Detalles de la iniciativa integrada de cumplimiento normativo de ISO 27001:2013
En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de ISO 27001:2013. Para más información sobre este estándar de cumplimiento, consulte ISO 27001:2013. Para entender el concepto de Propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
Las siguientes asignaciones son para los controles de ISO 27001:2013. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de ISO 27001:2013.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
Criptografía
Directiva sobre el uso de controles criptográficos
Identificador: ISO 27001:2013 A.10.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar y distribuir una directiva de privacidad | CMA_0188: Documentar y distribuir una directiva de privacidad | Manual, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir las comunicaciones | CMA_0449: Restringir las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Administración de claves
Identificador: ISO 27001:2013 A.10.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Identificación de las acciones permitidas sin autenticación | CMA_0295: Identificar las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Finalización de credenciales de cuenta controladas por el cliente | CMA_C1022: Finalizar credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
Seguridad física y medioambiental
Perímetro de seguridad física
Identificador: ISO 27001:2013 A.11.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de un sistema de seguridad con cámara de vigilancia | CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Controles de entrada físicos
Identificador: ISO 27001:2013 A.11.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Designación de personal para supervisar las actividades de mantenimiento no autorizadas | CMA_C1422: Designar personal para supervisar las actividades de mantenimiento no autorizadas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Conservación de una lista de personal de mantenimiento remoto autorizado | CMA_C1420: Mantener una lista de personal de mantenimiento remoto autorizado | Manual, Deshabilitado | 1.1.0 |
| Administración del personal de mantenimiento | CMA_C1421: Administrar el personal de mantenimiento | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Proteger oficinas, salas e instalaciones
Identificador: ISO 27001:2013 A.11.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Protección contra amenazas ambientales y externas
Identificador: ISO 27001:2013 A.11.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Trabajo en áreas seguras
Identificador: ISO 27001:2013 A.11.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
Áreas de entrega y carga
Identificador: ISO 27001:2013 A.11.1.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Definir los requisitos para administrar recursos | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de un sistema de seguridad con cámara de vigilancia | CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Ubicación y protección del equipo
Identificador: ISO 27001:2013 A.11.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Utilidades auxiliares
Identificador: ISO 27001:2013 A.11.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de iluminación de emergencia automática | CMA_0209: Usar iluminación de emergencia automática | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establecer requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
Seguridad del cableado
Identificador: ISO 27001:2013 A.11.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
Mantenimiento de equipos
Identificador: ISO 27001:2013 A.11.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de las actividades de mantenimiento remoto | CMA_C1402: Automatizar las actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Generación de registros completos de actividades de mantenimiento remoto | CMA_C1403: Generar registros completos de actividades de mantenimiento remoto | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de soporte técnico de mantenimiento oportuno | CMA_C1425: Proporcionar soporte técnico de mantenimiento oportuno | Manual, Deshabilitado | 1.1.0 |
Eliminación de recursos
Identificador: ISO 27001:2013 A.11.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Definir los requisitos para administrar recursos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Seguridad del equipo y de los recursos fuera del entorno
Identificador: ISO 27001:2013 A.11.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de requisitos de los dispositivos móviles | CMA_0122: Definir requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen | CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establecer los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para procesar los recursos | CMA_C1077: Establecer los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Denegación de que los sistemas de información acompañen a las personas | CMA_C1182: No permitir que los sistemas de información acompañen a las personas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprobar los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Eliminación o reutilización segura del equipo
Identificador: ISO 27001:2013 A.11.2.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Equipo de usuario desatendido
Identificador: ISO 27001:2013 A.11.2.8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finalizar la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Borrar directiva de pantalla y borrar escritorio
Identificador: ISO 27001:2013 A.11.2.9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Seguridad de las operaciones
Procedimientos operativos documentados
Identificador: ISO 27001:2013 A.12.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Distribución de la documentación del sistema de información | CMA_C1584: Distribuir la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Acciones definidas del cliente del documento | CMA_C1582: Acciones definidas del cliente del documento | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Obtención de documentación para administradores | CMA_C1580: Obtener documentación para administradores | Manual, Deshabilitado | 1.1.0 |
| Obtención de la documentación de la función de seguridad del usuario | CMA_C1581: Obtener la documentación de la función de seguridad del usuario | Manual, Deshabilitado | 1.1.0 |
| Protección de la documentación del administrador y del usuario | CMA_C1583: Proteger la documentación del administrador y del usuario | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Administración de cambios
Identificador: ISO 27001:2013 A.12.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Administración de capacidades
Identificador: ISO 27001:2013 A.12.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización del planeamiento de capacidad | CMA_C1252: Realizar el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Control y supervisión de las actividades de procesamiento de auditoría | CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría | Manual, Deshabilitado | 1.1.0 |
Separación de entornos de desarrollo, de pruebas y operativos
Identificador: ISO 27001:2013 A.12.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger DCP | CMA_C1839: Implementar controles para proteger DCP | Manual, Deshabilitado | 1.1.0 |
| Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | CMA_0331: Incorporar prácticas de seguridad y privacidad de datos en el procesamiento de investigación | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Controles contra malware
