios | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0409.01y3Organizational.3-01.y | 0409.01y3Organizational.3-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0410.01x1System.12-01.xMobileComputingandCommunications | 0410.01x1System.12-01.xMobileComputingandCommunications 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0410.01x1System.12-01.xMobileComputingandCommunications | 0410.01x1System.12-01.xMobileComputingandCommunications 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo | Implementar controles para proteger todos los medios | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 Informática móvil y teletrabajo | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 Informática móvil y teletrabajo | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0417.01y3Organizational.5-01.y | 0417.01y3Organizational.5-01.y 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0425.01x1System.13-01.x | 0425.01x1System.13-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Implementar controles para proteger todos los medios | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Administración del transporte de recursos | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 Informática móvil y teletrabajo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 Informática móvil y teletrabajo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 Informática móvil y teletrabajo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 Informática móvil y teletrabajo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Implementar controles para proteger todos los medios | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 04 Seguridad de dispositivos móviles | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo | Restricción del uso de elementos multimedia | 1.1.0 |
| 05 Seguridad inalámbrica | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 Administración de seguridad de red | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| 05 Seguridad inalámbrica | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 Administración de seguridad de red | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 05 Seguridad inalámbrica | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 Administración de seguridad de red | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 05 Seguridad inalámbrica | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 Administración de seguridad de red | Protección del acceso inalámbrico | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Definición de los requisitos para administrar recursos | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Implementar controles para proteger todos los medios | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Instalación de un sistema de alarma | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 05 Seguridad inalámbrica | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red | Administración del transporte de recursos | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Evaluación de los controles de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo de POA&M | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Generación de informe de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Actualización de elementos de POA&M | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo de un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo de POA&M | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Generación de informe de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 06 Administración de la configuración | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Actualización de elementos de POA&M | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Análisis de los datos obtenidos de la supervisión continua | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Configuración de la lista de permitidos para la detección | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 06 Administración de la configuración | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| 06 Administración de la configuración | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema | Revisión y reevaluación de los privilegios | 1.1.0 |
| 06 Administración de la configuración | 0613.06h1Organizational.12-06.h | 0613.06h1Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0613.06h1Organizational.12-06.h | 0613.06h1Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Evaluación de los controles de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Generación de informe de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0615.06h2Organizational.3-06.h | 0615.06h2Organizational.3-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 Seguridad de archivos del sistema | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 06 Administración de la configuración | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 Seguridad de archivos del sistema | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 Seguridad de archivos del sistema | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Establecer un panel de control de configuración | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 Seguridad de archivos del sistema | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 06 Administración de la configuración | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 Seguridad de archivos del sistema | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 Seguridad de archivos del sistema | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 Seguridad de archivos del sistema | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Administración de puertas de enlace | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 06 Administración de la configuración | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Actualizar las definiciones de antivirus | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Creación de la protección del plan de configuración | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Creación de la protección del plan de configuración | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización de los cambios documentados propuestos | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer un panel de control de configuración | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Solución de vulnerabilidades de codificación | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 06 Administración de la configuración | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer un panel de control de configuración | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer un panel de control de configuración | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Asignación de administradores de cuentas | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo de un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Privilegios de acceso del documento | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Supervisión de la actividad de la cuenta | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Revisar las cuentas de usuario | 1.1.0 |
| 06 Administración de la configuración | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 Intercambio de información | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 Intercambio de información | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Auditar funciones con privilegios | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Determinar eventos auditables | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Implementación de protección de límites del sistema | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Administración de puertas de enlace | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Revisar los datos de auditoría | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Actualizar las definiciones de antivirus | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Solución de vulnerabilidades de codificación | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Desarrollo de un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Establecer un panel de control de configuración | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 06 Administración de la configuración | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 Seguridad de archivos del sistema | Cumplir con los períodos de retención definidos | 1.1.0 |
| 06 Administración de la configuración | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 Seguridad de archivos del sistema | Realizar revisión para eliminación | 1.1.0 |
| 06 Administración de la configuración | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 Seguridad de archivos del sistema | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Solución de vulnerabilidades de codificación | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Automatización de los cambios documentados propuestos | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Corregir errores del sistema de información | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| 06 Administración de la configuración | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Prohibición de código ejecutable binario o máquina | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 06 Administración de la configuración | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Evaluación de los controles de seguridad | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 06 Administración de la configuración | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Generación de informe de evaluación de seguridad | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Configuración de la lista de permitidos para la detección | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Realización de una evaluación de riesgos | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 06 Administración de la configuración | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Creación de un inventario de datos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 07 Administración de vulnerabilidades | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos | Conservar los datos de usuarios finalizados | 1.1.0 |
| 07 Administración de vulnerabilidades | 0702.07a1Organizational.3-07.a | 0702.07a1Organizational.3-07.a 07.01 Responsabilidad de recursos | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0702.07a1Organizational.3-07.a | 0702.07a1Organizational.3-07.a 07.01 Responsabilidad de recursos | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 Responsabilidad de recursos | Creación de un inventario de datos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 Responsabilidad de recursos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 Responsabilidad de recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 07 Administración de vulnerabilidades | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 Responsabilidad de recursos | Creación de un inventario de datos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 Responsabilidad de recursos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 Responsabilidad de recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 07 Administración de vulnerabilidades | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 Responsabilidad de recursos | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 Responsabilidad de recursos | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 07 Administración de vulnerabilidades | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 Responsabilidad de recursos | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 07 Administración de vulnerabilidades | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 Procesamiento correcto en aplicaciones | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 Procesamiento correcto en aplicaciones | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 07 Administración de vulnerabilidades | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 Procesamiento correcto en aplicaciones | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 07 Administración de vulnerabilidades | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 Procesamiento correcto en aplicaciones | Realización de la validación de la entrada de información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 Procesamiento correcto en aplicaciones | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 Procesamiento correcto en aplicaciones | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 Procesamiento correcto en aplicaciones | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Evaluación de los controles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Generación de informe de evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Establecer un panel de control de configuración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 07 Administración de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 07 Administración de vulnerabilidades | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Administración de vulnerabilidades técnicas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0712.10m2Organizational.4-10.m | 0712.10m2Organizational.4-10.m 10.06 Administración de vulnerabilidades técnicas | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0712.10m2Organizational.4-10.m | 0712.10m2Organizational.4-10.m 10.06 Administración de vulnerabilidades técnicas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Automatización de la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Auditar funciones con privilegios | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Correlación de los registros de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Determinar eventos auditables | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisar los datos de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 07 Administración de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Evaluación de los controles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas | Generación de informe de evaluación de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Administración de vulnerabilidades técnicas | Automatización de la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0720.07a1Organizational.4-07.a | 0720.07a1Organizational.4-07.a 07.01 Responsabilidad de recursos | Creación de un inventario de datos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0720.07a1Organizational.4-07.a | 0720.07a1Organizational.4-07.a 07.01 Responsabilidad de recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 07 Administración de vulnerabilidades | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 Responsabilidad de recursos | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| 07 Administración de vulnerabilidades | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 Responsabilidad de recursos | Restricción del uso de software de código abierto | 1.1.0 |
| 07 Administración de vulnerabilidades | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 Responsabilidad de recursos | Seguimiento del uso de licencias de software | 1.1.0 |
| 07 Administración de vulnerabilidades | 0723.07a1Organizational.8-07.a | 0723.07a1Organizational.8-07.a 07.01 Responsabilidad de recursos | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Habilitación de la detección de dispositivos de red | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Administración de puertas de enlace | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 07 Administración de vulnerabilidades | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos | Actualizar las definiciones de antivirus | 1.1.0 |
| 07 Administración de vulnerabilidades | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 Responsabilidad de recursos | Creación de un inventario de datos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 Responsabilidad de recursos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 Responsabilidad de recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 07 Administración de vulnerabilidades | 0733.10b2System.4-10.b | 0733.10b2System.4-10.b 10.02 Procesamiento correcto en aplicaciones | Realización de la validación de la entrada de información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0733.10b2System.4-10.b | 0733.10b2System.4-10.b 10.02 Procesamiento correcto en aplicaciones | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 07 Administración de vulnerabilidades | 0786.10m2Organizational.13-10.m | 0786.10m2Organizational.13-10.m 10.06 Administración de vulnerabilidades técnicas | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 Administración de vulnerabilidades técnicas | Automatización de la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 Administración de vulnerabilidades técnicas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 Administración de vulnerabilidades técnicas | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 Administración de vulnerabilidades técnicas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| 07 Administración de vulnerabilidades | 0788.10m3Organizational.20-10.m | 0788.10m3Organizational.20-10.m 10.06 Administración de vulnerabilidades técnicas | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Auditar funciones con privilegios | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Correlación de los registros de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Determinar eventos auditables | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Realización del modelado de amenazas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisar los datos de auditoría | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 07 Administración de vulnerabilidades | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Solución de vulnerabilidades de codificación | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 07 Administración de vulnerabilidades | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección de red | 0805.01m1Organizational.12-01 - 01.m | 0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0806.01m2Organizational.12356-01 - 01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0806.01m2Organizational.12356-01 - 01.m | 0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección de red | 0808.10b2System.3-10.b | 0808.10b2System.3-10.b 10.02 Procesamiento correcto en aplicaciones | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0808.10b2System.3-10.b | 0808.10b2System.3-10.b 10.02 Procesamiento correcto en aplicaciones | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Administración de puertas de enlace | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Definir el uso criptográfico | 1.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección de red | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes | Proteger contraseñas con cifrado | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Administración del transporte de recursos | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Proteger contraseñas con cifrado | 1.1.0 |
| Protección de red | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 08102.09nCSPOrganizational.1-09.n | 08102.09nCSPOrganizational.1-09.n 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 08102.09nCSPOrganizational.1-09.n | 08102.09nCSPOrganizational.1-09.n 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Flujo de la información de control | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Determinación de las necesidades de protección de la información | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección de red | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 Control de acceso a redes | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 Control de acceso a redes | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 Control de acceso a redes | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección de red | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 Control de acceso a redes | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Distribución de la documentación del sistema de información | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Acciones definidas del cliente del documento | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Obtención de documentación para administradores | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Protección de red | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Autorizar acceso remoto | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Flujo de la información de control | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Garantía de que el sistema pueda aislar dinámicamente los recursos | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección de red | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección de red | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 Control de acceso a aplicaciones e información | Control de la asignación de recursos | 1.1.0 |
| Protección de red | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 Control de acceso a aplicaciones e información | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Protección de red | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 Control de acceso a aplicaciones e información | Administración de la disponibilidad y la capacidad | 1.1.0 |
| Protección de red | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 Control de acceso a aplicaciones e información | Garantía del compromiso de la dirección | 1.1.0 |
| Protección de red | 0819.09m1Organizational.23-09.m | 0819.09m1Organizational.23-09.m 09.06 Administración de seguridad de red | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Protección de red | 0819.09m1Organizational.23-09.m | 0819.09m1Organizational.23-09.m 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Creación de la protección del plan de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Establecer un panel de control de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Protección de red | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Flujo de la información de control | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección de red | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Protección de red | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Protección de red | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0828.09m3Organizational.8-09.m | 0828.09m3Organizational.8-09.m 09.06 Administración de seguridad de red | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Protección de red | 0829.09m3Organizational.911-09.m | 0829.09m3Organizational.911-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0829.09m3Organizational.911-09.m | 0829.09m3Organizational.911-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Exigir la existencia de usuario único | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Implementación de protección de límites del sistema | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Protección de red | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 Administración de seguridad de red | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección de red | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 Administración de seguridad de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Protección de red | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Protección de red | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Administración de seguridad de red | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Protección de red | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Administración de seguridad de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Identificación de proveedores de servicios externos | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Protección de red | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0850.01o1Organizational.12-01.o | 0850.01o1Organizational.12-01.o 01.04 Control de acceso a redes | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Protección de red | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red | Protección del acceso inalámbrico | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Flujo de la información de control | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Documentación de la separación de obligaciones | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Proteger contraseñas con cifrado | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red | Separación de las obligaciones de las personas | 1.1.0 |
| Protección de red | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Protección de red | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Protección de red | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red | Protección del acceso inalámbrico | 1.1.0 |
| Protección de red | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Administración de seguridad de red | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección de red | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Administración de seguridad de red | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección de red | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Administración de seguridad de red | Proteger contraseñas con cifrado | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecer un panel de control de configuración | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecimiento de un programa de privacidad | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Realización de una evaluación de riesgos | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Protección de red | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Protección de red | 0864.09m2Organizational.12-09 - 09.m | 0864.09m2Organizational.12-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0864.09m2Organizational.12-09 - 09.m | 0864.09m2Organizational.12-09.m 09.06 Administración de seguridad de red | Establecimiento de las restricciones de uso de VoIP | 1.1.0 |
| Protección de red | 0864.09m2Organizational.12-09 - 09.m | 0864.09m2Organizational.12-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 Administración de seguridad de red | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Protección de red | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 Administración de seguridad de red | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| Protección de red | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 Administración de seguridad de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Establecimiento de un programa de privacidad | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 Administración de seguridad de red | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección de red | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 Administración de seguridad de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Protección de red | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Creación de la protección del plan de configuración | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Establecer un panel de control de configuración | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Protección de red | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Exigir la existencia de usuario único | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Identificación de proveedores de servicios externos | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección de red | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Protección de red | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 Administración de seguridad de red | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección de red | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 Administración de seguridad de red | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Protección de red | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 Administración de seguridad de red | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección de red | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Administración de seguridad de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Administración de seguridad de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Protección de red | 0886.09n2Organizational.4-09.n | 0886.09n2Organizational.4-09.n 09.06 Administración de seguridad de red | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| Protección de red | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Administración de seguridad de red | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Protección de red | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Administración de seguridad de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Protección de red | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Autorización y administración del acceso | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Aplicar el acceso lógico | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Protección de red | 0894.01m2Organizational.7-01 - 01.m | 0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Clasificación de la información | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Establecer un panel de control de configuración | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Implementar controles para proteger todos los medios | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Realización de la validación de la entrada de información | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Prohibición de prácticas ilegales | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Proteger información especial | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Actualizar las definiciones de antivirus | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 09 Protección de transmisión | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 Intercambio de información | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Autorizar acceso remoto | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Entrenamiento de movilidad de documentos | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Documentar las directrices de acceso remoto | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Supervisar el acceso en toda la organización | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 09 Protección de transmisión | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 Intercambio de información | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 09 Protección de transmisión | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 Controles criptográficos | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 Controles criptográficos | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 Controles criptográficos | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Autenticación para el módulo criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Definir un proceso de administración de claves físicas | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Determinar los requisitos de aserción | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Emisión de certificados de clave pública | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Administración de claves criptográficas simétricas | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 Controles criptográficos | Restringir el acceso a las claves privadas | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Autorizar acceso remoto | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Entrenamiento de movilidad de documentos | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Documentar las directrices de acceso remoto | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Supervisar el acceso en toda la organización | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 09 Protección de transmisión | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 Intercambio de información | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 09 Protección de transmisión | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 Intercambio de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 Intercambio de información | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 Intercambio de información | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 09 Protección de transmisión | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 Intercambio de información | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Evaluación de los controles de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Generación de informe de evaluación de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 Intercambio de información | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| 09 Protección de transmisión | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 Intercambio de información | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 09 Protección de transmisión | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 Intercambio de información | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| 09 Protección de transmisión | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 Intercambio de información | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| 09 Protección de transmisiones | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| 09 Protección de transmisión | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 Intercambio de información | Restricción del uso de elementos multimedia | 1.1.0 |
| 09 Protección de transmisión | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 Intercambio de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 Intercambio de información | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| 09 Protección de transmisión | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 Intercambio de información | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 09 Protección de transmisión | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 Intercambio de información | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 Intercambio de información | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| 09 Protección de transmisión | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 Intercambio de información | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 09 Protección de transmisión | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 Intercambio de información | Exigir la existencia de usuario único | 1.1.0 |
| 09 Protección de transmisión | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 Intercambio de información | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 09 Protección de transmisión | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 Intercambio de información | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Flujo de la información de control | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 Intercambio de información | Protección de la interfaz contra sistemas externos | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Flujo de la información de control | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 Intercambio de información | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| 09 Protección de transmisión | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 Servicios de comercio electrónico | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 Servicios de comercio electrónico | Documentación del proceso para garantizar la integridad de la información de identificación personal | 1.1.0 |
| 09 Protección de transmisión | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 Servicios de comercio electrónico | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Flujo de la información de control | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 09 Protección de transmisión | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Autenticación para el módulo criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 09 Protección de transmisión | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico | Proteger contraseñas con cifrado | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Administración del transporte de recursos | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Proteger información especial | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | 1.1.0 |
| 09 Protección de transmisión | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| 09 Protección de transmisión | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico | Distribución de autenticadores | 1.1.0 |
| 09 Protección de transmisión | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| 09 Protección de transmisión | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico | Emisión de certificados de clave pública | 1.1.0 |
| 09 Protección de transmisión | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 09 Protección de transmisión | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Identificación de proveedores de servicios externos | 1.1.0 |
| 09 Protección de transmisión | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| 09 Protección de transmisión | 0960.09sCSPOrganizational.1-09.s | 0960.09sCSPOrganizational.1-09.s 09.08 Intercambio de información | Identificación de proveedores de servicios externos | 1.1.0 |
| 09 Protección de transmisión | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 Administración de seguridad de red | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 09 Protección de transmisión | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 Administración de seguridad de red | Definir el uso criptográfico | 1.1.0 |
| 09 Protección de transmisión | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 Administración de seguridad de red | Proteger contraseñas con cifrado | 1.1.0 |
| 10 Administración de contraseñas | 1002.01d1System.1-01.d | 1002.01d1System.1-01.d 01.02 Acceso autorizado a sistemas de información | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| 10 Administración de contraseñas | 1002.01d1System.1-01.d | 1002.01d1System.1-01.d 01.02 Acceso autorizado a sistemas de información | Proteger contraseñas con cifrado | 1.1.0 |
| 10 Administración de contraseñas | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 Acceso autorizado a sistemas de información | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Administración de la duración y reutilización del autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Proteger contraseñas con cifrado | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Autenticación para el módulo criptográfico | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Definir el uso criptográfico | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| 10 Administración de contraseñas | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| 10 Administración de contraseñas | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información | Generación de mensajes de error | 1.1.0 |
| 10 Administración de contraseñas | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| 10 Administración de contraseñas | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| 10 Administración de contraseñas | 1007.01d2System.2-01.d | 1007.01d2System.2-01.d 01.02 Acceso autorizado a sistemas de información | Definir el uso criptográfico | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los contratos de acceso de la organización | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Prohibición de prácticas ilegales | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Proteger información especial | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de los contratos de acceso de la organización | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 10 Administración de contraseñas | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 10 Administración de contraseñas | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Administración de la duración y reutilización del autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 10 Administración de contraseñas | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 10 Administración de contraseñas | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información | Restricción del uso de elementos multimedia | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 10 Administración de contraseñas | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información | Actualización de autenticadores | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Asignación de administradores de cuentas | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Privilegios de acceso del documento | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Revisar las cuentas de usuario | 1.1.0 |
| 11 Control de acceso | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Control de acceso | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 11 Control de acceso | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 11 Control de acceso | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 11 Control de acceso | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Control de acceso | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 Acceso autorizado a sistemas de información | Asignación de administradores de cuentas | 1.1.0 |
| 11 Control de acceso | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 Acceso autorizado a sistemas de información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 Acceso autorizado a sistemas de información | Supervisión de la actividad de la cuenta | 1.1.0 |
| 11 Control de acceso | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 Acceso autorizado a sistemas de información | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Prohibición de prácticas ilegales | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 11 Control de acceso | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Prohibición de prácticas ilegales | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Asignación de identificadores del sistema | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Exigir la existencia de usuario único | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Identificación del estado de los usuarios individuales | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| 11 Access Control | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Control de acceso | 1111.01b2System.1-01.b | 1111.01b2System.1-01.b 01.02 Acceso autorizado a sistemas de información | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 11 Control de acceso | 1111.01b2System.1-01.b | 1111.01b2System.1-01.b 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 11 Access Control | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 Control de acceso al sistema operativo | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 11 Access Control | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 Control de acceso al sistema operativo | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 11 Access Control | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 Control de acceso al sistema operativo | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Access Control | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 Control de acceso al sistema operativo | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| 11 Control de acceso | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 Control de acceso al sistema operativo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Access Control | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 Control de acceso al sistema operativo | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Asignación de un oficial de autorización (AO) | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Distribución de autenticadores | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Garantía de que los recursos están autorizados | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Satisfacer los requisitos de calidad del token | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Actualización de la autorización de seguridad | 1.1.0 |
| 11 Control de acceso | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Control de acceso | 11126.01t1Organizational.12-01.t | 11126.01t1Organizational.12-01.t 01.05 Control de acceso al sistema operativo | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| 11 Control de acceso | 1114.01h1Organizational.123-01.h | 1114.01h1Organizational.123-01.h 01.03 Responsabilidades del usuario | Definición y aplicación del límite de sesiones simultáneas | 1.1.0 |
| 11 Control de acceso | 1114.01h1Organizational.123-01.h | 1114.01h1Organizational.123-01.h 01.03 Responsabilidades del usuario | Finalizar sesión de usuario automáticamente | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Automatizar la administración de cuentas | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Supervisar el acceso en toda la organización | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 11 Control de acceso | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 11 Control de acceso | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 11 Control de acceso | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 11 Control de acceso | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Autorizar acceso remoto | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Entrenamiento de movilidad de documentos | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Documentar las directrices de acceso remoto | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Supervisar el acceso en toda la organización | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 11 Access Control | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Access Control | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Access Control | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes | Habilitación de la detección de dispositivos de red | 1.1.0 |
| 11 Access Control | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| 11 Access Control | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes | Protección de la interfaz contra sistemas externos | 1.1.0 |
| 11 Access Control | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 11 Control de acceso | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 Control de acceso al sistema operativo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Control de acceso | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 Control de acceso al sistema operativo | Controlar el acceso físico | 1.1.0 |
| 11 Control de acceso | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 Control de acceso al sistema operativo | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 11 Control de acceso | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 Control de acceso al sistema operativo | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 11 Control de acceso | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 Control de acceso al sistema operativo | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 11 Control de acceso | 1120.09ab3System.9-09.ab | 1120.09ab3System.9-09.ab 09.10 Supervisión | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Autorizar acceso remoto | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Entrenamiento de movilidad de documentos | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Documentar las directrices de acceso remoto | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Exigir la existencia de usuario único | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 11 Access Control | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Control de acceso | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 11 Control de acceso | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información | Documentación de la separación de obligaciones | 1.1.0 |
| 11 Control de acceso | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información | Separación de las obligaciones de las personas | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Exigir la existencia de usuario único | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| 11 Control de acceso | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Asignación de administradores de cuentas | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Privilegios de acceso del documento | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Administración de autenticadores | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Supervisión de la actividad de la cuenta | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Revisar las cuentas de usuario | 1.1.0 |
| 11 Control de acceso | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Access Control | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Access Control | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Autorización y administración del acceso | 1.1.0 |
| 11 Access Control | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Access Control | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Access Control | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Control de acceso | 1124.01q1System.34-01.q | 1124.01q1System.34-01.q 01.05 Control de acceso al sistema operativo | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 11 Control de acceso | 1124.01q1System.34-01.q | 1124.01q1System.34-01.q 01.05 Control de acceso al sistema operativo | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 11 Access Control | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Control de acceso al sistema operativo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Access Control | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Control de acceso al sistema operativo | Exigir la existencia de usuario único | 1.1.0 |
| 11 Access Control | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Control de acceso al sistema operativo | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Access Control | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Control de acceso al sistema operativo | Distribución de autenticadores | 1.1.0 |
| 11 Control de acceso | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 Control de acceso al sistema operativo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 11 Control de acceso | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 Control de acceso al sistema operativo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 Control de acceso al sistema operativo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Auditar funciones con privilegios | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Autorización y administración del acceso | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Supervisión de la actividad de la cuenta | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Control de acceso | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información | Usar Privileged Identity Management | 1.1.0 |
| 11 Control de acceso | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información | Asignación de administradores de cuentas | 1.1.0 |
| 11 Control de acceso | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información | Privilegios de acceso del documento | 1.1.0 |
| 11 Control de acceso | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 11 Control de acceso | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Flujo de la información de control | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 11 Control de acceso | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| 11 Control de acceso | 1132.01v2System.3-01.v | 1132.01v2System.3-01.v 01.06 Control de acceso a aplicaciones e información | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 11 Control de acceso | 1132.01v2System.3-01.v | 1132.01v2System.3-01.v 01.06 Control de acceso a aplicaciones e información | Proteger información especial | 1.1.0 |
| 11 Control de acceso | 1133.01v2System.4-01.v | 1133.01v2System.4-01.v 01.06 Control de acceso a aplicaciones e información | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| 11 Control de acceso | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 Control de acceso a aplicaciones e información | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 11 Control de acceso | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 Control de acceso a aplicaciones e información | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| 11 Control de acceso | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 Control de acceso a aplicaciones e información | Proteger información especial | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Deshabilitación de cuentas de usuario que suponen un riesgo significativo | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| 11 Control de acceso | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo | Conservar los datos de usuarios finalizados | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Prohibición de prácticas ilegales | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 11 Control de acceso | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 Cumplimiento de los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Privilegios de acceso del documento | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| 11 Control de acceso | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Supervisión de la actividad de la cuenta | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Access Control | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Auditar funciones con privilegios | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Supervisión de la actividad de la cuenta | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| 11 Control de acceso | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información | Usar Privileged Identity Management | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 11 Control de acceso | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Access Control | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Access Control | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Access Control | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 11 Control de acceso | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Access Control | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Access Control | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Autorización y administración del acceso | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 11 Access Control | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Flujo de la información de control | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 11 Control de acceso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| 11 Control de acceso | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Auditar funciones con privilegios | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Access Control | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información | Usar Privileged Identity Management | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Auditar funciones con privilegios | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Revocar roles con privilegios según corresponda | 1.1.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| 11 Control de acceso | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información | Usar Privileged Identity Management | 1.1.0 |
