ISO27k Statement of Applicability

Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant
Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: December
Control numbering and text corrected: April/July 2015
German version contributed by Comma Soft AG: August 2015
French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017
Portuguese version contributed by Jansen Cesar Arruda: November 2017

This is a template or skeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO2
too - this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstance

Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about th
manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the contro
including useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat y
to mitigate or reduce information risks by implementing security controls (e.g. some may be avoided, accepted o
may need additional or alternative controls, other than those listed here, and some may be imposed upon you i

Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.

Copyright

This work is copyright © 2018, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons
welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or inco
(b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or s
terms as this.

The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair u
ISO/IEC to reproduce a small part of their content here, encouraging widespread adoption of the ISO27k standar
Statement of Applicability
Legend (for Selected Controls and Reasons for controls selection)
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA: r

ISO/IEC 27001:2013 Annex A controls

Clause Sec Control Objective/Control

5.1 Management direction for information security
5 Security Policies 5.1.1 Policies for information
5.1.2 Review of the policies for information security

6.1 Internal organisation

6.1.1 Information security roles and responsibilities
6.1.2 Segregation of duties
6 Organisation of 6.1.3 Contact with authorities
information 6.1.4 Contact with special interest groups
security 6.1.5 Information security in project management
6.2 Mobile devices and teleworking
6.2.1 Mobile device policy
6.2.2 Teleworking

7.1 Prior to employment

7.1.1 Screening
7.1.2 Terms and conditions of employment
7.2 During employment
7 Human resource 7.2.1
security Management responsibilities
7.2.2 Information security awareness, education and training
7.2.3 Disciplinary process
7.3 Termination and change of employment
7.3.1 Termination or change of employment responsibilities

8.1 Responsibility for assets

8.1.1 Inventory of assets
8.1.2 Ownership of assets
8.1.3 Acceptable use of assets
8.1.4 Return of assets
8.2 Information classification
8 Asset
8.2.1 Classification of information
management
8.2.2 Labeling of information
8.2.3 Handling of assets
8.3 Media handling
8.3.1 Management of removable media
8.3.2 Disposal of media
 8.3.3 Physical media transfer

9.1 Business requirements of access control

9.1.1 Access control policy
9.1.2 Access to networks and network services
9.2 User access management
9.2.1 User registration and de-registration
9.2.2 User access provisioning
9.2.3 Management of privileged access rights
9.2.4
Management of secret authentication information of users
9 Access control 9.2.5 Review of user access rights
9.2.6 Removal or adjustment of access rights
9.3 User responsibilities
9.3.1 Use of secret authentication information
9.4 System and application access control
9.4.1 Information access restriction
9.4.2 Secure log-on procedures
9.4.3 Password management system
9.4.4 Use of privileged utility programs
9.4.5 Access control to program source code

10.1 Cryptographic controls

10 Cryptography 10.1.1 Policy on the use of cryptographic controls
10.1.2 Key management

11.1 Secure areas

11.1.1 Physical security perimeter
11.1.2 Physical entry controls
11.1.3 Securing office, room and facilities
11.1.4 Protecting against external end environmental threats
11.1.5 Working in secure areas
11.1.6 Delivery and loading areas
11 Physical and 11.2 Equipment
environmental 11.2.1 Equipment siting and protection
security 11.2.2 Supporting utilities
11.2.3 Cabling security
11.2.4 Equipment maintenance
11.2.5 Removal of assets
11.2.6 Security of equipment and assets off-premises
11.2.7 Secure disposal or re-use of equipment
11.2.8 Unattended user equipment
11.2.9 Clear desk and clear screen policy