Identificador: ISO 27001:2013 A.12.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control de las actividades de mantenimiento y reparación | CMA_0080: Controlar las actividades de mantenimiento y reparación | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administración de actividades de diagnóstico y mantenimiento no locales | CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de reconocimiento de seguridad | CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el estado de protección contra amenazas | CMA_0479: Revisar semanalmente el estado de protección contra amenazas | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
Copia de seguridad de información
Identificador: ISO 27001:2013 A.12.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementar la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Almacenamiento independiente de la información de copia de seguridad por separado | CMA_C1293: Almacenar la información de copia de seguridad por separado | Manual, Deshabilitado | 1.1.0 |
| Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Registro de eventos
Identificador: ISO 27001:2013 A.12.4.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Autorizar, supervisar y controlar VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Configuración de las funcionalidades de auditoría de Azure | CMA_C1108: Configurar la funcionalidad de auditoría de Azure | Manual, Deshabilitado | 1.1.1 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Detección de cualquier indicador de compromiso | CMA_C1702: Descubrir cualquier indicador de compromiso | Manual, Deshabilitado | 1.1.0 |
| Documentar la base legal para procesar la información personal | CMA_0206: Documentar la base legal para procesar la información personal | Manual, Deshabilitado | 1.1.0 |
| Exigencia y auditoría de las restricciones de acceso | CMA_C1203: Exigir y auditar las restricciones de acceso | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementar los métodos para las solicitudes del consumidor | CMA_0319: Implementar los métodos para las solicitudes del consumidor | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de información de supervisión según sea necesario | CMA_C1689: Proporcionar información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Publicar procedimientos de acceso en SORN | CMA_C1848: Publicar procedimientos de acceso en SORN | Manual, Deshabilitado | 1.1.0 |
| Publicar reglas y normativas que accedan a los registros de la Ley de privacidad | CMA_C1847: Publicar reglas y normativas que accedan a los registros de la Ley de privacidad | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de los eventos definidos en AU-02 | CMA_C1106: Revisar y actualizar los eventos definidos en AU-02 | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios en busca de cambios no autorizados | CMA_C1204: Revisar los cambios en busca de cambios no autorizados | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Protección de la información de registro
Identificador: ISO 27001:2013 A.12.4.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Definir las tareas de los procesadores | CMA_0127: Definir las tareas de los procesadores | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Divulgar los registros de información de identificación personal a terceros | CMA_0422: Divulgar los registros de información de identificación personal a terceros | Manual, Deshabilitado | 1.1.0 |
| Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Registros de administrador y operador
Identificador: ISO 27001:2013 A.12.4.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Autorizar, supervisar y controlar VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de texto completo de los comandos con privilegios registrados | CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de información de supervisión según sea necesario | CMA_C1689: Proporcionar información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Sincronización del reloj
Identificador: ISO 27001:2013 A.12.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Compilar los registros de auditoría en la auditoría de todo el sistema | CMA_C1140: Compilar los registros de auditoría en la auditoría de todo el sistema | Manual, Deshabilitado | 1.1.0 |
| Dependency Agent se debe habilitar para las imágenes de máquina virtual enumeradas | Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Usar los relojes del sistema para registros de auditoría | CMA_0535: Usar los relojes del sistema para los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
Instalación de software en sistemas operativos
Identificador: ISO 27001:2013 A.12.5.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Automatizar la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control del cumplimiento de los proveedores de servicios en la nube | CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Administración de vulnerabilidades técnicas
Identificador: ISO 27001:2013 A.12.6.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribuir sus resultados | CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Selección de pruebas adicionales para evaluaciones de control de seguridad | CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
Restricciones de instalación de software
Identificador: ISO 27001:2013 A.12.6.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Automatizar la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control del cumplimiento de los proveedores de servicios en la nube | CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Controles de auditoría de sistemas de información
Identificador: ISO 27001:2013 A.12.7.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
Seguridad de las comunicaciones
Controles de red
Identificador: ISO 27001:2013 A.13.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establecer los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para procesar los recursos | CMA_C1077: Establecer los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impedir la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Autenticación de nuevo o finalización de una sesión de usuario | CMA_0421: Volver a autenticar o finalizar una sesión de usuario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separar la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Usar máquinas dedicadas a tareas administrativas | CMA_0527: Usar máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprobar los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Seguridad de los servicios de red
Identificador: ISO 27001:2013 A.13.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establecer requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impedir la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Requerir acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de seguridad de interconexión | CMA_0519: Actualizar los contratos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
Separación de redes
Identificador: ISO 27001:2013 A.13.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impedir la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separar la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usar máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
Directivas y procedimientos de transferencia de información
Identificador: ISO 27001:2013 A.13.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definición de requisitos de los dispositivos móviles | CMA_0122: Definir requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para acceder a los recursos | CMA_C1076: Establecer los términos y condiciones para acceder a los recursos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los términos y condiciones para procesar los recursos | CMA_C1077: Establecer los términos y condiciones para procesar los recursos | Manual, Deshabilitado | 1.1.0 |