| 11 Control de acceso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Acceso autorizado a sistemas de información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 11 Control de acceso | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información | Revisar las cuentas de usuario | 1.1.0 |
| 11 Control de acceso | 1167.01e2System.1-01.e | 1167.01e2System.1-01.e 01.02 Acceso autorizado a sistemas de información | Asignación de identificadores del sistema | 1.1.0 |
| 11 Control de acceso | 1167.01e2System.1-01.e | 1167.01e2System.1-01.e 01.02 Acceso autorizado a sistemas de información | Identificación del estado de los usuarios individuales | 1.1.0 |
| 11 Control de acceso | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 Acceso autorizado a sistemas de información | Diseñar un modelo de control de acceso | 1.1.0 |
| 11 Control de acceso | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 Acceso autorizado a sistemas de información | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 11 Control de acceso | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 Acceso autorizado a sistemas de información | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 11 Control de acceso | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 Acceso autorizado a sistemas de información | Revisar privilegios de usuario | 1.1.0 |
| 11 Control de acceso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 11 Control de acceso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes | Exigir la existencia de usuario único | 1.1.0 |
| 11 Control de acceso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 11 Control de acceso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Access Control | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 Control de acceso a redes | Exigir la existencia de usuario único | 1.1.0 |
| 11 Access Control | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 Control de acceso a redes | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| 11 Access Control | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 Control de acceso a redes | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Autorizar acceso remoto | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Entrenamiento de movilidad de documentos | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Documentar las directrices de acceso remoto | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Supervisar el acceso en toda la organización | 1.1.0 |
| 11 Control de acceso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 11 Control de acceso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes | Controlar el acceso físico | 1.1.0 |
| 11 Control de acceso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes | Definir un proceso de administración de claves físicas | 1.1.0 |
| 11 Control de acceso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 11 Control de acceso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 11 Control de acceso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes | Controlar el acceso físico | 1.1.0 |
| 11 Control de acceso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes | Definir un proceso de administración de claves físicas | 1.1.0 |
| 11 Control de acceso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 11 Control de acceso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Prohibición de prácticas ilegales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Proporcionar aviso de privacidad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Supervisión | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1203.09aa1System.2-09.aa | 1203.09aa1System.2-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1203.09aa1System.2-09.aa | 1203.09aa1System.2-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 Supervisión | Supervisión de la actividad de la cuenta | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 Supervisión | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 Supervisión | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 Supervisión | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Prohibición de código ejecutable binario o máquina | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 Supervisión | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Cumplir con los períodos de retención definidos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Habilitar la autorización doble o conjunta | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Proteger la información de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Conservar los datos de usuarios finalizados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Automatizar la administración de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Supervisar el acceso en toda la organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Realización de una evaluación de riesgos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 Supervisión | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Cumplir con los períodos de retención definidos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Conservar los datos de usuarios finalizados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 Supervisión | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Supervisión | Detección de cualquier indicador de compromiso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Supervisión | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Ajuste del nivel de revisión, análisis y creación de informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Correlación de los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Control de directivas y procedimientos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Especificación de acciones permitidas asociadas con la información de auditoría del cliente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Supervisión | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Desarrollo de POA&M | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Ejecución de los ataques de simulación | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Supervisión | Actualización de elementos de POA&M | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Correlación de los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 Supervisión | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Cumplir con los períodos de retención definidos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Realizar revisión para eliminación | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Supervisión | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 Supervisión | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| 12 Registros de auditoría y supervisión | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 Supervisión | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 Supervisión | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1213.09ab2System.128-09.ab | 1213.09ab2System.128-09.ab 09.10 Supervisión | Autorización, supervisión y control de VoIP | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1213.09ab2System.128-09.ab | 1213.09ab2System.128-09.ab 09.10 Supervisión | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Revocar roles con privilegios según corresponda | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 Supervisión | Usar Privileged Identity Management | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Supervisión | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Supervisión | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Supervisión | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Alertar al personal del volcado de información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Correlación de los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Documentar operaciones de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Supervisión | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Supervisión | Alertar al personal del volcado de información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Supervisión | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Supervisión | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Supervisión | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Alertar al personal del volcado de información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Autorización, supervisión y control de VoIP | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Documentar operaciones de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 Supervisión | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 Supervisión | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| 12 Registros de auditoría y supervisión | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 Supervisión | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 Supervisión | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 Supervisión | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 Supervisión | Autorización, supervisión y control de VoIP | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 Supervisión | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 Supervisión | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 Supervisión | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Alertar al personal del volcado de información | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Correlación de los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Difusión de alertas de seguridad al personal | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Generación de alertas de seguridad internas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Implementación de directivas de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 Supervisión | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Autorización y administración del acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Determinar eventos auditables | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Aplicar el acceso lógico | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Autorización y administración del acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Diseñar un modelo de control de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Habilitar la autorización doble o conjunta | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Proteger la información de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Revisar privilegios de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Revocar roles con privilegios según corresponda | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados | Usar Privileged Identity Management | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Correlación de los registros de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisar los datos de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Revocar roles con privilegios según corresponda | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 Supervisión | Usar Privileged Identity Management | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Diseñar un modelo de control de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Proteger la información de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 Supervisión | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Diseñar un modelo de control de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Proteger la información de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 Supervisión | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Auditar funciones con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Autorización y administración del acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Diseñar un modelo de control de acceso | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Proteger la información de auditoría | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Revisar privilegios de usuario | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Revocar roles con privilegios según corresponda | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados | Usar Privileged Identity Management | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 Procedimientos operativos documentados | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 Procedimientos operativos documentados | Documentación de la separación de obligaciones | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 Procedimientos operativos documentados | Separación de las obligaciones de las personas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Implementación de un programa de reconocimiento de amenazas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Implementación de un programa de amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Conservación de registros de formación | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 Durante el empleo | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Requerimiento a los desarrolladores de que proporcionen formación | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 Durante el empleo | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 Durante el empleo | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 Durante el empleo | Conservación de registros de formación | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Implementación del proceso formal de sanción | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Notificación al personal sobre las sanciones | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 Cumplimiento con los requisitos legales | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Actualización de las directivas de seguridad de la información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 Aspectos de seguridad de la información de la administración de continuidad empresarial | Incorporación de formación de contingencia simulada | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 Aspectos de seguridad de la información de la administración de continuidad empresarial | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 Aspectos de seguridad de la información de la administración de continuidad empresarial | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 Durante el empleo | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 Durante el empleo | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 Durante el empleo | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 Durante el empleo | Realización de una evaluación de riesgos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 Durante el empleo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Prohibición de prácticas ilegales | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 Intercambio de información | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Instalación de un sistema de alarma | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 Durante el empleo | Ejecución de los ataques de simulación | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 Durante el empleo | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 13 Educación, entrenamiento y concienciación | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 Durante el empleo | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 14 Garantía de terceros | 1404.05i2Organizational.1-05.i | 1404.05i2Organizational.1-05.i 05.02 Entidades externas | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 Entidades externas | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 Entidades externas | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 Entidades externas | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Autorización, supervisión y control de VoIP | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Difusión de alertas de seguridad al personal | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 14 Garantía de terceros | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 Entidades externas | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 Entidades externas | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Identificación de proveedores de servicios externos | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 Entidades externas | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Aceptación de credenciales de PIV | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Exigir la existencia de usuario único | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| 14 Garantía de terceros | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 Entidades externas | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 Entidades externas | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 Entidades externas | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Borrado del personal con acceso a información clasificada | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Implementación del filtrado de personal | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Identificación del personal de respuesta a incidentes | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Auditar funciones con privilegios | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Autorización y administración del acceso | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Documentación de la separación de obligaciones | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Revocar roles con privilegios según corresponda | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Separación de las obligaciones de las personas | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1451.05iCSPOrganizational.2-05 - 05.i | 1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas | Usar Privileged Identity Management | 1.1.0 |
| 14 Garantía de terceros | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Identificación de proveedores de servicios externos | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 14 Garantía de terceros | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 14 Garantía de terceros | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| 14 Garantía de terceros | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| 14 Garantía de terceros | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| 14 Garantía de terceros | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| 14 Garantía de terceros | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Implementación del proceso formal de sanción | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Notificación al personal sobre las sanciones | 1.1.0 |
| 15 Administración de incidentes | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 Durante el empleo | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Implementación del proceso formal de sanción | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Implementación de la capacidad de control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Notificación al personal sobre las sanciones | 1.1.0 |
| 15 Administración de incidentes | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 Durante el empleo | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Autorización y administración del acceso | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Creación de un inventario de datos | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Habilitación de la detección de dispositivos de red | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Aplicar el acceso lógico | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Implementación del proceso formal de sanción | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Notificación al personal sobre las sanciones | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 15 Administración de incidentes | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 Cumplimiento con los requisitos legales | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Identificación del personal de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de un programa de privacidad | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Administrar contactos para las autoridades y los grupos de interés especial | 1.1.0 |
| 15 Administración de incidentes | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación de un programa de amenazas internas | 1.1.0 |
| 15 Administración de incidentes | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación de la capacidad de control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Alertar al personal del volcado de información | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Correlación de los registros de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisar los datos de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 15 Administración de incidentes | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1518.11c2Organizational.13-11.c | 1518.11c2Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Correlación de los registros de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Integración del análisis del registro de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisar los datos de auditoría | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 15 Administración de incidentes | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación de la capacidad de control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| 15 Administración de incidentes | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Identificación del personal de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Uso de mecanismos automatizados para las alertas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| 15 Administración de incidentes | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| 15 Administración de incidentes | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación de un programa de amenazas internas | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación del proceso formal de sanción | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Implementación de la capacidad de control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Notificación al personal sobre las sanciones | 1.1.0 |
| 15 Administración de incidentes | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Solución de problemas de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Desarrollo de un plan de contingencia | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 15 Administración de incidentes | 1577.11aCSPOrganizational.1-11.a | 1577.11aCSPOrganizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 15 Administración de incidentes | 1577.11aCSPOrganizational.1-11.a | 1577.11aCSPOrganizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información | Identificación del personal de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Protección del plan de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| 15 Administración de incidentes | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 15 Administración de incidentes | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 15 Administración de incidentes | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 15 Administración de incidentes | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información | Ejecución de los ataques de simulación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización del planeamiento de capacidad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Distribución de directivas y procedimientos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1607.12c2Organizational.4-12.c | 1607.12c2Organizational.4-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1607.12c2Organizational.4-12.c | 1607.12c2Organizational.4-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1609.12c3Organizational.12-12.c | 1609.12c3Organizational.12-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1617.09l1Organizational.23-09.l | 1617.09l1Organizational.23-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1617.09l1Organizational.23-09.l | 1617.09l1Organizational.23-09.l 09.05 Copia de seguridad de la información | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1619.09l1Organizational.7-09.l | 1619.09l1Organizational.7-09.l 09.05 Copia de seguridad de la información | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Copia de seguridad de la información | Creación de un inventario de datos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Copia de seguridad de la información | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 Copia de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 Copia de seguridad de la información | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 Copia de seguridad de la información | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1623.09l2Organizational.4-09.l | 1623.09l2Organizational.4-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1623.09l2Organizational.4-09.l | 1623.09l2Organizational.4-09.l 09.05 Copia de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1624.09l3Organizational.12-09.l | 1624.09l3Organizational.12-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1624.09l3Organizational.12-09.l | 1624.09l3Organizational.12-09.l 09.05 Copia de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1626.09l3Organizational.5-09.l | 1626.09l3Organizational.5-09.l 09.05 Copia de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1627.09l3Organizational.6-09.l | 1627.09l3Organizational.6-09.l 09.05 Copia de seguridad de la información | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Distribución de directivas y procedimientos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización del planeamiento de capacidad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación de riesgos | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1670.12d2Organizational.1-12.d | 1670.12d2Organizational.1-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Revisión del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Desarrollo de un plan de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| 16 Continuidad empresarial y recuperación ante desastres | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial | Actualización del plan de contingencia | 1.1.0 |
| 17 Administración de riesgos | 1704.03b1Organizational.12-03.b | 1704.03b1Organizational.12-03.b 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1704.03b1Organizational.12-03.b | 1704.03b1Organizational.12-03.b 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1705.03b2Organizational.12-03.b | 1705.03b2Organizational.12-03.b 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1705.03b2Organizational.12-03.b | 1705.03b2Organizational.12-03.b 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1707.03c1Organizational.12-03.c | 1707.03c1Organizational.12-03.c 03.01 Programa de administración de riesgos | Desarrollo de POA&M | 1.1.0 |
| 17 Administración de riesgos | 1708.03c2Organizational.12-03.c | 1708.03c2Organizational.12-03.c 03.01 Programa de administración de riesgos | Desarrollo de POA&M | 1.1.0 |
| 17 Administración de riesgos | 1708.03c2Organizational.12-03.c | 1708.03c2Organizational.12-03.c 03.01 Programa de administración de riesgos | Actualización de elementos de POA&M | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Solución de vulnerabilidades de codificación | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| 17 Administración de riesgos | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 17 Administración de riesgos | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| 17 Administración de riesgos | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 17 Administración de riesgos | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 Programa de administración de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 Programa de administración de riesgos | Implementar la estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Definir las tareas de los procesadores | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Documentar la base legal para procesar la información personal | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Emisión de guías para garantizar la calidad y la integridad de los datos | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Realizar revisión para eliminación | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| 17 Administración de riesgos | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 17 Administración de riesgos | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 Programa de administración de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 17 Administración de riesgos | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 17 Administración de riesgos | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 17 Administración de riesgos | 1736.03d2Organizational.4-03.d | 1736.03d2Organizational.4-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 Programa de administración de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 17 Administración de riesgos | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 Programa de administración de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| 17 Administración de riesgos | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Control de directivas y procedimientos | 1.1.0 |
| 17 Administración de riesgos | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 17 Administración de riesgos | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 Requisitos de seguridad de los sistemas de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de privacidad | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 17 Administración de riesgos | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 17 Administración de riesgos | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 17 Administración de riesgos | 1784.10a1Organizational.7-10.a | 1784.10a1Organizational.7-10.a 10.01 Requisitos de seguridad de los sistemas de información | Uso de tecnología aprobada por FIPS 201 para PIV | 1.1.0 |
| 17 Administración de riesgos | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información | Autorizar acceso remoto | 1.1.0 |
| 17 Administración de riesgos | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| 17 Administración de riesgos | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| 17 Administración de riesgos | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| 17 Administración de riesgos | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| 17 Administración de riesgos | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 Requisitos de seguridad de los sistemas de información | Identificación de proveedores de servicios externos | 1.1.0 |
| 17 Administración de riesgos | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 Requisitos de seguridad de los sistemas de información | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 17 Administración de riesgos | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| 17 Administración de riesgos | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Automatización de controles de privacidad | 1.1.0 |
| 17 Administración de riesgos | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de privacidad | 1.1.0 |
| 17 Administración de riesgos | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Seguridad de la información y protección de datos personales | 1.1.0 |
| 17 Administración de riesgos | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Solución de vulnerabilidades de codificación | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| 17 Administración de riesgos | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 17 Administración de riesgos | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 Requisitos de seguridad de los sistemas de información | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 17 Administración de riesgos | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 Requisitos de seguridad de los sistemas de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| 17 Administración de riesgos | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Automatización de la corrección de errores | 1.1.0 |
| 17 Administración de riesgos | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| 17 Administración de riesgos | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 17 Administración de riesgos | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 Requisitos de seguridad de los sistemas de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 Requisitos de seguridad de los sistemas de información | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| 17 Administración de riesgos | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 Requisitos de seguridad de los sistemas de información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| 17 Administración de riesgos | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 Requisitos de seguridad de los sistemas de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de privacidad | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 17 Administración de riesgos | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 17 Administración de riesgos | 1794.10a2Organizational.12-10.a | 1794.10a2Organizational.12-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información | Solución de vulnerabilidades de codificación | 1.1.0 |
| 17 Administración de riesgos | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 17 Administración de riesgos | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 17 Administración de riesgos | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 17 Administración de riesgos | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Aceptación de resultados de la valoración | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Evaluación de los controles de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información | Generación de informe de evaluación de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de una arquitectura empresarial | 1.1.0 |
| 17 Administración de riesgos | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| 17 Administración de riesgos | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de una arquitectura empresarial | 1.1.0 |
| 17 Administración de riesgos | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Desarrollo de una arquitectura empresarial | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| 17 Administración de riesgos | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| 18 Seguridad física y del entorno | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 Áreas seguras | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 Áreas seguras | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 Áreas de seguridad | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| 18 Seguridad física y del entorno | 1802.08b1Organizational.3-08.b | 1802.08b1Organizational.3-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 Áreas de seguridad | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 Áreas de seguridad | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 Áreas de seguridad | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1804.08b2Organizational.12-08.b | 1804.08b2Organizational.12-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1804.08b2Organizational.12-08.b | 1804.08b2Organizational.12-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1805.08b2Organizational.3-08.b | 1805.08b2Organizational.3-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1806.08b2Organizational.4-08.b | 1806.08b2Organizational.4-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1807.08b2Organizational.56-08.b | 1807.08b2Organizational.56-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Revisar las cuentas de usuario | 1.1.0 |
| 18 Seguridad física y del entorno | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 Áreas de seguridad | Separación de las obligaciones de las personas | 1.1.0 |
| 18 Seguridad física y del entorno | 1810.08b3Organizational.2-08.b | 1810.08b3Organizational.2-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 18108.08j1Organizational.1-08.j | 18108.08j1Organizational.1-08.j 08.02 Seguridad de los equipos | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| 18 Seguridad física y del entorno | 18108.08j1Organizational.1-08.j | 18108.08j1Organizational.1-08.j 08.02 Seguridad de los equipos | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| 18 Seguridad física y del entorno | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 Seguridad de los equipos | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| 18 Seguridad física y del entorno | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 Seguridad de los equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 18 Seguridad física y del entorno | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 Seguridad de los equipos | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| 18 Seguridad física y del entorno | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 Seguridad de los equipos | Administración del personal de mantenimiento | 1.1.0 |
| 18 Seguridad física y del entorno | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 Áreas de seguridad | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 Áreas de seguridad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 18 Seguridad física y del entorno | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 Seguridad de los equipos | Implementación de mecanismos criptográficos | 1.1.0 |
| 18 Seguridad física y del entorno | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 Seguridad de los equipos | Realización de todo el mantenimiento no local | 1.1.0 |
| 18 Seguridad física y del entorno | 18111.08j1Organizational.6-08.j | 18111.08j1Organizational.6-08.j 08.02 Seguridad de los equipos | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| 18 Seguridad física y del entorno | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 Seguridad de los equipos | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| 18 Seguridad física y del entorno | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 Seguridad de los equipos | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| 18 Seguridad física y del entorno | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 Áreas de seguridad | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| 18 Seguridad física y del entorno | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 Áreas de seguridad | Instalación de un sistema de alarma | 1.1.0 |
| 18 Seguridad física y del entorno | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 Áreas de seguridad | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 18 Seguridad física y del entorno | 18127.08l1Organizational.3-08.l | 18127.08l1Organizational.3-08.l 08.02 Seguridad de los equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 18 Seguridad física y del entorno | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 Áreas de seguridad | Instalación de un sistema de alarma | 1.1.0 |
| 18 Seguridad física y del entorno | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 Áreas de seguridad | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 18 Seguridad física y del entorno | 18130.09p1Organizational.24-09.p | 18130.09p1Organizational.24-09.p 09.07 Control de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| 18 Seguridad física y del entorno | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 Áreas de seguridad | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 18 Seguridad física y del entorno | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 Áreas de seguridad | Ejecución de los ataques de simulación | 1.1.0 |
| 18 Seguridad física y del entorno | 18145.08b3Organizational.7-08.b | 18145.08b3Organizational.7-08.b 08.01 Áreas de seguridad | Instalación de un sistema de alarma | 1.1.0 |
| 18 Seguridad física y del entorno | 18145.08b3Organizational.7-08.b | 18145.08b3Organizational.7-08.b 08.01 Áreas de seguridad | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 18 Seguridad física y del entorno | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 Áreas de seguridad | Instalación de un sistema de alarma | 1.1.0 |
| 18 Seguridad física y del entorno | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 Áreas de seguridad | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 18 Seguridad física y del entorno | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 Áreas de seguridad | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 18 Seguridad física y del entorno | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 Áreas de seguridad | Ejecución de los ataques de simulación | 1.1.0 |
| 18 Seguridad física y del entorno | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 Áreas de seguridad | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 18 Seguridad física y del entorno | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 Áreas de seguridad | Instalación de un sistema de alarma | 1.1.0 |
| 18 Seguridad física y del entorno | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 Áreas de seguridad | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 18 Seguridad física y del entorno | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 Áreas de seguridad | Administración del transporte de recursos | 1.1.0 |
| 18 Seguridad física y del entorno | 1817.08d3Organizational.12-08.d | 1817.08d3Organizational.12-08.d 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 Áreas de seguridad | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 18 Seguridad física y del entorno | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 Áreas de seguridad | Ejecución de los ataques de simulación | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Administración del personal de mantenimiento | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1820.08j2Organizational.1-08.j | 1820.08j2Organizational.1-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1820.08j2Organizational.1-08.j | 1820.08j2Organizational.1-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 Seguridad de los equipos | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 Seguridad de los equipos | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 Seguridad de los equipos | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 Seguridad de los equipos | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| 18 Seguridad física y del entorno | 1823.08j3Organizational.12-08.j | 1823.08j3Organizational.12-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1823.08j3Organizational.12-08.j | 1823.08j3Organizational.12-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1824.08j3Organizational.3-08.j | 1824.08j3Organizational.3-08.j 08.02 Seguridad de los equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| 18 Seguridad física y del entorno | 1824.08j3Organizational.3-08.j | 1824.08j3Organizational.3-08.j 08.02 Seguridad de los equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| 18 Seguridad física y del entorno | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 Control de elementos multimedia | Cumplir con los períodos de retención definidos | 1.1.0 |
| 18 Seguridad física y del entorno | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 Control de elementos multimedia | Realizar revisión para eliminación | 1.1.0 |
| 18 Seguridad física y del entorno | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 Control de elementos multimedia | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 18 Seguridad física y del entorno | 1844.08b1Organizational.6-08.b | 1844.08b1Organizational.6-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 Áreas de seguridad | Controlar el acceso físico | 1.1.0 |
| 18 Seguridad física y del entorno | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 Áreas de seguridad | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 Áreas de seguridad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 18 Seguridad física y del entorno | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1846.08b2Organizational.8-08.b | 1846.08b2Organizational.8-08.b 08.01 Áreas de seguridad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 18 Seguridad física y del entorno | 1847.08b2Organizational.910-08.b | 1847.08b2Organizational.910-08.b 08.01 Áreas de seguridad | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1847.08b2Organizational.910-08.b | 1847.08b2Organizational.910-08.b 08.01 Áreas de seguridad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 18 Seguridad física y del entorno | 1848.08b2Organizational.11-08.b | 1848.08b2Organizational.11-08.b 08.01 Áreas de seguridad | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1862.08d1Organizational.3-08.d | 1862.08d1Organizational.3-08.d 08.01 Áreas de seguridad | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 18 Seguridad física y del entorno | 1862.08d1Organizational.3-08.d | 1862.08d1Organizational.3-08.d 08.01 Áreas de seguridad | Ejecución de los ataques de simulación | 1.1.0 |
| 18 Seguridad física y del entorno | 1862.08d3Organizational.3 | 1862.08d3Organizational.3 08.01 Áreas de seguridad | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 18 Seguridad física y del entorno | 1862.08d3Organizational.3 | 1862.08d3Organizational.3 08.01 Áreas de seguridad | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| 18 Seguridad física y del entorno | 1892.01l1Organizational.1 | 1892.01l1Organizational.1 01.04 Control de acceso a redes | Definir un proceso de administración de claves físicas | 1.1.0 |
| 18 Seguridad física y del entorno | 1892.01l1Organizational.1 | 1892.01l1Organizational.1 01.04 Control de acceso a redes | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 19 Privacidad y protección de datos | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 19 Privacidad y protección de datos | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Establecimiento de un programa de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Administrar actividades de cumplimiento | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Definir las tareas de los procesadores | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Documentar y distribuir una directiva de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Mantenimiento de una contabilidad precisa de las divulgaciones de información | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Disponibilidad a petición de la contabilidad de las divulgaciones | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Proporcionar aviso de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Restringir las comunicaciones | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Conservación de una contabilidad precisa de las divulgaciones de información | 1.1.0 |
| 19 Privacidad y protección de datos | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| 19 Privacidad y protección de datos | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 Cumplimiento de los requisitos legales | Definir el uso criptográfico | 1.1.0 |
| 19 Privacidad y protección de datos | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 Cumplimiento de los requisitos legales | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 19 Privacidad y protección de datos | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 Cumplimiento de los requisitos legales | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| 19 Privacidad y protección de datos | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 Cumplimiento de los requisitos legales | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 19 Privacidad y protección de datos | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 Cumplimiento de los requisitos legales | Proteger información especial | 1.1.0 |
| 19 Privacidad y protección de datos | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Cumplir con los períodos de retención definidos | 1.1.0 |
| 19 Privacidad y protección de datos | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Realizar revisión para eliminación | 1.1.0 |
| 19 Privacidad y protección de datos | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 Cumplimiento de los requisitos legales | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 19 Privacidad y protección de datos | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Disponibilidad pública de las SORN | 1.1.0 |
| 19 Privacidad y protección de datos | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Provisión de un aviso formal a las personas | 1.1.0 |
| 19 Privacidad y protección de datos | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Provisión de un aviso de privacidad al público y a las personas | 1.1.0 |
| 19 Privacidad y protección de datos | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Publicación de SORN para sistemas que contienen DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 Cumplimiento de los requisitos legales | Mantenimiento de los SORN actualizados | 1.1.0 |
| 19 Privacidad y protección de datos | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 Cumplimiento de los requisitos legales | Disponibilidad pública de las SORN | 1.1.0 |
| 19 Privacidad y protección de datos | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 Cumplimiento de los requisitos legales | Provisión de un aviso formal a las personas | 1.1.0 |
| 19 Privacidad y protección de datos | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 Cumplimiento de los requisitos legales | Publicación de SORN para sistemas que contienen DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Cumplir con los períodos de retención definidos | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Mantenimiento de los SORN actualizados | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Disponibilidad pública de las SORN | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Provisión de un aviso formal a las personas | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Publicación de SORN para sistemas que contienen DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Conservar los datos de usuarios finalizados | 1.1.0 |
| 19 Privacidad y protección de datos | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 Cumplimiento de los requisitos legales | Documentar la base legal para procesar la información personal | 1.1.0 |
| 19 Privacidad y protección de datos | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 Cumplimiento de los requisitos legales | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| 19 Privacidad y protección de datos | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 Cumplimiento de los requisitos legales | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 Cumplimiento de los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 Cumplimiento de los requisitos legales | Eliminación o censura de cualquier DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Establecimiento de un programa de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Seguridad de la información y protección de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Administrar actividades de cumplimiento | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| 19 Privacidad y protección de datos | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 Entidades externas | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Autorización y administración del acceso | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Aplicar el acceso lógico | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Implementación de la recuperación basada en transacciones | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 Cumplimiento de los requisitos legales | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Cumplir con los períodos de retención definidos | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Realizar revisión para eliminación | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Restricción del uso de elementos multimedia | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Conservar los datos de usuarios finalizados | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 Cumplimiento de los requisitos legales | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Clasificación de la información | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Cumplir con los períodos de retención definidos | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Realizar revisión para eliminación | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Conservar los datos de usuarios finalizados | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 Cumplimiento de los requisitos legales | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Cumplir con los períodos de retención definidos | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Realizar revisión para eliminación | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Conservar los datos de usuarios finalizados | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| 19 Privacidad y protección de datos | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 Cumplimiento de los requisitos legales | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| 19 Privacidad y protección de datos | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 Cumplimiento de los requisitos legales | Documentar la base legal para procesar la información personal | 1.1.0 |
| 19 Privacidad y protección de datos | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 Cumplimiento de los requisitos legales | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 Cumplimiento de los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 Cumplimiento de los requisitos legales | Eliminación o censura de cualquier DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Automatización de controles de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Documentar la base legal para procesar la información personal | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Seguridad de la información y protección de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Proporcionar aviso de privacidad | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Eliminación o censura de cualquier DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 Cumplimiento de los requisitos legales | Restringir las comunicaciones | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Confirmación de la calidad y la integridad de DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Documentar la base legal para procesar la información personal | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Emisión de guías para garantizar la calidad y la integridad de los datos | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| 19 Privacidad y protección de datos | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 Cumplimiento de los requisitos legales | Publicación de contratos de coincidencia de equipos en el sitio web público | 1.1.0 |
IRS 1075, septiembre de 2016
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: IRS 1075, septiembre de 2016. Para más información sobre este estándar de cumplimiento, consulte este artículo acerca de IRS 1075, septiembre de 2016.
