Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de ISO 27001:2013. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de ISO 27001:2013.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Criptografía
Directiva sobre el uso de controles criptográficos
Identificador: ISO 27001:2013 A.10.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 4.0.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación y distribución de una directiva de privacidad | CMA_0188: Documenta y distribuye una directiva de privacidad | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 5.0.0 |
| Implementación de métodos de entrega de avisos de privacidad | CMA_0324: Implementa métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis | Habilitar auditoría de solo conexiones vía SSL a Azure Cache for Redis. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporciona aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir comunicaciones | CMA_0449: Restringe las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Requisito de auditoría de transferencia segura en su cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Los clústeres de Service Fabric deben tener la propiedad ClusterProtectionLevel establecida en EncryptAndSign | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente | Auditar, Denegar, Deshabilitado | 1.1.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento | AuditIfNotExists, Deshabilitado | 2.0.0 |
Administración de claves
Identificador: ISO 27001:2013 A.10.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Define los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determina los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Identificar las acciones permitidas sin autenticación | CMA_0295: Identifica las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emite certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administrar claves criptográficas simétricas | CMA_0367: Administra las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringe el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Finalizar credenciales de cuenta controladas por el cliente | CMA_C1022: Finaliza credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
Seguridad física y del entorno
Perímetro de seguridad física
Identificador: ISO 27001:2013 A.11.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecer y mantener un inventario de activos | CMA_0266: Establece y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalar un sistema de alarma | CMA_0338: Instala un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administrar un sistema de seguridad con cámara de vigilancia | CMA_0354: Administra un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Controles de entrada físicos
Identificador: ISO 27001:2013 A.11.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Designar personal para supervisar las actividades de mantenimiento no autorizadas | CMA_C1422: Designa personal para supervisar las actividades de mantenimiento no autorizadas | Manual, Deshabilitado | 1.1.0 |
| Establecer y mantener un inventario de activos | CMA_0266: Establece y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Conservar una lista de personal de mantenimiento remoto autorizado | CMA_C1420: Mantiene una lista de personal de mantenimiento remoto autorizado | Manual, Deshabilitado | 1.1.0 |
| Administrar personal de mantenimiento | CMA_C1421: Administra el personal de mantenimiento | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Protección de oficinas, salas e instalaciones
Identificador: ISO 27001:2013 A.11.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecer y mantener un inventario de activos | CMA_0266: Establece y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Protección contra amenazas del entorno y externas
Identificador: ISO 27001:2013 A.11.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Crear sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crea sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Garantiza que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantizar que el sistema de información falla en un estado conocido | CMA_C1662: Garantiza que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establece un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establece un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identifica y mitiga posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalar un sistema de alarma | CMA_0338: Instala un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Trabajo en áreas seguras
Identificador: ISO 27001:2013 A.11.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Áreas de entrega y carga
Identificador: ISO 27001:2013 A.11.1.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Define los requisitos para Administra recursos | Manual, Deshabilitado | 1.1.0 |
| Instalar un sistema de alarma | CMA_0338: Instala un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administrar un sistema de seguridad con cámara de vigilancia | CMA_0354: Administra un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Ubicación y protección del equipo
Identificador: ISO 27001:2013 A.11.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Utilidades auxiliares
Identificador: ISO 27001:2013 A.11.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de iluminación de emergencia automática | CMA_0209: Usa iluminación de emergencia automática | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establece requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Seguridad del cableado
Identificador: ISO 27001:2013 A.11.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Mantenimiento de equipos
Identificador: ISO 27001:2013 A.11.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de las actividades de mantenimiento remoto | CMA_C1402: Automatiza las actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controla las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administra actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Generación de registros completos de actividades de mantenimiento remoto | CMA_C1403: Generar registros completos de actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar soporte técnico de mantenimiento oportuno | CMA_C1425: Proporcionar soporte técnico de mantenimiento oportuno | Manual, Deshabilitado | 1.1.0 |
Eliminación de recursos
Identificador: ISO 27001:2013 A.11.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controla las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Define los requisitos para Administra recursos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administra actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Seguridad del equipo y de los recursos fuera del entorno
Identificador: ISO 27001:2013 A.11.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de requisitos de los dispositivos móviles | CMA_0122: Define requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | CMA_C1183: Garantiza que no se necesitan protecciones de seguridad cuando las personas regresen | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establece los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecer los términos y condiciones para procesar los recursos | CMA_C1077: Establece los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Denegación de que los sistemas de información acompañen a las personas | CMA_C1182: No permite que los sistemas de información acompañen a las personas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprueba los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Eliminación o reutilización segura del equipo
Identificador: ISO 27001:2013 A.11.2.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Realización de la revisión para eliminación | CMA_0391: Realiza revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Comprobación de que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprueba que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Equipo de usuario desatendido
Identificador: ISO 27001:2013 A.11.2.8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finaliza la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Directiva de borrado de pantalla y borrado de escritorio
Identificador: ISO 27001:2013 A.11.2.9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Seguridad de las operaciones
Procedimientos operativos documentados
Identificador: ISO 27001:2013 A.12.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Distribución de la documentación del sistema de información | CMA_C1584: Distribuye la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Documentación de acciones definidas por el cliente | CMA_C1582: Acciones definidas del cliente del documento | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Obtención de documentación para administradores | CMA_C1580: Obtiene documentación para administradores | Manual, Deshabilitado | 1.1.0 |
| Obtención de la documentación de la función de seguridad del usuario | CMA_C1581: Obtiene la documentación de la función de seguridad del usuario | Manual, Deshabilitado | 1.1.0 |
| Protección de la documentación del administrador y del usuario | CMA_C1583: Protege la documentación del administrador y del usuario | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Administración de cambios
Identificador: ISO 27001:2013 A.12.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Soluciona vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrolla y documenta los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establece un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalar un sistema de alarma | CMA_0338: Instala un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administra actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Administración de la capacidad
Identificador: ISO 27001:2013 A.12.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización del planeamiento de capacidad | CMA_C1252: Realiza el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controla y supervisa las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Separación de entornos de desarrollo, pruebas y operativos
Identificador: ISO 27001:2013 A.12.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantiza que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementación de controles para proteger DCP | CMA_C1839: Implementa controles para proteger DCP | Manual, Deshabilitado | 1.1.0 |