| Notificación explícita del uso de dispositivos informáticos con fines de colaboración | CMA_C1649: Notificar explícitamente el uso de dispositivos informáticos con fines de colaboración | Manual, Deshabilitado | 1.1.1 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
| Producir, controlar y distribuir claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Prohibición de la activación remota de dispositivos informáticos de colaboración | CMA_C1648: Prohibir la activación remota de dispositivos informáticos de colaboración | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Requerir acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Actualizar los contratos de seguridad de interconexión | CMA_0519: Actualizar los contratos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Comprobación de los controles de seguridad de sistemas de información externos | CMA_0541: Comprobar los controles de seguridad de sistemas de información externos | Manual, Deshabilitado | 1.1.0 |
Acuerdos sobre transferencia de información
Identificador: ISO 27001:2013 A.13.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identificar proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de acuerdos de seguridad de interconexión | CMA_C1151: Requerir acuerdos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de seguridad de interconexión | CMA_0519: Actualizar los contratos de seguridad de interconexión | Manual, Deshabilitado | 1.1.0 |
Mensajería electrónica
Identificador: ISO 27001:2013 A.13.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
Acuerdos de confidencialidad o no divulgación
Identificador: ISO 27001:2013 A.13.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de la directiva de código de conducta de la organización | CMA_0159: Desarrollar la directiva de código de conducta de la organización | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los contratos de acceso de la organización | CMA_0192: Documentar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Prohibición de prácticas ilegales | CMA_0396: Prohibir prácticas ilegales | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen acuerdos de acceso | CMA_0440: Requerir a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y firma de reglas de comportamiento revisadas | CMA_0465: Revisar y firmar reglas de comportamiento revisadas | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de acceso de la organización | CMA_0520: Actualizar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso | CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años | Manual, Deshabilitado | 1.1.0 |
Adquisición, desarrollo y mantenimiento del sistema
Análisis y especificación de requisitos de seguridad de información
Identificador: ISO 27001:2013 A.14.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un concepto de operaciones (CONOPS) | CMA_0141: Desarrollar un concepto de operaciones (CONOPS) | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identificar proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de la arquitectura de seguridad de la información | CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Protección de los servicios de aplicaciones en redes públicas
Identificador: ISO 27001:2013 A.14.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
Protección de transacciones de servicios de la aplicación
Identificador: ISO 27001:2013 A.14.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la tunelización dividida para dispositivos remotos | CMA_C1632: Impedir la tunelización dividida para dispositivos remotos | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Separación de la función de administración de usuarios y de sistemas de información | CMA_0493: Separar la función de administración de usuarios y de sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Uso de máquinas dedicadas a tareas administrativas | CMA_0527: Usar máquinas dedicadas a tareas administrativas | Manual, Deshabilitado | 1.1.0 |
Directiva de desarrollo segura
Identificador: ISO 27001:2013 A.14.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores describan la función de seguridad precisa | CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | CMA_C1614: Requerir que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Procedimientos de control de cambios del sistema
Identificador: ISO 27001:2013 A.14.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Revisión técnica de las aplicaciones después de cambios en la plataforma de funcionamiento
Identificador: ISO 27001:2013 A.14.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Restricciones de los cambios en los paquetes de software
Identificador: ISO 27001:2013 A.14.2.4 Propiedad: compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
Principios de la ingeniería de sistemas segura
Identificador: ISO 27001:2013 A.14.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de la validación de la entrada de información | CMA_C1723: Realizar la validación de la entrada de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores describan la función de seguridad precisa | CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | CMA_C1614: Requerir que los desarrolladores proporcionen un enfoque unificado de protección de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
Entorno de desarrollo seguro
Identificador: ISO 27001:2013 A.14.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Desarrollo externalizado
Identificador: ISO 27001:2013 A.14.2.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Pruebas de seguridad del sistema
Identificador: ISO 27001:2013 A.14.2.8 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Generación de informe de evaluación de seguridad | CMA_C1146: Generar informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Pruebas de aceptación del sistema
Identificador: ISO 27001:2013 A.14.2.9 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignación de un oficial de autorización (AO) | CMA_C1158: Asignar un oficial de autorización (AO) | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los recursos están autorizados | CMA_C1159: Asegurarse de que los recursos están autorizados | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
Protección de datos de prueba
Identificador: ISO 27001:2013 A.14.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Garantía de que no haya autenticadores estáticos sin cifrar | CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Realizar revisión para eliminación | CMA_0391: Realizar revisión para eliminación | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Comprobar que los datos personales se eliminan al final del procesamiento | CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento | Manual, Deshabilitado | 1.1.0 |
Relaciones de proveedor
Directiva de seguridad de información para relaciones de proveedores
Identificador: ISO 27001:2013 A.15.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
Abordar la seguridad en el contrato de proveedor
Identificador: ISO 27001:2013 A.15.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de la directiva de código de conducta de la organización | CMA_0159: Desarrollar la directiva de código de conducta de la organización | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Identificación de proveedores de servicios externos | CMA_C1591: Identificar proveedores de servicios externos | Manual, Deshabilitado | 1.1.0 |
| Prohibición de prácticas ilegales | CMA_0396: Prohibir prácticas ilegales | Manual, Deshabilitado | 1.1.0 |
| Revisión y firma de reglas de comportamiento revisadas | CMA_0465: Revisar y firmar reglas de comportamiento revisadas | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso | CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años | CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años | Manual, Deshabilitado | 1.1.0 |