ISO 27001:2013
Si desea ver la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Definir el uso criptográfico | 1.1.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Documentar y distribuir una directiva de privacidad | 1.1.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Proporcionar aviso de privacidad | 1.1.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Restringir las comunicaciones | 1.1.0 |
| Criptografía | 10.1.1 | Directiva sobre el uso de controles criptográficos | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Definir el uso criptográfico | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Determinar los requisitos de aserción | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Emisión de certificados de clave pública | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Proteger contraseñas con cifrado | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Criptografía | 10.1.2 | Administración de claves | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Controlar el acceso físico | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Definir un proceso de administración de claves físicas | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Instalación de un sistema de alarma | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Seguridad física y medioambiental | 11.1.1 | Perímetro de seguridad física | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Controlar el acceso físico | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Definir un proceso de administración de claves físicas | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Administración del personal de mantenimiento | 1.1.0 |
| Seguridad física y medioambiental | 11.1.2 | Controles de entrada físicos | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Seguridad física y medioambiental | 11.1.3 | Proteger oficinas, salas e instalaciones | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad física y medioambiental | 11.1.3 | Proteger oficinas, salas e instalaciones | Controlar el acceso físico | 1.1.0 |
| Seguridad física y medioambiental | 11.1.3 | Proteger oficinas, salas e instalaciones | Definir un proceso de administración de claves físicas | 1.1.0 |
| Seguridad física y medioambiental | 11.1.3 | Proteger oficinas, salas e instalaciones | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Seguridad física y medioambiental | 11.1.3 | Proteger oficinas, salas e instalaciones | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Instalación de un sistema de alarma | 1.1.0 |
| Seguridad física y medioambiental | 11.1.4 | Protección contra amenazas ambientales y externas | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Seguridad física y medioambiental | 11.1.5 | Trabajo en áreas seguras | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Seguridad física y medioambiental | 11.1.5 | Trabajo en áreas seguras | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Seguridad física y medioambiental | 11.1.5 | Trabajo en áreas seguras | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Seguridad física y medioambiental | 11.1.6 | Áreas de entrega y carga | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad física y medioambiental | 11.1.6 | Áreas de entrega y carga | Definición de los requisitos para administrar recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.1.6 | Áreas de entrega y carga | Instalación de un sistema de alarma | 1.1.0 |
| Seguridad física y medioambiental | 11.1.6 | Áreas de entrega y carga | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Seguridad física y medioambiental | 11.1.6 | Áreas de entrega y carga | Administración del transporte de recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.1 | Ubicación y protección del equipo | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.2.2 | Utilidades auxiliares | Uso de iluminación de emergencia automática | 1.1.0 |
| Seguridad física y medioambiental | 11.2.2 | Utilidades auxiliares | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Seguridad física y medioambiental | 11.2.2 | Utilidades auxiliares | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.2.3 | Seguridad del cableado | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad física y medioambiental | 11.2.3 | Seguridad del cableado | Controlar el acceso físico | 1.1.0 |
| Seguridad física y medioambiental | 11.2.3 | Seguridad del cableado | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad física y medioambiental | 11.2.3 | Seguridad del cableado | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad física y medioambiental | 11.2.4 | Mantenimiento de equipos | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Definición de los requisitos para administrar recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Seguridad física y medioambiental | 11.2.5 | Eliminación de recursos | Administración del transporte de recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Administración del transporte de recursos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Seguridad física y medioambiental | 11.2.6 | Seguridad del equipo y de los recursos fuera del entorno | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.7 | Eliminación o reutilización segura del equipo | Cumplir con los períodos de retención definidos | 1.1.0 |
| Seguridad física y medioambiental | 11.2.7 | Eliminación o reutilización segura del equipo | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Seguridad física y medioambiental | 11.2.7 | Eliminación o reutilización segura del equipo | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad física y medioambiental | 11.2.7 | Eliminación o reutilización segura del equipo | Realizar revisión para eliminación | 1.1.0 |
| Seguridad física y medioambiental | 11.2.7 | Eliminación o reutilización segura del equipo | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Seguridad física y medioambiental | 11.2.8 | Equipo de usuario desatendido | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad física y medioambiental | 11.2.8 | Equipo de usuario desatendido | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Seguridad física y medioambiental | 11.2.9 | Borrar directiva de pantalla y borrar escritorio | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Seguridad física y medioambiental | 11.2.9 | Borrar directiva de pantalla y borrar escritorio | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad física y medioambiental | 11.2.9 | Borrar directiva de pantalla y borrar escritorio | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Distribución de la documentación del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Acciones definidas del cliente del documento | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Control de directivas y procedimientos | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Obtención de documentación para administradores | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Seguridad de las operaciones | 12.1.1 | Procedimientos operativos documentados | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Solución de vulnerabilidades de codificación | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Automatización de los cambios documentados propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Instalación de un sistema de alarma | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Realización de una evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Corregir errores del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Seguridad de las operaciones | 12.1.2 | Administración de cambios | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Seguridad de las operaciones | 12.1.3 | Administración de capacidades | Realización del planeamiento de capacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.3 | Administración de capacidades | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Implementar controles para proteger DCP | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.1.4 | Separación de entornos de desarrollo, de pruebas y operativos | Corregir errores del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Administración de puertas de enlace | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Seguridad de las operaciones | 12.2.1 | Controles contra malware | Actualizar las definiciones de antivirus | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Cumplir con los períodos de retención definidos | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Realizar revisión para eliminación | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| Seguridad de las operaciones | 12.3.1 | Copia de seguridad de información | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Cumplir con los períodos de retención definidos | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Alertar al personal del volcado de información | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Auditar funciones con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Autorización, supervisión y control de VoIP | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Automatizar la administración de cuentas | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Correlación de los registros de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Determinar eventos auditables | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Detección de cualquier indicador de compromiso | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Documentar la base legal para procesar la información personal | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Implementar los métodos para las solicitudes del consumidor | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Administración de puertas de enlace | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Supervisar el acceso en toda la organización | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Supervisión de la actividad de la cuenta | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Publicar procedimientos de acceso en SORN | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Publicar reglas y normativas que accedan a los registros de la Ley de privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Conservar los datos de usuarios finalizados | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisar los datos de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Seguridad de las operaciones | 12.4.1 | Registro de eventos | Usar Privileged Identity Management | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Cumplir con los períodos de retención definidos | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Definir las tareas de los procesadores | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Habilitar la autorización doble o conjunta | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Realizar revisión para eliminación | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Proteger la información de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| Seguridad de las operaciones | 12.4.2 | Protección de la información de registro | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Auditar funciones con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Autorización, supervisión y control de VoIP | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Automatizar la administración de cuentas | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Determinar eventos auditables | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Habilitar la autorización doble o conjunta | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Administración de puertas de enlace | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Supervisar el acceso en toda la organización | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Supervisión de la actividad de la cuenta | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Proteger la información de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Revisar los datos de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Revocar roles con privilegios según corresponda | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Seguridad de las operaciones | 12.4.3 | Registros de administrador y operador | Usar Privileged Identity Management | 1.1.0 |
| Seguridad de las operaciones | 12.4.4 | Sincronización del reloj | Compilación de los registros de auditoría en la auditoría de todo el sistema | 1.1.0 |
| Seguridad de las operaciones | 12.4.4 | Sincronización del reloj | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Automatización de los cambios documentados propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Realización de una evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Corregir errores del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.5.1 | Instalación de software en sistemas operativos | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Realización de una evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Realización de una evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Corregir errores del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.6.1 | Administración de vulnerabilidades técnicas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Automatización de los cambios documentados propuestos | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Realización de una evaluación de riesgos | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Corregir errores del sistema de información | 1.1.0 |
| Seguridad de las operaciones | 12.6.2 | Restricciones de instalación de software | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Seguridad de las operaciones | 12.7.1 | Controles de auditoría de sistemas de información | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Autorización y administración del acceso | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Autorizar acceso remoto | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Flujo de la información de control | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Entrenamiento de movilidad de documentos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Documentar las directrices de acceso remoto | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Aplicar el acceso lógico | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Supervisar el acceso en toda la organización | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Proteger contraseñas con cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Protección del acceso inalámbrico | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.1 | Controles de red | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Flujo de la información de control | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.2 | Seguridad de los servicios de red | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Autorizar acceso remoto | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Flujo de la información de control | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Seguridad de las comunicaciones | 13.1.3 | Separación de redes | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Autorizar acceso remoto | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Flujo de la información de control | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Entrenamiento de movilidad de documentos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Documentar las directrices de acceso remoto | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Implementación de protección de límites del sistema | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Proteger contraseñas con cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Protección del acceso inalámbrico | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.1 | Directivas y procedimientos de transferencia de información | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Identificación de proveedores de servicios externos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Proporcionar aviso de privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.2 | Acuerdos sobre transferencia de información | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Flujo de la información de control | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Proteger contraseñas con cifrado | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.3 | Mensajería electrónica | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Desarrollo de medidas de seguridad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Prohibición de prácticas ilegales | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Seguridad de las comunicaciones | 13.2.4 | Acuerdos de confidencialidad o no divulgación | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Establecimiento de un programa de privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Identificación de proveedores de servicios externos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.1 | Análisis y especificación de requisitos de seguridad de información | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Autorización y administración del acceso | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Autorizar acceso remoto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Flujo de la información de control | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Definir el uso criptográfico | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Entrenamiento de movilidad de documentos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Documentar las directrices de acceso remoto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Aplicar el acceso lógico | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Exigir la existencia de usuario único | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Implementar controles para proteger todos los medios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Supervisar el acceso en toda la organización | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Proteger contraseñas con cifrado | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.2 | Protección de los servicios de aplicaciones en redes públicas | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Autorización y administración del acceso | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Autorizar acceso remoto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Flujo de la información de control | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Definir el uso criptográfico | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Aplicar el acceso lógico | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Exigir la existencia de usuario único | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Implementación de protección de límites del sistema | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Proteger contraseñas con cifrado | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.1.3 | Protección de transacciones de servicios de la aplicación | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.1 | Directiva de desarrollo segura | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Automatización de los cambios documentados propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Realización de una evaluación de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.2 | Procedimientos de control de cambios del sistema | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Automatización de los cambios documentados propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Realización de una evaluación de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.3 | Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Automatización de los cambios documentados propuestos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Realización de una evaluación de riesgos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.4 | Restricciones de los cambios en los paquetes de software | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.5 | Principios de la ingeniería de sistemas segura | Realización de la validación de la entrada de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.5 | Principios de la ingeniería de sistemas segura | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.5 | Principios de la ingeniería de sistemas segura | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.5 | Principios de la ingeniería de sistemas segura | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.5 | Principios de la ingeniería de sistemas segura | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.6 | Entorno de desarrollo seguro | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.7 | Desarrollo externalizado | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Evaluación de los controles de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Generación de informe de evaluación de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.8 | Pruebas de seguridad del sistema | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Asignación de un oficial de autorización (AO) | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Garantía de que los recursos están autorizados | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.2.9 | Pruebas de aceptación del sistema | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Cumplir con los períodos de retención definidos | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Realizar revisión para eliminación | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Corregir errores del sistema de información | 1.1.0 |
| Adquisición, desarrollo y mantenimiento del sistema | 14.3.1 | Protección de datos de prueba | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Relaciones de proveedor | 15.1.1 | Directiva de seguridad de información para relaciones de proveedores | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Identificación de proveedores de servicios externos | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Prohibición de prácticas ilegales | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Relaciones de proveedor | 15.1.2 | Abordar la seguridad en el contrato de proveedor | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Relaciones de proveedor | 15.1.3 | Cadena de suministro de tecnología de información y comunicación | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Relaciones de proveedor | 15.1.3 | Cadena de suministro de tecnología de información y comunicación | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Relaciones de proveedor | 15.1.3 | Cadena de suministro de tecnología de información y comunicación | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Relaciones de proveedor | 15.1.3 | Cadena de suministro de tecnología de información y comunicación | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Relaciones de proveedor | 15.2.1 | Supervisión y revisión de los servicios de proveedores | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Relaciones de proveedor | 15.2.1 | Supervisión y revisión de los servicios de proveedores | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Relaciones de proveedor | 15.2.1 | Supervisión y revisión de los servicios de proveedores | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Relaciones de proveedor | 15.2.1 | Supervisión y revisión de los servicios de proveedores | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Relaciones de proveedor | 15.2.2 | Administrar los cambios de los servicios de proveedores | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Protección del plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.1 | Responsabilidades y procedimientos | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Correlación de los registros de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Documentar operaciones de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisar los datos de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.2 | Notificar eventos de seguridad de información | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.3 | Informes de debilidades de seguridad de la información | Documentar operaciones de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.3 | Informes de debilidades de seguridad de la información | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.3 | Informes de debilidades de seguridad de la información | Corregir errores del sistema de información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.3 | Informes de debilidades de seguridad de la información | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Correlación de los registros de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Desarrollo de medidas de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Habilitar la protección de red | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Erradicación de la información contaminada | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisar los datos de auditoría | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.4 | Evaluación y decisión sobre eventos de seguridad de información | Vista e investigación de usuarios restringidos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Desarrollo de medidas de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Habilitar la protección de red | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Erradicación de la información contaminada | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.5 | Respuesta a incidentes de seguridad de información | Vista e investigación de usuarios restringidos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Desarrollo de medidas de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Detección de cualquier indicador de compromiso | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Habilitar la protección de red | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Erradicación de la información contaminada | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.6 | Aprender de los incidentes de seguridad de la información | Vista e investigación de usuarios restringidos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Cumplir con los períodos de retención definidos | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Determinar eventos auditables | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Implementación del control de incidentes | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Gestión de Información de Incidentes de Seguridad | 16.1.7 | Recopilación de evidencias | Conservar los datos de usuarios finalizados | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Desarrollo de un plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Distribución de directivas y procedimientos | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Revisión del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.1 | Planificación de la continuidad de seguridad de la información | Actualización del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Desarrollo de un plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Implementar controles para proteger todos los medios | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.2 | Implementación de la continuidad de seguridad de la información | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.3 | Comprobar, revisar y evaluar la continuidad de seguridad de la información | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.3 | Comprobar, revisar y evaluar la continuidad de seguridad de la información | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.1.3 | Comprobar, revisar y evaluar la continuidad de seguridad de la información | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Desarrollo de un plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Distribución de directivas y procedimientos | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Revisión del plan de contingencia | 1.1.0 |
| Aspectos de seguridad de la información de la administración de continuidad empresarial | 17.2.1 | Disponibilidad de las instalaciones de procesamiento de información | Actualización del plan de contingencia | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Establecimiento de un programa de privacidad | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Control de directivas y procedimientos | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.1 | Identificación de la legislación aplicable y los requisitos contractuales | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Cumplimiento normativo | 18.1.2 | Derechos de propiedad intelectual | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Cumplimiento normativo | 18.1.2 | Derechos de propiedad intelectual | Seguimiento del uso de licencias de software | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Autorización y administración del acceso | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Controlar el acceso físico | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Habilitar la autorización doble o conjunta | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Aplicar el acceso lógico | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Implementar controles para proteger todos los medios | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Proteger la información de auditoría | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Cumplimiento normativo | 18.1.3 | Protección de registros | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Controlar el acceso físico | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Establecimiento de un programa de privacidad | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Administrar actividades de cumplimiento | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Cumplimiento normativo | 18.1.4 | Privacidad y protección de la información de identificación personal | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Cumplimiento normativo | 18.1.5 | Regulación de controles criptográficos | Autenticación para el módulo criptográfico | 1.1.0 |
| Cumplimiento normativo | 18.1.5 | Regulación de controles criptográficos | Definir el uso criptográfico | 1.1.0 |
| Cumplimiento normativo | 18.2.1 | Revisión independiente de la seguridad de la información | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Cumplimiento normativo | 18.2.1 | Revisión independiente de la seguridad de la información | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Evaluación de los controles de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Establecimiento de un programa de privacidad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Control de directivas y procedimientos | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Generación de informe de evaluación de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Cumplimiento normativo | 18.2.2 | Cumplimiento de las políticas y estándares de seguridad | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Cumplimiento normativo | 18.2.3 | Revisión del cumplimiento técnico | Evaluación de los controles de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.3 | Revisión del cumplimiento técnico | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.3 | Revisión del cumplimiento técnico | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Cumplimiento normativo | 18.2.3 | Revisión del cumplimiento técnico | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Cumplimiento normativo | 18.2.3 | Revisión del cumplimiento técnico | Generación de informe de evaluación de seguridad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Establecimiento de un programa de privacidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Administrar actividades de cumplimiento | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.1 | Directivas para seguridad de la información | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Establecimiento de un programa de privacidad | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Directivas de seguridad de la información | 5.1.2 | Revisión de las directivas de seguridad de la información | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Creación de la protección del plan de configuración | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Designar a personas para que cumplan roles y responsabilidades específicos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de un plan de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Distribución de directivas y procedimientos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentar e implementar procedimientos de quejas de privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Asegurarse de que la información del programa de privacidad esté disponible de manera pública | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Establecimiento de un programa de privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Administrar el estado de seguridad de los sistemas de información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Proteger el plan del programa de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión del plan de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Actualización del plan de contingencia | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.1 | Roles y responsabilidades de seguridad de la información | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.2 | Separación de obligaciones | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Organización de Seguridad de la Información | 6.1.2 | Separación de obligaciones | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.2 | Separación de obligaciones | Documentación de la separación de obligaciones | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.2 | Separación de obligaciones | Separación de las obligaciones de las personas | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.2 | Separación de obligaciones | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Organización de Seguridad de la Información | 6.1.3 | Contacto con autoridades | Establecimiento de un programa de privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.3 | Contacto con autoridades | Administrar contactos para las autoridades y los grupos de interés especial | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Difusión de alertas de seguridad al personal | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Establecimiento de un programa de privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Generación de alertas de seguridad internas | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Implementación de directivas de seguridad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.4 | Contacto con grupos de interés especial | Administrar contactos para las autoridades y los grupos de interés especial | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Establecimiento de un programa de privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Control de la asignación de recursos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Garantía del compromiso de la dirección | 1.1.0 |
| Organización de Seguridad de la Información | 6.1.5 | Seguridad de la información en administración de proyectos | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Autorizar acceso remoto | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Entrenamiento de movilidad de documentos | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Documentar las directrices de acceso remoto | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Supervisar el acceso en toda la organización | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Protección del acceso inalámbrico | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.1 | Directiva de dispositivo móvil | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Autorización y administración del acceso | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Autorizar acceso remoto | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Entrenamiento de movilidad de documentos | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Documentar las directrices de acceso remoto | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Aplicar el acceso lógico | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Supervisar el acceso en toda la organización | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Organización de Seguridad de la Información | 6.2.2 | Teletrabajo | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.1 | Filtrado | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.1 | Filtrado | Implementación del filtrado de personal | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.1 | Filtrado | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Desarrollo de medidas de seguridad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Asegurarse de que la información del programa de privacidad esté disponible de manera pública | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Establecimiento de un programa de privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Proporcionar aviso de privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad de Recursos Humanos | 7.1.2 | Términos y condiciones laborales | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.1 | Responsabilidades de administración | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Empleo de un entorno de formación automatizado | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Conservación de registros de formación | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.2 | Conocimiento de seguridad de la información, educación y aprendizaje | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.3 | Proceso disciplinario | Implementación del proceso formal de sanción | 1.1.0 |
| Seguridad de Recursos Humanos | 7.2.3 | Proceso disciplinario | Notificación al personal sobre las sanciones | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Seguridad de Recursos Humanos | 7.3.1 | Terminación o cambio de responsabilidades laborales | Conservar los datos de usuarios finalizados | 1.1.0 |
| Administración de recursos | 8.1.1 | Inventario de recursos | Creación de un inventario de datos | 1.1.0 |
| Administración de recursos | 8.1.1 | Inventario de recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Creación de un inventario de datos | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de recursos | 8.1.2 | Propiedad de los recursos | Restricción del uso de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.1.3 | Uso aceptable de recursos | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Administración de recursos | 8.1.3 | Uso aceptable de recursos | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Administración de recursos | 8.1.4 | Devolución de recursos | Conservar los datos de usuarios finalizados | 1.1.0 |
| Administración de recursos | 8.2.1 | Clasificación de la información | Clasificación de la información | 1.1.0 |
| Administración de recursos | 8.2.1 | Clasificación de la información | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Administración de recursos | 8.2.1 | Clasificación de la información | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| Administración de recursos | 8.2.1 | Clasificación de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Administración de recursos | 8.2.2 | Etiquetado de la información | Controlar el acceso físico | 1.1.0 |
| Administración de recursos | 8.2.2 | Etiquetado de la información | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.2.2 | Etiquetado de la información | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Administración de recursos | 8.2.2 | Etiquetado de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Flujo de la información de control | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Controlar el acceso físico | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Definición de los requisitos para administrar recursos | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Administración del transporte de recursos | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Proteger contraseñas con cifrado | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Proteger información especial | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Restricción del uso de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.2.3 | Control de recursos | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Administración del transporte de recursos | 1.1.0 |
| Administración de recursos | 8.3.1 | Administración de medios extraíbles | Restricción del uso de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.3.2 | Eliminación de elementos multimedia | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Administración de recursos | 8.3.2 | Eliminación de elementos multimedia | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.3.3 | Transferencia de medios físicos | Implementar controles para proteger todos los medios | 1.1.0 |
| Administración de recursos | 8.3.3 | Transferencia de medios físicos | Administración del transporte de recursos | 1.1.0 |
| Control de acceso | 9.1.1 | Directiva de control de acceso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | 9.1.1 | Directiva de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.1.1 | Directiva de control de acceso | Control de directivas y procedimientos | 1.1.0 |
| Control de acceso | 9.1.1 | Directiva de control de acceso | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Exigir la existencia de usuario único | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Control de acceso | 9.1.2 | Acceso a redes y servicios de red | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Asignación de identificadores del sistema | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Exigir la existencia de usuario único | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Administración de autenticadores | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Actualización de autenticadores | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Revisión y reevaluación de los privilegios | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Control de acceso | 9.2.1 | Registro y cancelación del registro del usuario | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Revisión y reevaluación de los privilegios | 1.1.0 |
| Control de acceso | 9.2.2 | Aprovisionamiento del acceso de usuario | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Revisión y reevaluación de los privilegios | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 9.2.3 | Administración de los derechos de acceso con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Administración de autenticadores | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Proteger contraseñas con cifrado | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Actualización de autenticadores | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 9.2.4 | Administración de la información de autenticación de secretos de los usuarios | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Revisión y reevaluación de los privilegios | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | 9.2.5 | Revisión de los derechos de acceso de los usuarios | Revisar privilegios de usuario | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Revisión y reevaluación de los privilegios | 1.1.0 |
| Control de acceso | 9.2.6 | Eliminación o ajuste de derechos de acceso | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Administración de autenticadores | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Proteger contraseñas con cifrado | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Actualización de autenticadores | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Control de acceso | 9.3.1 | Uso de la información de autenticación secreta | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.4.1 | Restricción de acceso a la información | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Exigir la existencia de usuario único | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Generación de mensajes de error | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Muestra de mensajes de error | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Control de acceso | 9.4.2 | Procedimientos seguros de inicio de sesión | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Administración de autenticadores | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Proteger contraseñas con cifrado | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Actualización de autenticadores | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 9.4.3 | Sistema de administración de contraseñas | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 9.4.4 | Uso de programas de utilidad privilegiados | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 9.4.5 | Control de acceso al código fuente del programa | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.d | No conformidad y acción correctiva | Actualización de elementos de POA&M | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.e | No conformidad y acción correctiva | Actualización de elementos de POA&M | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.f | No conformidad y acción correctiva | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.f | No conformidad y acción correctiva | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.f | No conformidad y acción correctiva | Actualización de elementos de POA&M | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.g | No conformidad y acción correctiva | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.g | No conformidad y acción correctiva | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Mejora | ISO 27001:2013 C.10.1.g | No conformidad y acción correctiva | Actualización de elementos de POA&M | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.a | Determinar el ámbito del sistema de administración de seguridad de la información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.a | Determinar el ámbito del sistema de administración de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.a | Determinar el ámbito del sistema de administración de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.b | Determinar el ámbito del sistema de administración de seguridad de la información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.b | Determinar el ámbito del sistema de administración de seguridad de la información | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.b | Determinar el ámbito del sistema de administración de seguridad de la información | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Emplear casos empresariales para registrar los recursos necesarios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Control de la asignación de recursos | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.3.c | Determinar el ámbito del sistema de administración de seguridad de la información | Garantía del compromiso de la dirección | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.4 | Sistema de administración de seguridad de la información | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.4 | Sistema de administración de seguridad de la información | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.4 | Sistema de administración de seguridad de la información | Establecimiento de un programa de privacidad | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.4 | Sistema de administración de seguridad de la información | Control de directivas y procedimientos | 1.1.0 |
| Contexto de la organización | ISO 27001:2013 C.4.4 | Sistema de administración de seguridad de la información | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Establecimiento de un programa de privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.a | Liderazgo y compromiso | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Establecimiento de un programa de privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.b | Liderazgo y compromiso | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Emplear casos empresariales para registrar los recursos necesarios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Asegurarse de que la información del programa de privacidad esté disponible de manera pública | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Establecimiento de un programa de privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Control de la asignación de recursos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.c | Liderazgo y compromiso | Garantía del compromiso de la dirección | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.d | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.e | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.e | Liderazgo y compromiso | Definir métricas de rendimiento | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.e | Liderazgo y compromiso | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Emplear casos empresariales para registrar los recursos necesarios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Establecimiento de un programa de privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Control de la asignación de recursos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.f | Liderazgo y compromiso | Garantía del compromiso de la dirección | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.g | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.g | Liderazgo y compromiso | Definir métricas de rendimiento | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.g | Liderazgo y compromiso | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.1.h | Liderazgo y compromiso | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.a | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.a | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.a | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.a | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.b | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.b | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.b | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.b | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.c | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.d | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.e | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.e | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.e | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.e | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.f | Directiva | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.f | Directiva | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.f | Directiva | Control de directivas y procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.f | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.2.g | Directiva | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.3.b | Roles, responsabilidades y autoridades de la organización | Definir métricas de rendimiento | 1.1.0 |