| Incorporación de procedimientos de seguridad y privacidad de datos en el procesamiento de investigación | CMA_0331: Incorpora prácticas de seguridad y privacidad de datos en el procesamiento de investigación | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Controles contra malware
Identificador: ISO 27001:2013 A.12.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquea los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controla las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administra actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación periódico de concienciación de seguridad | CMA_C1091: Proporciona formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación de seguridad para usuarios nuevos | CMA_0419: Proporciona formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación actualizado en concienciación de la seguridad | CMA_C1090: Proporciona formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisa semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisa semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualiza las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Copia de seguridad de información
Identificador: ISO 27001:2013 A.12.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Crear sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crea sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantizar que el sistema de información falla en un estado conocido | CMA_C1662: Garantiza que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establece un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementa la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Realización de la revisión para eliminación | CMA_0391: Realiza revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Almacenamiento independiente de la información de copia de seguridad | CMA_C1293: Almacena la información de copia de seguridad por separado | Manual, Deshabilitado | 1.1.0 |
| Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | CMA_C1294: Transfiere la información de copia de seguridad a un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Comprobación de que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprueba que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Registros de eventos
Identificador: ISO 27001:2013 A.12.4.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Alertar al personal de la fuga de información | CMA_0007: Alerta al personal de la fuga de información | Manual, Deshabilitado | 1.1.0 |
| Auditar la configuración de diagnóstico para los tipos de recursos seleccionados | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Autorización, supervisión y control de VoIP | CMA_0025: Autoriza, supervisa y controla VoIP | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realiza un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configura las funcionalidades de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
| Correlación de los registros de auditoría | CMA_0087: Correlaciona los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa de que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Dependency Agent se debe habilitar en Virtual Machine Scale Sets para las imágenes de máquina virtual enumeradas | Informa de que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Determinar eventos auditables | CMA_0137: Determina eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Descubrir cualquier indicador de compromiso | CMA_C1702: Descubre cualquier indicador de compromiso | Manual, Deshabilitado | 1.1.0 |
| Documentación de la base legal para procesar la información personal | CMA_0206: Documenta la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Exigencia y auditoría de las restricciones de acceso | CMA_C1203: Exigir y auditar las restricciones de acceso | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establece requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementación de métodos para las solicitudes del consumidor | CMA_0319: Implementa los métodos para las solicitudes del consumidor | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integra la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integra Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisa la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisa la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibe opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Proporcionar información de supervisión según sea necesario | CMA_C1689: Proporciona información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Publicación de procedimientos de acceso en SORN | CMA_C1848: Publica procedimientos de acceso en SORN | Manual, Deshabilitado | 1.1.0 |
| Publicación de reglas y normativas que accedan a los registros de la Ley de privacidad | CMA_C1847: Publica reglas y normativas que accedan a los registros de la Ley de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conserva directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conserva los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisa las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de los eventos definidos en AU-02 | CMA_C1106: Revisa y actualiza los eventos definidos en AU-02 | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios en busca de cambios no autorizados | CMA_C1204: Revisa los cambios en busca de cambios no autorizados | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisa la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisa eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisa la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisa los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establece notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usa Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Protección de la información de registro
Identificador: ISO 27001:2013 A.12.4.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Definición de las tareas de los procesadores | CMA_0127: Define las tareas de los procesadores | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilita la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Realización de la revisión para eliminación | CMA_0391: Realiza revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Protege la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Divulgación de registros de información de identificación personal a terceros | CMA_0422: Divulga los registros de información de identificación personal a terceros | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento del personal sobre el uso compartido de DCP y sus consecuencias | CMA_C1871: Entrena al personal sobre el uso compartido de DCP y sus consecuencias | Manual, Deshabilitado | 1.1.0 |
| Comprobación de que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprueba que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Registros de administrador y operador
Identificador: ISO 27001:2013 A.12.4.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar la configuración de diagnóstico para los tipos de recursos seleccionados | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Autorización, supervisión y control de VoIP | CMA_0025: Autoriza, supervisa y controla VoIP | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realiza un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa de que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Dependency Agent se debe habilitar en Virtual Machine Scale Sets para las imágenes de máquina virtual enumeradas | Informa de que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Determinar eventos auditables | CMA_0137: Determina eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilita la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisa la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisa la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibe opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Protege la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Proporcionar información de supervisión según sea necesario | CMA_C1689: Proporciona información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usa Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Sincronización del reloj
Identificador: ISO 27001:2013 A.12.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar la configuración de diagnóstico para los tipos de recursos seleccionados | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Compilación de los registros de auditoría en la auditoría de todo el sistema | CMA_C1140: Compila los registros de auditoría en la auditoría de todo el sistema | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa de que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Dependency Agent se debe habilitar en Virtual Machine Scale Sets para las imágenes de máquina virtual enumeradas | Informa de que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Uso de los relojes del sistema para registros de auditoría | CMA_0535: Usa los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Instalación de software en sistemas operativos
Identificador: ISO 27001:2013 A.12.5.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control del cumplimiento de los proveedores de servicios en la nube | CMA_0290: Controla el cumplimiento de los proveedores de servicios en la nube | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Visualiza y configura los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Administración de vulnerabilidades técnicas
Identificador: ISO 27001:2013 A.12.6.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribución de sus resultados | CMA_C1544: Realiza una evaluación de riesgos y distribuye sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentación de sus resultados | CMA_C1542: Realiza una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorpora la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Selección de pruebas adicionales para evaluaciones de control de seguridad | CMA_C1149: Seleccione pruebas adicionales para las evaluaciones de control de seguridad | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los resultados de vulnerabilidades | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
Restricciones de instalación de software
Identificador: ISO 27001:2013 A.12.6.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control del cumplimiento de los proveedores de servicios en la nube | CMA_0290: Controla el cumplimiento de los proveedores de servicios en la nube | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Visualiza y configura los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Controles de auditoría de sistemas de información