Cadena de suministro de tecnología de información y comunicación
Identificador: ISO 27001:2013 A.15.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
Supervisión y revisión de los servicios de proveedores
Identificador: ISO 27001:2013 A.15.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Administrar los cambios de los servicios de proveedores
Identificador: ISO 27001:2013 A.15.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Gestión de Información de Incidentes de Seguridad
Responsabilidades y procedimientos
Identificador: ISO 27001:2013 A.16.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantener registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Proteger el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
Notificar eventos de seguridad de información
Identificador: ISO 27001:2013 A.16.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
Informes de debilidades de seguridad de la información
Identificador: ISO 27001:2013 A.16.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Evaluación y decisión sobre eventos de seguridad de información
Identificador: ISO 27001:2013 A.16.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Respuesta a incidentes de seguridad de información
Identificador: ISO 27001:2013 A.16.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Aprender de los incidentes de seguridad de la información
Identificador: ISO 27001:2013 A.16.1.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Detección de cualquier indicador de compromiso | CMA_C1702: Descubrir cualquier indicador de compromiso | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Recopilación de evidencias
Identificador: ISO 27001:2013 A.16.1.7 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Informe del comportamiento inusual de las cuentas de usuario | CMA_C1025: Informar del comportamiento inusual de las cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Aspectos de seguridad de la información de la administración de continuidad empresarial
Planificación de la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunicar los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de planes de contingencia | CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuir directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualizar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
Implementación de la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunicar los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establecer requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementar la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Recuperación y reconstrucción de los recursos después de una interrupción | CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción | Manual, Deshabilitado | 1.1.1 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
Comprobar, revisar y evaluar la continuidad de seguridad de la información
Identificador: ISO 27001:2013 A.17.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Inicio de acciones correctivas para probar el plan de contingencia | CMA_C1263: Iniciar acciones correctivas para probar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión de los resultados de las pruebas del plan de contingencia | CMA_C1262: Revisar los resultados de las pruebas del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Prueba del plan de continuidad empresarial y recuperación ante desastres | CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
Disponibilidad de las instalaciones de procesamiento de información
Identificador: ISO 27001:2013 A.17.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunicar los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de planes de contingencia | CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuir directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualizar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
Cumplimiento normativo
Identificación de la legislación aplicable y los requisitos contractuales
Identificador: ISO 27001:2013 A.18.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Proteger el plan del programa de seguridad de la información | CMA_C1732: Proteger el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Derechos de propiedad intelectual
Identificador: ISO 27001:2013 A.18.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerir el cumplimiento de los derechos de propiedad intelectual | CMA_0432: Requerir el cumplimiento de los derechos de propiedad intelectual | Manual, Deshabilitado | 1.1.0 |
| Seguimiento del uso de licencias de software | CMA_C1235: Realizar un seguimiento del uso de licencias de software | Manual, Deshabilitado | 1.1.0 |
Protección de registros
Identificador: ISO 27001:2013 A.18.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Habilitar la autorización doble o conjunta | CMA_0226: Habilitar la autorización doble o conjunta | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Garantía de que el sistema de información falla en un estado conocido | CMA_C1662: Asegurarse de que el sistema de información falla en un estado conocido | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la recuperación basada en transacciones | CMA_C1296: Implementar la recuperación basada en transacciones | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Privacidad y protección de la información de identificación personal
Identificador: ISO 27001:2013 A.18.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Administrar actividades de cumplimiento | CMA_0358: Administrar actividades de cumplimiento | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Regulación de controles criptográficos
Identificador: ISO 27001:2013 A.18.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autenticación para el módulo criptográfico | CMA_0021: Autenticar para el módulo criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
Revisión independiente de la seguridad de la información
Identificador: ISO 27001:2013 A.18.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Cumplimiento de las políticas y estándares de seguridad
Identificador: ISO 27001:2013 A.18.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Generación de informe de evaluación de seguridad | CMA_C1146: Generar informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proteger el plan del programa de seguridad de la información | CMA_C1732: Proteger el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Revisión del cumplimiento técnico
Identificador: ISO 27001:2013 A.18.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Entrega de los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Generación de informe de evaluación de seguridad | CMA_C1146: Generar informe de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Directivas de seguridad de la información
Directivas para seguridad de la información
Identificador: ISO 27001:2013 A.5.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | CMA_C1810: Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Administrar actividades de cumplimiento | CMA_0358: Administrar actividades de cumplimiento | Manual, Deshabilitado | 1.1.0 |
| Proteger el plan del programa de seguridad de la información | CMA_C1732: Proteger el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Revisión de las directivas de seguridad de la información
Identificador: ISO 27001:2013 A.5.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Proteger el plan del programa de seguridad de la información | CMA_C1732: Proteger el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Organización de Seguridad de la Información
Roles y responsabilidades de seguridad de la información