| Liderazgo | ISO 27001:2013 C.5.3.b | Roles, responsabilidades y autoridades de la organización | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.a | General | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.a | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.a | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.b | General | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.b | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.b | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.c | General | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.c | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.c | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.d | General | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.d | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.d | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.1 | General | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.1 | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.1 | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.2 | General | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.2 | General | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.1.e.2 | General | Actualización de elementos de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.a.1 | Evaluación de riesgos de seguridad de la información | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.a.1 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.a.2 | Evaluación de riesgos de seguridad de la información | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.a.2 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.b | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.c.1 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.c.1 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.c.2 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.c.2 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.1 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.1 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.2 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.2 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.3 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.d.3 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.e.1 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.e.1 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.e.2 | Evaluación de riesgos de seguridad de la información | Implementar la estrategia de administración de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.2.e.2 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.a | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.b | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.c | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.d | Tratamiento de riesgos de seguridad de la información | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.e | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.1.3.f | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.2.e | Objetivos de seguridad de la información y planeación para lograrlos | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Planificación | ISO 27001:2013 C.6.2.e | Objetivos de seguridad de la información y planeación para lograrlos | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Emplear casos empresariales para registrar los recursos necesarios | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Control de la asignación de recursos | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.1 | Recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.a | Competencia | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.a | Competencia | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.a | Competencia | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.b | Competencia | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.c | Competencia | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.2.d | Competencia | Conservación de registros de formación | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.a | Concienciación | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.a | Concienciación | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.a | Concienciación | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.b | Concienciación | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.b | Concienciación | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.b | Concienciación | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.c | Concienciación | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.c | Concienciación | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.3.c | Concienciación | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.a | Comunicación | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.a | Comunicación | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.a | Comunicación | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.a | Comunicación | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.b | Comunicación | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.b | Comunicación | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.b | Comunicación | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.b | Comunicación | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.c | Comunicación | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.c | Comunicación | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.c | Comunicación | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.c | Comunicación | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.d | Comunicación | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.d | Comunicación | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.d | Comunicación | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.d | Comunicación | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.e | Comunicación | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.e | Comunicación | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.e | Comunicación | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.4.e | Comunicación | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.2.c | Creación y actualización | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.a | Control de la información documentada | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.b | Control de la información documentada | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.b | Control de la información documentada | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.b | Control de la información documentada | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.c | Control de la información documentada | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.d | Control de la información documentada | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.d | Control de la información documentada | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.d | Control de la información documentada | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.e | Control de la información documentada | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.e | Control de la información documentada | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.e | Control de la información documentada | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Soporte técnico | ISO 27001:2013 C.7.5.3.f | Control de la información documentada | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Automatización de los cambios documentados propuestos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Desarrollo de POA&M | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Realización de una evaluación de riesgos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Corregir errores del sistema de información | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Operación | ISO 27001:2013 C.8.1 | Planeamiento y control operativos | Actualización de elementos de POA&M | 1.1.0 |
| Operación | ISO 27001:2013 C.8.2 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Operación | ISO 27001:2013 C.8.2 | Evaluación de riesgos de seguridad de la información | Realización de una evaluación de riesgos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.2 | Evaluación de riesgos de seguridad de la información | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.3 | Tratamiento de riesgos de seguridad de la información | Desarrollo de POA&M | 1.1.0 |
| Operación | ISO 27001:2013 C.8.3 | Tratamiento de riesgos de seguridad de la información | Implementación de protección de límites del sistema | 1.1.0 |
| Operación | ISO 27001:2013 C.8.3 | Tratamiento de riesgos de seguridad de la información | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Operación | ISO 27001:2013 C.8.3 | Tratamiento de riesgos de seguridad de la información | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.a | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.a | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.a | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.b | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.b | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.b | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.c | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.c | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.c | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.d | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.d | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.d | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.e | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.e | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.e | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.f | Supervisión, medición, análisis y evaluación | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.f | Supervisión, medición, análisis y evaluación | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.1.f | Supervisión, medición, análisis y evaluación | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.a.1 | Auditoría interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.a.2 | Auditoría interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.b | Auditoría interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.c | Auditoría interna | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.c | Auditoría interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.d | Auditoría interna | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.e | Auditoría interna | Ajuste del nivel de revisión, análisis y creación de informes de auditoría | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.e | Auditoría interna | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.e | Auditoría interna | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.e | Auditoría interna | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.e | Auditoría interna | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.f | Auditoría interna | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.g | Auditoría interna | Cumplir con los períodos de retención definidos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.g | Auditoría interna | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.2.g | Auditoría interna | Conservar los datos de usuarios finalizados | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.a | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.a | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.a | Revisión de la administración | Desarrollo de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.a | Revisión de la administración | Implementar los planes de acción e hitos para el proceso del programa de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.a | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.b | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.b | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.b | Revisión de la administración | Desarrollo de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.b | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Definir métricas de rendimiento | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Desarrollo de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.1 | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.2 | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.2 | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.2 | Revisión de la administración | Desarrollo de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.2 | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.3 | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.3 | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.3 | Revisión de la administración | Definir métricas de rendimiento | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.3 | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.4 | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.4 | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.4 | Revisión de la administración | Definir métricas de rendimiento | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.c.4 | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.d | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.d | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.d | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.e | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.e | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.e | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.f | Revisión de la administración | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.f | Revisión de la administración | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de rendimiento | ISO 27001:2013 C.9.3.f | Revisión de la administración | Actualización de elementos de POA&M | 1.1.0 |
Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para obtener más información sobre este estándar de cumplimiento, consulte la cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.1: Residencia de datos | SO.1 | Los productos de Azure deben implementarse y configurarse para usar regiones aprobadas. | Ubicaciones permitidas para grupos de recursos | 1.0.0 |
Directivas globales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy para las directivas globales de la línea de base de MCfS. Para más información sobre este estándar de cumplimiento, vea Cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.1: Residencia de datos | SO.1 | Los productos de Azure deben implementarse y configurarse para usar regiones aprobadas. | Ubicaciones permitidas para grupos de recursos | 1.0.0 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Acceso con privilegios | PA-1 | Separación y limitación de usuarios administrativos o con muchos privilegios | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Acceso con privilegios | PA-1 | Separación y limitación de usuarios administrativos o con muchos privilegios | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-1 | Separación y limitación de usuarios administrativos o con muchos privilegios | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-1 | Separación y limitación de usuarios administrativos o con muchos privilegios | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Acceso con privilegios | PA-4 | Revisión y conciliación de manera periódica del acceso de los usuarios | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-4 | Revisión y conciliación de manera periódica del acceso de los usuarios | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-4 | Revisión y conciliación de manera periódica del acceso de los usuarios | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-4 | Revisión y conciliación de manera periódica del acceso de los usuarios | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Acceso con privilegios | PA-4 | Revisión y conciliación de manera periódica del acceso de los usuarios | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Protección de datos | DP-1 | detección, clasificación y etiquetado de datos confidenciales | Se debe habilitar Microsoft Defender para las API | 1.0.3 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Se debe habilitar Microsoft Defender para las API | 1.0.3 |
| Protección de datos | DP-2 | Supervisión de anomalías y amenazas dirigidas a datos confidenciales | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Protección de datos | DP-8 | Confirmación de la seguridad de un repositorio de claves y certificados | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| registro y detección de amenazas | LT-1 | Habilitación de capacidades de detección de amenazas | Microsoft Defender CSPM debe estar habilitado | 1.0.0 |
| registro y detección de amenazas | LT-1 | Habilitación de capacidades de detección de amenazas | Se debe habilitar Microsoft Defender para las API | 1.0.3 |
| registro y detección de amenazas | LT-1 | Habilitación de las funcionalidades de detección de amenazas | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| registro y detección de amenazas | LT-1 | Habilitación de capacidades de detección de amenazas | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y accesos | Microsoft Defender CSPM debe estar habilitado | 1.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y acceso | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| registro y detección de amenazas | LT-2 | Habilitación de la detección de amenazas para la administración de identidades y accesos | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-2 | Preparación: notificación de incidentes de configuración | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-2 | Preparación: notificación de incidentes de configuración | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-2 | Preparación: notificación de incidentes de configuración | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Microsoft Defender CSPM debe estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Microsoft Defender para las API | 1.0.3 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-3 | Detección y análisis: creación de incidentes en función de alertas de alta calidad | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| seguridad de los puntos de conexión | ES-1 | uso de la detección y respuesta de puntos de conexión (EDR) | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Microsoft Defender CSPM debe estar habilitado | 1.0.0 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Microsoft Defender para las API | 1.0.3 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | AIR-5 | Detección y análisis: clasificación de incidentes por orden de prioridad | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.1 | Limita el acceso del sistema a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas). | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.11 | Terminar (automáticamente) una sesión de usuario después de una condición definida. | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | 3.1.12 | Supervisa y controla las sesiones de acceso remoto. | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | 3.1.13 | Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Control de acceso | 3.1.13 | Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | 3.1.14 | Enruta el acceso remoto a través de puntos de control de acceso administrados. | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | 3.1.15 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | 3.1.15 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| Control de acceso | 3.1.15 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | 3.1.15 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | 3.1.15 | Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad. | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | 3.1.16 | Autorizar el acceso inalámbrico antes de permitir estas conexiones. | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | 3.1.16 | Autorizar el acceso inalámbrico antes de permitir estas conexiones. | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | 3.1.17 | Proteger el acceso inalámbrico mediante la autenticación y el cifrado. | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | 3.1.17 | Proteger el acceso inalámbrico mediante la autenticación y el cifrado. | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Control de acceso | 3.1.17 | Proteger el acceso inalámbrico mediante la autenticación y el cifrado. | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | 3.1.18 | Controlar la conexión de dispositivos móviles. | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | 3.1.19 | Cifrar la CUI en dispositivos móviles y plataformas de equipos móviles. | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | 3.1.19 | Cifrar la CUI en dispositivos móviles y plataformas de equipos móviles. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Exigencia del uso adecuado de todas las cuentas | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 3.1.2 | Limitar el acceso del sistema a los tipos de transacciones y funciones que pueden ejecutar los usuarios autorizados. | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | 3.1.20 | Comprobar y controlar o limitar las conexiones a sistemas externos y el uso de estos. | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Control de acceso | 3.1.20 | Comprobar y controlar o limitar las conexiones a sistemas externos y el uso de estos. | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Control de acceso | 3.1.21 | Limitar el uso de dispositivos de almacenamiento portátiles en sistemas externos. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Control de acceso | 3.1.21 | Limitar el uso de dispositivos de almacenamiento portátiles en sistemas externos. | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Control de acceso | 3.1.21 | Limitar el uso de dispositivos de almacenamiento portátiles en sistemas externos. | Implementar controles para proteger todos los medios | 1.1.0 |
| Control de acceso | 3.1.22 | Controlar la CUI publicada o procesada en sistemas de acceso público. | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Control de acceso | 3.1.22 | Controlar la CUI publicada o procesada en sistemas de acceso público. | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| Control de acceso | 3.1.22 | Controlar la CUI publicada o procesada en sistemas de acceso público. | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| Control de acceso | 3.1.22 | Controlar la CUI publicada o procesada en sistemas de acceso público. | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Flujo de la información de control | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Documentación de la separación de obligaciones | 1.1.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Separación de las obligaciones de las personas | 1.1.0 |
| Control de acceso | 3.1.4 | Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | 3.1.5 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | 3.1.7 | Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría. | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | 3.1.8 | Limitar los intentos de inicio de sesión sin éxito. | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Protección física | 3.10.1 | Limitar a personas autorizadas el acceso físico a los sistemas, el equipo y los respectivos entornos operativos de la organización. | Controlar el acceso físico | 1.1.0 |
| Protección física | 3.10.2 | Proteger y supervisar la instalación física y la infraestructura de soporte técnico de los sistemas de la organización. | Instalación de un sistema de alarma | 1.1.0 |
| Protección física | 3.10.2 | Proteger y supervisar la instalación física y la infraestructura de soporte técnico de los sistemas de la organización. | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Protección física | 3.10.3 | Acompañar a visitantes y supervisar su actividad. | Controlar el acceso físico | 1.1.0 |
| Protección física | 3.10.3 | Acompañar a visitantes y supervisar su actividad. | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física | 3.10.4 | Mantener registros de auditoría de acceso físico. | Controlar el acceso físico | 1.1.0 |
| Protección física | 3.10.5 | Controlar y administrar dispositivos de acceso físico. | Controlar el acceso físico | 1.1.0 |
| Protección física | 3.10.5 | Controlar y administrar dispositivos de acceso físico. | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección física | 3.10.5 | Controlar y administrar dispositivos de acceso físico. | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Protección física | 3.10.5 | Controlar y administrar dispositivos de acceso físico. | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física | 3.10.6 | Aplicar medidas de protección para CUI en sitios de trabajo alternativos. | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Evaluación de riesgos | 3.11.1 | Evaluar periódicamente el riesgo para las operaciones de la organización, los activos de la organización y los individuos, derivados del funcionamiento de los sistemas de la organización y del procesamiento, almacenamiento o transmisión asociados de la CUI. | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Evaluación de riesgos | 3.11.1 | Evaluar periódicamente el riesgo para las operaciones de la organización, los activos de la organización y los individuos, derivados del funcionamiento de los sistemas de la organización y del procesamiento, almacenamiento o transmisión asociados de la CUI. | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | 3.11.2 | Busca vulnerabilidades en sistemas y aplicaciones de la organización periódicamente, y avisa cuando se identifican nuevas vulnerabilidades que afectan a esos sistemas y aplicaciones. | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | 3.11.3 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de la seguridad | 3.12.1 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de la seguridad | 3.12.1 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación de la seguridad | 3.12.1 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de la seguridad | 3.12.1 | Evalúa periódicamente los controles de seguridad de los sistemas de la organización para determinar si su aplicación resulta eficaz. | Generación de informe de evaluación de seguridad | 1.1.0 |
| Evaluación de la seguridad | 3.12.2 | Desarrollar e implementar planes de acción diseñados para corregir deficiencias y reducir o eliminar vulnerabilidades en los sistemas de la organización. | Desarrollo de POA&M | 1.1.0 |
| Evaluación de la seguridad | 3.12.2 | Desarrollar e implementar planes de acción diseñados para corregir deficiencias y reducir o eliminar vulnerabilidades en los sistemas de la organización. | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Evaluación de la seguridad | 3.12.2 | Desarrollar e implementar planes de acción diseñados para corregir deficiencias y reducir o eliminar vulnerabilidades en los sistemas de la organización. | Implementar los planes de acción e hitos para el proceso del programa de seguridad | 1.1.0 |
| Evaluación de la seguridad | 3.12.2 | Desarrollar e implementar planes de acción diseñados para corregir deficiencias y reducir o eliminar vulnerabilidades en los sistemas de la organización. | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de la seguridad | 3.12.3 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de la seguridad | 3.12.3 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de la seguridad | 3.12.3 | Supervisa los controles de seguridad en todo momento para garantizar la eficacia continua de los controles. | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Establecimiento de un programa de privacidad | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Evaluación de la seguridad | 3.12.4 | Desarrollar, documentar y actualizar periódicamente planes de seguridad del sistema que describan los límites del sistema, los entornos de operaciones del sistema, cómo se implementan los requisitos de seguridad y las relaciones o conexiones con otros sistemas. | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Determinar los requisitos de aserción | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Administración de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Restringir el acceso a las claves privadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.11 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.12 | Prohibir la activación remota de dispositivos informáticos de colaboración y proporcionar una indicación de los dispositivos en uso para los usuarios presentes en el dispositivo | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Protección del sistema y de las comunicaciones | 3.13.12 | Prohibir la activación remota de dispositivos informáticos de colaboración y proporcionar una indicación de los dispositivos en uso para los usuarios presentes en el dispositivo | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.13 | Controlar y supervisar el uso del código móvil. | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.13 | Controlar y supervisar el uso del código móvil. | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.13 | Controlar y supervisar el uso del código móvil. | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.14 | Controlar y supervisar el uso de tecnologías de voz sobre IP (VoIP). | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.14 | Controlar y supervisar el uso de tecnologías de voz sobre IP (VoIP). | Establecimiento de las restricciones de uso de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.15 | Protege la autenticidad de las sesiones de comunicaciones. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.15 | Protege la autenticidad de las sesiones de comunicaciones. | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Proteger información especial | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.3 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Autorizar acceso remoto | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.3 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.3 | Separa la funcionalidad del usuario de la funcionalidad de administración del sistema. | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.7 | Evitar que los dispositivos remotos establezcan simultáneamente conexiones no remotas con sistemas de la organización y se comuniquen por otra conexión a recursos de redes externas (por ejemplo, túnel dividido). | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Proteger contraseñas con cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | 3.13.9 | Terminar las conexiones de red asociadas con sesiones de comunicaciones al final de las sesiones o después de un período definido de inactividad. | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Integridad del sistema y de la información | 3.14.2 | Proporciona protección frente a código malintencionado en ubicaciones designadas dentro de los sistemas de la organización. | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Difusión de alertas de seguridad al personal | 1.1.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Implementación de directivas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | 3.14.3 | Supervisar las alertas y los avisos de seguridad del sistema y tomar medidas como respuesta. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | 3.14.4 | Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | 3.14.5 | Realizar exámenes periódicos de los sistemas de la organización y exámenes en tiempo real de los archivos de orígenes externos, a medida que los archivos se descargan, abren o ejecutan. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Detección de cualquier indicador de compromiso | 1.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Documentar operaciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Integridad del sistema y de la información | 3.14.6 | Supervisa los sistemas de la organización, incluido el tráfico entrante y saliente de las comunicaciones, para detectar ataques e indicadores de posibles ataques. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | 3.14.7 | Identifica el uso no autorizado de los sistemas de la organización. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.1 | Hay que asegurarse de que los administradores, los administradores de sistemas y los usuarios de los sistemas de la organización sean conscientes de los riesgos de seguridad asociados con sus actividades y de las directivas, estándares y procedimientos aplicables relacionados con la seguridad de estos sistemas. | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.1 | Hay que asegurarse de que los administradores, los administradores de sistemas y los usuarios de los sistemas de la organización sean conscientes de los riesgos de seguridad asociados con sus actividades y de las directivas, estándares y procedimientos aplicables relacionados con la seguridad de estos sistemas. | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.2 | Garantizar que el personal esté entrenado para llevar a cabo las tareas y responsabilidades relacionadas con la seguridad de la información que se les han asignado. | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.2 | Garantizar que el personal esté entrenado para llevar a cabo las tareas y responsabilidades relacionadas con la seguridad de la información que se les han asignado. | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.3 | Proporcionar entrenamiento para la concienciación sobre seguridad a fin de reconocer posibles indicadores de una amenaza interna y responder a ellos. | Implementación de un programa de amenazas internas | 1.1.0 |
| Conocimiento y aprendizaje | 3.2.3 | Proporcionar entrenamiento para la concienciación sobre seguridad a fin de reconocer posibles indicadores de una amenaza interna y responder a ellos. | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Cumplir con los períodos de retención definidos | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Conservar los datos de usuarios finalizados | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | 3.3.1 | Crear y conservar registros de auditoría y registros del sistema en la medida necesaria para permitir la supervisión, el análisis, la investigación y la generación de informes de actividad del sistema ilegal o no autorizada | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | 3.3.2 | Garantiza que solo se pueda realizar el seguimiento de las acciones de usuarios individuales del sistema hasta esos usuarios, de modo que se les pueda responsabilizar de sus acciones. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | 3.3.3 | Revisar y actualizar los eventos registrados. | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | 3.3.4 | Alerta en caso de error en el proceso de registro de auditoría. | Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Integración del análisis del registro de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | 3.3.5 | Poner en correlación los procesos de revisión, análisis e informe de registros de auditoría para investigar y responder a indicios de actividad ilícita, no autorizada, sospechosa o inusual. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Auditar funciones con privilegios | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Compilación de los registros de auditoría en la auditoría de todo el sistema | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| Auditoría y responsabilidad | 3.3.6 | Lograr una reducción del registro de auditoría y la generación de informes para posibilitar el análisis y la creación de informes a petición. | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.7 | Proporcionar una capacidad del sistema que compare y sincronice los relojes internos del sistema con un origen acreditado para generar marcas de tiempo en los registros de auditoría. | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.8 | Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas. | Habilitar la autorización doble o conjunta | 1.1.0 |
| Auditoría y responsabilidad | 3.3.8 | Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas. | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Auditoría y responsabilidad | 3.3.8 | Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas. | Mantener la integridad del sistema de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.8 | Protege la información de auditoría y las herramientas de registro de auditoría para que no se pueda acceder a ellas, modificarlas ni eliminarlas. | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | 3.3.9 | Limitar la administración de la funcionalidad de registro de auditoría a un subconjunto de usuarios con privilegios. | Proteger la información de auditoría | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Corregir errores del sistema de información | 1.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Asignación de un representante de seguridad de la información para cambiar el control | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Automatización de los cambios documentados propuestos | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | 3.4.3 | Sigue, revisa, aprueba, desaprueba y registra los cambios realizados en los sistemas de la organización. | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | 3.4.4 | Analizar el impacto en la seguridad de los cambios antes de la implementación. | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Restricción de la instalación de software y firmware no autorizados | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Revisión y reevaluación de los privilegios | 1.1.0 |
| Administración de la configuración | 3.4.5 | Definir, documentar, aprobar y hacer cumplir restricciones de acceso físico y lógico asociadas con cambios en los sistemas de la organización. | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Administración de la configuración | 3.4.6 | Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Asignación de identificadores del sistema | 1.1.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Exigir la existencia de usuario único | 1.1.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Identificación y autenticación | 3.5.1 | Identifica a los usuarios del sistema, los procesos que actúan en nombre de los usuarios y los dispositivos. | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Identificación y autenticación | 3.5.10 | Almacena y transmita únicamente contraseñas protegidas criptográficamente. | Proteger contraseñas con cifrado | 1.1.0 |
| Identificación y autenticación | 3.5.11 | Ocultar los comentarios de la información de autenticación. | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Administración de autenticadores | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Actualización de autenticadores | 1.1.0 |
| Identificación y autenticación | 3.5.2 | Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de la organización. | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | 3.5.3 | Usar la autenticación multifactor para el acceso local y de red a cuentas con privilegios, y para el acceso de red a cuentas sin privilegios. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | 3.5.3 | Usar la autenticación multifactor para el acceso local y de red a cuentas con privilegios, y para el acceso de red a cuentas sin privilegios. | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Identificación y autenticación | 3.5.5 | Evite la reutilización de identificadores durante un período definido. | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Identificación y autenticación | 3.5.6 | Deshabilitar los identificadores después de un período definido de inactividad. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | 3.5.7 | Aplica una complejidad mínima de la contraseña y cambio de caracteres cuando se crean nuevas contraseñas. | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Desarrollo de medidas de seguridad | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | 3.6.1 | Establece una funcionalidad de control de incidentes operativos para los sistemas de la organización que incluye actividades de preparación, detección, análisis, contención, recuperación y respuesta del usuario. | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | 3.6.2 | Realizar un seguimiento de los incidentes, documentarlos e informar de ellos a funcionarios o autoridades designados, tanto internos como externos. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a incidentes | 3.6.2 | Realizar un seguimiento de los incidentes, documentarlos e informar de ellos a funcionarios o autoridades designados, tanto internos como externos. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a incidentes | 3.6.2 | Realizar un seguimiento de los incidentes, documentarlos e informar de ellos a funcionarios o autoridades designados, tanto internos como externos. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | 3.6.3 | Probar la capacidad de respuesta a incidentes de la organización. | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | 3.6.3 | Probar la capacidad de respuesta a incidentes de la organización. | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | 3.6.3 | Probar la capacidad de respuesta a incidentes de la organización. | Ejecución de los ataques de simulación | 1.1.0 |
| Mantenimiento | 3.7.1 | Realizar tareas de mantenimiento en los sistemas de la organización.[26]. | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | 3.7.2 | Proporcionar controles sobre las herramientas, técnicas, mecanismos y personal empleados para llevar a cabo el mantenimiento del sistema. | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | 3.7.2 | Proporcionar controles sobre las herramientas, técnicas, mecanismos y personal empleados para llevar a cabo el mantenimiento del sistema. | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | 3.7.2 | Proporcionar controles sobre las herramientas, técnicas, mecanismos y personal empleados para llevar a cabo el mantenimiento del sistema. | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | 3.7.2 | Proporcionar controles sobre las herramientas, técnicas, mecanismos y personal empleados para llevar a cabo el mantenimiento del sistema. | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | 3.7.3 | Asegurarse de que el equipo eliminado para el mantenimiento fuera del sitio esté limpio de cualquier CUI. | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | 3.7.3 | Asegurarse de que el equipo eliminado para el mantenimiento fuera del sitio esté limpio de cualquier CUI. | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | 3.7.3 | Asegurarse de que el equipo eliminado para el mantenimiento fuera del sitio esté limpio de cualquier CUI. | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | 3.7.4 | Comprobar que los soportes físicos que contienen programas de diagnóstico y de prueba no tengan código malintencionado antes de que se utilicen en los sistemas de la organización. | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | 3.7.4 | Comprobar que los soportes físicos que contienen programas de diagnóstico y de prueba no tengan código malintencionado antes de que se utilicen en los sistemas de la organización. | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | 3.7.5 | Exigir la autenticación multifactor para establecer sesiones de mantenimiento no locales a través de conexiones de red externas y terminar dichas conexiones cuando se complete el mantenimiento no local. | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | 3.7.6 | Supervisar las actividades de mantenimiento del personal de mantenimiento sin la autorización de acceso exigida. | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Mantenimiento | 3.7.6 | Supervisar las actividades de mantenimiento del personal de mantenimiento sin la autorización de acceso exigida. | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Mantenimiento | 3.7.6 | Supervisar las actividades de mantenimiento del personal de mantenimiento sin la autorización de acceso exigida. | Administración del personal de mantenimiento | 1.1.0 |
| Protección de elementos multimedia | 3.8.1 | Proteger (es decir, controlar físicamente y almacenar de forma segura) los soportes físicos del sistema que contengan CUI, tanto en papel como digital. | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | 3.8.1 | Proteger (es decir, controlar físicamente y almacenar de forma segura) los soportes físicos del sistema que contengan CUI, tanto en papel como digital. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.2 | Limitar el acceso a CUI en soportes físicos del sistema a los usuarios autorizados. | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | 3.8.2 | Limitar el acceso a CUI en soportes físicos del sistema a los usuarios autorizados. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.3 | Sanear o destruir los soportes físicos del sistema que contengan CUI antes de desecharlos o liberarlos para su reutilización. | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | 3.8.3 | Sanear o destruir los soportes físicos del sistema que contengan CUI antes de desecharlos o liberarlos para su reutilización. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.4 | Marcar los soportes físicos con las marcas de CUI necesarias y las limitaciones de distribución.[27] | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.5 | Controlar el acceso a los soportes físicos que contengan CUI y responsabilizarse de estos durante el transporte fuera de las áreas controladas. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.5 | Controlar el acceso a los soportes físicos que contengan CUI y responsabilizarse de estos durante el transporte fuera de las áreas controladas. | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | 3.8.6 | Implementar mecanismos de cifrado para proteger la confidencialidad de CUI almacenada en medios digitales durante el transporte, a menos que se protejan con medidas de seguridad físicas alternativas. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.6 | Implementar mecanismos de cifrado para proteger la confidencialidad de CUI almacenada en medios digitales durante el transporte, a menos que se protejan con medidas de seguridad físicas alternativas. | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | 3.8.7 | Controlar el uso de medios extraíbles en componentes del sistema. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | 3.8.7 | Controlar el uso de medios extraíbles en componentes del sistema. | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | 3.8.7 | Controlar el uso de medios extraíbles en componentes del sistema. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.7 | Controlar el uso de medios extraíbles en componentes del sistema. | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | 3.8.8 | Prohibir el uso de dispositivos de almacenamiento portátiles cuando dichos dispositivos no tengan un propietario identificable. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | 3.8.8 | Prohibir el uso de dispositivos de almacenamiento portátiles cuando dichos dispositivos no tengan un propietario identificable. | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | 3.8.8 | Prohibir el uso de dispositivos de almacenamiento portátiles cuando dichos dispositivos no tengan un propietario identificable. | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | 3.8.8 | Prohibir el uso de dispositivos de almacenamiento portátiles cuando dichos dispositivos no tengan un propietario identificable. | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | 3.8.9 | Proteger la confidencialidad de CUI de copia de seguridad en las ubicaciones de almacenamiento. | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Protección de elementos multimedia | 3.8.9 | Proteger la confidencialidad de CUI de copia de seguridad en las ubicaciones de almacenamiento. | Implementar controles para proteger todos los medios | 1.1.0 |
| Seguridad del personal | 3.9.1 | Examinar a los usuarios antes de autorizar el acceso a los sistemas de la organización que contienen CUI. | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad del personal | 3.9.1 | Examinar a los usuarios antes de autorizar el acceso a los sistemas de la organización que contienen CUI. | Implementación del filtrado de personal | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad del personal | 3.9.2 | Asegurarse de que los sistemas de la organización que contienen CUI estén protegidos durante y después de las acciones de personal, como despidos y traslados. | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Control de directivas y procedimientos | 1.1.0 |