Identificador: ISO 27001:2013 A.12.7.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Emplear un equipo independiente para pruebas de penetración | CMA_C1171: Emplea un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
Seguridad de las comunicaciones
Controles de red
Identificador: ISO 27001:2013 A.13.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto puede permitir potencialmente a los atacantes atacar sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documenta e implementa directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Emplear protección de límites para aislar sistemas de información | CMA_C1639: Emplea protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establece los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecer los términos y condiciones para procesar los recursos | CMA_C1077: Establece los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementa una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impide la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Protege el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Volver a autenticar o finalizar una sesión de usuario | CMA_0421: Vuelve a autenticar o finalizar una sesión de usuario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separa la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Auditar, Denegar, Deshabilitado | 1.1.1 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usa máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprueba los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Seguridad de los servicios de red
Identificador: ISO 27001:2013 A.13.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establece requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impide la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Exige acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los acuerdos de seguridad de interconexión | CMA_0519: Actualiza los acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
Separación de redes
Identificador: ISO 27001:2013 A.13.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Emplear protección de límites para aislar sistemas de información | CMA_C1639: Emplea protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementa una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impide la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separa la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usa máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
Directivas y procedimientos de transferencia de información
Identificador: ISO 27001:2013 A.13.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definición de requisitos de los dispositivos móviles | CMA_0122: Define requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documenta e implementa directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establece los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecer los términos y condiciones para procesar los recursos | CMA_C1077: Establece los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Notificación explícita del uso de dispositivos informáticos con fines de colaboración | CMA_C1649: Notifica explícitamente el uso de dispositivos informáticos con fines de colaboración | Manual, Deshabilitado | 1.1.1 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementa una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis | Habilitar auditoría de solo conexiones vía SSL a Azure Cache for Redis. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Prohibición de la activación remota de dispositivos informáticos de colaboración | CMA_C1648: Prohibe la activación remota de dispositivos informáticos de colaboración | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Protege el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Exige acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Requisito de auditoría de transferencia segura en su cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Actualización de los acuerdos de seguridad de interconexión | CMA_0519: Actualiza los acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprueba los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Acuerdos sobre transferencia de información
Identificador: ISO 27001:2013 A.13.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identifica proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Implementación de métodos de entrega de avisos de privacidad | CMA_0324: Implementa métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtención de consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtiene consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporciona aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Exige acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los acuerdos de seguridad de interconexión | CMA_0519: Actualiza los acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
Mensajería electrónica
Identificador: ISO 27001:2013 A.13.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
Acuerdos de confidencialidad o no divulgación
Identificador: ISO 27001:2013 A.13.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarollar la directiva de código de conducta de la organización | CMA_0159: Desarrolla la directiva de código de conducta de la organización | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los acuerdos de acceso de la organización | CMA_0192: Documenta los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantiza que los acuerdos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Prohibición de prácticas ilegales | CMA_0396: Prohibe prácticas ilegales | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen contratos de acceso | CMA_0440: Exige a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y firma de reglas de comportamiento revisadas | CMA_0465: Revisa y firmar reglas de comportamiento revisadas | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de los acuerdos de acceso de la organización | CMA_0520: Actualiza los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los acuerdos de acceso | CMA_0521: Actualiza las reglas de comportamiento y los acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los acuerdos de acceso cada 3 años | CMA_0522: Actualiza las reglas de comportamiento y los acuerdos de acceso cada 3 años | Manual, Deshabilitado | 1.1.0 |
Adquisición, desarrollo y mantenimiento del sistema
Análisis y especificación de los requisitos de seguridad de la información
Identificador: ISO 27001:2013 A.14.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Define roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar un concepto de operaciones (CONOPS) | CMA_0141: Desarrolla un concepto de operaciones (CONOPS) | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identifica proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Identificación de los miembros con roles de seguridad y responsabilidades | CMA_C1566: Identifica los miembros con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integra el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de la arquitectura de seguridad de la información | CMA_C1504: Revisa y actualiza la arquitectura de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisa el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Protección de servicios de aplicación en redes públicas
Identificador: ISO 27001:2013 A.14.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Aplicar la existencia de unicidad de usuario | CMA_0250: Aplica la existencia de unicidad de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admite credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
Protección de las transacciones de los servicios de aplicaciones
Identificador: ISO 27001:2013 A.14.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Emplear protección de límites para aislar sistemas de información | CMA_C1639: Emplea protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Aplicar la existencia de unicidad de usuario | CMA_0250: Aplica la existencia de unicidad de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impide la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separa la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admite credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usa máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
Directiva de desarrollo segura
Identificador: ISO 27001:2013 A.14.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Define roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Identificación de los miembros con roles de seguridad y responsabilidades | CMA_C1566: Identifica los miembros con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integra el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Exige que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores describan la función de seguridad precisa | CMA_C1613: Exige que los desarrolladores describan la función de seguridad precisa | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | CMA_C1614: Exige que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisa el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Procedimientos de control de cambios del sistema
Identificador: ISO 27001:2013 A.14.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Soluciona vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrolla y documenta los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establece un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorpora la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Revisión técnica de las aplicaciones tras los cambios de plataforma operativa
Identificador: ISO 27001:2013 A.14.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorpora la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Restricciones de los cambios en los paquetes de software
Identificador: ISO 27001:2013 A.14.2.4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Soluciona vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrolla y documenta los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establece un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Principios de la ingeniería de sistemas segura