12.1 Operational procedures and responsibilities

 12.1.1 Documented operating procedures
12.1.2 Change management
12.1.3 Capacity management
12.1.4 Separation of development, testing and operational
environments
12.2 Protection from malware
12.2.1 Controls against malware
12.3 Backup
12.3.1 Information backup
12 Operations 12.4 Logging and monitoring
security 12.4.1 Event logging
12.4.2 Protection of log information
12.4.3 Administrator and operator logs
12.4.4 Clock synchronisaton
12.5 Control of operational software
12.5.1 Installation of software on operational systems
12.6 Technical vulnerability management
12.6.1 Management of technical vulnerabilities
12.6.2 Restrictions on software installation
12.7 Information systems audit considerations
12.7.1 Information systems audit controls

13.1 Network security management

13.1.1 Network controls
13.1.2 Security of network services
13 13.1.3 Segregation in networks
Communications 13.2 Information transfer
security 13.2.1 Information transfer policies and procedures
13.2.2 Agreements on information transfer
13.2.3 Electronic messaging
13.2.4 Confidentiality or non-disclosure agreements

14.1 Security requirements of information systems

14.1.1 Information security requirements analysis and specification
14.1.2 Securing applications services on public networks
14.1.3 Protecting application services transactions
14.2 Security in development and support processes
14.2.1 Secure development policy
14.2.2 System change control procedures
14 System
acquisition, 14.2.3 Technical review of applications after operating platform
development and changes
maintenance 14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.6 Secure development environment
14.2.7 Outsourced development
 14.2.8 System security testing
14.2.9 System acceptance testing
14.3 Test data
14.3.1 Protection of test data

15.1 Information security in supplier relationships

15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15 Supplier 15.1.3 Information and communication technology supply chain
relationships
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services

16.1 Management of information security incidents and

improvements
16.1.1 Responsibilities and procedures
16 Information 16.1.2 Reporting information security events
security incident 16.1.3 Reporting information security weaknesses
management 16.1.4 Assessment of and decision on information security events
16.1.5 Response to information security incidents
16.1.6 Learning from information security incidents
16.1.7 Collection of evidence

17.1 Information security continuity

17.1.1 Planning information security continuity
17 Information
security aspects of 17.1.2 Implementing information security continuity
business
continuity 17.1.3
Verify, review and evaluate information security continuity
management
17.2 Redundancies
17.2.1 Availability of information processing facilities

18.1 Compliance with legal and contractual requirements

18.1.1 Identification of applicable legislation and contractual
requirements
18.1.2 Intellectual property rights
18.1.3 Protection of records
18 Compliance 18.1.4 Privacy and protection of personally identifiable information
18.1.5 Regulation of cryptographic controls
18.2 Information security reviews
18.2.1 Independent review of information security
18.2.2 Compliance with security policies and standards
18.2.3 Technical compliance review
 Current as of: DD/MM/YYYY

nts/adopted best practices,RRA: results of risk assessment,TSE: to some extent

Remarks (with Selected controls and

Current Remarks (overview of
justification for reasons for selection
controls implementation)
exclusions) LR CO BR/BP RRA
Declaración de Aplicabilidad
Leyenda (para la selección de controles y razón por la que se seleccionaron):
LR: requerimientos legales,CO: obligaciones contractuales,BR/BP: requerimientos del negocio/mejores prácticas
punto

Controles
ISO 27001:2013 Controles de Seguridad actuales

Cláusula Sección Objetivo de control / control

5.1 Dirección de la alta gerencia para la seguridad de la
5 Políticas de información
Seguridad 5.1.1 Políticas de seguridad de la información
5.1.2 Revisión de las políticas de seguridad de la información

6.1 Organización interna

6.1.1 Roles y responsabilidad de seguridad de la información
6.1.2 Segregación de deberes
6.1.3 Contacto con autoridades
6 Organización de 6.1.4 Contacto con grupos de interés especial
la Seguridad de la
Información 6.1.5
Seguridad de la información en la gestión de proyectos
6.2 Dispositivos móviles y teletrabajo
6.2.1 Política de dispositivos móviles
6.2.2 Teletrabajo