| Control de acceso | AC-1 | Procedimientos y directiva de control de acceso | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitación de cuentas inactivas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (5) | Cierre de sesión por inactividad | Definición y aplicación de la directiva de registro de inactividad | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (7) | Esquemas basados en roles | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-2 (9) | Restricciones de uso de cuentas o grupos compartidos | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 (10) | Terminación de credenciales de cuentas de grupo o compartidas | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Control de acceso | AC-2 (11) | Condiciones de uso | Exigencia del uso adecuado de todas las cuentas | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas o uso atípico | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (13) | Deshabilitación de cuentas para individuos de alto riesgo | Deshabilitación de cuentas de usuario que suponen un riesgo significativo | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Control de acceso | AC-4 (8) | Filtros de directiva de seguridad | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Documentación de la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Separación de las obligaciones de las personas | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-6 (5) | Cuentas con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Revisar privilegios de usuario | 1.1.0 |
| Control de acceso | AC-6 (8) | Niveles de privilegios para la ejecución de código | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-6 (9) | Auditoría del uso de funciones con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-7 | Intentos de inicio de sesión incorrectos | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Control de acceso | AC-10 | Control de sesiones simultáneas | Definición y aplicación del límite de sesiones simultáneas | 1.1.0 |
| Control de acceso | AC-12 | Finalización de la sesión | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierres de sesión iniciados por el usuario/Pantallas de mensajes | Muestra de un mensaje de cierre de sesión explícito | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierres de sesión iniciados por el usuario/Pantallas de mensajes | Proporción de la capacidad de cierre de sesión | 1.1.0 |
| Control de acceso | AC-14 | Acciones permitidas sin identificación o autenticación | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Entrenamiento de movilidad de documentos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (1) | Supervisión o control automatizados | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de confidencialidad e integridad mediante cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-17 (3) | Puntos de control de acceso administrados | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos o acceso con privilegios | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (9) | Desconexión o deshabilitación del acceso | Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-19 | Control de acceso para los dispositivos móviles | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado completo basado en contenedores o dispositivos | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas de información externos | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Control de acceso | AC-20 (1) | Límites de uso autorizado | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Control de acceso | AC-20 (2) | Dispositivos de almacenamiento portátiles | Implementar controles para proteger todos los medios | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Facilitación del uso compartido de la información | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directivas y procedimientos de aprendizaje y concienciación de la seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directivas y procedimientos de aprendizaje y concienciación de la seguridad | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Aprendizaje del reconocimiento de la seguridad | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 (2) | Amenaza interna | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Aprendizaje de seguridad basado en roles | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 (3) | Ejercicios prácticos | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 (4) | Comunicaciones sospechosas y comportamiento anómalo del sistema | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de aprendizaje de seguridad | Conservación de registros de formación | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Control de directivas y procedimientos | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Procedimientos y directivas de auditoría y rendición de cuentas | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-2 | Auditoría de eventos | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-2 (3) | Revisiones y actualizaciones | Revisión y actualización de los eventos definidos en AU-02 | 1.1.0 |
| Auditoría y responsabilidad | AU-3 | Contenido de los registros de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-3 (1) | Información de auditoría adicional | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Auditoría y responsabilidad | AU-4 | Capacidad de almacenamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 | Respuesta a errores de procesamiento de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 (2) | Alertas en tiempo real | Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de auditoría | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración de procesos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlación de repositorios de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Integración del análisis del registro de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Funcionalidades de integración o exploración y supervisión | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (7) | Acciones permitidas | Especificación de acciones permitidas asociadas con la información de auditoría del cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (10) | Ajuste de nivel de auditoría | Ajuste del nivel de revisión, análisis y creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de auditoría y generación de informes | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 (1) | Procesamiento automático | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-8 | Marcas de tiempo | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-8 (1) | Sincronización con un recurso de hora autorizado | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Habilitar la autorización doble o conjunta | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (2) | Auditoría de copias de seguridad en sistemas o componentes físicos separados | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (3) | Protección criptográfica | Mantener la integridad del sistema de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (4) | Acceso por subconjunto de usuarios con privilegios | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-10 | No rechazo | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Cumplir con los períodos de retención definidos | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar los datos de usuarios finalizados | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar funciones con privilegios | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Compilación de los registros de auditoría en la auditoría de todo el sistema | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema o en correlación con el tiempo | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (3) | Cambios realizados por personas autorizadas | Ofrecimiento de la capacidad de ampliar o limitar la auditoría de los recursos implementados por el cliente | 1.1.0 |
| Evaluación de seguridad y autorización | CA-1 | Directiva y procedimientos de autorización y valoración de seguridad | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 | Valoraciones de seguridad | Generación de informe de evaluación de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (1) | Asesores independientes | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (2) | Valoraciones especializadas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-2 (3) | Organizaciones externas | Aceptación de resultados de la valoración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 | Interconexiones del sistema | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (3) | Conexiones no clasificadas del sistema de seguridad no nacional | Implementación de protección de límites del sistema | 1.1.0 |
| Evaluación de seguridad y autorización | CA-3 (5) | Restricciones de las conexiones de sistema externo | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Desarrollo de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-5 | Plan de acción e hitos | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Asignación de un oficial de autorización (AO) | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Garantía de que los recursos están autorizados | 1.1.0 |
| Evaluación de seguridad y autorización | CA-6 | Autorización de seguridad | Actualización de la autorización de seguridad | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 | Supervisión continua | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 (1) | Valoración independiente | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| Evaluación de seguridad y autorización | CA-7 (3) | Análisis de tendencias | Análisis de los datos obtenidos de la supervisión continua | 1.1.0 |
| Evaluación de seguridad y autorización | CA-8 (1) | Agente o equipo de penetración independiente | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Evaluación de seguridad y autorización | CA-9 | Conexiones internas del sistema | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Administración de la configuración | CM-1 | Procedimientos y directivas de administración de configuración | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de automatización para precisión o moneda | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (3) | Retención de configuraciones anteriores | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configuración de sistemas, componentes o dispositivos para áreas de alto riesgo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documento, notificación o prohibición automáticos de cambios | Automatización de los cambios documentados propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Prueba, validación o documentación de cambios | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (4) | Representante de seguridad | Asignación de un representante de seguridad de la información para cambiar el control | 1.1.0 |
| Administración de la configuración | CM-3 (6) | Administración de criptografía | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis del impacto de seguridad | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-5 | Restricciones de acceso para cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-5 (1) | Cumplimiento de acceso o auditoría automatizados | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Administración de la configuración | CM-5 (2) | Revisión de los cambios del sistema | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Administración de la configuración | CM-5 (3) | Componentes firmados | Restricción de la instalación de software y firmware no autorizados | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios de producción u operativos | Revisión y reevaluación de los privilegios | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Corregir errores del sistema de información | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Automatización de la comprobación, la aplicación y la administración de manera centralizada | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Administración de la configuración | CM-7 | Funcionalidad mínima | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema de información | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante instalaciones o eliminaciones | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Creación de la protección del plan de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Seguimiento del uso de licencias de software | 1.1.0 |
| Administración de la configuración | CM-10 (1) | Software de código abierto | Restricción del uso de software de código abierto | 1.1.0 |
| Planes de contingencia | CP-1 | Procedimientos y directiva de los planes de contingencia | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de un plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Distribución de directivas y procedimientos | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Revisión del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Actualización del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 (2) | Planificación de capacidad | Realización del planeamiento de capacidad | 1.1.0 |
| Planes de contingencia | CP-2 (3) | Reanudación de misiones esenciales o funciones empresariales | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (4) | Reanudación de todas las misiones o funciones empresariales | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| Planes de contingencia | CP-2 (5) | Continuación de funciones empresariales o misiones esenciales | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (8) | Identificación de recursos críticos | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| Planes de contingencia | CP-3 | Aprendizaje sobre contingencia | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| Planes de contingencia | CP-3 (1) | Eventos simulados | Incorporación de formación de contingencia simulada | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-4 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Evaluación de las capacidades alternativas del sitio de procesamiento | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Prueba del plan de contingencia en una ubicación de procesamiento alternativa | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-6 (1) | Separación del sitio principal | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Planes de contingencia | CP-6 (2) | Objetivos de tiempo o punto de recuperación | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| Planes de contingencia | CP-6 (3) | Accesibilidad | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (1) | Separación del sitio principal | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (2) | Accesibilidad | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-7 (4) | Preparación para el uso | Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | 1.1.0 |
| Planes de contingencia | CP-8 (1) | Prioridad de los aprovisionamientos de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema de información | Implementar controles para proteger todos los medios | 1.1.0 |
| Planes de contingencia | CP-9 (3) | Almacenamiento independiente para la información crítica | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Planes de contingencia | CP-9 (5) | Transferencia al sitio de almacenamiento alternativo | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-10 | Reconstitución y recuperación del sistema de información | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Planes de contingencia | CP-10 (2) | Recuperación de la transacción | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Planes de contingencia | CP-10 (4) | Restauración en el período de tiempo | Restauración de los recursos al estado operativo | 1.1.1 |
| Identificación y autenticación | IA-1 | Procedimientos y directivas de identificación y autenticación | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Exigir la existencia de usuario único | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-2 (1) | Acceso de red a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (2) | Acceso de red a cuentas sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (3) | Acceso local a cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (5) | Autenticación de grupos | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (11) | Acceso remoto: dispositivo independiente | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Identificación y autenticación | IA-2 (12) | Aceptación de credenciales de PIV | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Asignación de identificadores del sistema | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Identificación y autenticación | IA-4 (4) | Identificación del estado del usuario | Identificación del estado de los usuarios individuales | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Actualización de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Proteger contraseñas con cifrado | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Enlace de autenticadores e identidades dinámicamente | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de parámetros para buscar autenticadores y verificadores de secretos | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Asignación de identidades autenticadas a personas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Restringir el acceso a las claves privadas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación basada en PKI | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (3) | Registro de terceros en persona o de confianza | Distribución de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (4) | Compatibilidad automatizada para la determinación de la seguridad de la contraseña | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (6) | Protección de autenticadores | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Identificación y autenticación | IA-5 (7) | Autenticadores estáticos no integrados sin cifrar | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Identificación y autenticación | IA-5 (11) | Autenticación basada en el token de hardware | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Identificación y autenticación | IA-5 (13) | Expiración de los autenticadores en caché | Aplicación de la expiración de los autenticadores almacenados en caché | 1.1.0 |
| Identificación y autenticación | IA-6 | Comentarios de autenticador | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Identificación y autenticación | IA-7 | Autenticación del módulo criptográfico | Autenticación para el módulo criptográfico | 1.1.0 |
| Identificación y autenticación | IA-8 | Identificación y autenticación (usuarios que no pertenecen a la organización) | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Identificación y autenticación | IA-8 (1) | Aceptación de credenciales de PIV de otras agencias | Aceptación de credenciales de PIV | 1.1.0 |
| Identificación y autenticación | IA-8 (2) | Aceptación de credenciales de terceros | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| Identificación y autenticación | IA-8 (3) | Uso de productos aprobados por FICAM | Uso de recursos aprobados por FICAM para aceptar credenciales de terceros | 1.1.0 |
| Identificación y autenticación | IA-8 (4) | Uso de perfiles emitidos por FICAM | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| Respuesta a los incidentes | IR-1 | Procedimientos y directiva de respuesta a los incidentes | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 | Aprendizaje sobre la respuesta a los incidentes | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-2 (1) | Eventos simulados | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 (2) | Entornos de entrenamiento automatizado | Empleo de un entorno de formación automatizado | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollo de medidas de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (2) | Reconfiguración dinámica | Inclusión de reconfiguración dinámica de recursos implementados por el cliente | 1.1.0 |
| Respuesta a los incidentes | IR-4 (3) | Continuidad de las operaciones | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| Respuesta a los incidentes | IR-4 (4) | Correlación de la información | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (6) | Amenazas internas: funcionalidades específicas | Implementación de la capacidad de control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (8) | Correlación con organizaciones externas | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-6 (1) | Informes automatizados | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-7 | Ayuda para la respuesta a los incidentes | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad automatizada para la disponibilidad de la información o soporte técnico | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Protección del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Alertar al personal del volcado de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de los sistemas y componentes contaminados | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de la información volcada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Aislamiento de volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (1) | Personal responsable | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 (2) | Cursos | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (3) | Operaciones posteriores al volcado | Desarrollo de procedimientos de respuesta de volcado | 1.1.0 |
| Respuesta a los incidentes | IR-9 (4) | Exposición a personal no autorizado | Desarrollo de medidas de seguridad | 1.1.0 |
| Mantenimiento | MA-1 | Procedimientos y directiva de mantenimiento del sistema | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 | Mantenimiento no local | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (2) | Mantenimiento no local de documentos | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (3) | Seguridad o saneamiento comparable | Realización de todo el mantenimiento no local | 1.1.0 |
| Mantenimiento | MA-4 (6) | Protección criptográfica | Implementación de mecanismos criptográficos | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Administración del personal de mantenimiento | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-6 | Mantenimiento temporal | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| Protección de elementos multimedia | MP-1 | Procedimientos y directivas de protección de elementos multimedia | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-2 | Acceso a medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-3 | Marcado de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 (4) | Protección criptográfica | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 (1) | Prohibir el uso sin propietario | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección física y del entorno | PE-1 | Procedimientos y directivas de protección física y del entorno | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Protección física y del entorno | PE-2 | Autorizaciones de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para medios de transmisión | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia o alarmas de intrusión | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-12 | Iluminación de emergencia | Uso de iluminación de emergencia automática | 1.1.0 |
| Protección física y del entorno | PE-13 | Protección contra incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | Dispositivos o sistemas de detección | Ejecución de los ataques de simulación | 1.1.0 |
| Protección física y del entorno | PE-13 (2) | Dispositivos o sistemas de eliminación | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (3) | Extinción automática de incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 | Controles de temperatura y humedad | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas o notificaciones | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-15 | Protección contra daños por el agua | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Definición de los requisitos para administrar recursos | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Administración del transporte de recursos | 1.1.0 |
| Protección física y del entorno | PE-17 | Lugar de trabajo alternativo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Protección física y del entorno | PE-18 | Ubicación de los componentes del sistema de información | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Planificación | PL-1 | Procedimientos y directiva del planeamiento de seguridad | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de un programa de privacidad | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 | Plan de seguridad del sistema | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 (3) | Planificación o coordinación con otras entidades organizativas | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Prohibición de prácticas ilegales | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Planificación | PL-4 (1) | Restricciones de elementos multimedia y redes sociales | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Planificación | PL-8 | Arquitectura de seguridad de la información | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Seguridad del personal | PS-1 | Procedimientos y directiva de seguridad del personal | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-2 | Designación de riesgos de puestos | Asignación de designaciones de riesgo | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Implementación del filtrado de personal | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Seguridad del personal | PS-3 (3) | Información con medidas de protección especiales | Proteger información especial | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Conservar los datos de usuarios finalizados | 1.1.0 |
| Seguridad del personal | PS-4 (2) | Notificación automatizada | Automatización de la notificación de la finalización de contrato de los empleados | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal de terceros | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Implementación del proceso formal de sanción | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Notificación al personal sobre las sanciones | 1.1.0 |
| Evaluación de riesgos | RA-1 | Directiva de evaluación de riesgos y procedimientos | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 | Examen de vulnerabilidades | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (1) | Funcionalidad de la herramienta de actualización | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización por frecuencia o antes de nuevo análisis, o cuando se identifique | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud o profundidad de cobertura | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (4) | Información detectable | Toma de medidas en respuesta a la información del cliente | 1.1.0 |
| Evaluación de riesgos | RA-5 (5) | Acceso con privilegios | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realización del modelado de amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar funciones con privilegios | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Correlación de los registros de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Determinar eventos auditables | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los datos de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (10) | Correlación de información de examen | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-1 | Procedimientos y directiva de adquisición del sistema y los servicios | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un programa de privacidad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Control de la asignación de recursos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (1) | Propiedades funcionales de controles de seguridad | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (2) | Información de diseño e implementación para controles de seguridad | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Adquisición del sistema y los servicios | SA-4 (8) | Plan de supervisión continua | Obtención de un plan de supervisión continua para los controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (9) | Funciones, puertos, protocolos, servicios en uso | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (10) | Uso de productos PIV aprobados | Uso de tecnología aprobada por FIPS 201 para PIV | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Distribución de la documentación del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Acciones definidas del cliente del documento | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de documentación para administradores | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema de información | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema de información externo | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos o aprobaciones de la organización | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (2) | Identificación de funciones, puertos, protocolos o servicios | Identificación de proveedores de servicios externos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (4) | Intereses coherentes de consumidores y proveedores | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (5) | Procesamiento, almacenamiento y ubicación del servicio | Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 (1) | Comprobación de integridad de software o firmware | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Pruebas y evaluación de la seguridad para desarrolladores | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-12 | Protección de la cadena de suministro | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-15 | Proceso de desarrollo, estándares y herramientas | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición del sistema y los servicios | SA-16 | Cursos proporcionados por desarrolladores | Requerimiento a los desarrolladores de que proporcionen formación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de la seguridad para desarrolladores | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-1 | Directivas y procedimientos para la protección del sistema y de las comunicaciones | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Autorizar acceso remoto | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Creación de particiones en la aplicación | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-3 | Aislamiento de la función de seguridad | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Desarrollo y documentación de un plan de respuesta de DDoS | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Control de la asignación de recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Administración de la disponibilidad y la capacidad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (7) | Impedimento de la tunelización dividida para dispositivos remotos | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (8) | Enrutamiento del tráfico a servidores proxy autenticados | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (12) | Protección basada en host | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (13) | Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Administración de transferencias entre componentes del sistema activos y en espera | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (20) | Aislamiento o segregación dinámicos | Garantía de que el sistema pueda aislar dinámicamente los recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (21) | Aislamiento de los componentes del sistema de información | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección física criptográfica o alternativa | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-10 | Desconexión de red | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Determinar los requisitos de aserción | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Administración de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Restringir el acceso a las claves privadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (1) | Disponibilidad | Mantener la disponibilidad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (2) | Claves simétricas | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (3) | Claves asimétricas | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-13 | Protección criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Protección del sistema y de las comunicaciones | SC-15 | Dispositivos informáticos de colaboración | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-17 | Certificados de infraestructura de clave pública | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Autorización, supervisión y control de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-19 | Voz sobre IP (VoIP) | Establecimiento de las restricciones de uso de VoIP | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio seguro de resolución de direcciones y nombres (origen de autoridad) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio seguro de resolución de direcciones y nombres (origen de autoridad) | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-22 | Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 (1) | Invalidación de los identificadores de sesión al cerrar sesión | Invalidación de los identificadores de sesión al cerrar sesión | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-24 | Error en estado conocido | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Proteger información especial | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-39 | Aislamiento de procesos | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Integridad del sistema y de la información | SI-1 | Procedimientos y directiva de integridad de la información y el sistema | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Automatización de la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo a fin de corregir errores o puntos de referencia para acciones correctivas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (1) | Administración central | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (2) | Actualizaciones automáticas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 (7) | Detección no basada en firmas | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema de información | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Documentar operaciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas automatizadas para el análisis en tiempo real | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Autorización, supervisión y control de VoIP | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Implementación de protección de límites del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones de entrada y salida | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Alertar al personal del volcado de información | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Integridad del sistema y de la información | SI-4 (14) | Detección de intrusiones inalámbricas | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (22) | Servicios de red no autorizados | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (24) | Indicadores de compromiso | Detección de cualquier indicador de compromiso | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Difusión de alertas de seguridad al personal | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Generación de alertas de seguridad internas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Implementación de directivas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-5 (1) | Alertas y advertencias automatizadas | Uso de mecanismos automatizados para las alertas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de la función de seguridad | Comprobar las funciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-7 | Integridad de la información, el firmware y el software | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (5) | Respuesta automática a infracciones de integridad | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (14) | Código ejecutable de máquina o binario | Prohibición de código ejecutable binario o máquina | 1.1.0 |
| Integridad del sistema y de la información | SI-10 | Validación de la entrada de información | Realización de la validación de la entrada de información | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Generación de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Muestra de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Controlar el acceso físico | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Control y retención de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Integridad del sistema y de la información | SI-16 | Protección de la memoria | Se debe habilitar Azure Defender para servidores | 1.0.3 |
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC-1 | Directiva y procedimientos | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-1 | Directiva y procedimientos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-1 | Directiva y procedimientos | Control de directivas y procedimientos | 1.1.0 |
| Control de acceso | AC-1 | Directiva y procedimientos | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Asignación de administradores de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Privilegios de acceso del documento | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Control de acceso | AC-2 | Administración de cuentas | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Notificación a los administradores de cuentas controladas por clientes | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Control de acceso | AC-2 | Administración de cuentas | Revisar las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (1) | Administración de cuentas de sistema automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitar cuentas | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Control de acceso | AC-2 (3) | Deshabilitar cuentas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Automatizar la administración de cuentas | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-2 (4) | Acciones de auditoría automatizadas | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Control de acceso | AC-2 (5) | Cierre de sesión por inactividad | Definición y aplicación de la directiva de registro de inactividad | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-2 (7) | Cuentas de usuario con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-2 (9) | Restricciones de uso de cuentas de grupo o compartidas | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Control de acceso | AC-2 (11) | Condiciones de uso | Exigencia del uso adecuado de todas las cuentas | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Supervisión de la actividad de la cuenta | 1.1.0 |
| Control de acceso | AC-2 (12) | Supervisión de cuentas para el uso atípico | Informe del comportamiento inusual de las cuentas de usuario | 1.1.0 |
| Control de acceso | AC-2 (13) | Deshabilitación de cuentas para individuos de alto riesgo | Deshabilitación de cuentas de usuario que suponen un riesgo significativo | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar el acceso lógico | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Control de acceso | AC-3 | Aplicación de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 | Aplicación del flujo de información | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Control de acceso | AC-4 (8) | Filtros de directiva de privacidad y seguridad | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Flujo de la información de control | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Control de acceso | AC-4 (21) | Separación física o lógica de los flujos de información | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Documentación de la separación de obligaciones | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Separación de las obligaciones de las personas | 1.1.0 |
| Control de acceso | AC-5 | Separación de obligaciones | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Diseñar un modelo de control de acceso | 1.1.0 |
| Control de acceso | AC-6 | Privilegios mínimos | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Autorización y administración del acceso | 1.1.0 |
| Control de acceso | AC-6 (1) | Autorización del acceso a las funciones de seguridad | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Control de acceso | AC-6 (5) | Cuentas con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| Control de acceso | AC-6 (7) | Revisión de privilegios de usuario | Revisar privilegios de usuario | 1.1.0 |
| Control de acceso | AC-6 (8) | Niveles de privilegios para la ejecución de código | Aplicación de los privilegios de ejecución de software | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Auditar funciones con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Revocar roles con privilegios según corresponda | 1.1.0 |
| Control de acceso | AC-6 (9) | Uso de registros de funciones con privilegios | Usar Privileged Identity Management | 1.1.0 |
| Control de acceso | AC-7 | Intentos de inicio de sesión incorrectos | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Control de acceso | AC-10 | Control de sesiones simultáneas | Definición y aplicación del límite de sesiones simultáneas | 1.1.0 |
| Control de acceso | AC-12 | Finalización de la sesión | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierre de sesión iniciado por el usuario | Muestra de un mensaje de cierre de sesión explícito | 1.1.0 |
| Control de acceso | AC-12 (1) | Cierre de sesión iniciado por el usuario | Proporción de la capacidad de cierre de sesión | 1.1.0 |
| Control de acceso | AC-14 | Acciones permitidas sin identificación o autenticación | Identificación de las acciones permitidas sin autenticación | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Entrenamiento de movilidad de documentos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 | Acceso remoto | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (1) | Supervisión y control | Supervisar el acceso en toda la organización | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de la confidencialidad e integridad mediante el cifrado | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Control de acceso | AC-17 (2) | Protección de la confidencialidad e integridad mediante el cifrado | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-17 (3) | Puntos de control de acceso administrados | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos con privilegio y acceso | Autorizar acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos con privilegio y acceso | Autorización del acceso remoto a comandos con privilegios | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos con privilegio y acceso | Documentar las directrices de acceso remoto | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos con privilegio y acceso | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Control de acceso | AC-17 (4) | Comandos con privilegio y acceso | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Control de acceso | AC-17 (9) | Desconexión o deshabilitación del acceso | Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 | Acceso inalámbrico | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Control de acceso | AC-18 (1) | Autenticación y cifrado | Protección del acceso inalámbrico | 1.1.0 |
| Control de acceso | AC-19 | Control de acceso para los dispositivos móviles | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado de dispositivos completo o basado en contenedores | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Control de acceso | AC-19 (5) | Cifrado de dispositivos completo o basado en contenedores | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas externos | Establecimiento de los términos y condiciones para acceder a los recursos | 1.1.0 |
| Control de acceso | AC-20 | Uso de sistemas externos | Establecimiento de los términos y condiciones para procesar los recursos | 1.1.0 |
| Control de acceso | AC-20 (1) | Límites del uso autorizado | Comprobación de los controles de seguridad de sistemas de información externos | 1.1.0 |
| Control de acceso | AC-20 (2) | ¿¿¿ Dispositivos de almacenamiento portátiles??? Uso restringido | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Control de acceso | AC-20 (2) | ¿¿¿ Dispositivos de almacenamiento portátiles??? Uso restringido | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Control de acceso | AC-20 (2) | ¿¿¿ Dispositivos de almacenamiento portátiles??? Uso restringido | Implementar controles para proteger todos los medios | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Automatización de las decisiones de uso compartido de la información | 1.1.0 |
| Control de acceso | AC-21 | Uso compartido de la información | Facilitación del uso compartido de la información | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Designación de personal autorizado para publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido antes de publicar información de acceso público | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Revisión del contenido de acceso público para obtener información no pública | 1.1.0 |
| Control de acceso | AC-22 | Contenido de acceso público | Formación del personal sobre la divulgación de la información no pública | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directiva y procedimientos | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-1 | Directiva y procedimientos | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Entrenamiento y concienciación sobre la alfabetización | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Entrenamiento y concienciación sobre la alfabetización | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 | Entrenamiento y concienciación sobre la alfabetización | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Conocimiento y aprendizaje | AT-2 (2) | Amenaza interna | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Entrenamiento basado en roles | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Entrenamiento basado en roles | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 | Entrenamiento basado en roles | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Conocimiento y aprendizaje | AT-3 (3) | Ejercicios prácticos | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de entrenamiento | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de entrenamiento | Supervisión de la finalización de la formación de seguridad y privacidad | 1.1.0 |
| Conocimiento y aprendizaje | AT-4 | Registros de entrenamiento | Conservación de registros de formación | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Directiva y procedimientos | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Directiva y procedimientos | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Directiva y procedimientos | Control de directivas y procedimientos | 1.1.0 |
| Auditoría y responsabilidad | AU-1 | Directiva y procedimientos | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Auditoría y responsabilidad | AU-2 | Registro de eventos | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-3 | Contenido de los registros de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-3 (1) | Información de auditoría adicional | Configuración de las funcionalidades de auditoría de Azure | 1.1.1 |
| Auditoría y responsabilidad | AU-4 | Capacidad de almacenamiento de registros de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 | Respuesta a errores del proceso de registro de auditoría | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-5 (2) | Alertas en tiempo real | Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 | Revisión, análisis e informes de registros de auditoría | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (1) | Integración automatizada de procesos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlacionar repositorios de registros de auditoría | Correlación de los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (3) | Correlacionar repositorios de registros de auditoría | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (4) | Revisión y análisis centralizados | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Integración del análisis del registro de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (5) | Análisis integrado de registros de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-6 (7) | Acciones permitidas | Especificación de acciones permitidas asociadas con la información de auditoría del cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de registros de auditoría y generación de informes | Garantía de que no se modifican los registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 | Reducción de registros de auditoría y generación de informes | Ofrecimiento de capacidad de revisión, análisis e informes de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-7 (1) | Procesamiento automático | Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente | 1.1.0 |
| Auditoría y responsabilidad | AU-8 | Marcas de tiempo | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Habilitar la autorización doble o conjunta | 1.1.0 |
| Auditoría y responsabilidad | AU-9 | Protección de la información de auditoría | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (2) | Almacenar en componentes o sistemas físicos independientes | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (3) | Protección criptográfica | Mantener la integridad del sistema de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-9 (4) | Acceso de un subconjunto de usuarios con privilegios | Proteger la información de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-10 | No rechazo | Establecimiento de requisitos de firma electrónica y certificado | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Cumplir con los períodos de retención definidos | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Auditoría y responsabilidad | AU-11 | Retención de los registros de auditoría | Conservar los datos de usuarios finalizados | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Auditar funciones con privilegios | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Determinar eventos auditables | 1.1.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 | Generación de registros de auditoría | Revisar los datos de auditoría | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría de todo el sistema y en correlación con el tiempo | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría en todo el sistema y con correlación de tiempo | Compilación de los registros de auditoría en la auditoría de todo el sistema | 1.1.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría en todo el sistema y con correlación de tiempo | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (1) | Registro de auditoría en todo el sistema y con correlación de tiempo | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Auditoría y responsabilidad | AU-12 (3) | Cambios por individuos autorizados | Ofrecimiento de la capacidad de ampliar o limitar la auditoría de los recursos implementados por el cliente | 1.1.0 |