Identificador: ISO 27001:2013 A.14.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de la validación de la entrada de información | CMA_C1723: Realiza la validación de la entrada de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Exige que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores describan la función de seguridad precisa | CMA_C1613: Exige que los desarrolladores describan la función de seguridad precisa | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | CMA_C1614: Exige que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisa el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Entorno de desarrollo seguro
Identificador: ISO 27001:2013 A.14.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Define roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Identificación de los miembros con roles de seguridad y responsabilidades | CMA_C1566: Identifica los miembros con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integra el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Desarrollo externalizado
Identificador: ISO 27001:2013 A.14.2.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Soluciona vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evalúa el riesgo en las relaciones con terceros | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Define los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrolla y documenta los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establece un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establece las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Exige que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Pruebas de seguridad del sistema
Identificador: ISO 27001:2013 A.14.2.8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entrega los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantiza que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Generación del informe de evaluación de seguridad | CMA_C1146: Genera informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Exige que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Pruebas de aceptación del sistema
Identificador: ISO 27001:2013 A.14.2.9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de un oficial de autorización (AO) | CMA_C1158: Asigna un oficial de autorización (AO) | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los recursos están autorizados | CMA_C1159: Garantiza que los recursos están autorizados | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantiza que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
Protección de datos de prueba
Identificador: ISO 27001:2013 A.14.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantiza que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de la revisión para eliminación | CMA_0391: Realiza revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Comprobación de que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprueba que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Relaciones de proveedor
Directiva de seguridad de información para relaciones de proveedores
Identificador: ISO 27001:2013 A.15.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evalúa el riesgo en las relaciones con terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Define los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establece las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
Abordar seguridad en el acuerdo con el proveedor
Identificador: ISO 27001:2013 A.15.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evalúa el riesgo en las relaciones con terceros | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Define los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarollar la directiva de código de conducta de la organización | CMA_0159: Desarrolla la directiva de código de conducta de la organización | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establece las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identifica proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Prohibición de prácticas ilegales | CMA_0396: Prohibe prácticas ilegales | Manual, Deshabilitado | 1.1.0 |
| Revisión y firma de reglas de comportamiento revisadas | CMA_0465: Revisa y firmar reglas de comportamiento revisadas | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los acuerdos de acceso | CMA_0521: Actualiza las reglas de comportamiento y los acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los acuerdos de acceso cada 3 años | CMA_0522: Actualiza las reglas de comportamiento y los acuerdos de acceso cada 3 años | Manual, Deshabilitado | 1.1.0 |
Cadena de suministro de tecnología de información y comunicación
Identificador: ISO 27001:2013 A.15.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evalúa el riesgo en las relaciones con terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Define los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establece las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
Supervisión y revisión de los servicios de proveedores
Identificador: ISO 27001:2013 A.15.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Administración de los cambios de los servicios de proveedores
Identificador: ISO 27001:2013 A.15.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Administración de información de Incidentes de seguridad
Responsabilidades y procedimientos
Identificador: ISO 27001:2013 A.16.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evalúa eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantiene registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantiene el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Protege el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Creación de informes de eventos de seguridad de información
Identificador: ISO 27001:2013 A.16.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlaciona los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establece requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integra la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integra Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisa las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisa la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisa eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisa la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisa los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Creación de informes de debilidades de seguridad de la información
Identificador: ISO 27001:2013 A.16.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorpora la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Evaluación y decisión sobre eventos de seguridad de información
Identificador: ISO 27001:2013 A.16.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evalúa eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlaciona los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establece requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integra la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integra Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantiene el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisa las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisa la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisa eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisa la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisa los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Respuesta a incidentes de seguridad de la información
Identificador: ISO 27001:2013 A.16.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evalúa eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantiene el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Aprendizaje de los incidentes de seguridad de la información
Identificador: ISO 27001:2013 A.16.1.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evalúa eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Descubrir cualquier indicador de compromiso | CMA_C1702: Descubre cualquier indicador de compromiso | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantiene el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Recopilación de pruebas
Identificador: ISO 27001:2013 A.16.1.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determina eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informa del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conserva directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conserva los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Aspectos de seguridad de la información en la administración de la continuidad de las actividades
Planificación de la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunica los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrolla y documenta un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de planes de contingencia | CMA_0156: Desarrolla directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuye directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisa el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualiza el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
Implementación de la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunica los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Crear sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crea sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Garantiza que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantizar que el sistema de información falla en un estado conocido | CMA_C1662: Garantiza que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establece un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establece un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establece requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identifica y mitiga posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementa la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Recuperación y reconstrucción de los recursos después de una interrupción | CMA_C1295: Recupera y reconstruye los recursos después de cualquier interrupción | Manual, Deshabilitado | 1.1.1 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
Comprobación, revisión y evaluación de la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Inicio de acciones correctivas para probar el plan de contingencia | CMA_C1263: Inicia acciones correctivas de prueba del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión de los resultados de las pruebas del plan de contingencia | CMA_C1262: Revisa los resultados de las pruebas del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Prueba del plan de continuidad empresarial y recuperación ante desastres | CMA_0509: Prueba el plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