Identificador: ISO 27001:2013 A.6.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Comunicación de los cambios del plan de contingencia | CMA_C1249: Comunicar los cambios del plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de la protección del plan de configuración | CMA_C1233: Crear la protección del plan de configuración | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Designar a personas para que cumplan roles y responsabilidades específicos | CMA_C1747: Designar a personas para que cumplan roles y responsabilidades específicos | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de identificación de elementos de configuración | CMA_C1231: Desarrollar un plan de identificación de elementos de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de administración de configuración | CMA_C1232: Desarrollar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de planes de contingencia | CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuir directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar e implementar procedimientos de quejas de privacidad | CMA_0189: Documentar e implementar los procedimientos de quejas de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad del personal de terceros | CMA_C1531: Documentar los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Asegurarse de que la información del programa de privacidad esté disponible de manera pública | CMA_C1867: Asegurarse de que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad del personal de terceros | CMA_C1529: Establecer los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Administrar el estado de seguridad de los sistemas de información | CMA_C1746: Administrar el estado de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Supervisión del cumplimiento de los proveedores de terceros | CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Proteger el plan del programa de seguridad de la información | CMA_C1732: Proteger el plan del programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Revisión del plan de contingencia | CMA_C1247: Revisar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización del plan de contingencia | CMA_C1248: Actualizar el plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Separación de obligaciones
Identificador: ISO 27001:2013 A.6.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Definir autorizaciones de acceso para admitir la separación de tareas | CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación de la separación de obligaciones | CMA_0204: Documentar la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Separación de las obligaciones de las personas | CMA_0492: Separar las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Contacto con autoridades
Identificador: ISO 27001:2013 A.6.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Administrar contactos para las autoridades y los grupos de interés especial | CMA_0359: Administrar contactos para las autoridades y los grupos de interés especial | Manual, Deshabilitado | 1.1.0 |
Contacto con grupos de interés especial
Identificador: ISO 27001:2013 A.6.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Difusión de alertas de seguridad al personal | CMA_C1705: Difundir alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de inteligencia sobre amenazas | CMA_0260: Establecer un programa de inteligencia sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Generación de alertas de seguridad internas | CMA_C1704: Generar alertas de seguridad internas | Manual, Deshabilitado | 1.1.0 |
| Implementación de directivas de seguridad | CMA_C1706: Implementar directivas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Administrar contactos para las autoridades y los grupos de interés especial | CMA_0359: Administrar contactos para las autoridades y los grupos de interés especial | Manual, Deshabilitado | 1.1.0 |
Seguridad de la información en administración de proyectos
Identificador: ISO 27001:2013 A.6.1.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de roles y responsabilidades de seguridad de la información | CMA_C1565: Definir roles y responsabilidades de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Identificación de personas con roles y responsabilidades de seguridad | CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad | Manual, Deshabilitado | 1.1.1 |
| Integración del proceso de administración de riesgos en SDLC | CMA_C1567: Integrar el proceso de administración de riesgos en SDLC | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Revisión del proceso de desarrollo, los estándares y las herramientas | CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Directiva de dispositivo móvil
Identificador: ISO 27001:2013 A.6.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Definición de requisitos de los dispositivos móviles | CMA_0122: Definir requisitos de los dispositivos móviles | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Teletrabajo
Identificador: ISO 27001:2013 A.6.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Seguridad de Recursos Humanos
Filtrado
Identificador: ISO 27001:2013 A.7.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borrar al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementar el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisar individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Términos y condiciones laborales
Identificador: ISO 27001:2013 A.7.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los contratos de acceso de la organización | CMA_0192: Documentar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Documentación de la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Asegurarse de que la información del programa de privacidad esté disponible de manera pública | CMA_C1867: Asegurarse de que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Implementar métodos de entrega de avisos de privacidad | CMA_0324: Implementar métodos de entrega de avisos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aviso de privacidad | CMA_0414: Proporcionar aviso de privacidad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen acuerdos de acceso | CMA_0440: Requerir a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de acceso de la organización | CMA_0520: Actualizar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
Responsabilidades de administración
Identificador: ISO 27001:2013 A.7.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los contratos de acceso de la organización | CMA_0192: Documentar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad del personal de terceros | CMA_C1531: Documentar los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad del personal de terceros | CMA_C1529: Establecer los requisitos de seguridad del personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Supervisión del cumplimiento de los proveedores de terceros | CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros | CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los usuarios de que firmen acuerdos de acceso | CMA_0440: Requerir a los usuarios que firmen acuerdos de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Actualización de los contratos de acceso de la organización | CMA_0520: Actualizar los contratos de acceso de la organización | Manual, Deshabilitado | 1.1.0 |
Conocimiento de seguridad de la información, educación y aprendizaje
Identificador: ISO 27001:2013 A.7.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Empleo de un entorno de formación automatizado | CMA_C1357: Emplear un entorno de formación automatizado | Manual, Deshabilitado | 1.1.0 |