| Evaluación, autorización y supervisión | CA-1 | Directiva y procedimientos | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 | Evaluaciones de control | Evaluación de los controles de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 | Evaluaciones de control | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 | Evaluaciones de control | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 | Evaluaciones de control | Generación de informe de evaluación de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 (1) | Asesores independientes | Uso de evaluadores independientes para valorar el control de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 (2) | Valoraciones especializadas | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-2 (3) | Aprovechamiento de los resultados de organizaciones externas | Aceptación de resultados de la valoración | 1.1.0 |
| Evaluación, autorización y supervisión | CA-3 | Intercambio de información | Requerimiento de acuerdos de seguridad de interconexión | 1.1.0 |
| Evaluación, autorización y supervisión | CA-3 | Intercambio de información | Actualización de los contratos de seguridad de interconexión | 1.1.0 |
| Evaluación, autorización y supervisión | CA-5 | Plan de acción e hitos | Desarrollo de POA&M | 1.1.0 |
| Evaluación, autorización y supervisión | CA-5 | Plan de acción e hitos | Actualización de elementos de POA&M | 1.1.0 |
| Evaluación, autorización y supervisión | CA-6 | Authorization | Asignación de un oficial de autorización (AO) | 1.1.0 |
| Evaluación, autorización y supervisión | CA-6 | Authorization | Garantía de que los recursos están autorizados | 1.1.0 |
| Evaluación, autorización y supervisión | CA-6 | Authorization | Actualización de la autorización de seguridad | 1.1.0 |
| Evaluación, autorización y supervisión | CA-7 | Supervisión continua | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Evaluación, autorización y supervisión | CA-7 | Supervisión continua | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Evaluación, autorización y supervisión | CA-7 | Supervisión continua | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Evaluación, autorización y supervisión | CA-7 (1) | Valoración independiente | Contratación de evaluadores independientes para que hagan una supervisión continua | 1.1.0 |
| Evaluación, autorización y supervisión | CA-7 (3) | Análisis de tendencias | Análisis de los datos obtenidos de la supervisión continua | 1.1.0 |
| Evaluación, autorización y supervisión | CA-8 (1) | Equipo o agente de pruebas de penetración independientes | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Evaluación, autorización y supervisión | CA-9 | Conexiones internas del sistema | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Administración de la configuración | CM-1 | Directiva y procedimientos | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 | Configuración de línea de base | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Establecer un panel de control de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-2 (2) | Compatibilidad de Azure Automation para precisión y moneda | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-2 (3) | Retención de configuraciones anteriores | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configurar sistemas y componentes para áreas de alto riesgo | Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | 1.1.0 |
| Administración de la configuración | CM-2 (7) | Configurar sistemas y componentes para áreas de alto riesgo | Denegación de que los sistemas de información acompañen a las personas | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-3 | Control de cambios de configuración | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización de la solicitud de aprobación para los cambios propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización de la implementación de notificaciones de cambio aprobadas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización del proceso para prohibir la implementación de cambios no aprobados | 1.1.0 |
| Administración de la configuración | CM-3 (1) | Documentación automatizada, notificación y prohibición de cambios | Automatización de los cambios documentados propuestos | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Pruebas, validación y documentación de cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Pruebas, validación y documentación de cambios | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-3 (2) | Pruebas, validación y documentación de cambios | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-3 (4) | Representantes de seguridad y privacidad | Asignación de un representante de seguridad de la información para cambiar el control | 1.1.0 |
| Administración de la configuración | CM-3 (6) | Administración de criptografía | Asegurarse de que los mecanismos criptográficos están bajo administración de configuración | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de la configuración | CM-4 | Análisis de impacto | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de la configuración | CM-4 (1) | Separación de entornos de prueba | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Administración de la configuración | CM-5 | Restricciones de acceso para cambios | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de la configuración | CM-5 (1) | Registros automatizados de cumplimiento y auditoría de acceso | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios para producción y operaciones | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Administración de la configuración | CM-5 (5) | Limitación de privilegios para producción y operaciones | Revisión y reevaluación de los privilegios | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 | Valores de configuración | Corregir errores del sistema de información | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Administración, aplicación y comprobación automatizadas | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Administración, aplicación y comprobación automatizadas | Control del cumplimiento de los proveedores de servicios en la nube | 1.1.0 |
| Administración de la configuración | CM-6 (1) | Administración, aplicación y comprobación automatizadas | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Administración de la configuración | CM-7 | Funcionalidad mínima | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 | Inventario de componentes del sistema | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante la instalación y eliminación | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (1) | Actualizaciones durante la instalación y eliminación | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Administración de la configuración | CM-8 (3) | Detección automatizada de componentes no autorizados | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Creación de un inventario de datos | 1.1.0 |
| Administración de la configuración | CM-8 (4) | Información de responsabilidad | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Creación de la protección del plan de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de identificación de elementos de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Desarrollo de un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de la configuración | CM-9 | Plan de administración de configuración | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Administración de la configuración | CM-10 | Restricciones de uso de software | Seguimiento del uso de licencias de software | 1.1.0 |
| Administración de la configuración | CM-10 (1) | Software de código abierto | Restricción del uso de software de código abierto | 1.1.0 |
| Planes de contingencia | CP-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de los planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Comunicación de los cambios del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de un plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Distribución de directivas y procedimientos | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Revisión del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 | Plan de contingencia | Actualización del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-2 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-2 (2) | Planificación de capacidad | Realización del planeamiento de capacidad | 1.1.0 |
| Planes de contingencia | CP-2 (3) | Reanudar misiones y funciones empresariales | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (5) | Continuar misiones y funciones empresariales | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| Planes de contingencia | CP-2 (8) | Identificación de recursos críticos | Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación | 1.1.0 |
| Planes de contingencia | CP-3 | Aprendizaje sobre contingencia | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| Planes de contingencia | CP-3 (1) | Eventos simulados | Incorporación de formación de contingencia simulada | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Planes de contingencia | CP-4 | Pruebas del plan de contingencia | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Planes de contingencia | CP-4 (1) | Coordinación con planes relacionados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Evaluación de las capacidades alternativas del sitio de procesamiento | 1.1.0 |
| Planes de contingencia | CP-4 (2) | Sitio de procesamiento alternativo | Prueba del plan de contingencia en una ubicación de procesamiento alternativa | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| Planes de contingencia | CP-6 | Sitio de almacenamiento alternativo | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-6 (1) | Separación del sitio principal | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| Planes de contingencia | CP-6 (2) | Objetivos de punto de recuperación y tiempo de recuperación | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| Planes de contingencia | CP-6 (3) | Accesibilidad | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Planes de contingencia | CP-7 | Sitio de procesamiento alternativo | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (1) | Separación del sitio principal | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (2) | Accesibilidad | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-7 (3) | Prioridad de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-7 (4) | Preparación para el uso | Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | 1.1.0 |
| Planes de contingencia | CP-8 (1) | Prioridad de los aprovisionamientos de servicio | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Planes de contingencia | CP-9 | Copia de seguridad del sistema | Implementar controles para proteger todos los medios | 1.1.0 |
| Planes de contingencia | CP-9 (3) | Almacenamiento independiente para la información crítica | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Planes de contingencia | CP-9 (5) | Transferencia al sitio de almacenamiento alternativo | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| Planes de contingencia | CP-10 | Recuperación y reconstitución del sistema | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Planes de contingencia | CP-10 (2) | Recuperación de la transacción | Implementación de la recuperación basada en transacciones | 1.1.0 |
| Planes de contingencia | CP-10 (4) | Restauración en el período de tiempo | Restauración de los recursos al estado operativo | 1.1.1 |
| Identificación y autenticación | IA-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Exigir la existencia de usuario único | 1.1.0 |
| Identificación y autenticación | IA-2 | Identificación y autenticación (usuarios de la organización) | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-2 (1) | Autenticación multifactor en cuentas con privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (2) | Autenticación multifactor en cuentas sin privilegios | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Identificación y autenticación | IA-2 (5) | Autenticación individual con autenticación de grupos | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Identificación y autenticación | IA-2 (12) | Aceptación de credenciales de PIV | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Asignación de identificadores del sistema | 1.1.0 |
| Identificación y autenticación | IA-4 | Administración de identificadores | Impedimento de la reutilización de identificadores para el periodo de tiempo definido | 1.1.0 |
| Identificación y autenticación | IA-4 (4) | Identificación del estado del usuario | Identificación del estado de los usuarios individuales | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Administración de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Actualización de autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Identificación y autenticación | IA-5 | Administración de autenticadores | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Identificación y autenticación | IA-5 (1) | Autenticación basada en contraseñas | Proteger contraseñas con cifrado | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Enlace de autenticadores e identidades dinámicamente | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Establecimiento de parámetros para buscar autenticadores y verificadores de secretos | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Asignación de identidades autenticadas a personas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Identificación y autenticación | IA-5 (2) | Autenticación pública basada en claves | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Identificación y autenticación | IA-5 (6) | Protección de autenticadores | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Identificación y autenticación | IA-5 (7) | Autenticadores estáticos no integrados sin cifrar | Garantía de que no haya autenticadores estáticos sin cifrar | 1.1.0 |
| Identificación y autenticación | IA-5 (13) | Expiración de los autenticadores en caché | Aplicación de la expiración de los autenticadores almacenados en caché | 1.1.0 |
| Identificación y autenticación | IA-6 | Comentarios de autenticación | Ocultación de información de comentarios durante el proceso de autenticación | 1.1.0 |
| Identificación y autenticación | IA-7 | Autenticación del módulo criptográfico | Autenticación para el módulo criptográfico | 1.1.0 |
| Identificación y autenticación | IA-8 | Identificación y autenticación (usuarios que no pertenecen a la organización) | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Identificación y autenticación | IA-8 (1) | Aceptación de credenciales de PIV de otras agencias | Aceptación de credenciales de PIV | 1.1.0 |
| Identificación y autenticación | IA-8 (2) | Aceptación de autenticadores externos | Aceptación de solo credenciales de terceros aprobadas por FICAM | 1.1.0 |
| Identificación y autenticación | IA-8 (4) | Uso de perfiles definidos | Conformidad con los perfiles emitidos por FICAM | 1.1.0 |
| Respuesta a los incidentes | IR-1 | Directiva y procedimientos | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 | Aprendizaje sobre la respuesta a los incidentes | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-2 (1) | Eventos simulados | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-2 (2) | Entornos de entrenamiento automatizado | Empleo de un entorno de formación automatizado | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 | Pruebas de la respuesta a los incidentes | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-3 (2) | Coordinación con planes relacionados | Ejecución de los ataques de simulación | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Desarrollo de medidas de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-4 | Tratamiento de incidentes | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-4 (1) | Procesos automatizados de control de incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (2) | Reconfiguración dinámica | Inclusión de reconfiguración dinámica de recursos implementados por el cliente | 1.1.0 |
| Respuesta a los incidentes | IR-4 (3) | Continuidad de las operaciones | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| Respuesta a los incidentes | IR-4 (4) | Correlación de la información | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (6) | Amenazas internas | Implementación de la capacidad de control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-4 (8) | Correlación con organizaciones externas | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Respuesta a los incidentes | IR-5 | Supervisión de incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-6 (1) | Informes automatizados | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Respuesta a los incidentes | IR-6 (2) | Vulnerabilidades relacionadas con incidentes | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Respuesta a los incidentes | IR-7 | Ayuda para la respuesta a los incidentes | Documentar operaciones de seguridad | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Habilitar la protección de red | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Respuesta a los incidentes | IR-7 (1) | Compatibilidad de Azure Automation para la disponibilidad de información y soporte técnico | Vista e investigación de usuarios restringidos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| Respuesta a los incidentes | IR-7 (2) | Coordinación con proveedores externos | Identificación del personal de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Implementación del control de incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-8 | Plan de respuesta a los incidentes | Protección del plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Alertar al personal del volcado de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Erradicación de la información contaminada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de los sistemas y componentes contaminados | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Identificación de la información volcada | 1.1.0 |
| Respuesta a los incidentes | IR-9 | Respuesta a derrames de información | Aislamiento de volcados de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (2) | Cursos | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Respuesta a los incidentes | IR-9 (3) | Operaciones posteriores al volcado | Desarrollo de procedimientos de respuesta de volcado | 1.1.0 |
| Respuesta a los incidentes | IR-9 (4) | Exposición a personal no autorizado | Desarrollo de medidas de seguridad | 1.1.0 |
| Mantenimiento | MA-1 | Directiva y procedimientos | Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-2 | Mantenimiento controlado | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Automatización de las actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-2 (2) | Actividades de mantenimiento automatizado | Generación de registros completos de actividades de mantenimiento remoto | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 | Herramientas de mantenimiento | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (1) | Inspección de herramientas | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (2) | Inspección del soporte físico | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Control de las actividades de mantenimiento y reparación | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-3 (3) | Impedir la eliminación no autorizada | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 | Mantenimiento no local | Administración de actividades de diagnóstico y mantenimiento no locales | 1.1.0 |
| Mantenimiento | MA-4 (3) | Seguridad y saneamiento comparables | Realización de todo el mantenimiento no local | 1.1.0 |
| Mantenimiento | MA-4 (6) | Protección criptográfica | Implementación de mecanismos criptográficos | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Designación de personal para supervisar las actividades de mantenimiento no autorizadas | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Conservación de una lista de personal de mantenimiento remoto autorizado | 1.1.0 |
| Mantenimiento | MA-5 | Personal de mantenimiento | Administración del personal de mantenimiento | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Mantenimiento | MA-5 (1) | Personas sin acceso adecuado | Implementar controles para proteger todos los medios | 1.1.0 |
| Mantenimiento | MA-6 | Mantenimiento temporal | Ofrecimiento de soporte técnico de mantenimiento oportuno | 1.1.0 |
| Protección de elementos multimedia | MP-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-2 | Acceso a medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-3 | Marcado de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-4 | Almacenamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-5 | Transporte de medios | Administración del transporte de recursos | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 | Saneamiento de medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (1) | Revisión, aprobación, seguimiento, documentación y comprobación | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Protección de elementos multimedia | MP-6 (2) | Pruebas de equipos | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Control del uso de dispositivos de almacenamiento portátiles | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección de elementos multimedia | MP-7 | Uso de los medios | Restricción del uso de elementos multimedia | 1.1.0 |
| Protección física y del entorno | PE-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Protección física y del entorno | PE-2 | Autorizaciones de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| Protección física y del entorno | PE-3 | Control de acceso físico | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para la transmisión | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-4 | Control de acceso para la transmisión | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-5 | Control de acceso para los dispositivos de salida | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia y alarmas de intrusión | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-6 (1) | Dispositivos de vigilancia y alarmas de intrusión | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Controlar el acceso físico | 1.1.0 |
| Protección física y del entorno | PE-8 | Registros de acceso de los visitantes | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-12 | Iluminación de emergencia | Uso de iluminación de emergencia automática | 1.1.0 |
| Protección física y del entorno | PE-13 | Protección contra incendios | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | ¿¿¿ Sistemas de detección ??? Activación y notificación automáticas | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | ¿¿¿ Sistemas de detección ??? Activación y notificación automáticas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-13 (1) | ¿¿¿ Sistemas de detección ??? Activación y notificación automáticas | Ejecución de los ataques de simulación | 1.1.0 |
| Protección física y del entorno | PE-13 (2) | ¿¿¿ Sistemas de supresión ??? Activación y notificación automáticas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 | Controles del entorno | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas y notificaciones | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-14 (2) | Supervisión con alarmas y notificaciones | Instalación de un sistema de alarma | 1.1.0 |
| Protección física y del entorno | PE-15 | Protección contra daños por el agua | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Definición de los requisitos para administrar recursos | 1.1.0 |
| Protección física y del entorno | PE-16 | Entrega y eliminación | Administración del transporte de recursos | 1.1.0 |
| Protección física y del entorno | PE-17 | Lugar de trabajo alternativo | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Protección física y del entorno | PE-18 | Ubicación de los componentes del sistema | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Planificación | PL-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de planeación | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Establecimiento de un programa de privacidad | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Planificación | PL-2 | Planes de seguridad y privacidad del sistema | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Prohibición de prácticas ilegales | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Planificación | PL-4 | Reglas de comportamiento | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Planificación | PL-4 (1) | Restricciones de uso de redes sociales y aplicaciones o sitios externos | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Planificación | PL-8 | Arquitecturas de seguridad y privacidad | Desarrollo de un concepto de operaciones (CONOPS) | 1.1.0 |
| Planificación | PL-8 | Arquitecturas de seguridad y privacidad | Revisión y actualización de la arquitectura de seguridad de la información | 1.1.0 |
| Seguridad del personal | PS-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-2 | Designación de riesgos de puestos | Asignación de designaciones de riesgo | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Implementación del filtrado de personal | 1.1.0 |
| Seguridad del personal | PS-3 | Filtrado del personal | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Seguridad del personal | PS-3 (3) | Información que requiere medidas de protección especiales | Proteger información especial | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Realización de una entrevista de salida tras la finalización de contrato | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Protección e impedimento de los robos de datos de los empleados que se marchan | 1.1.0 |
| Seguridad del personal | PS-4 | Finalización del contrato del personal | Conservar los datos de usuarios finalizados | 1.1.0 |
| Seguridad del personal | PS-4 (2) | Acciones automatizadas | Automatización de la notificación de la finalización de contrato de los empleados | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Inicio de acciones de transferencia o reasignación | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Modificación de autorizaciones de acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Notificación tras la finalización de contrato o transferencia | 1.1.0 |
| Seguridad del personal | PS-5 | Transferencia de personal | Reevaluación del acceso tras la transferencia del personal | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Documentación de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Requerimiento a los usuarios de que firmen acuerdos de acceso | 1.1.0 |
| Seguridad del personal | PS-6 | Contratos de acceso | Actualización de los contratos de acceso de la organización | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal externo | Documentación de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal externo | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal externo | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal externo | Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | 1.1.0 |
| Seguridad del personal | PS-7 | Seguridad del personal externo | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Implementación del proceso formal de sanción | 1.1.0 |
| Seguridad del personal | PS-8 | Sanciones del personal | Notificación al personal sobre las sanciones | 1.1.0 |
| Evaluación de riesgos | RA-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Garantía de que se aprueba la categorización de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-2 | Categorización de seguridad | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Evaluación de riesgos | RA-3 | Evaluación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 | Supervisión y examen de vulnerabilidades | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización de las vulnerabilidades que se analizarán | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (2) | Actualización de las vulnerabilidades que se analizarán | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud y profundidad de cobertura | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (3) | Amplitud y profundidad de cobertura | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (4) | Información detectable | Toma de medidas en respuesta a la información del cliente | 1.1.0 |
| Evaluación de riesgos | RA-5 (5) | Acceso con privilegios | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realización del modelado de amenazas | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | RA-5 (6) | Análisis de tendencias automatizados | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar funciones con privilegios | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Correlación de los registros de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Determinar eventos auditables | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisar los datos de auditoría | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Evaluación de riesgos | RA-5 (8) | Revisión de registros de auditoría históricos | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Evaluación de riesgos | RA-5 (10) | Correlación de información de examen | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Alineación de los objetivos de negocio y de TI | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Asignación de recursos para determinar los requisitos del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un elemento de línea discreto en la documentación de presupuestos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Establecimiento de un programa de privacidad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Control de la asignación de recursos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-2 | Asignación de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Definición de roles y responsabilidades de seguridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Identificación de los miembros con roles de seguridad y responsabilidades | 1.1.1 |
| Adquisición del sistema y los servicios | SA-3 | Ciclo de vida del desarrollo del sistema | Integración del proceso de administración de riesgos en SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 | Proceso de adquisición | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (1) | Propiedades funcionales de los controles | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (2) | Información de diseño e implementación para controles | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Adquisición del sistema y los servicios | SA-4 (8) | Plan de supervisión continua para controles | Obtención de un plan de supervisión continua para los controles de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (9) | Funciones, puertos, protocolos y servicios en uso | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Adquisición del sistema y los servicios | SA-4 (10) | Uso de productos PIV aprobados | Uso de tecnología aprobada por FIPS 201 para PIV | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema | Distribución de la documentación del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema | Acciones definidas del cliente del documento | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema | Obtención de documentación para administradores | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema | Obtención de la documentación de la función de seguridad del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-5 | Documentación del sistema | Protección de la documentación del administrador y del usuario | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema externo | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema externo | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema externo | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 | Servicios del sistema externo | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos y aprobaciones de la organización | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (1) | Evaluaciones de riesgos y aprobaciones de la organización | Obtención de aprobaciones para adquisiciones y externalizaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (2) | Identificación de funciones, puertos, protocolos y servicios | Identificación de proveedores de servicios externos | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (4) | Intereses coherentes de consumidores y proveedores | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| Adquisición del sistema y los servicios | SA-9 (5) | Procesamiento, almacenamiento y ubicación del servicio | Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Solución de vulnerabilidades de codificación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 | Administración de configuración para desarrolladores | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Adquisición del sistema y los servicios | SA-10 (1) | Comprobación de integridad del software o firmware | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Evaluación y pruebas de desarrollador | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Evaluación y pruebas de desarrollador | Corregir errores del sistema de información | 1.1.0 |
| Adquisición del sistema y los servicios | SA-11 | Evaluación y pruebas de desarrollador | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-15 | Proceso de desarrollo, estándares y herramientas | Revisión del proceso de desarrollo, los estándares y las herramientas | 1.1.0 |
| Adquisición del sistema y los servicios | SA-16 | Entrenamiento proporcionado por desarrolladores | Requerimiento a los desarrolladores de que proporcionen formación | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de seguridad y privacidad del desarrollador | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de seguridad y privacidad del desarrollador | Requerimiento de que los desarrolladores describan la función de seguridad precisa | 1.1.0 |
| Adquisición del sistema y los servicios | SA-17 | Diseño y arquitectura de seguridad y privacidad del desarrollador | Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Separación de la funcionalidad del sistema y del usuario | Autorizar acceso remoto | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Separación de la funcionalidad del sistema y del usuario | Separación de la función de administración de usuarios y de sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-2 | Separación de la funcionalidad del sistema y del usuario | Uso de máquinas dedicadas a tareas administrativas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-3 | Aislamiento de la función de seguridad | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Protección del sistema y de las comunicaciones | SC-5 | Protección ante la denegación de servicio | Desarrollo y documentación de un plan de respuesta de DDoS | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Control de la asignación de recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Administración de la disponibilidad y la capacidad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-6 | Disponibilidad de recursos | Garantía del compromiso de la dirección | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 | Protección de límites | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (4) | Servicios de telecomunicaciones externas | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (7) | Tunelización dividida para dispositivos remotos | Impedimento de la tunelización dividida para dispositivos remotos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (8) | Enrutamiento del tráfico a servidores proxy autenticados | Enrutamiento del tráfico mediante la red proxy autenticada | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (12) | Protección basada en host | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (13) | Aislamiento de herramientas de seguridad, mecanismos y componentes de soporte técnico | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Implementación de protección de límites del sistema | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (18) | Error de seguridad | Administración de transferencias entre componentes del sistema activos y en espera | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (20) | Aislamiento y segregación dinámicos | Garantía de que el sistema pueda aislar dinámicamente los recursos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-7 (21) | Aislamiento de componentes del sistema | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 | Integridad y confidencialidad de transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-8 (1) | Protección criptográfica | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-10 | Desconexión de red | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir un proceso de administración de claves físicas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Determinar los requisitos de aserción | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Administración de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 | Establecimiento y administración de una clave criptográfica | Restringir el acceso a las claves privadas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (1) | Disponibilidad | Mantener la disponibilidad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (2) | Claves simétricas | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-12 (3) | Claves asimétricas | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-13 | Protección criptográfica | Definir el uso criptográfico | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-15 | Aplicaciones y dispositivos informáticos de colaboración | Notificación explícita del uso de dispositivos informáticos con fines de colaboración | 1.1.1 |
| Protección del sistema y de las comunicaciones | SC-15 | Aplicaciones y dispositivos informáticos de colaboración | Prohibición de la activación remota de dispositivos informáticos de colaboración | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-17 | Certificados de infraestructura de clave pública | Emisión de certificados de clave pública | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Autorización, supervisión y control del uso de tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Definición de las tecnologías de código móvil aceptables e inaceptables | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-18 | Código móvil | Establecimiento de restricciones de uso para las tecnologías de código móvil | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones o nombres seguro (origen de autoridad) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-20 | Servicio de resolución de direcciones o nombres seguro (origen de autoridad) | Ofrecimiento de servicios seguros para resolver nombres y direcciones | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-21 | Servicio de resolución de direcciones o nombres seguro (resolución recursiva o en caché) | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-22 | Arquitectura y aprovisionamiento para el servicio de resolución de direcciones o nombres | Implementación de un servicio de nombre o dirección tolerante a errores | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 | Autenticidad de sesión | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-23 (1) | Invalidación de los identificadores de sesión al cerrar sesión | Invalidación de los identificadores de sesión al cerrar sesión | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-24 | Error en estado conocido | Garantía de que el sistema de información falla en un estado conocido | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 | Protección de la información en reposo | Proteger información especial | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Implementar controles para proteger todos los medios | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-28 (1) | Protección criptográfica | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Protección del sistema y de las comunicaciones | SC-39 | Aislamiento de procesos | Mantenimiento de dominios de ejecución independientes para los procesos en ejecución | 1.1.0 |
| Integridad del sistema y de la información | SI-1 | Directiva y procedimientos | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-2 | Corrección de errores | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Automatización de la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (2) | Estado de corrección de errores automatizado | Corregir errores del sistema de información | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo para corregir errores y puntos de referencia para acciones correctivas | Establecimiento de puntos de referencia para la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-2 (3) | Tiempo para corregir errores y puntos de referencia para acciones correctivas | Medición del tiempo entre la identificación y la corrección de errores | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-3 | Protección frente a código malintencionado | Actualizar las definiciones de antivirus | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-4 | Supervisión del sistema | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas y mecanismos automatizados para el análisis en tiempo real | Documentar operaciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (2) | Herramientas y mecanismos automatizados para el análisis en tiempo real | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones entrantes y salientes | Autorización, supervisión y control de VoIP | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones entrantes y salientes | Implementación de protección de límites del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones entrantes y salientes | Administración de puertas de enlace | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (4) | Tráfico de comunicaciones entrantes y salientes | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Alertar al personal del volcado de información | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (5) | Alertas generadas por el sistema | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas generadas por la organización | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas generadas por la organización | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Integridad del sistema y de la información | SI-4 (12) | Alertas automatizadas generadas por la organización | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Integridad del sistema y de la información | SI-4 (14) | Detección de intrusiones inalámbricas | Documentación de controles de seguridad de acceso inalámbrico | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (22) | Servicios de red no autorizados | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Integridad del sistema y de la información | SI-4 (24) | Indicadores de compromiso | Detección de cualquier indicador de compromiso | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Difusión de alertas de seguridad al personal | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Generación de alertas de seguridad internas | 1.1.0 |
| Integridad del sistema y de la información | SI-5 | Alertas de seguridad, avisos y directivas | Implementación de directivas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-5 (1) | Alertas y advertencias automatizadas | Uso de mecanismos automatizados para las alertas de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de funciones de seguridad y privacidad | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de funciones de seguridad y privacidad | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de funciones de seguridad y privacidad | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Integridad del sistema y de la información | SI-6 | Comprobación de funciones de seguridad y privacidad | Comprobar las funciones de seguridad | 1.1.0 |
| Integridad del sistema y de la información | SI-7 | Integridad de la información, el firmware y el software | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (1) | Comprobaciones de integridad | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Integridad del sistema y de la información | SI-7 (5) | Respuesta automática a infracciones de integridad | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Integridad del sistema y de la información | SI-10 | Validación de la entrada de información | Realización de la validación de la entrada de información | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Generación de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-11 | Tratamiento de errores | Muestra de mensajes de error | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Administración y retención de la información | Controlar el acceso físico | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Administración y retención de la información | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Integridad del sistema y de la información | SI-12 | Administración y retención de la información | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Integridad del sistema y de la información | SI-16 | Protección de la memoria | Se debe habilitar Azure Defender para servidores | 1.0.3 |
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| B.01.3 Leyes y reglamentos: requisitos legales y normativos | B.01.3 | Se han identificado los requisitos aplicables al CSC derivados de las leyes y reglamentos. | Ubicaciones permitidas para grupos de recursos | 1.0.0 |
| B.10.2 Organización de seguridad: función de seguridad | B.10.2 | La característica de seguridad proporciona compatibilidad proactiva. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| B.10.2 Organización de seguridad: función de seguridad | B.10.2 | La característica de seguridad proporciona compatibilidad proactiva. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| B.10.3 Organización de seguridad: posición organizativa | B.10.3 | El CSP ha dado a la organización de seguridad de la información una posición formal dentro de toda la organización. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| B.10.3 Organización de seguridad: posición organizativa | B.10.3 | El CSP ha dado a la organización de seguridad de la información una posición formal dentro de toda la organización. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| B.10.4 Organización de seguridad: tareas, responsabilidades y competencias | B.10.4 | El CSP ha descrito las responsabilidades de seguridad de la información y las ha asignado a funcionarios específicos. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| B.10.4 Organización de seguridad: tareas, responsabilidades y competencias | B.10.4 | El CSP ha descrito las responsabilidades de seguridad de la información y las ha asignado a funcionarios específicos. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| C.04.3 Administración técnica de vulnerabilidades: Escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de forma oportuna. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| C.05.5 Informes de supervisión de seguridad: supervisados y notificados | C.05.5 | De manera demostrable, se da seguimiento a las propuestas de mejora de los informes de análisis. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| C.05.5 Informes de supervisión de seguridad: supervisados y notificados | C.05.5 | De manera demostrable, se da seguimiento a las propuestas de mejora de los informes de análisis. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| C.05.5 Informes de supervisión de seguridad: supervisados y notificados | C.05.5 | De manera demostrable, se da seguimiento a las propuestas de mejora de los informes de análisis. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| U.03.1 Servicios de continuidad empresarial: redundancia | U.03.1 | La continuidad acordada está garantizada por funciones del sistema suficientemente lógicas o físicamente múltiples. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.03.2 Servicios de continuidad empresarial: requisitos de continuidad | U.03.2 | La arquitectura del sistema garantiza los requisitos de continuidad de los servicios en la nube acordados con el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.04.1 Recuperación de datos y servicios en la nube: función Restaurar | U.04.1 | Los datos y los servicios en la nube se restauran dentro del período acordado y la pérdida máxima de datos y están disponibles para el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.04.2 Recuperación de datos y servicios en la nube: función Restaurar | U.04.2 | Se supervisa el proceso continuo de protección recuperable de los datos. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.04.3 Recuperación de datos y servicios en la nube: probado | U.04.3 | El funcionamiento de las funciones de recuperación se prueba periódicamente y los resultados se comparten con el CSC. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| U.17.1 Arquitectura multiinquilino: cifrado | U.17.1 | Los datos de CSC en transporte y en reposo están cifrados. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| U.17.1 Arquitectura multiinquilino: cifrado | U.17.1 | Los datos de CSC en transporte y en reposo están cifrados. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| U.17.1 Arquitectura multiinquilino: cifrado | U.17.1 | Los datos de CSC en transporte y en reposo están cifrados. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
PCI DSS 3.2.1
Para revisar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte PCI DSS 3.2.1. Para más información sobre este estándar de cumplimiento, consulte PCI DSS 3.2.1.