7.1 Previo al empleo

7.1.1 Verificación de antecedentes
7.1.2 Términos y condiciones del empleo
7.2 Durante el empleo
7 Seguridad en 7.2.1 Responsabilidades de la Alta Gerencia
los Recursos
Humanos 7.2.2 Conciencia, educación y entrenamiento de seguridad de la
información
7.2.3 Proceso disciplinario
7.3 Terminación y cambio de empleo
7.3.1 Termino de responsabilidades o cambio de empleo

8.1 Responsabilidad de los activos

8.1.1 Inventario de activos
8.1.2 Propiedad de activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos

8 Gestión de
Activos
 8.2 Clasificación de la información
8 Gestión de 8.2.1 Clasificación de la información
Activos
8.2.2 Etiquetado de la información
8.2.3 Manejo de activos
8.3 Manejo de medios
8.3.1 Gestión de medios removibles
8.3.2 Eliminación de medios
8.3.3 Transporte de medios físicos

9.1 Requerimientos de negocio para el control de acceso

9.1.1 Política de control de acceso
9.1.2 Acceso a redes y servicios de red
9.2 Gestión de accesos de usuario
9.2.1 Registro y baja del usuario
9.2.2 Provisión de acceso a usuarios
9.2.3 Gestión de derechos de acceso privilegiados
9.2.4 Gestión de información de autenticación secreta de
usuarios
9 Control de Acceso9.2.5 Revisión de derechos de acceso de usuarios
9.2.6 Eliminación o ajuste de derechos de acceso
9.3 Responsabilidades del usuario
9.3.1 Uso de información de autenticación secreta
9.4 Control de acceso de sistemas y aplicaciones
9.4.1 Restricción de acceso a la información
9.4.2 Procedimientos de inicio de sesión seguro
9.4.3 Sistema de gestión de contraseñas
9.4.4 Uso de programas y utilidades privilegiadas
9.4.5 Control de acceso al código fuente del programa

10.1 Controles criptográficos

10 Criptografía 10.1.1 Política en el uso de controles criptográficos
10.1.2 Gestión de llaves

11.1 Áreas seguras

11.1.1 Perímetro de seguridad físico
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, habitaciones y facilidades
11.1.4 Protección contra amenazas externas y del ambiente
11.1.5 Trabajo en áreas seguras
11.1.6 Áreas de entrega y carga
11 Seguridad 11.2 Equipo
Física y del 11.2.1 Instalación y protección de equipo
Entorno 11.2.2 Servicios de soporte
 11 Seguridad
Física y del
Entorno
11.2.3 Seguridad en el cableado
11.2.4 Mantenimiento de equipos
11.2.5 Retiro de activos
11.2.6 Seguridad del equipo y activos fuera de las instalaciones
11.2.7 Eliminación segura o reuso del equipo
11.2.8 Equipo de usuario desatendido
11.2.9 Política de escritorio limpio y pantalla limpia

12.1 Procedimientos Operacionales y Responsabilidades

12.1.1 Documentación de procedimientos operacionales
12.1.2 Gestión de cambios
12.1.3 Gestión de la capacidad
12.1.4 Separación de los ambientes de desarrollo, pruebas y
operación
12.2 Protección de Software Malicioso
12.2.1 Controles contra software malicioso
12.3 Respaldo
12.3.1 Respaldo de información
12.4 Bitácoras y monitoreo
12 Seguridad en 12.4.1
las Operaciones Bitácoras de eventos
12.4.2 Protección de información en bitácoras
12.4.3 Bitácoras de administrador y operador
12.4.4 Sincronización de relojes
12.5 Control de software operacional
12.5.1 Instalación de software en sistemas operacionales
12.6 Gestión de vulnerabilidades técnicas
12.6.1 Gestión de vulnerabilidades técnicas
12.6.2 Restricciones en la instalación de software
12.7
Consideraciones de auditoria de sistemas de información
12.7.1 Controles de auditoría de sistemas de información