| Establecer el programa de desarrollo y mejora de personal de seguridad de la información | CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la finalización de la formación de seguridad y privacidad | CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación sobre contingencias | CMA_0412: Proporcionar formación sobre contingencias | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de reconocimiento de seguridad | CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad basada en roles | CMA_C1094: Proporcionar formación de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservación de registros de formación | CMA_0456: Conservar registros de formación | Manual, Deshabilitado | 1.1.0 |
| Formación del personal sobre la divulgación de la información no pública | CMA_C1084: Formar al personal sobre la divulgación de la información no pública | Manual, Deshabilitado | 1.1.0 |
Proceso disciplinario
Identificador: ISO 27001:2013 A.7.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación del proceso formal de sanción | CMA_0317: Implementar el proceso formal de sanción | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal sobre las sanciones | CMA_0380: Notificar al personal sobre las sanciones | Manual, Deshabilitado | 1.1.0 |
Terminación o cambio de responsabilidades laborales
Identificador: ISO 27001:2013 A.7.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una entrevista de salida tras la finalización de contrato | CMA_0058: Realizar una entrevista de salida tras la finalización de contrato | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Iniciar acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notificar tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Protección e impedimento de los robos de datos de los empleados que se marchan | CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevaluar el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Administración de recursos
Inventario de recursos
Identificador: ISO 27001:2013 A.8.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
Propiedad de los recursos
Identificador: ISO 27001:2013 A.8.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Creación de un inventario de datos | CMA_0096: Crear un inventario de datos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de procesamiento de datos personales | CMA_0353: Mantener registros de procesamiento de datos personales | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringir el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Uso aceptable de recursos
Identificador: ISO 27001:2013 A.8.1.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
Devolución de recursos
Identificador: ISO 27001:2013 A.8.1.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una entrevista de salida tras la finalización de contrato | CMA_0058: Realizar una entrevista de salida tras la finalización de contrato | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Iniciar acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notificar tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Protección e impedimento de los robos de datos de los empleados que se marchan | CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevaluar el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Clasificación de la información
Identificador: ISO 27001:2013 A.8.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Clasificación de la información | CMA_0052: Clasificar la información | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de esquemas de clasificación empresarial | CMA_0155: Desarrollar esquemas de clasificación empresarial | Manual, Deshabilitado | 1.1.0 |
| Garantía de que se aprueba la categorización de seguridad | CMA_C1540: Asegurarse de que se aprueba la categorización de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
Etiquetado de la información
Identificador: ISO 27001:2013 A.8.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Control de recursos
Identificador: ISO 27001:2013 A.8.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para administrar recursos | CMA_0125: Definir los requisitos para administrar recursos | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de un servicio de nombre o dirección tolerante a errores | CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de servicios seguros para resolver nombres y direcciones | CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringir el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisar la actividad y el análisis de etiquetas | CMA_0474: Revisar la actividad y el análisis de etiquetas | Manual, Deshabilitado | 1.1.0 |
Administración de medios extraíbles
Identificador: ISO 27001:2013 A.8.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Control del uso de dispositivos de almacenamiento portátiles | CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles | Manual, Deshabilitado | 1.1.0 |
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Restricción del uso de elementos multimedia | CMA_0450: Restringir el uso de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
Eliminación de elementos multimedia
Identificador: ISO 27001:2013 A.8.3.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Uso de un mecanismo de saneamiento de elementos multimedia | CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
Transferencia de medios físicos
Identificador: ISO 27001:2013 A.8.3.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
Control de acceso
Directiva de control de acceso
Identificador: ISO 27001:2013 A.9.1.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
Acceso a redes y servicios de red
Identificador: ISO 27001:2013 A.9.1.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Auditar las máquinas Linux que permitan la conexión remota desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilitar la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establecer requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Identificación de las acciones permitidas sin autenticación | CMA_0295: Identificar las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Registro y cancelación del registro del usuario
Identificador: ISO 27001:2013 A.9.2.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Asignación de identificadores del sistema | CMA_0018: Asignar identificadores del sistema | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilitar la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Identificación de las acciones permitidas sin autenticación | CMA_0295: Identificar las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Impedimento de la reutilización de identificadores para el periodo de tiempo definido | CMA_C1314: Impedir la reutilización de identificadores para el periodo de tiempo definido | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Aprovisionamiento del acceso de usuario
Identificador: ISO 27001:2013 A.9.2.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Administración de los derechos de acceso con privilegios
Identificador: ISO 27001:2013 A.9.2.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Limitar los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Administración de la información de autenticación de secretos de los usuarios
Identificador: ISO 27001:2013 A.9.2.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Revisión de los derechos de acceso de los usuarios
Identificador: ISO 27001:2013 A.9.2.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
Eliminación o ajuste de derechos de acceso
Identificador: ISO 27001:2013 A.9.2.6 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Inicio de acciones de transferencia o reasignación | CMA_0333: Iniciar acciones de transferencia o reasignación | Manual, Deshabilitado | 1.1.0 |