Disponibilidad de las instalaciones de procesamiento de información
Identificador: ISO 27001:2013 A.17.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunica los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Crear sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crea sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrolla y documenta un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de planes de contingencia | CMA_0156: Desarrolla directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuye directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Garantiza que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantizar que el sistema de información falla en un estado conocido | CMA_C1662: Garantiza que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establece un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establece un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identifica y mitiga posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisa el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualiza el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
Cumplimiento normativo
Identificación de la legislación aplicable y los requisitos contractuales
Identificador: ISO 27001:2013 A.18.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Protección del plan del programa de seguridad de la información | CMA_C1732: Protege el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Derechos de propiedad intelectual
Identificador: ISO 27001:2013 A.18.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerimiento del cumplimiento de los derechos de propiedad intelectual | CMA_0432: Exige el cumplimiento de los derechos de propiedad intelectual | Manual, Deshabilitado | 1.1.0 |
| Seguimiento del uso de licencias de software | CMA_C1235: Realiza un seguimiento del uso de licencias de software | Manual, Deshabilitado | 1.1.0 |
Protección de registros
Identificador: ISO 27001:2013 A.18.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilita la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Garantizar que el sistema de información falla en un estado conocido | CMA_C1662: Garantiza que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementa la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Protege la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisa la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Privacidad y protección de la información de identificación personal
Identificador: ISO 27001:2013 A.18.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de cumplimiento | CMA_0358: Administra actividades de cumplimiento | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisa la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Regulación de controles criptográficos
Identificador: ISO 27001:2013 A.18.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autenticación para el módulo criptográfico | CMA_0021: Autentica para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Revisión independiente de la seguridad de la información
Identificador: ISO 27001:2013 A.18.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Emplear un equipo independiente para pruebas de penetración | CMA_C1171: Emplea un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Cumplimiento de las directivas y estándares de seguridad
Identificador: ISO 27001:2013 A.18.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entrega los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Generación del informe de evaluación de seguridad | CMA_C1146: Genera informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Protección del plan del programa de seguridad de la información | CMA_C1732: Protege el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Revisión del cumplimiento técnico
Identificador: ISO 27001:2013 A.18.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entrega los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Emplear un equipo independiente para pruebas de penetración | CMA_C1171: Emplea un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Generación del informe de evaluación de seguridad | CMA_C1146: Genera informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Directivas de seguridad de la información
Directivas para seguridad de la información
Identificador: ISO 27001:2013 A.5.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de privacidad para contratistas y proveedores de servicios | CMA_C1810: Establece los requisitos de privacidad para los contratistas y proveedores de servicios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de cumplimiento | CMA_0358: Administra actividades de cumplimiento | Manual, Deshabilitado | 1.1.0 |
| Protección del plan del programa de seguridad de la información | CMA_C1732: Protege el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Revisión de las directivas de seguridad de la información
Identificador: ISO 27001:2013 A.5.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Protección del plan del programa de seguridad de la información | CMA_C1732: Protege el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Organización de seguridad de la información
Roles y responsabilidades en materia de seguridad de la información
Identificador: ISO 27001:2013 A.6.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunica los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de la protección del plan de configuración | CMA_C1233: Crea la protección del plan de configuración | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Define roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Designación de individuos para que cumplan roles y responsabilidades específicos | CMA_C1747: Designa a personas para que cumplan roles y responsabilidades específicos | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrolla y documenta un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrolla y mantiene las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de identificación de elementos de configuración | CMA_C1231: Desarrolla un plan de identificación de elementos de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de administración de configuración | CMA_C1232: Desarrolla un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de planes de contingencia | CMA_0156: Desarrolla directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuye directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de procedimientos de quejas de privacidad | CMA_0189: Documenta e implementa los procedimientos de quejas de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad del personal de terceros | CMA_C1531: Documenta los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Garantizar la disponibilidad pública de la información del programa de privacidad | CMA_C1867: Garantiza que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establece y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad del personal de terceros | CMA_C1529: Establece los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Identificación de los miembros con roles de seguridad y responsabilidades | CMA_C1566: Identifica los miembros con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementa una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integra el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Administración del estado de seguridad de los sistemas de información | CMA_C1746: Administra el estado de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Supervisión del cumplimiento de los proveedores de terceros | CMA_C1533: Supervisa el cumplimiento de los proveedores de terceros | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Protección del plan del programa de seguridad de la información | CMA_C1732: Protege el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | CMA_C1532: Exige notificación de finalización de contrato o transferencia de personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | CMA_C1530: Exige que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisa el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualiza el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Segregación de controles
Identificador: ISO 27001:2013 A.6.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de 3 propietarios para la suscripción | Se recomienda designar hasta 3 propietarios de suscripciones para reducir la posibilidad de infracción por parte de un propietario comprometido. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Definición de autorizaciones de acceso para admitir la separación de obligaciones | CMA_0116: Define autorizaciones de acceso para admitir la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación de la separación de obligaciones | CMA_0204: Documenta la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Separación de las obligaciones de las personas | CMA_0492: Separa las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Deshabilitado | 3.0.0 |
Contacto con autoridades
Identificador: ISO 27001:2013 A.6.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Administración de contactos para las autoridades y los grupos de interés especial | CMA_0359: Administra contactos para las autoridades y los grupos de interés especial | Manual, Deshabilitado | 1.1.0 |
Contacto con grupos de interés especial
Identificador: ISO 27001:2013 A.6.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Difusión de alertas de seguridad al personal | CMA_C1705: Difunde alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de inteligencia sobre amenazas | CMA_0260: Establece un programa de inteligencia sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Generación de alertas de seguridad internas | CMA_C1704: Genera alertas de seguridad internas | Manual, Deshabilitado | 1.1.0 |
| Implementación de directivas de seguridad | CMA_C1706: Implementa directivas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Administración de contactos para las autoridades y los grupos de interés especial | CMA_0359: Administra contactos para las autoridades y los grupos de interés especial | Manual, Deshabilitado | 1.1.0 |
Seguridad de la información en la administración de proyectos