PCI DSS v4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy de PCI DSS v4.0. Para más información sobre este estándar de cumplimiento, vea PCI DSS v4.0.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.1.1 | Los procesos y mecanismos para instalar y mantener los controles de seguridad de red se definen y entienden | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.1.1 | Los procesos y mecanismos para instalar y mantener los controles de seguridad de red se definen y entienden | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecer un panel de control de configuración | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.1 | Los controles de seguridad de red (NSC) se configuran y mantienen | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.2 | Los controles de seguridad de red (NSC) se configuran y mantienen | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.3 | Los controles de seguridad de red (NSC) se configuran y mantienen | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.4 | Los controles de seguridad de red (NSC) se configuran y mantienen | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.5 | Los controles de seguridad de red (NSC) se configuran y mantienen | Identificación de proveedores de servicios externos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.5 | Los controles de seguridad de red (NSC) se configuran y mantienen | Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.8 | Los controles de seguridad de red (NSC) se configuran y mantienen | Exigencia y auditoría de las restricciones de acceso | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.8 | Los controles de seguridad de red (NSC) se configuran y mantienen | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.2.8 | Los controles de seguridad de red (NSC) se configuran y mantienen | Revisión de los cambios en busca de cambios no autorizados | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.3.3 | El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.3.3 | El acceso de red hacia y desde el entorno de datos del titular de la tarjeta está restringido | Protección del acceso inalámbrico | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.1 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Flujo de la información de control | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.1 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.1 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.1 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Implementación de protección de límites del sistema | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.1 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Flujo de la información de control | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Implementación de protección de límites del sistema | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.2 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Protección de la interfaz contra sistemas externos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.3 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Flujo de la información de control | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.3 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.4 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Flujo de la información de control | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.4.4 | Se controlan las conexiones de red entre redes de confianza y que no son de confianza | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.5.1 | Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE | Autorizar acceso remoto | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.5.1 | Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE | Entrenamiento de movilidad de documentos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.5.1 | Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE | Documentar las directrices de acceso remoto | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.5.1 | Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Requisito 01: Instalar y mantener controles de seguridad de red | 1.5.1 | Se mitigan los riesgos para la CDE de los dispositivos informáticos que pueden conectarse a redes que no son de confianza y a CDE | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.1.1 | Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas | Desarrollo de directivas y procedimientos de auditoría y responsabilidad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.1.1 | Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.1.1 | Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas | Control de directivas y procedimientos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.1.1 | Se definen y documentan los procesos y mecanismos de registro y control de todos los accesos a los componentes del sistema y a los datos de los titulares de las tarjetas | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.1 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Usar Privileged Identity Management | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.3 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Usar Privileged Identity Management | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.4 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Automatizar la administración de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisar el acceso en toda la organización | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.5 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Usar Privileged Identity Management | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.6 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Usar Privileged Identity Management | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.1.7 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.2.2 | Los registros de auditoría se implementan para admitir la detección de anomalías y actividad sospechosa, así como el análisis forense de eventos | Determinar eventos auditables | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.1 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Habilitar la autorización doble o conjunta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.1 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Proteger la información de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.2 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Habilitar la autorización doble o conjunta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.2 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Proteger la información de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.3 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.4 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Habilitar la autorización doble o conjunta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.3.4 | Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas | Proteger la información de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Correlación de los registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Correlación de los registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.1.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Correlación de los registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Correlación de los registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.2.1 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Correlación de los registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Integración de Cloud App Security con una SIEM | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisar los datos de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.4.3 | Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.5.1 | El historial de registros de auditoría se conserva y está disponible para su análisis | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.5.1 | El historial de registros de auditoría se conserva y está disponible para su análisis | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.5.1 | El historial de registros de auditoría se conserva y está disponible para su análisis | Conservar los datos de usuarios finalizados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.1 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.2 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Uso de los relojes del sistema para registros de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Auditar funciones con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Autorización y administración del acceso | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Realización de un análisis de texto completo de los comandos con privilegios registrados | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.6.3 | Los mecanismos de sincronización de hora admiten una configuración de hora coherente en todos los sistemas | Usar Privileged Identity Management | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.1 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.1 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.1 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.1 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.1 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Comprobar las funciones de seguridad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.2 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.2 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.2 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.2 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.2 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Comprobar las funciones de seguridad | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.3 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.3 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.3 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas | 10.7.3 | Los errores de los sistemas de control de seguridad críticos se detectan, notifican y responden rápidamente | Comprobar las funciones de seguridad | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.1.1 | Se definen y entienden los procesos y mecanismos para probar periódicamente la seguridad de los sistemas y las redes | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.1.1 | Se definen y entienden los procesos y mecanismos para probar periódicamente la seguridad de los sistemas y las redes | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.1.1 | Se definen y entienden los procesos y mecanismos para probar periódicamente la seguridad de los sistemas y las redes | Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.2.2 | Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.2.2 | Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados | Protección del acceso inalámbrico | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1.3 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.1.3 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.2 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.2 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.2.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.3.2.1 | Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.4.1 | Las pruebas de penetración externas e internas se realizan periódicamente, y se corrigen las vulnerabilidades y los puntos débiles de seguridad que se pueden aprovechar | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.4.3 | Las pruebas de penetración externas e internas se realizan periódicamente, y se corrigen las vulnerabilidades y los puntos débiles de seguridad que se pueden aprovechar | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Alertar al personal del volcado de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Establecer reglas de integridad de archivos en la organización | 1.0.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Alertar al personal del volcado de información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.1.1 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.2 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.2 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Establecer reglas de integridad de archivos en la organización | 1.0.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.2 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.5.2 | Las intrusiones de red y los cambios inesperados en los archivos se detectan y responden | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.6.1 | Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.6.1 | Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Requisito 11: Probar periódicamente la seguridad de sistemas y redes | 11.6.1 | Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.1.2 | Una directiva de seguridad de la información exhaustiva que rige y proporciona orientación para la protección de los recursos de información de la entidad es conocida y actual | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.1.2 | Una directiva de seguridad de la información exhaustiva que rige y proporciona orientación para la protección de los recursos de información de la entidad es conocida y actual | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.1.4 | Una directiva de seguridad de la información exhaustiva que rige y proporciona orientación para la protección de los recursos de información de la entidad es conocida y actual | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Implementación del control de incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.2 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Protección del plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.4 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.4.1 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.5 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.5 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Habilitar la protección de red | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.5 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Implementación del control de incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.6 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.6 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Desarrollo de medidas de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Habilitar la protección de red | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Erradicación de la información contaminada | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Implementación del control de incidentes | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.10.7 | Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE | Vista e investigación de usuarios restringidos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.2.1 | Las directivas de uso aceptables para las tecnologías de usuario final se definen e implementan | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.2.1 | Las directivas de uso aceptables para las tecnologías de usuario final se definen e implementan | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.2.1 | Las directivas de uso aceptables para las tecnologías de usuario final se definen e implementan | Requerimiento del cumplimiento de los derechos de propiedad intelectual | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.2.1 | Las directivas de uso aceptables para las tecnologías de usuario final se definen e implementan | Seguimiento del uso de licencias de software | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.1 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.1 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.1 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.1 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.2 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.2 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.2 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.2 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.4 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Difusión de alertas de seguridad al personal | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.4 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.3.4 | Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y administran formalmente | Corregir errores del sistema de información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.1 | El cumplimiento de PCI DSS se administra | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.1 | El cumplimiento de PCI DSS se administra | Establecimiento de un programa de privacidad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.1 | El cumplimiento de PCI DSS se administra | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.1 | El cumplimiento de PCI DSS se administra | Administrar actividades de cumplimiento | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.1 | El cumplimiento de PCI DSS se administra | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Evaluación de los controles de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2 | El cumplimiento de PCI DSS se administra | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Desarrollo de POA&M | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Generación de informe de evaluación de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.4.2.1 | El cumplimiento de PCI DSS se administra | Actualización de elementos de POA&M | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.5.2 | El ámbito de PCI DSS se documenta y valida | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.5.2.1 | El ámbito de PCI DSS se documenta y valida | Creación de un inventario de datos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.5.2.1 | El ámbito de PCI DSS se documenta y valida | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.5.3 | El ámbito de PCI DSS se documenta y valida | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.5.3 | El ámbito de PCI DSS se documenta y valida | Actualización de las directivas de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.1 | La educación para la concienciación sobre la seguridad es una actividad continua | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.1 | La educación para la concienciación sobre la seguridad es una actividad continua | Establecer el programa de desarrollo y mejora de personal de seguridad de la información | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.2 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3.1 | La educación para la concienciación sobre la seguridad es una actividad continua | Implementación de un programa de reconocimiento de amenazas | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3.1 | La educación para la concienciación sobre la seguridad es una actividad continua | Implementación de un programa de amenazas internas | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3.1 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3.2 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.6.3.2 | La educación para la concienciación sobre la seguridad es una actividad continua | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.7.1 | Se filtra al personal para reducir los riesgos de las amenazas internas | Borrado del personal con acceso a información clasificada | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.7.1 | Se filtra al personal para reducir los riesgos de las amenazas internas | Implementación del filtrado de personal | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.7.1 | Se filtra al personal para reducir los riesgos de las amenazas internas | Revisión de individuos con una frecuencia definida | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.1 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Definir las tareas de los procesadores | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.2 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.3 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.3 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.3 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.3 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.3 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Obtención de un plan de supervisión continua para los controles de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.4 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Obtención de información de diseño e implementación para los controles de seguridad | 1.1.1 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.8.5 | Se administra el riesgo de los recursos de información asociados a relaciones de proveedores de servicios de terceros (TPSP) | Obtención de propiedades funcionales de controles de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.1 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Definir las tareas de los procesadores | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.1 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.1 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.2 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.2 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| Requisito 12: Admitir la seguridad de la información con programas y directivas de la organización | 12.9.2 | Los proveedores de servicios de terceros (TPSP) admiten el cumplimiento de PCI DSS de sus clientes | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.1.1 | Los procesos y mecanismos para aplicar configuraciones seguras a todos los componentes del sistema se definen y entienden | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Establecer un panel de control de configuración | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.1 | Los componentes del sistema se configuran y administran de forma segura | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.2 | Los componentes del sistema se configuran y administran de forma segura | Administración de autenticadores | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.5 | Los componentes del sistema se configuran y administran de forma segura | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.5 | Los componentes del sistema se configuran y administran de forma segura | Corregir errores del sistema de información | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.2.7 | Los componentes del sistema se configuran y administran de forma segura | Implementación de mecanismos criptográficos | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.1 | Los entornos inalámbricos se configuran y administran de forma segura | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.1 | Los entornos inalámbricos se configuran y administran de forma segura | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.1 | Los entornos inalámbricos se configuran y administran de forma segura | Protección del acceso inalámbrico | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.2 | Los entornos inalámbricos se configuran y administran de forma segura | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.2 | Los entornos inalámbricos se configuran y administran de forma segura | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 02: Aplicar configuraciones seguras a todos los componentes del sistema | 2.3.2 | Los entornos inalámbricos se configuran y administran de forma segura | Protección del acceso inalámbrico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.1.1 | Se definen y entienden los procesos y mecanismos para proteger los datos de las cuentas almacenadas | Establecimiento de un programa de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.1.1 | Se definen y entienden los procesos y mecanismos para proteger los datos de las cuentas almacenadas | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.1.1 | Se definen y entienden los procesos y mecanismos para proteger los datos de las cuentas almacenadas | Actualizar el plan de privacidad, las directivas y los procedimientos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Controlar el acceso físico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Realizar revisión para eliminación | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.2.1 | El almacenamiento de los datos de la cuenta se mantiene al mínimo | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Realizar revisión para eliminación | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Realizar revisión para eliminación | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.1 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Realizar revisión para eliminación | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.1.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.2 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Autenticación para el módulo criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Autenticación para el módulo criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Documentar la base legal para procesar la información personal | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.3.3 | Los datos de autenticación confidencial (SAD) no se almacenan después de la autorización | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.1 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.1 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.1 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.2 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.2 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Proporcionar aviso de privacidad | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.4.2 | El acceso a las pantallas de PAN completa y la capacidad de copiar datos de titulares de tarjetas están restringidos | Restringir las comunicaciones | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger información especial | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.1 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger información especial | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.2 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.2 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.2 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.2 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger información especial | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.5.1.3 | El número de cuenta principal (PAN) está protegido dondequiera que se almacene | Proteger información especial | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.1 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.2 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.3 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.6.1.4 | Las claves criptográficas usadas para proteger los datos de la cuenta almacenada están protegidas | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.1 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.2 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Mantener la disponibilidad de la información | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.3 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.4 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.5 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.6 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.7 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.8 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir el uso criptográfico | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 03: Proteger los datos de la cuenta almacenada | 3.7.9 | Cuando se usa criptografía para proteger los datos almacenados de la cuenta, se definen e implementan procesos y procedimientos de administración de claves que abarcan todos los aspectos del ciclo de vida de las claves | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.1.1 | Procesos y mecanismos para proteger los datos de los titulares de tarjetas con criptografía segura durante la transmisión a través de redes públicas abiertas definidas y documentadas | Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir el uso criptográfico | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1 | El PAN está protegido con criptografía segura durante la transmisión | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir un proceso de administración de claves físicas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir el uso criptográfico | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Determinar los requisitos de aserción | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Emisión de certificados de clave pública | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Mantener la disponibilidad de la información | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Administración de claves criptográficas simétricas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.1 | El PAN está protegido con criptografía segura durante la transmisión | Restringir el acceso a las claves privadas | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.2 | El PAN está protegido con criptografía segura durante la transmisión | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.2 | El PAN está protegido con criptografía segura durante la transmisión | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.1.2 | El PAN está protegido con criptografía segura durante la transmisión | Protección del acceso inalámbrico | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.2 | El PAN está protegido con criptografía segura durante la transmisión | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.2 | El PAN está protegido con criptografía segura durante la transmisión | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Requisito 04: Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas | 4.2.2 | El PAN está protegido con criptografía segura durante la transmisión | Proteger contraseñas con cifrado | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.1.1 | Se definen y entienden los procesos y mecanismos para proteger todos los sistemas y redes de software malintencionado | Revisión y actualización de directivas y procedimientos de integridad de la información | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.2 | El software malintencionado (malware) se evita, se detecta y se soluciona | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3 | El software malintencionado (malware) se evita, se detecta y se soluciona | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.2.3.1 | El software malintencionado (malware) se evita, se detecta y se soluciona | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.1 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.3 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.4 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Cumplir con los períodos de retención definidos | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.4 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Determinar eventos auditables | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.4 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Conservar directivas y procedimientos de seguridad | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.4 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Conservar los datos de usuarios finalizados | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.3.5 | Los mecanismos y procesos antimalware están activos, mantenidos y supervisados | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Administración de puertas de enlace | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Requisito 05: Proteger todos los sistemas y redes de software malintencionado | 5.4.1 | Los mecanismos contra la suplantación de identidad protegen a los usuarios frente a ataques de suplantación de identidad (phishing) | Actualizar las definiciones de antivirus | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.1.1 | Los procesos y mecanismos para desarrollar y mantener sistemas y software seguros se definen y entienden | Revisión y actualización de las directivas y procedimientos de administración de configuración | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.1.1 | Los procesos y mecanismos para desarrollar y mantener sistemas y software seguros se definen y entienden | Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.2 | El software personalizado y a medida se desarrolla de forma segura | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.2 | El software personalizado y a medida se desarrolla de forma segura | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.2.3.1 | El software personalizado y a medida se desarrolla de forma segura | Separación de las obligaciones de las personas | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.1 | Las vulnerabilidades de seguridad se identifican y se abordan | Difusión de alertas de seguridad al personal | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.1 | Las vulnerabilidades de seguridad se identifican y se abordan | Establecimiento de un programa de inteligencia sobre amenazas | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.1 | Las vulnerabilidades de seguridad se identifican y se abordan | Implementación de directivas de seguridad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.1 | Las vulnerabilidades de seguridad se identifican y se abordan | Corregir errores del sistema de información | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.3.2 | Las vulnerabilidades de seguridad se identifican y se abordan | Obtención de documentación para administradores | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.1 | Las aplicaciones web de acceso público están protegidas contra ataques | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.1 | Las aplicaciones web de acceso público están protegidas contra ataques | Corregir errores del sistema de información | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.3 | Las aplicaciones web de acceso público están protegidas contra ataques | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.4.3 | Las aplicaciones web de acceso público están protegidas contra ataques | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una evaluación de riesgos | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.1 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.2 | Los cambios en todos los componentes del sistema se administran de forma segura | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.3 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Limitación de los privilegios para realizar cambios en el entorno de producción | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.4 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.5 | Los cambios en todos los componentes del sistema se administran de forma segura | Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Requisito 06: Desarrollar y mantener sistemas y software seguros | 6.5.6 | Los cambios en todos los componentes del sistema se administran de forma segura | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.1 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.1 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.1 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Control de directivas y procedimientos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.1 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Revisión de directivas y procedimientos de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.2 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Desarrollo de directivas y procedimientos de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.2 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.1.2 | Los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas solo por necesidad de la empresa están definidos y comprendidos | Control de directivas y procedimientos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Diseñar un modelo de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Diseñar un modelo de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.2 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Diseñar un modelo de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.3 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.4 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.4 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.4 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar las cuentas de usuario | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.4 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar privilegios de usuario | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.5 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.5.1 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Supervisión de la actividad de la cuenta | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Diseñar un modelo de control de acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.2.6 | El acceso a los componentes y datos del sistema se define y asigna correctamente | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Automatizar la administración de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Supervisar el acceso en toda la organización | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.1 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Automatizar la administración de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Administrar cuentas de administrador y del sistema | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Supervisar el acceso en toda la organización | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Notificar cuando no se necesite la cuenta | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.2 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Autorización y administración del acceso | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar el acceso lógico | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 07: Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial | 7.3.3 | El acceso a los componentes y datos del sistema se administra a través de un sistema de control de acceso | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.1.1 | Se definen y entienden los procesos y mecanismos para identificar a los usuarios y autenticar el acceso a los componentes del sistema | Revisión y actualización de directivas y procedimientos de identificación y autenticación | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.1 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Asignación de identificadores del sistema | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.1 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Exigir la existencia de usuario único | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.1 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Admitir credenciales de comprobación personal emitidas por autoridades legales | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.2 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.2 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.2 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Requerimiento del uso de autenticadores individuales | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.2 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Finalización de credenciales de cuenta controladas por el cliente | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.3 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.3 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.3 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Asignación de identificadores del sistema | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.4 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.5 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.5 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.6 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.6 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Revocar roles con privilegios según corresponda | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.7 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Identificación y autenticación de usuarios que no son de la organización | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.8 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Definición y aplicación de la directiva de registro de inactividad | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.2.8 | La identificación del usuario y las cuentas relacionadas para usuarios y administradores se administran estrictamente durante el ciclo de vida de una cuenta | Finalizar sesión de usuario automáticamente | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.10 | La autenticación segura para usuarios y administradores está establecida y administrada | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.10 | La autenticación segura para usuarios y administradores está establecida y administrada | Actualización de autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.10.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.10.1 | La autenticación segura para usuarios y administradores está establecida y administrada | Actualización de autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Distribución de autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.11 | La autenticación segura para usuarios y administradores está establecida y administrada | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.2 | La autenticación segura para usuarios y administradores está establecida y administrada | Garantía de que los usuarios autorizados protejan los autenticadores proporcionados | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.2 | La autenticación segura para usuarios y administradores está establecida y administrada | Proteger contraseñas con cifrado | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.4 | La autenticación segura para usuarios y administradores está establecida y administrada | Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.5 | La autenticación segura para usuarios y administradores está establecida y administrada | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.6 | La autenticación segura para usuarios y administradores está establecida y administrada | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.8 | La autenticación segura para usuarios y administradores está establecida y administrada | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.9 | La autenticación segura para usuarios y administradores está establecida y administrada | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.3.9 | La autenticación segura para usuarios y administradores está establecida y administrada | Actualización de autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.1 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.1 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.1 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.1 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Autorizar acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Entrenamiento de movilidad de documentos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Documentar las directrices de acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.2 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Autorizar acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Entrenamiento de movilidad de documentos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Documentar las directrices de acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.4.3 | La autenticación multifactor (MFA) se implementa para proteger el acceso a CDE | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Autorizar acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Entrenamiento de movilidad de documentos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Documentar las directrices de acceso remoto | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.5.1 | Los sistemas de autenticación multifactor (MFA) están configurados para evitar el uso incorrecto | Satisfacer los requisitos de calidad del token | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.1 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.1 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.2 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Establecimiento de una directiva de contraseñas | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Implementación del entrenamiento para proteger los autenticadores | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Administración de la duración y reutilización del autenticador | 1.1.0 |
| Requisito 08: Identificar usuarios y autenticar el acceso a los componentes del sistema | 8.6.3 | El uso de las cuentas de aplicación y del sistema, y los factores de autenticación asociados se administran estrictamente | Actualización de autenticadores | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.1.1 | Se definen y entienden los procesos y mecanismos para restringir el acceso físico a los datos de los titulares de tarjetas | Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.1.1 | Se definen y entienden los procesos y mecanismos para restringir el acceso físico a los datos de los titulares de tarjetas | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.2.2 | Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.2.3 | Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.2.3 | Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.2.4 | Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.2.4 | Los controles de acceso físico administran la entrada en instalaciones y sistemas que contienen datos de titulares de tarjetas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.1 | El acceso físico para el personal y los visitantes está autorizado y administrado | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.1.1 | El acceso físico para el personal y los visitantes está autorizado y administrado | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.2 | El acceso físico para el personal y los visitantes está autorizado y administrado | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.2 | El acceso físico para el personal y los visitantes está autorizado y administrado | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.3 | El acceso físico para el personal y los visitantes está autorizado y administrado | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.3 | El acceso físico para el personal y los visitantes está autorizado y administrado | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.4 | El acceso físico para el personal y los visitantes está autorizado y administrado | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.3.4 | El acceso físico para el personal y los visitantes está autorizado y administrado | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.1 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.1.1 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.2 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.3 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.3 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Administración del transporte de recursos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.4 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.4 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Administración del transporte de recursos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.5.1 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Creación de un inventario de datos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.5.1 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.6 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.6 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.6 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Realizar revisión para eliminación | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.6 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.7 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.7 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Implementar controles para proteger todos los medios | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.7 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Realizar revisión para eliminación | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.4.7 | Los soportes físicos con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Controlar el acceso físico | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.2.1 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Requisito 09: Restricción del acceso físico a datos de los titulares de las tarjetas | 9.5.1.3 | Los dispositivos de punto de interacción (POI) están protegidos contra la manipulación y la sustitución no autorizada | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración o control de acceso de usuarios | Administración o control de acceso de usuarios-8.3 | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 | |
| Administración y respuesta frente a incidentes | Recuperación de incidentes cibernéticos-19.4 | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para App Service | 1.0.3 | |
| Administración y seguridad de redes | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 | |
| Administración y seguridad de redes | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para Key Vault | 1.0.3 | |
| Administración y seguridad de redes | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para servidores | 1.0.3 | |
| Administración y seguridad de redes | Centro de operaciones de seguridad-4.9 | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 | |
| Mantenimiento, supervisión y análisis de registros de auditoría | Mantenimiento, supervisión y análisis de registros de auditoría-16.2 | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 | |
| Mantenimiento, supervisión y análisis de registros de auditoría | Mantenimiento, supervisión y análisis de registros de auditoría-16.1 | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 | |
| Mantenimiento, supervisión y análisis de registros de auditoría | Mantenimiento, supervisión y análisis de registros de auditoría-16.2 | Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | 1.0.0 | |
| Administración o control de acceso de usuarios | Administración y control de acceso de usuarios-8.1 | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 | |
| Administración o control de acceso de usuarios | Administración y control de acceso de usuarios-8.1 | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 | |
| Administración y seguridad de red | Detección de anomalías-4.7 | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 | |
| Administración y seguridad de red | Detección de anomalías-4.7 | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 | |
| Marco de autenticación para clientes | Marco de autenticación para clientes-9.3 | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 | |
| Marco de autenticación para clientes | Marco de autenticación para clientes-9.3 | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 | |
| Marco de autenticación para clientes | Marco de autenticación para clientes-9.3 | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 | |
| Configuración segura | Configuración segura-5.1 | Microsoft Defender para Azure Cosmos DB debe estar habilitado | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 | |
| Administración y seguridad de red | Centro de operaciones de seguridad-4.9 | Se debe habilitar Microsoft Defender para Storage | 1.0.0 | |
| Administración y seguridad de red | Detección de anomalías-4.7 | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 | |
| Administración o control de acceso de usuarios | Administración o control de acceso de usuarios-8.3 | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Protección del entorno SWIFT | 1.2 | Control de cuentas con privilegios del sistema operativo | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Examen de vulnerabilidades | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Administrar identidades y segregar privilegios | 5,1 | Control de acceso lógico | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | El registro de actividad debe conservarse durante al menos un año | 1.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registro y supervisión | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detección de intrusiones | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Planeamiento de respuesta a incidentes cibernéticos | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Planeamiento de respuesta a incidentes cibernéticos | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Planeamiento de respuesta a incidentes cibernéticos | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
SWIFT CSP CSCF v2022
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Implementación de protección de límites del sistema | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.1 | Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo. | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Auditar funciones con privilegios | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Definición y aplicación de condiciones para las cuentas de grupo y compartidas | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Diseñar un modelo de control de acceso | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Desarrollo de directivas y procedimientos de seguridad de la información | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Establecimiento de un programa de privacidad | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Supervisión de la actividad de la cuenta | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Revocar roles con privilegios según corresponda | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1,2 | Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador. | Usar Privileged Identity Management | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.3 | Proteja la plataforma virtual y las máquinas virtuales (VM) que hospedan componentes relacionados con SWIFT en el mismo nivel que los sistemas físicos. | Implementación de protección de límites del sistema | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Autorizar acceso remoto | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Definir el uso criptográfico | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Entrenamiento de movilidad de documentos | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Documentar las directrices de acceso remoto | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Protección del acceso inalámbrico | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.4 | Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura. | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Flujo de la información de control | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Uso de restricciones en las interconexiones del sistema externo | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Implementación de una interfaz administrada para cada servicio externo | 1.1.0 |