| Modificación de autorizaciones de acceso tras la transferencia del personal | CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Notificación a los administradores de cuentas controladas por clientes | CMA_C1009: Notificar a los administradores de cuentas controladas por clientes | Manual, Deshabilitado | 1.1.0 |
| Notificación tras la finalización de contrato o transferencia | CMA_0381: Notificar tras la finalización de contrato o transferencia | Manual, Deshabilitado | 1.1.0 |
| Reevaluación del acceso tras la transferencia del personal | CMA_0424: Reevaluar el acceso tras la transferencia del personal | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión y reevaluación de los privilegios | CMA_C1207: Revisar y reevaluar los privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
Uso de la información de autenticación secreta
Identificador: ISO 27001:2013 A.9.3.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Finalización de credenciales de cuenta controladas por el cliente | CMA_C1022: Finalizar credenciales de cuenta controladas por el cliente | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Restricción de acceso a la información
Identificador: ISO 27001:2013 A.9.4.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Procedimientos seguros de inicio de sesión
Identificador: ISO 27001:2013 A.9.4.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Habilitación de la detección de dispositivos de red | CMA_0220: Habilitar la detección de dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | CMA_C1044: Aplicar un límite de intentos de inicio de sesión erróneos consecutivos | Manual, Deshabilitado | 1.1.0 |
| Exigir la existencia de usuario único | CMA_0250: Exigir la existencia de usuario único | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos de firma electrónica y certificado | CMA_0271: Establecer requisitos de firma electrónica y certificado | Manual, Deshabilitado | 1.1.0 |
| Generación de mensajes de error | CMA_C1724: Generar mensajes de error | Manual, Deshabilitado | 1.1.0 |
| Identificación de las acciones permitidas sin autenticación | CMA_0295: Identificar las acciones permitidas sin autenticación | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de usuarios que no son de la organización | CMA_C1346: Identificar y autenticar usuarios que no son de la organización | Manual, Deshabilitado | 1.1.0 |
| Ocultación de información de comentarios durante el proceso de autenticación | CMA_C1344: Ocultar información de comentarios durante el proceso de autenticación | Manual, Deshabilitado | 1.1.0 |
| Muestra de mensajes de error | CMA_C1725: Mostrar mensajes de error | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Admitir credenciales de comprobación personal emitidas por autoridades legales | CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales | Manual, Deshabilitado | 1.1.0 |
| Finalizar sesión de usuario automáticamente | CMA_C1054: Finalizar la sesión de usuario automáticamente | Manual, Deshabilitado | 1.1.0 |
Sistema de administración de contraseñas
Identificador: ISO 27001:2013 A.9.4.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Implementación del entrenamiento para proteger los autenticadores | CMA_0329: Implementar el entrenamiento para proteger los autenticadores | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Administración de autenticadores | CMA_C1321: Administrar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Actualización de autenticadores | CMA_0425: Actualizar autenticadores | Manual, Deshabilitado | 1.1.0 |
| Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados | CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
Uso de programas de utilidad privilegiados
Identificador: ISO 27001:2013 A.9.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Control de acceso al código fuente del programa
Identificador: ISO 27001:2013 A.9.4.5 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Limitación de los privilegios para realizar cambios en el entorno de producción | CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
Mejora
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
No conformidad y acción correctiva
Identificador: ISO 27001:2013 C.10.1.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Contexto de la organización
Determinar el ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Determinar el ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Determinar el ámbito del sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | CMA_C1734: Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | CMA_C1810: Establecer los requisitos de privacidad para los contratistas y proveedores de servicios | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Sistema de administración de seguridad de la información
Identificador: ISO 27001:2013 C.4.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | CMA_C1734: Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Asegurarse de que la información del programa de privacidad esté disponible de manera pública | CMA_C1867: Asegurarse de que la información del programa de privacidad esté disponible de manera pública | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | CMA_C1734: Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Liderazgo y compromiso
Identificador: ISO 27001:2013 C.5.1.h Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designar a un responsable de seguridad de información sénior | CMA_C1733: Designar a un responsable de seguridad de información sénior | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Revisión de directivas y procedimientos de control de acceso | CMA_0457: Revisar las directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de administración de configuración | CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de los planes de contingencia | CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de identificación y autenticación | CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de integridad de la información | CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección de elementos multimedia | CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de seguridad del personal | CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones | CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios | CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de procedimientos y directivas de mantenimiento del sistema | CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema | Manual, Deshabilitado | 1.1.0 |
| Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización | CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de control de acceso | CMA_0144: Desarrollar directivas y procedimientos de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Control de directivas y procedimientos | CMA_0292: Control de directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Directiva
Identificador: ISO 27001:2013 C.5.2.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Actualizar el plan de privacidad, las directivas y los procedimientos | CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos | Manual, Deshabilitado | 1.1.0 |
Roles, responsabilidades y autoridades de la organización
Identificador: ISO 27001:2013 C.5.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Planificación
General
Identificador: ISO 27001:2013 C.6.1.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.e.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
General
Identificador: ISO 27001:2013 C.6.1.1.e.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.a.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.a.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.c.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.c.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.d.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.e.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.2.e.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.6.1.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