13.1 Gestión de seguridad en red

13.1.1 Controles de red
13.1.2 Seguridad en los servicios en red
13.1.3 Segregación en redes
13 Seguridad en 13.2 Transferencia de información
las
Comunicaciones 13.2.1 Políticas y procedimientos para la transferencia de
información
13.2.2 Acuerdos en la transferencia de información
13.2.3 Mensajería electrónica
13.2.4 Acuerdos de confidencialidad o no-revelación
 14.1
Requerimientos de seguridad en sistemas de información
14.1.1 Análisis y especificación de requerimientos de seguridad
14.1.2
Aseguramiento de servicios de aplicación en redes públicas
14.1.3
Protección de transacciones en servicios de aplicación
14.2 Seguridad en el proceso de desarrollo y soporte
14 Adquisición, 14.2.1 Política de desarrollo seguro
Desarrollo y 14.2.2 Procedimientos de control de cambios del sistema
Mantenimiento
de Sistemas 14.2.3 Revisión técnica de aplicaciones después de cambios a la
plataforma operativa
14.2.4 Restricción de cambios en paquetes de software
14.2.5 Principios de seguridad en la ingeniería de sistemas
14.2.6 Entorno de desarrollo seguro
14.2.7 Desarrollo tercerizado
14.2.8 Pruebas de seguridad del sistema
14.2.9 Pruebas de aceptación del sistema
14.3 Datos de prueba
14.3.1 Protección de datos de prueba

15.1 Seguridad de la información en relaciones con el

proveedor
15.1.1 Política de seguridad de la información en las relaciones
con el proveedor

15 Relaciones con 15.1.2 Atención de tópicos de seguridad en los acuerdos con el

Proveedores proveedor
15.1.3 Cadena de suministros de tecnologías de la información y
comunicaciones
15.2 Gestión de entrega de servicios de proveedor
15.2.1 Monitoreo y revisión de servicios del proveedor
15.2.2 Gestión de cambios a los servicios del proveedor

16.1 Gestión de incidentes de seguridad de la información y

mejoras
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la información

16 Gestión de 16.1.3 Reporte de debilidades de seguridad de la información

Incidentes de
Seguridad de la 16.1.4 Valoración y decisión de eventos de seguridad de la
Información información
16.1.5
Respuesta a incidentes de seguridad de la información
Seguridad de la
Información

16.1.6
Aprendizaje de incidentes de seguridad de la información
16.1.7 Colección de evidencia

17.1 Continuidad de la seguridad de la información

17.1.1 Planeación de la continuidad de la seguridad de la
información
17 Aspectos de
Seguridad de la 17.1.2 Implementación de la continuidad de la seguridad de la
Información para información
la Gestión de la
Continuidad del 17.1.3 Verificación, revisión y evaluación de la continuidad de la
Negocio seguridad de la información
17.2 Redundancias
17.2.1 Disponibilidad de facilidades de procesamiento de
información

18.1
Cumplimiento con Requerimientos Legales y Contractuales
18.1.1 Identificación de legislación aplicable y requerimientos
contractuales
18.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Protección de registros
18 Cumplimiento 18.1.4 Privacidad y protección de información personal
identificable (PIR)
18.1.5 Regulación de controles criptográficos
18.2 Revisiones de seguridad de la información
18.2.1
Revisión independiente de seguridad de la información
18.2.2 Cumplimiento con políticas y estándares de seguridad
18.2.3 Revisión del cumplimiento técnico
 Vigente para el: dd/mm/aaaa

egocio/mejores prácticas adoptadas ,RRA: resultado de la valoración de riesgos;TSE: hasta cierto

Comentarios (justificación Controles seleccionados y Comentarios (visión general de

de exclusión) razones de selección la implementación)
LR CO BR/BP RRA
Statement of Applicability (Erklärung zur Anwendbarkeit)
Legende (für ausgewählte Maßnahmen und Gründe für die Auswahl von Maßnahmen)
LR: gesetzliche Anforderungen,CO: vertragliche Verpflichtungen,BR/BP: Geschäftsanforderungen/angeandte Be