| 1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI | 1.5A | Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI. | Implementación de protección de límites del sistema | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Flujo de la información de control | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Definir un proceso de administración de claves físicas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Definir el uso criptográfico | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Determinar los requisitos de aserción | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Uso de protección de límites para aislar sistemas de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Aplicación de identificadores de sesión únicos aleatorios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Establecer un panel de control de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Implementar controles para proteger todos los medios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Implementación de protección de límites del sistema | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Control de flujo de información mediante los filtros de directiva de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Emisión de certificados de clave pública | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Mantener la disponibilidad de la información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Administración de claves criptográficas simétricas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Producción, control y distribución de claves criptográficas asimétricas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Producción, control y distribución de claves criptográficas simétricas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Proteger contraseñas con cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Proteger información especial | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Corregir errores del sistema de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Restringir el acceso a las claves privadas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.1 | Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT. | Protección de la interfaz contra sistemas externos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Difusión de alertas de seguridad al personal | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Corregir errores del sistema de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.2 | Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado. | Uso de mecanismos automatizados para las alertas de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Automatización de los cambios documentados propuestos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Aplicar opciones de configuración de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Establecer un panel de control de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Realización de una evaluación de riesgos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.3 | Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema. | Conservación de las versiones anteriores de las configuraciones de línea base | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Implementar controles para proteger todos los medios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.4 | Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan. | Proteger contraseñas con cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Implementar controles para proteger todos los medios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Administración del transporte de recursos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5 | Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos. | Proteger contraseñas con cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.5A | Protección de datos de transmisión externa | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Autorizar acceso remoto | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Documentación e implementación de directrices de acceso inalámbrico | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Entrenamiento de movilidad de documentos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Documentar las directrices de acceso remoto | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Proteger contraseñas con cifrado | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Protección del acceso inalámbrico | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.6 | Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios | Autenticación de nuevo o finalización de una sesión de usuario | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Incorporación de la corrección de errores en la administración de configuración | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Realización del modelado de amenazas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.7 | Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados. | Corregir errores del sistema de información | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Definición y documentación de la supervisión gubernamental | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8.5 | Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes. | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.8A | Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas. | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Autorización, supervisión y control de VoIP | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Flujo de la información de control | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Implementación de protección de límites del sistema | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Administración de puertas de enlace | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.9 | Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal. | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Autorización y administración del acceso | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Diseñar un modelo de control de acceso | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Aplicar el acceso lógico | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| 2. Reducir la superficie expuesta a ataques y vulnerabilidades | 2.11A | Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados. | Revisar privilegios de usuario | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Controlar el acceso físico | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Definir un proceso de administración de claves físicas | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Establecimiento y mantenimiento de un inventario de activos | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Instalación de un sistema de alarma | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Administración de un sistema de seguridad con cámara de vigilancia | 1.1.0 |
| 3. Protección física del entorno | 3.1 | Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento. | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Administración de la duración y reutilización del autenticador | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4,1 | Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva. | Proteger contraseñas con cifrado | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4.2 | Evite que la situación de riesgo de uno de los factores de autenticación permita el acceso a los sistemas o las aplicaciones relacionados con SWIFT mediante la implementación de la autenticación multifactor. | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| 4. Impedir el riesgo de credenciales | 4.2 | Evite que la situación de riesgo de uno de los factores de autenticación permita el acceso a los sistemas o las aplicaciones relacionados con SWIFT mediante la implementación de la autenticación multifactor. | Identificación y autenticación de dispositivos de red | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Asignación de administradores de cuentas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Automatizar la administración de cuentas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Definición de autorizaciones de acceso para admitir la separación de obligaciones | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Definición de tipos de cuenta del sistema de información | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Diseñar un modelo de control de acceso | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deshabilitar autenticadores tras la finalización | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Privilegios de acceso del documento | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Documentación de la separación de obligaciones | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Emplear el acceso con privilegios mínimos | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Administrar cuentas de administrador y del sistema | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Supervisar el acceso en toda la organización | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Supervisión de la actividad de la cuenta | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Notificar cuando no se necesite la cuenta | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Proteger la información de auditoría | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Reasignar o quitar privilegios de usuario según sea necesario | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Requerir aprobación para la creación de cuentas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Revisar las cuentas de usuario | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Revisar privilegios de usuario | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Revocar roles con privilegios según corresponda | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Separación de las obligaciones de las personas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5,1 | Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador. | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| 5. Administrar identidades y segregar privilegios | 5.2 | Asegure la administración, el seguimiento y el uso adecuados de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens). | Distribución de autenticadores | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.2 | Asegure la administración, el seguimiento y el uso adecuados de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens). | Establecimiento de los tipos y procesos de autenticador | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.2 | Asegure la administración, el seguimiento y el uso adecuados de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens). | Establecimiento de procedimientos para la distribución inicial del autenticador | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.2 | Asegure la administración, el seguimiento y el uso adecuados de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens). | Comprobación de la identidad antes de distribuir autenticadores | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.3A | En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal. | Borrado del personal con acceso a información clasificada | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.3A | En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal. | Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.3A | En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal. | Implementación del filtrado de personal | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.3A | En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal. | Proteger información especial | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.3A | En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal. | Revisión de individuos con una frecuencia definida | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.4 | Proteja física y lógicamente el repositorio de contraseñas registradas. | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.4 | Proteja física y lógicamente el repositorio de contraseñas registradas. | Establecimiento de una directiva de contraseñas | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.4 | Proteja física y lógicamente el repositorio de contraseñas registradas. | Implementación de los parámetros para los comprobadores de secretos memorizados | 1.1.0 |
| 5. Administrar identidades y segregar privilegios | 5.4 | Proteja física y lógicamente el repositorio de contraseñas registradas. | Proteger contraseñas con cifrado | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Auditar funciones con privilegios | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Correlación de los registros de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Correlación de la información del examen de vulnerabilidades | 1.1.1 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Determinar eventos auditables | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Administración de puertas de enlace | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Observación e informe de los puntos débiles de seguridad | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Realización del modelado de amenazas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Corregir errores del sistema de información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisar los datos de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Actualizar las definiciones de antivirus | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.1 | Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Empleo del apagado o reinicio automático cuando se detectan infracciones | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Proteger contraseñas con cifrado | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.2 | Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados. | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Garantice la integridad de los registros de la base de datos para la interfaz de mensajería SWIFT o el conector del cliente y actúe en función de los resultados. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.3 | Garantice la integridad de los registros de la base de datos para la interfaz de mensajería SWIFT o el conector del cliente y actúe en función de los resultados. | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | El registro de actividad debe conservarse durante al menos un año | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Auditar funciones con privilegios | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Auditar el estado de la cuenta de usuario | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Azure Monitor debe recopilar los registros de actividad de todas las regiones | 2.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Correlación de los registros de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Determinar eventos auditables | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Establecimiento de requisitos para la revisión de auditorías y la creación de informes | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Integración de la revisión, el análisis y la creación de informes de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Integración de Cloud App Security con una SIEM | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Corregir errores del sistema de información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de las asignaciones del administrador semanalmente | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisar los datos de auditoría | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de la información general del informe de identidad en la nube | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de eventos de acceso controlado a carpetas | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de los eventos de protección contra vulnerabilidades de seguridad | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de la actividad de las carpetas y de los archivos | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.4 | Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT. | Revisión de los cambios de grupos de roles semanalmente | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Alertar al personal del volcado de información | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Autorización, supervisión y control de VoIP | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Documentar operaciones de seguridad | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Implementación de protección de límites del sistema | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Administración de puertas de enlace | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| 6. Detectar actividad anómala en sistemas o registros de transacciones | 6.5A | Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Solución de problemas de seguridad de la información | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.1 | Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos. | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Documentación de las actividades de aprendizaje sobre seguridad y privacidad | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación basada en roles para las actividades sospechosas | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.2 | Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios. | Ofrecimiento de formación actualizada en reconocimiento de la seguridad | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.3A | Valide la configuración de seguridad operativa e identifique las brechas de seguridad mediante pruebas de penetración. | Empleo de un equipo independiente para pruebas de penetración | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.3A | Valide la configuración de seguridad operativa e identifique las brechas de seguridad mediante pruebas de penetración. | Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Realización de una evaluación de riesgos | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Realización de una evaluación de riesgos y distribuir sus resultados | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Realización de una evaluación de riesgos y documentar sus resultados | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Implementar la estrategia de administración de riesgos | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Realización de una evaluación de riesgos | 1.1.0 |
| 7. Planeamiento del uso compartido de información y respuesta a incidentes | 7.4A | Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles. | Revisión y actualización de directivas y procedimientos de evaluación de riesgos | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Desarrollo de un plan de contingencia | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.1 | Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr. | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Realización del planeamiento de capacidad | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Creación de acciones alternativas para las anomalías identificadas | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Desarrollo de un plan de contingencia | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Notificación al personal de cualquier prueba de comprobación de seguridad con errores | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Realización de una comprobación de la función de seguridad con una frecuencia definida | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8,4 | Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Solución de vulnerabilidades de codificación | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Establecimiento de un programa de desarrollo de software seguro | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Realizar exámenes de vulnerabilidades | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Corregir errores del sistema de información | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Requerimiento de que los desarrolladores implementen solo los cambios aprobados | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Requerimiento de que los desarrolladores administren la integridad de los cambios | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | 1.1.0 |
| 8. Establecer y supervisar el rendimiento | 8.5 | Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse. | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Desarrollo de un plan de contingencia | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Desarrollo de directivas y procedimientos de planes de contingencia | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Distribución de directivas y procedimientos | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Ofrecimiento de formación sobre contingencias | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.1 | Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local. | Ejecución de los ataques de simulación | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Realización de copias de seguridad de la documentación del sistema de información | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Creación de sitios de almacenamiento alternativos y primarios independientes | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Establecimiento de requisitos para los proveedores de servicios de Internet | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Restauración de los recursos al estado operativo | 1.1.1 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.2 | Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio. | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Desarrollo de un plan de contingencia | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Uso de iluminación de emergencia automática | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Revisión y actualización de directivas y procedimientos físicos y ambientales | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9.3 | La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza. | Ejecución de los ataques de simulación | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9,4 | La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado. | Autorización, supervisión y control de VoIP | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9,4 | La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado. | Realización del planeamiento de capacidad | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9,4 | La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado. | Implementación de protección de límites del sistema | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9,4 | La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado. | Administración de puertas de enlace | 1.1.0 |
| 9. Garantizar la disponibilidad a través de la resistencia | 9,4 | La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado. | Redirección del tráfico mediante puntos de acceso de red administrados | 1.1.0 |
| 10. Prepárese para los casos de desastres importantes | 10.1 | La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes). | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| 10. Prepárese para los casos de desastres importantes | 10.1 | La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes). | Desarrollo de un plan de contingencia | 1.1.0 |
| 10. Prepárese para los casos de desastres importantes | 10.1 | La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes). | Plan de continuidad de funciones empresariales esenciales | 1.1.0 |
| 10. Prepárese para los casos de desastres importantes | 10.1 | La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes). | Plan para reanudar las funciones empresariales esenciales | 1.1.0 |
| 10. Prepárese para los casos de desastres importantes | 10.1 | La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes). | Reanudación de todas las funciones empresariales y de misión | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,1 | Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos. | Documentar operaciones de seguridad | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,1 | Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos. | Obtención de opinión legal sobre la supervisión de las actividades del sistema | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,1 | Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,1 | Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos. | Ofrecimiento de información de supervisión según sea necesario | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,1 | Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos. | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Evaluación de eventos de seguridad de la información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Desarrollo de medidas de seguridad | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Documentar operaciones de seguridad | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Habilitar la protección de red | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Erradicación de la información contaminada | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Implementación del control de incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Incorporación de los eventos simulados en la formación de respuesta a los incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Mantenimiento de registros de vulneración de datos | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Protección del plan de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Ofrecimiento de formación sobre la pérdida de información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Ejecución de los ataques de simulación | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.2 | Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas). | Vista e investigación de usuarios restringidos | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Automatización del proceso para documentar los cambios implementados | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Automatización del proceso para resaltar las propuestas de cambio no vistas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Documentar operaciones de seguridad | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Habilitar la protección de red | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Erradicación de la información contaminada | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Implementación del control de incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11.4 | Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente. | Vista e investigación de usuarios restringidos | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Documentar operaciones de seguridad | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Habilitar la protección de red | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Erradicación de la información contaminada | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Identificación del personal de respuesta a incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Implementación del control de incidentes | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| 11. Supervisar en caso de desastre importante | 11,5 | Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial. | Vista e investigación de usuarios restringidos | 1.1.0 |
| 12. Asegurar que la información está disponible | 12.1 | Garantice la calidad del servicio a los clientes a través de empleados certificados por SWIFT. | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| 12. Asegurar que la información está disponible | 12.1 | Garantice la calidad del servicio a los clientes a través de empleados certificados por SWIFT. | Ofrecimiento de formación de seguridad basada en roles | 1.1.0 |
| 12. Asegurar que la información está disponible | 12.1 | Garantice la calidad del servicio a los clientes a través de empleados certificados por SWIFT. | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Criterios adicionales de disponibilidad | A1.1 | Administración de capacidades | Realización del planeamiento de capacidad | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Uso de iluminación de emergencia automática | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Establecimiento de un sitio de procesamiento alternativo | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Implementación de una metodología de pruebas de penetración | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Instalación de un sistema de alarma | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Recuperación y reconstrucción de los recursos después de una interrupción | 1.1.1 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Ejecución de los ataques de simulación | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.2 | Protección del entorno, software, procesos de copia de seguridad de datos e infraestructura de recuperación | Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.3 | Pruebas del plan de recuperación | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.3 | Pruebas del plan de recuperación | Inicio de acciones correctivas para probar el plan de contingencia | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.3 | Pruebas del plan de recuperación | Revisión de los resultados de las pruebas del plan de contingencia | 1.1.0 |
| Criterios adicionales de disponibilidad | A1.3 | Pruebas del plan de recuperación | Prueba del plan de continuidad empresarial y recuperación ante desastres | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.1 | Protección de información confidencial | Controlar el acceso físico | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.1 | Protección de información confidencial | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.1 | Protección de información confidencial | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.2 | Eliminación de información confidencial | Controlar el acceso físico | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.2 | Eliminación de información confidencial | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Criterios adicionales para la confidencialidad | C1.2 | Eliminación de información confidencial | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Desarrollo de la directiva de código de conducta de la organización | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Prohibición de prácticas ilegales | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Revisión y firma de reglas de comportamiento revisadas | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Actualización de las reglas de comportamiento y los contratos de acceso | 1.1.0 |
| Entorno de control | CC1.1 | Principio 1 de COSO | Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | 1.1.0 |
| Entorno de control | CC1.2 | Principio 2 de COSO | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Entorno de control | CC1.2 | Principio 2 de COSO | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Entorno de control | CC1.2 | Principio 2 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Entorno de control | CC1.2 | Principio 2 de COSO | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Entorno de control | CC1.2 | Principio 2 de COSO | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Entorno de control | CC1.3 | Principio 3 de COSO | Designar a un responsable de seguridad de información sénior | 1.1.0 |
| Entorno de control | CC1.3 | Principio 3 de COSO | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Entorno de control | CC1.3 | Principio 3 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Entorno de control | CC1.3 | Principio 3 de COSO | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Entorno de control | CC1.3 | Principio 3 de COSO | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Entorno de control | CC1.4 | Principio 4 de COSO | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Entorno de control | CC1.4 | Principio 4 de COSO | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Entorno de control | CC1.4 | Principio 4 de COSO | Ofrecimiento de los ejercicios prácticos basados en roles | 1.1.0 |
| Entorno de control | CC1.4 | Principio 4 de COSO | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Entorno de control | CC1.4 | Principio 4 de COSO | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Entorno de control | CC1.5 | Principio 5 de COSO | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Entorno de control | CC1.5 | Principio 5 de COSO | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Entorno de control | CC1.5 | Principio 5 de COSO | Implementación del proceso formal de sanción | 1.1.0 |
| Entorno de control | CC1.5 | Principio 5 de COSO | Notificación al personal sobre las sanciones | 1.1.0 |
| Comunicación e información | CC2.1 | Principio 13 de COSO | Controlar el acceso físico | 1.1.0 |
| Comunicación e información | CC2.1 | Principio 13 de COSO | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Comunicación e información | CC2.1 | Principio 13 de COSO | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Desarrollo de directivas y procedimientos de uso aceptables | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Aplicación de reglas de comportamiento y contratos de acceso | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Ofrecimiento de formación periódica de la seguridad basada en roles | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Ofrecimiento de formación periódica de reconocimiento de seguridad | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Ofrecimiento de formación de seguridad antes de proporcionar acceso | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Ofrecimiento de formación de seguridad para usuarios nuevos | 1.1.0 |
| Comunicación e información | CC2.2 | Principio 14 de COSO | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Definir las tareas de los procesadores | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Desarrollo y establecimiento de un plan de seguridad del sistema | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Implementación de principios de ingeniería de seguridad de los sistemas de información | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Generación de informe de evaluación de seguridad | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Proporcionar aviso de privacidad | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Restringir las comunicaciones | 1.1.0 |
| Comunicación e información | CC2.3 | Principio 15 de COSO | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Determinación de las necesidades de protección de la información | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Desarrollo de SSP que cumpla los criterios | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.1 | Principio 6 de COSO | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Clasificación de la información | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Determinación de las necesidades de protección de la información | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Desarrollo de esquemas de clasificación empresarial | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Corregir errores del sistema de información | 1.1.0 |
| Evaluación de riesgos | CC3.2 | Principio 7 de COSO | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Evaluación de riesgos | CC3.3 | Principio 8 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Evaluación de riesgos | CC3.4 | Principio 9 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Actividades de supervisión | CC4.1 | Principio 16 de COSO | Evaluación de los controles de seguridad | 1.1.0 |
| Actividades de supervisión | CC4.1 | Principio 16 de COSO | Desarrollo del plan de evaluación de seguridad | 1.1.0 |
| Actividades de supervisión | CC4.1 | Principio 16 de COSO | Selección de pruebas adicionales para evaluaciones de control de seguridad | 1.1.0 |
| Actividades de supervisión | CC4.2 | Principio 17 de COSO | Entrega de los resultados de la evaluación de seguridad | 1.1.0 |
| Actividades de supervisión | CC4.2 | Principio 17 de COSO | Generación de informe de evaluación de seguridad | 1.1.0 |
| Actividades de control | CC5.1 | Principio 10 de COSO | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Actividades de control | CC5.1 | Principio 10 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Diseñar un modelo de control de acceso | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Actividades de control | CC5.2 | Principio 11 de COSO | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Actividades de control | CC5.3 | Principio 12 de COSO | Configuración de la lista de permitidos para la detección | 1.1.0 |
| Actividades de control | CC5.3 | Principio 12 de COSO | Realización de una evaluación de riesgos | 1.1.0 |
| Actividades de control | CC5.3 | Principio 12 de COSO | Habilitar sensores para la solución de seguridad de punto de conexión | 1.1.0 |
| Actividades de control | CC5.3 | Principio 12 de COSO | Sometimiento a una revisión de seguridad independiente | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Autorizar el acceso a las funciones e información de seguridad | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Autorización y administración del acceso | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Autorizar acceso remoto | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Flujo de la información de control | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Controlar el acceso físico | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Creación de un inventario de datos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Definir un proceso de administración de claves físicas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Definir el uso criptográfico | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Definir los requisitos de la organización para la administración de claves criptográficas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Diseñar un modelo de control de acceso | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Determinar los requisitos de aserción | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Entrenamiento de movilidad de documentos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Documentar las directrices de acceso remoto | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Aplicar el acceso lógico | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Aplicar directivas de control de acceso obligatorias y discrecionales | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Establecer un procedimiento de administración de pérdida de datos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Emisión de certificados de clave pública | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Mantenimiento de registros de procesamiento de datos personales | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Administración de claves criptográficas simétricas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Proteger información especial | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Restringir el acceso a las claves privadas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | 1.1.0 |
| Controles de acceso lógico y físico | CC6.1 | Software de seguridad de acceso lógico, infraestructura y arquitecturas | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Asignación de administradores de cuentas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Privilegios de acceso del documento | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Establecimiento de condiciones para la pertenencia a roles | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Requerir aprobación para la creación de cuentas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.2 | Acceso al aprovisionamiento y eliminación | Revisar las cuentas de usuario | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Debe designar un máximo de tres propietarios para la suscripción | 3.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Auditar funciones con privilegios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Auditar el estado de la cuenta de usuario | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Diseñar un modelo de control de acceso | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Emplear el acceso con privilegios mínimos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | 1.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Supervisión de la asignación de roles con privilegios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Restringir el acceso a las cuentas con privilegios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Revisar los registros de aprovisionamiento de cuentas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Revisar las cuentas de usuario | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Revisar privilegios de usuario | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Revocar roles con privilegios según corresponda | 1.1.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Debe haber más de un propietario asignado a la suscripción | 3.0.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Usar Privileged Identity Management | 1.1.0 |
| Controles de acceso lógico y físico | CC6.4 | Acceso físico restringido | Controlar el acceso físico | 1.1.0 |
| Controles de acceso lógico y físico | CC6.5 | Protecciones lógicas y físicas sobre recursos físicos | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Controles de acceso lógico y físico | CC6.5 | Protecciones lógicas y físicas sobre recursos físicos | Implementar controles para proteger todos los medios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Adopción de mecanismos de autenticación biométrica | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Autorizar acceso remoto | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Flujo de la información de control | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Entrenamiento de movilidad de documentos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Documentar las directrices de acceso remoto | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Identificación y autenticación de dispositivos de red | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Implementar controles para proteger sitios de trabajo alternativos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Implementación de protección de límites del sistema | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Notificación a los usuarios del inicio de sesión o el acceso al sistema | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Proporcionar entrenamiento sobre la privacidad | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Configurar estaciones de trabajo para comprobar si hay certificados digitales | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Flujo de la información de control | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Definición de requisitos de los dispositivos móviles | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Uso de un mecanismo de saneamiento de elementos multimedia | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Usar mecanismos de control de flujo de información cifrada | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Establecer estándares de configuración de firewall y enrutador | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Identificar y administrar intercambios de información de nivel inferior | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Implementar controles para proteger todos los medios | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Administración del transporte de recursos | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Proteger de datos en tránsito mediante cifrado | 1.1.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Proteger contraseñas con cifrado | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Administración de puertas de enlace | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Revisar semanalmente el informe de detecciones de malware | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Revisar semanalmente el estado de protección contra amenazas | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Actualizar las definiciones de antivirus | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Habilitación de la detección de dispositivos de red | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Establecer un panel de control de configuración | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Realizar exámenes de vulnerabilidades | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Corregir errores del sistema de información | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Comprobar el software, el firmware y la integridad de la información | 1.1.0 |
| Operaciones del sistema | CC7.1 | Detección y supervisión de nuevas vulnerabilidades | Vista y configuración de los datos de diagnóstico del sistema | 1.1.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Debe existir una alerta de registro de actividad para operaciones administrativas específicas | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | 3.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para App Service | 1.0.3 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para servidores de Azure SQL Database | 1.0.2 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para Key Vault | 1.0.3 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para Resource Manager | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para servidores | 1.0.3 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | 1.0.2 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Detectar servicios de red que no se han autorizado o aprobado | 1.1.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Control y supervisión de las actividades de procesamiento de auditoría | 1.1.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Microsoft Defender para contenedores debería estar habilitado | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Se debe habilitar Microsoft Defender para Storage | 1.0.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Operaciones del sistema | CC7.3 | Detección de incidentes de seguridad | Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Desarrollo de medidas de seguridad | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Habilitar la protección de red | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Erradicación de la información contaminada | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Identificación de clases de incidentes y acciones realizadas | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Implementación del control de incidentes | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Inclusión de reconfiguración dinámica de recursos implementados por el cliente | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Operaciones del sistema | CC7.4 | Respuesta a incidentes de seguridad | Vista e investigación de usuarios restringidos | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Evaluación de eventos de seguridad de la información | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Realización de pruebas de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Coordinación de planes de contingencia con planes relacionados | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Desarrollo de medidas de seguridad | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | 1.2.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | 2.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Habilitar la protección de red | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Erradicación de la información contaminada | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Establecimiento de un programa de seguridad de la información | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Ejecución de acciones en respuesta a los volcados de información | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Implementación del control de incidentes | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Mantenimiento del plan de respuesta a incidentes | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Realizar un análisis de tendencias sobre amenazas | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Ejecución de los ataques de simulación | 1.1.0 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | 1.0.1 |
| Operaciones del sistema | CC7.5 | Recuperación de incidentes de seguridad identificados | Vista e investigación de usuarios restringidos | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Realización de un análisis de impacto en la seguridad | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Configurar las acciones para los dispositivos no conformes | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Desarrollar y mantener las configuraciones de línea base | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Aplicar opciones de configuración de seguridad | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Establecer un panel de control de configuración | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Establecer y documentar un plan de administración de configuración | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Establecer y documentar los procesos de control de cambios | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Establecimiento de los requisitos de administración de configuración para desarrolladores | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Implementación de una herramienta de administración de configuración automatizada | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Realización de una evaluación de impacto en la privacidad | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Realización de una evaluación de riesgos | 1.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Realización de una auditoría para el control de cambios de configuración | 1.1.0 |
| Mitigación de riesgos | CC9.1 | Actividades de mitigación de riesgos | Determinación de las necesidades de protección de la información | 1.1.0 |
| Mitigación de riesgos | CC9.1 | Actividades de mitigación de riesgos | Establecimiento de una estrategia de administración de riesgos | 1.1.0 |
| Mitigación de riesgos | CC9.1 | Actividades de mitigación de riesgos | Realización de una evaluación de riesgos | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Evaluación del riesgo en las relaciones de terceros | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Definición de los requisitos para el suministro de bienes y servicios | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Definir las tareas de los procesadores | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Establecimiento de los requisitos de seguridad del personal de terceros | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Supervisión del cumplimiento de los proveedores de terceros | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | 1.1.0 |
| Mitigación de riesgos | CC9.2 | Administración de riesgos de proveedores y asociados comerciales | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| Criterios adicionales de privacidad | P1.1 | Aviso de privacidad | Documentar y distribuir una directiva de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P1.1 | Aviso de privacidad | Asegurarse de que la información del programa de privacidad esté disponible de manera pública | 1.1.0 |
| Criterios adicionales de privacidad | P1.1 | Aviso de privacidad | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P1.1 | Aviso de privacidad | Proporcionar aviso de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P1.1 | Aviso de privacidad | Provisión de un aviso de privacidad al público y a las personas | 1.1.0 |
| Criterios adicionales de privacidad | P2.1 | Consentimiento de privacidad | Documentación de la aceptación por parte del personal de los requisitos de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P2.1 | Consentimiento de privacidad | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P2.1 | Consentimiento de privacidad | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P2.1 | Consentimiento de privacidad | Proporcionar aviso de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P3.1 | Recopilación coherente de información personal | Determinar la autoridad jurídica para recopilar DCP | 1.1.0 |
| Criterios adicionales de privacidad | P3.1 | Recopilación coherente de información personal | Documentación del proceso para garantizar la integridad de la información de identificación personal | 1.1.0 |
| Criterios adicionales de privacidad | P3.1 | Recopilación coherente de información personal | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| Criterios adicionales de privacidad | P3.1 | Recopilación coherente de información personal | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P3.2 | Consentimiento explícito de información personal | Recopilar la información de identificación personal directamente de la persona | 1.1.0 |
| Criterios adicionales de privacidad | P3.2 | Consentimiento explícito de información personal | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P4.1 | Uso de información personal | Documentar la base legal para procesar la información personal | 1.1.0 |
| Criterios adicionales de privacidad | P4.1 | Uso de información personal | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P4.1 | Uso de información personal | Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P4.1 | Uso de información personal | Proporcionar aviso de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P4.1 | Uso de información personal | Restringir las comunicaciones | 1.1.0 |
| Criterios adicionales de privacidad | P4.2 | Retención de información personal | Cumplir con los períodos de retención definidos | 1.1.0 |
| Criterios adicionales de privacidad | P4.2 | Retención de información personal | Documentación del proceso para garantizar la integridad de la información de identificación personal | 1.1.0 |
| Criterios adicionales de privacidad | P4.3 | Eliminación de información personal | Realizar revisión para eliminación | 1.1.0 |
| Criterios adicionales de privacidad | P4.3 | Eliminación de información personal | Comprobar que los datos personales se eliminan al final del procesamiento | 1.1.0 |
| Criterios adicionales de privacidad | P5.1 | Acceso a la información personal | Implementar los métodos para las solicitudes del consumidor | 1.1.0 |
| Criterios adicionales de privacidad | P5.1 | Acceso a la información personal | Publicar reglas y normativas que accedan a los registros de la Ley de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P5.2 | Corrección de información personal | Responder a solicitudes de rectificación | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Definir las tareas de los procesadores | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Divulgar los registros de información de identificación personal a terceros | 1.1.0 |
| Criterios adicionales de privacidad | P6.1 | Divulgación de información personal de terceros | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| Criterios adicionales de privacidad | P6.2 | Divulgación autorizada del registro de información personal | Mantenimiento de una contabilidad precisa de las divulgaciones de información | 1.1.0 |
| Criterios adicionales de privacidad | P6.3 | Divulgación no autorizada del registro de información personal | Mantenimiento de una contabilidad precisa de las divulgaciones de información | 1.1.0 |
| Criterios adicionales de privacidad | P6.4 | Contratos de terceros | Definir las tareas de los procesadores | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Determinación de las obligaciones del contrato de proveedor | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Criterios de aceptación del contrato de adquisición de documentos | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Protección de documentos de datos personales en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Protección de documentos de información de seguridad en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de los requisitos para el uso de los datos compartidos en los contratos | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de los requisitos de seguridad en los contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación del entorno del sistema de información en contratos de adquisición | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | 1.1.0 |
| Criterios adicionales de privacidad | P6.5 | Notificación de divulgación no autorizada de terceros | Seguridad de la información y protección de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P6.6 | Notificación de incidentes de privacidad | Desarrollar un plan de respuesta a incidentes | 1.1.0 |
| Criterios adicionales de privacidad | P6.6 | Notificación de incidentes de privacidad | Seguridad de la información y protección de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P6.7 | Contabilización de divulgación de información personal | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P6.7 | Contabilización de divulgación de información personal | Mantenimiento de una contabilidad precisa de las divulgaciones de información | 1.1.0 |
| Criterios adicionales de privacidad | P6.7 | Contabilización de divulgación de información personal | Disponibilidad a petición de la contabilidad de las divulgaciones | 1.1.0 |
| Criterios adicionales de privacidad | P6.7 | Contabilización de divulgación de información personal | Proporcionar aviso de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P6.7 | Contabilización de divulgación de información personal | Restringir las comunicaciones | 1.1.0 |
| Criterios adicionales de privacidad | P7.1 | Calidad de la información personal | Confirmación de la calidad y la integridad de DCP | 1.1.0 |
| Criterios adicionales de privacidad | P7.1 | Calidad de la información personal | Emisión de guías para garantizar la calidad y la integridad de los datos | 1.1.0 |
| Criterios adicionales de privacidad | P7.1 | Calidad de la información personal | Comprobar la información de identificación personal inexacta u obsoleta | 1.1.0 |
| Criterios adicionales de privacidad | P8.1 | Administración de reclamaciones de privacidad y administración de cumplimiento | Documentar e implementar procedimientos de quejas de privacidad | 1.1.0 |
| Criterios adicionales de privacidad | P8.1 | Administración de reclamaciones de privacidad y administración de cumplimiento | Evaluación y revisión periódicas de las sociedades de DCP | 1.1.0 |
| Criterios adicionales de privacidad | P8.1 | Administración de reclamaciones de privacidad y administración de cumplimiento | Seguridad de la información y protección de datos personales | 1.1.0 |
| Criterios adicionales de privacidad | P8.1 | Administración de reclamaciones de privacidad y administración de cumplimiento | Responder a las reclamaciones, preocupaciones o preguntas de manera oportuna | 1.1.0 |
| Criterios adicionales de privacidad | P8.1 | Administración de reclamaciones de privacidad y administración de cumplimiento | Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.1 | Definiciones de procesamiento de datos | Implementar métodos de entrega de avisos de privacidad | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.1 | Definiciones de procesamiento de datos | Proporcionar aviso de privacidad | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.1 | Definiciones de procesamiento de datos | Restringir las comunicaciones | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.2 | Entradas del sistema sobre integridad y precisión | Realización de la validación de la entrada de información | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.3 | Procesamiento del sistema | Controlar el acceso físico | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.3 | Procesamiento del sistema | Generación de mensajes de error | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.3 | Procesamiento del sistema | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.3 | Procesamiento del sistema | Realización de la validación de la entrada de información | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.3 | Procesamiento del sistema | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.4 | La salida del sistema es completa, precisa y de manera oportuna | Controlar el acceso físico | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.4 | La salida del sistema es completa, precisa y de manera oportuna | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.4 | La salida del sistema es completa, precisa y de manera oportuna | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Controlar el acceso físico | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Establecimiento de las directivas y procedimientos de copia de seguridad | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Implementar controles para proteger todos los medios | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Revisar la actividad y el análisis de etiquetas | 1.1.0 |
| Criterios adicionales de procesamiento de la integridad | PI1.5 | Almacenar entradas y salidas de manera completa, precisa y oportuna | Almacenamiento independiente de la información de copia de seguridad por separado | 1.1.0 |
UK OFFICIAL y UK NHS
Para revisar cómo las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: UK OFFICIAL y UK NHS. Para más información sobre este estándar de cumplimiento, consulte UK OFFICIAL.
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.