Identificador: ISO 27001:2013 A.6.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinea los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asigna recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Define roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establece un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controla la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Identificación de los miembros con roles de seguridad y responsabilidades | CMA_C1566: Identifica los miembros con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integra el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisa el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso del liderazgo | CMA_0489: Garantiza el compromiso del liderazgo | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Directiva de dispositivos móviles
Identificador: ISO 27001:2013 A.6.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Definición de requisitos de los dispositivos móviles | CMA_0122: Define requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documenta e implementa directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Protege el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Teletrabajo
Identificador: ISO 27001:2013 A.6.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Seguridad de recursos humanos
Filtrado
Identificador: ISO 27001:2013 A.7.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borra al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementa el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisa individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Términos y condiciones laborales
Identificador: ISO 27001:2013 A.7.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los acuerdos de acceso de la organización | CMA_0192: Documenta los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantiza que los acuerdos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Garantizar la disponibilidad pública de la información del programa de privacidad | CMA_C1867: Garantiza que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Implementación de métodos de entrega de avisos de privacidad | CMA_0324: Implementa métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtención de consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtiene consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporciona aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen contratos de acceso | CMA_0440: Exige a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de los acuerdos de acceso de la organización | CMA_0520: Actualiza los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
Responsabilidades de administración
Identificador: ISO 27001:2013 A.7.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los acuerdos de acceso de la organización | CMA_0192: Documenta los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad del personal de terceros | CMA_C1531: Documenta los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantiza que los acuerdos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad del personal de terceros | CMA_C1529: Establece los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Supervisión del cumplimiento de los proveedores de terceros | CMA_C1533: Supervisa el cumplimiento de los proveedores de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | CMA_C1532: Exige notificación de finalización de contrato o transferencia de personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | CMA_C1530: Exige que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen contratos de acceso | CMA_0440: Exige a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los acuerdos de acceso de la organización | CMA_0520: Actualiza los acuerdos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
Concienciación de la seguridad de la información, educación y formación
Identificador: ISO 27001:2013 A.7.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Emplear un entorno de formación automatizado | CMA_C1357: Emplear un entorno de formación automatizado | Manual, Deshabilitado | 1.1.0 |
| Establecimiento del programa de desarrollo y mejora de personal de seguridad de la información | CMA_C1752: Establece el programa de desarrollo y mejora de personal de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la finalización la formación de seguridad y privacidad | CMA_0379: Supervisa la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje sobre contingencias | CMA_0412: Proporciona aprendizaje sobre contingencias | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje sobre la pérdida de información | CMA_0413: Proporciona aprendizaje sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje periódico de la seguridad basada en roles | CMA_C1095: Proporciona aprendizaje periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación periódico de concienciación de seguridad | CMA_C1091: Proporciona formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad basada en roles | CMA_C1094: Proporciona aprendizaje de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad antes de proporcionar acceso | CMA_0418: Proporciona aprendizaje de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación de seguridad para usuarios nuevos | CMA_0419: Proporciona formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación actualizado en concienciación de la seguridad | CMA_C1090: Proporciona formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservación de registros de formación | CMA_0456: Conserva registros de formación | Manual, Deshabilitado | 1.1.0 |
| Formación del personal sobre la divulgación de la información no pública | CMA_C1084: Forma al personal sobre la divulgación de la información no pública | Manual, Deshabilitado | 1.1.0 |
Proceso disciplinario
Identificador: ISO 27001:2013 A.7.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del proceso formal de sanción | CMA_0317: Implementa el proceso formal de sanción | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal sobre las sanciones | CMA_0380: Notifica al personal sobre las sanciones | Manual, Deshabilitado | 1.1.0 |
Terminación o cambio de responsabilidades laborales
Identificador: ISO 27001:2013 A.7.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una entrevista de salida tras la finalización de contrato | CMA_0058: Realiza una entrevista de salida tras la finalización de contrato | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Inicia acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modifica autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notifica tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Protección e impedimento de los robos de datos de los empleados que se marchan | CMA_0398: Protege y evita los robos de datos de los empleados que se marchan | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevalúa el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conserva los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Administración de activos
Inventario de activos
Identificador: ISO 27001:2013 A.8.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crea un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantiene registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Propiedad de los recursos
Identificador: ISO 27001:2013 A.8.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquea los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controla el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Creación de un inventario de datos | CMA_0096: Crea un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Establecer y mantener un inventario de activos | CMA_0266: Establece y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantiene registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringe el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Uso aceptable de los recursos
Identificador: ISO 27001:2013 A.8.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
Devolución de recursos
Identificador: ISO 27001:2013 A.8.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una entrevista de salida tras la finalización de contrato | CMA_0058: Realiza una entrevista de salida tras la finalización de contrato | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Inicia acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modifica autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notifica tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Protección e impedimento de los robos de datos de los empleados que se marchan | CMA_0398: Protege y evita los robos de datos de los empleados que se marchan | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevalúa el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conserva los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Clasificación de la información
Identificador: ISO 27001:2013 A.8.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Clasificación de la información | CMA_0052: Clasifica la información | Manual, Deshabilitado | 1.1.0 |
| Desarollar esquemas de clasificación empresarial | CMA_0155: Desarrolla esquemas de clasificación empresarial | Manual, Deshabilitado | 1.1.0 |
| Garantía de que se aprueba la categorización de seguridad | CMA_C1540: Garantiza que se aprueba la categorización de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisa la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los resultados de vulnerabilidades | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
Etiquetado de la información
Identificador: ISO 27001:2013 A.8.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisa la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Control de recursos
Identificador: ISO 27001:2013 A.8.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquea los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controla el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Define los requisitos para Administra recursos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establece un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementa un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administra la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Protege información especial | Manual, Deshabilitado | 1.1.0 |
| Proporcionar servicios seguros para resolver nombres y direcciones | CMA_0416: Proporciona servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringe el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisa la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Administración de medios extraíbles
Identificador: ISO 27001:2013 A.8.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquea los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controla el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringe el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Eliminación de elementos multimedia