DIN ISO/IEC 27001:2015 Annex Amaßnahmen

Clause Sec Control Objective/Control

5 5.1 Vorgaben der Leitung für Informationssicherheit
Informationssiche 5.1.1 Informationssicherheitsrichtlinien
rheitsrichtlinien 5.1.2 Überprüfung der Informationssicherheitsrichtlinien

6.1 Interne Organisation

6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten
6.1.2 Aufgabentrennung
6 Organisation der 6.1.3 Kontakt mit Behörden
Informationssiche 6.1.4 Kontakt mit speziellen Interessengruppen
rheit 6.1.5 Informationssicherheit im Projektmanagement
6.2 Mobilgeräte und Telearbeit
6.2.1 Richtlinie zu Mobilgeräten
6.2.2 Telearbeit

7.1 Vor der Beschäftigung

7.1.1 Sicherheitsüberprüfung
7.1.2 Beschäftigungs- und Vertragsbedingungen
7.2 Während der Beschäftigung
7.2.1 Verantwortlichkeiten der Leitung
7
Personalsicherheit 7.2.2 Informationssicherheitsbewusstsein, -ausbildung und
-schulung
7.2.3 Maßregelungsprozess
7.3 Beendigung und Änderung der Beschäftigung
7.3.1 Verantwortlichkeiten bei Beendigung oder Änderung der
Beschäftigung

8.1 Verantwortlichkeit für Werte

8.1.1 Inventarisierung der Werte
8.1.2 Zuständigkeit für Werte
8.1.3 Zulässiger Gebrauch von Werten
8.1.4 Rückgabe von Werten
8.2 Informationsklassifizierung
8 Verwaltung der 8.2.1
Werte Klassifizierung von Information
8.2.2 Kennzeichnung von Information
8.2.3 Handhabung von Werten
8.3 Handhabung von Datenträgern
 8.3.1 Handhabung von Wechseldatenträgern
8.3.2 Entsorgung von Datenträgern
8.3.3 Transport von Datenträgern

9.1 Geschäftsanforderungen an die Zuganssteuerung

9.1.1 Zugangssteuerungsrichtlinie
9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
9.2 Benutzerzugangsverwaltung
9.2.1 Registrierung und Deregistrierung von Benutzern
9.2.2 Zuteilung von Benutzerzugängen
9.2.3 Verwaltung privilegierter Zugangsrechte
9.2.4 Verwaltung geheimer Authentisierungsinformation von
Benutzern
9 9.2.5 Überprüfung von Benutzerzugangsrechten
Zugangssteuerung 9.2.6 Entzug oder Anpassung von Zugangsrechten
9.3 Benutzerverantwortlichkeiten
9.3.1 Gebrauch geheimer Authentisierungsinformation
9.4 Zugangssteuerung für Systeme und Anwendungen
9.4.1 Informationszugangsbeschränkung
9.4.2 Sichere Anmeldeverfahren
9.4.3 System zur Verwaltung von Kennwörtern
9.4.4
Gebrauch von Hilfsprogrammen mit privilegierten Rechten
9.4.5 Zugangssteuerung für Quellcode von Programmen

10.1 Kryptographische Maßnahmen

10 Kryptographie 10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen
10.1.2 Schlüsselverwaltung

11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
11.1.3 Sichern von Büros, Räumen und Einrichtungen
11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
11.2 Geräte und Betriebsmittel
11.2.1 Platzierung und Schutz von Geräten und Betriebsmitteln
11 Physische und 11.2.2 Versorgungseinrichtungen
umgebungsbezoge
ne Sicherheit 11.2.3 Sicherheit der Verkabelung
11.2.4 Instandhaltung von Geräten und Betriebsmitteln
11.2.5 Entfernen von Werten
11.2.6 Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb
der Räumlichkeiten
 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten und
Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergeräte
11.2.9 Richtlinie für eine aufgeräumte Arbeitsumgebung und
Bildschirmsperren