Objetivos de seguridad de la información y planeación para lograrlos
Identificador: ISO 27001:2013 C.6.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Establecer un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Soporte técnico
Recursos
Identificador: ISO 27001:2013 C.7.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Alineación de los objetivos de negocio y de TI | CMA_0008: Alinear los objetivos de negocios y de TI | Manual, Deshabilitado | 1.1.0 |
| Asignación de recursos para determinar los requisitos del sistema de información | CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Emplear casos empresariales para registrar los recursos necesarios | CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | CMA_C1734: Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un elemento de línea discreto en la documentación de presupuestos | CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos | Manual, Deshabilitado | 1.1.0 |
| Control de la asignación de recursos | CMA_0293: Controlar la asignación de recursos | Manual, Deshabilitado | 1.1.0 |
| Garantía del compromiso de la dirección | CMA_0489: Asegurar el compromiso de la dirección | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar la aceptación por parte del personal de los requisitos de privacidad | CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la finalización de la formación de seguridad y privacidad | CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Supervisar la finalización del entrenamiento de seguridad y privacidad | CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Supervisar la finalización del entrenamiento de seguridad y privacidad | CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
Competencia
Identificador: ISO 27001:2013 C.7.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Conservar registros de entrenamiento | CMA_0456: Conservar registros de formación | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Concienciación
Identificador: ISO 27001:2013 C.7.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de directivas y procedimientos de uso aceptables | CMA_0143: Desarrollar directivas y procedimientos de uso aceptables | Manual, Deshabilitado | 1.1.0 |
| Aplicación de reglas de comportamiento y contratos de acceso | CMA_0248: Aplicar reglas de comportamiento y contratos de acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Comunicación
Identificador: ISO 27001:2013 C.7.4.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Designación de personal autorizado para publicar información de acceso público | CMA_C1083: Designar personal autorizado para publicar información de acceso público | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Creación y actualización
Identificador: ISO 27001:2013 C.7.5.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar SSP que cumpla los criterios | CMA_C1492: Desarrollar SSP que cumpla los criterios | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
Control de la información documentada
Identificador: ISO 27001:2013 C.7.5.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de planeación | CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación | Manual, Deshabilitado | 1.1.0 |
Operación
Planeamiento y control operativos
Identificador: ISO 27001:2013 C.8.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización de la solicitud de aprobación para los cambios propuestos | CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos | Manual, Deshabilitado | 1.1.0 |
| Automatización de la implementación de notificaciones de cambio aprobadas | CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para prohibir la implementación de cambios no aprobados | CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados | Manual, Deshabilitado | 1.1.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.8.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar la evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
Tratamiento de riesgos de seguridad de la información
Identificador: ISO 27001:2013 C.8.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Evaluación de rendimiento
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Supervisión, medición, análisis y evaluación
Identificador: ISO 27001:2013 C.9.1.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de la lista de permitidos para la detección | CMA_0068: Configurar la lista de permitidos para la detección | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.a.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar el plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.a.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar el plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar el plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.c Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo del plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar el plan de evaluación de seguridad | CMA_C1144: Desarrollar el plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ajuste del nivel de revisión, análisis y creación de informes de auditoría | CMA_C1123: Ajustar el nivel de revisión, análisis y creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de auditoría y responsabilidad | CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Uso de evaluadores independientes para valorar el control de seguridad | CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de las directivas de seguridad de la información | CMA_0518: Actualizar las directivas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Entregar los resultados de la evaluación de seguridad | CMA_C1147: Entregar los resultados de la evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
Auditoría interna
Identificador: ISO 27001:2013 C.9.2.g Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Cumplir con los períodos de retención definidos | CMA_0004: cumplir con los períodos de retención definidos | Manual, Deshabilitado | 1.1.0 |
| Conservar directivas y procedimientos de seguridad | CMA_0454: Conservar directivas y procedimientos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Conservar los datos de usuarios finalizados | CMA_0455: Conservar los datos de usuario finalizados | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.a Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Implementar los planes de acción e hitos para el proceso del programa de seguridad | CMA_C1737: Implementar planes de acción e hitos para el proceso del programa de seguridad | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.b Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.1 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.2 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de POA&M | CMA_C1156: Desarrollo de POA&M | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.3 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.c.4 Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Definir métricas de rendimiento | CMA_0124: Definir métricas de rendimiento | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.d Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.e Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Revisión de la administración
Identificador: ISO 27001:2013 C.9.3.f Propiedad: Compartido
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de los controles de seguridad | CMA_C1145: Evaluar los controles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Actualización de elementos de POA&M | CMA_C1157: Actualización de elementos de POA&M | Manual, Deshabilitado | 1.1.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.