Identificador: ISO 27001:2013 A.8.3.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usa un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Transferencia de medios físicos
Identificador: ISO 27001:2013 A.8.3.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Control de acceso
Directiva de control de acceso
Identificador: ISO 27001:2013 A.9.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
Acceso a redes y servicios de red
Identificador: ISO 27001:2013 A.9.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten conexiones remotas de cuentas sin contraseñas | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseñas | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados | auditoría | 1.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilita la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Aplicar la existencia de unicidad de usuario | CMA_0250: Aplica la existencia de unicidad de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establece requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Identificar las acciones permitidas sin autenticación | CMA_0295: Identifica las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establece notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para que sus cuentas de almacenamiento ofrezcan mejoras de seguridad como: control de acceso más estricto (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso a almacén de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de la seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admite credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para que sus máquinas virtuales proporcionen mejoras de seguridad como: control de acceso más estricto (RBAC), mejor auditoría, implementación y gobernanza basadas en Azure Resource Manager, acceso a identidades administradas, acceso al almacén de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de la seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
Registro y cancelación del registro del usuario
Identificador: ISO 27001:2013 A.9.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Asignación de identificadores del sistema | CMA_0018: Asigna identificadores del sistema | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilita la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Aplicar la existencia de unicidad de usuario | CMA_0250: Aplica la existencia de unicidad de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establece los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Identificar las acciones permitidas sin autenticación | CMA_0295: Identifica las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Implementación la formación para proteger los autenticadores | CMA_0329: Implementa la formación para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administra la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administra autenticadores | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificaa a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la reutilización de identificadores para el periodo de tiempo definido | CMA_C1314: Impide la reutilización de identificadores para el periodo de tiempo definido | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualiza autenticadores | Manual, Deshabilitado | 1.1.0 |
| Nueva emisión de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Vuelve a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisa y reevalúa los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establece notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admite credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Compruebe la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Aprovisionamiento del acceso de usuario
Identificador: ISO 27001:2013 A.9.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limita los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificaa a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisa y reevalúa los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Administración de los derechos de acceso con privilegios
Identificador: ISO 27001:2013 A.9.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas | Auditar, Deshabilitado | 1.0.1 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Las cuentas de invitado que tengan permisos de propietario sobre los recursos de Azure deben quitarse | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado que tengan permisos de escritura para los recursos de Azure deben quitarse | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limita los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisa la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificaa a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisa y reevalúa los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usa Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Administración de la información de autenticación de secretos de los usuarios
Identificador: ISO 27001:2013 A.9.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Los equipos no son compatibles si los equipos Linux no tienen los permisos del archivo de contraseñas establecidos en 0644 | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establece los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación la formación para proteger los autenticadores | CMA_0329: Implementa la formación para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administra la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administra autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualiza autenticadores | Manual, Deshabilitado | 1.1.0 |
| Nueva emisión de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Vuelve a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Compruebe la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Revisión de los derechos de acceso de los usuarios
Identificador: ISO 27001:2013 A.9.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas que tengan permisos de propietario sobre los recursos de Azure | Las cuentas en desuso con permisos de propietario deben quitarse de su suscripción. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure | Las cuentas en desuso deben quitarse de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Las cuentas de invitado que tengan permisos de propietario sobre los recursos de Azure deben quitarse | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado que tengan permisos de escritura para los recursos de Azure deben quitarse | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificaa a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasigna o quita privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisa y reevalúa los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisa privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
Eliminación o ajuste de los derechos de acceso
Identificador: ISO 27001:2013 A.9.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas que tengan permisos de propietario sobre los recursos de Azure | Las cuentas en desuso con permisos de propietario deben quitarse de su suscripción. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure | Las cuentas en desuso deben quitarse de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Inicia acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modifica autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificaa a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notifica tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevalúa el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisa y reevalúa los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Uso de la información de autenticación secreta
Identificador: ISO 27001:2013 A.9.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establece los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación la formación para proteger los autenticadores | CMA_0329: Implementa la formación para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administra la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administra autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualiza autenticadores | Manual, Deshabilitado | 1.1.0 |
| Nueva emisión de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Vuelve a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Finalizar credenciales de cuenta controladas por el cliente | CMA_C1022: Finaliza credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Compruebe la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Restricción de acceso a la información
Identificador: ISO 27001:2013 A.9.4.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limita los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Procedimientos seguros de inicio de sesión
Identificador: ISO 27001:2013 A.9.4.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilita la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | CMA_C1044: Aplica un límite de intentos de inicio de sesión erróneos consecutivos | Manual, Deshabilitado | 1.1.0 |
| Aplicar la existencia de unicidad de usuario | CMA_0250: Aplica la existencia de unicidad de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establece requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Generación de mensajes de error | CMA_C1724: Genera mensajes de error | Manual, Deshabilitado | 1.1.0 |
| Identificar las acciones permitidas sin autenticación | CMA_0295: Identifica las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no pertenecen a la organización | CMA_C1346: Identifica y autentica usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Ocultación de información de comentarios durante el proceso de autenticación | CMA_C1344: Oculta información de comentarios durante el proceso de autenticación | Manual, Deshabilitado | 1.1.0 |
| Muestra de mensajes de error | CMA_C1725: Muestra mensajes de error | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establece notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admite credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finaliza la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Sistema de administración de contraseñas