12.1 Betriebsabläufe und -verantwortlichkeiten

12.1.1 Dokumentierte Bedienabläufe
12.1.2 Änderungssteuerung
12.1.3 Kapazitätssteuerung
12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
12.2 Schutz vor Schadsoftware
12.2.1 Maßnahmen gegen Schadsoftware
12.3 Datensicherung
12.3.1 Sicherung von Information
12.4 Protokollierung und Überwachung
12
Betriebssicherheit 12.4.1 Ereignisprotokollierung
12.4.2 Schutz der Protokollinformation
12.4.3 Administratoren- und Bedienerprotokolle
12.4.4 Uhrensynchronisation
12.5 Steuerung von Software im Betrieb
12.5.1 Installation von Software auf Systemen im Betrieb
12.6 Handhabung technischer Schwachstellen
12.6.1 Handhabung von technischen Schwachstellen
12.6.2 Einschränkung von Softwareinstallation
12.7 Audit von Informationssystemen
12.7.1 Maßnahmen für Audits von Informationssystemen

13.1 Netzwerksicherheitsmanagement
13.1.1 Netzwerksteuerungsmaßnahmen
13.1.2 Sicherheit von Netzwerkdiensten
13 13.1.3 Trennung in Netzwerken
Kommunikationssi 13.2 Informationsübertragung
cherheit 13.2.1 Richtlinien und Verfahren zur Informationsübertragung
13.2.2 Vereinbarungen zur Informationsübertragung
13.2.3 Elektronische Nachrichtenübermittlung
13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14.1 Sicherheitsanforderungen an Informationssysteme

Analyse und Spezifikation von
14.1.1 Informationssicherheitsanforderungen

14.1.2 Sicherung von Anwendungsdiensten in öffentlichen

Netzwerken
14.1.3 Schutz der Transaktionen bei Anwendungsdiensten
14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen
14.2.1 Richtlinie für sichere Entwicklung
14 Anschaffung,
Entwicklung und
Instandhalten von
 14 Anschaffung, 14.2.2 System change control procedures
Entwicklung und Technische Überprüfung von Anwendungen nach Änderungen
Instandhalten von 14.2.3 an der Betriebsplattform
Systemen
14.2.4 Beschränkung
Grundsätze fürvon
die Änderungen an Softwarepaketen
Analyse, Entwicklung und Pflege sicherer
14.2.5 Systeme
14.2.6 Sichere Entwicklungsumgebung
14.2.7 Ausgegliederte Entwicklung
14.2.8 Testen der Systemsicherheit
14.2.9 Systemabnahmetest
14.3 Testdaten
14.3.1 Schutz von Testdaten

15.1 Informationssicherheit in Lieferantenbeziehungen

15.1.1
Informationssicherheitsrichtlinie für Lieferantenbeziehungen
15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen
15 15.1.3
Lieferantenbezieh Lieferkette für Informations- und Kommunikationstechnologie
ungen 15.2 Steuerung der Dienstleistungserbringung von Lieferanten
15.2.1 Überwachung und Überprüfung von
Lieferantendienstleistungen
15.2.2
Handhabung der Änderungen von Lieferantendienstleistungen

16.1 Handhabung von Informationssicherheitsvorfällen und

Verbesserungen
16.1.1 Verantwortlichkeiten und Verfahren
16 Handhabung 16.1.2 Meldung von Informationssichrheitsereignissen
von 16.1.3 Meldung von Schwächen in der Informationssicherheit
Informationssiche
rheitsvorfällen 16.1.4 Beurteilung von und Entscheidung über
Informationssicherheitsereignisse
16.1.5 Reaktion auf Informationssicherheitsvorfälle
16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
16.1.7 Sammeln von Beweismaterial

17.1 Aufrechterhaltung der Informationssicherheit

17 17.1.1 Planung zur Aufrechterhaltung der Informationssicherheit
Informationssiche 17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
rheitsaspekte
beim Business 17.1.3 Überprüfen und Bewerten der Aufrechterhaltung der
Continuity Informationssicherheit
Management 17.2 Redundanzen
17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen

18.1 Einhalten gesetzlicher und vertraglicher Anforderungen

 18.1.1 Bestimmung der anwendbaren Gesetzgebung und der
vertraglichen Anforderungen
18.1.2 Geistige Eigentumsrechte
18.1.3 Schutz von Aufzeichnungen
18 Compliance 18.1.4 Privatsphäre und Schutz personenbezogener Information
18.1.5 Regelungen bezüglich kryptographischer Maßnahmen
18.2 Überprüfungen der Informationssicherheit
18.2.1 Unabhängige Überprüfung der Informationssicherheit
18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
18.2.3 Überprüfung der Einhaltung von technischen Vorgaben
 Gültig ab: DD/MM/YYYY

äftsanforderungen/angeandte Best Practices,RRA: Ergebnisse der Risikobeurteilung,TSE: zum Teil

Ausgewählte Maßnahmen
Aktuelle Bemerkungen (mit und Gründe für die Bemerkungen (Überblick der
Maß- Begründung für Auswahl Implementierung)
nahmen Ausschlüsse) LR CO BR/BP RRA
Déclaration d'applicabilité
Légende (pour les mesures sélectionnées et raisons de la sélection des mesures)
LR: exigences légales,CO: obligations contractuelles,BR/BP: exigences opérationnelles/meilleures pratiques adoptées,RRA

ISO/IEC 27001:2013 Annexe A : Mesures de sécurité

Clause Sec

5 Politiques de 5.1
sécurité 5.1.1
5.1.2

6.1
6.1.1
6.1.2
6 Organisation de la 6.1.3
sécurité de 6.1.4
l'information 6.1.5
6.2
6.2.1
6.2.2

7.1
7.1.1
7.1.2
7.2
7 Sécurité des 7.2.1
ressources
humaines 7.2.2
7.2.3
7.3

7.3.1

8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.2
8 Gestion des actifs 8.2.1
8.2.2
8.2.3
 8.3
8.3.1
8.3.2
8.3.3

9.1
9.1.1
9.1.2
9.2
9.2.1
9.2.2
9.2.3

9.2.4
9 Contrôle d'accès 9.2.5
9.2.6
9.3
9.3.1
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.4.5

10.1
10 Cryptographie 10.1.1
10.1.2

11.1
11.1.1
11.1.2
11.1.3
11.1.4
11.1.5
11.1.6
11 Sécurité 11.2
physique et 11.2.1
environnementale 11.2.2
11.2.3
11.2.4
11.2.5
11.2.6
11.2.7
11.2.8
 11.2.9

12.1
12.1.1
12.1.2
12.1.3

12.1.4
12.2
12.2.1
12.3
12.3.1
12 Sécurité liée à 12.4
l'exploitation 12.4.1
12.4.2
12.4.3
12.4.4
12.5
12.5.1
12.6
12.6.1
12.6.2
12.7
12.7.1

13.1
13.1.1
13.1.2
13.1.3
13 Sécurité des
communications 13.2
13.2.1
13.2.2
13.2.3
13.2.4

14.1

14.1.1
14.1.2
14.1.3

14.2
14 Acquisition, 14.2.1
développement et 14.2.2
maintenance des
systèmes
d’information
 14 Acquisition,
développement et
maintenance des
systèmes
d’information 14.2.3
14.2.4
14.2.5
14.2.6
14.2.7
14.2.8
14.2.9
14.3
14.3.1

15.1

15.1.1
15.1.2
15 Relations avec
les fournisseurs 15.1.3
15.2
15.2.1

15.2.2

16.1
16.1.1
16.1.2
16 Gestion des 16.1.3
incidents liés à la
sécurité de
l’information 16.1.4
16.1.5

16.1.6
16.1.7

17.1
17 Aspects de la 17.1.1
sécurité de 17.1.2
l’information dans
la gestion de la
continuité de 17.1.3
l’activité 17.2
17.2.1