Identificador: ISO 27001:2013 A.9.4.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan la antigüedad máxima de contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Los equipos no son compatibles si los equipos Windows no tienen habilitada la configuración de complejidad de contraseña | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas al número de caracteres especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña al número de caracteres especificado. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establece los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación la formación para proteger los autenticadores | CMA_0329: Implementa la formación para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administra la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administra autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualiza autenticadores | Manual, Deshabilitado | 1.1.0 |
| Nueva emisión de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Vuelve a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Compruebe la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Uso de programas de utilidad privilegiados
Identificador: ISO 27001:2013 A.9.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Control de acceso al código fuente del programa
Identificador: ISO 27001:2013 A.9.4.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limita los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Mejora
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Contexto de la organización
Determinación del ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Determinación del ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Determinación del ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinea los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las solicitudes de inversión y planificación de capital incluyan los recursos necesarios | CMA_C1734: Garantiza que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de privacidad para contratistas y proveedores de servicios | CMA_C1810: Establece los requisitos de privacidad para los contratistas y proveedores de servicios | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controla la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso del liderazgo | CMA_0489: Garantiza el compromiso del liderazgo | Manual, Deshabilitado | 1.1.0 |
Sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinea los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asigna recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las solicitudes de inversión y planificación de capital incluyan los recursos necesarios | CMA_C1734: Garantiza que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantizar la disponibilidad pública de la información del programa de privacidad | CMA_C1867: Garantiza que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establece un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controla la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso del liderazgo | CMA_0489: Garantiza el compromiso del liderazgo | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinea los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asigna recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las solicitudes de inversión y planificación de capital incluyan los recursos necesarios | CMA_C1734: Garantiza que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establece un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controla la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso del liderazgo | CMA_0489: Garantiza el compromiso del liderazgo | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.h Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de un responsable de seguridad de información sénior | CMA_C1733: Designa a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisa las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisa y actualiza las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisa y actualiza directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisa y actualiza directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisa y actualiza directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisa y actualiza directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisa y actualiza directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar las directivas y procedimientos de protección del sistema y las comunicaciones | CMA_C1616: Revisa y actualiza las directivas y procedimientos de protección del sistema y las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisa y actualiza directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisa y actualiza procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisa la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de control de acceso | CMA_0144: Desarrolla directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualización del plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualiza el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Roles, responsabilidades y autoridades de la organización
Identificador: ISO 27001:2013 C.5.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Planificación
General
Identificador: ISO 27001:2013 C.6.1.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.e.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.e.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.a.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.a.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.c.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.c.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.e.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.e.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Objetivos de seguridad de la información y planificación para alcanzarlos
Identificador: ISO 27001:2013 C.6.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Soporte técnico
Recursos
Identificador: ISO 27001:2013 C.7.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinea los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asigna recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las solicitudes de inversión y planificación de capital incluyan los recursos necesarios | CMA_C1734: Garantiza que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establece un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controla la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso del liderazgo | CMA_0489: Garantiza el compromiso del liderazgo | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documenta la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la finalización la formación de seguridad y privacidad | CMA_0379: Supervisa la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Supervisión de la finalización la formación de seguridad y privacidad | CMA_0379: Supervisa la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Supervisión de la finalización la formación de seguridad y privacidad | CMA_0379: Supervisa la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Conservación de registros de formación | CMA_0456: Conserva registros de formación | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar directivas y procedimientos de uso aceptables | CMA_0143: Desarrolla directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y acuerdos de acceso | CMA_0248: Aplica reglas de comportamiento y acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar personal autorizado para publicar información de acceso público | CMA_C1083: Designa personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar personal autorizado para publicar información de acceso público | CMA_C1083: Designa personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar personal autorizado para publicar información de acceso público | CMA_C1083: Designa personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar personal autorizado para publicar información de acceso público | CMA_C1083: Designa personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar personal autorizado para publicar información de acceso público | CMA_C1083: Designa personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Creación y actualización
Identificador: ISO 27001:2013 C.7.5.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar SSP que cumpla los criterios | CMA_C1492: Desarrolla SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planificación | CMA_C1491: Revisa y actualiza directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Operación
Planificación y control operativos
Identificador: ISO 27001:2013 C.8.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatiza la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatiza la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatiza el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.8.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos y documentación de sus resultados | CMA_C1542: Realiza una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.8.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación del rendimiento
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configura la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.a.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.a.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar plan de evaluación de seguridad | CMA_C1144: Desarrolla el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ajuste del nivel de revisión, análisis y creación de informes de auditoría | CMA_C1123: Ajusta el nivel de revisión, análisis y creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrolla directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Emplear evaluadores independientes para valorar el control de seguridad | CMA_C1148: Emplea evaluadores independientes para valorar el control de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualiza las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entrega los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: Cumple con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conserva directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conserva los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Implementación de planes de acción e hitos para el proceso del programa de seguridad | CMA_C1737: Implementa planes de acción e hitos para el proceso del programa de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarollar POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definición de métricas de rendimiento | CMA_0124: Define métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evalúa los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualiza los elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Siguientes pasos
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.