18.1

18.1.1
 18.1.2
18.1.3
18 Conformité
18.1.4
18.1.5
18.2
18.2.1
18.2.2
18.2.3
applicabilité
mesures sélectionnées et raisons de la sélection des mesures)
CO: obligations contractuelles,BR/BP: exigences opérationnelles/meilleures pratiques adoptées,RRA: résultats d’appréciation des risques

Mesures
ISO/IEC 27001:2013 Annexe A : Mesures de sécurité actuelles

Objectif de sécurité/Mesure

Orientations de la direction en matière de sécurité de l'information

Politiques de sécurité de l'information
Revue des politiques de sécurité de l’information

Organisation interne
Fonctions et responsabilités liées à la sécurité de l'information
Séparation des tâches
Relations avec les autorités
Relations avec des groupes de travail spécialisés
La sécurité de l'information dans la gestion de projet
Appareils mobiles et télétravail
Politique en matière d'appareils mobiles
Télétravail

Avant l'embauche
Sélection des candidats
Termes et conditions d’embauche
Pendant la durée du contrat
Responsabilités de la direction
Sensibilisation, apprentissage et formation à la sécurité de
l’information
Processus disciplinaire
Rupture, terme ou modification du contrat de travail
Achèvement ou modification des responsabilités associées au contrat
de travail

Responsabilités relatives aux actifs

Inventaire des actifs
Propriété des actifs
Utilisation correcte des actifs
Restitution des actifs
Classification de l'information
Classification des informations
Marquage des informations
Manipulation des actifs
Manipulation des supports
Gestion des supports amovibles
Mise au rebut des supports
Transfert physique des supports

Exigences métier en matière de contrôle d'accès

Politique de contrôle d’accès
Accès aux réseaux et aux services réseau
Gestion de l’accès utilisateur
Enregistrement et désinscription des utilisateurs
Distribution des accès utilisateurs
Gestion des droits d'accès à privilèges

Gestion des informations secrètes d'authentification des utilisateurs

Revue des droits d’accès utilisateurs
Suppression ou adaptation des droits d'accès
Responsabilités des utilisateurs
Utilisation d'informations secrètes d'authentification
Contrôle de l'accès au système et à l’information
Restriction d’accès à l’information
Sécuriser les procédures de connexion
Système de gestion des mots de passe
Utilisation de programmes utilitaires à privilèges
Contrôle d’accès au code source des programmes

Mesures cryptographiques
Politique d’utilisation des mesures cryptographiques
Gestion des clés

Zones sécurisées
Périmètre de sécurité physique
Contrôle d'accès physique
Sécurisation des bureaux, des salles et des équipements
Protection contre les menaces extérieures et environnementales
Travail dans les zones sécurisées
Zones de livraison et de chargement
Matériels
Emplacement et protection du matériel
Services généraux
Sécurité du câblage
Maintenance du matériel
Sortie des actifs
Sécurité du matériel et des actifs hors des locaux
Mise au rebut ou recyclage sécurisé(e) des matériels
Matériels utilisateur laissés sans surveillance
Politique du bureau propre et de l’écran verrouillé

Procédures et responsabilités liées à l’exploitation

Procédures d’exploitation documentées
Gestion des changements
Dimensionnement
Séparation des environnements de développement, de test et
d'exploitation
Protection contre les logiciels malveillants
Mesures contre les logiciels malveillants
Sauvegarde
Sauvegarde des informations
Journalisation et surveillance
Journalisation des événements
Protection de l’information journalisée
Journaux administrateur et opérateur
Synchronisation des horloges
Maîtrise des logiciels en exploitation
Installation de logiciels sur des systèmes en exploitation
Gestion des vulnérabilités techniques
Gestion des vulnérabilités techniques
Restrictions liées à l'installation de logiciels
Considérations sur l’audit des systèmes d’information
Mesures relatives à l’audit des systèmes d’information

Gestion de la sécurité des réseaux

Contrôle des réseaux
Sécurité des services de réseau
Cloisonnement des réseaux
Transfert de l'information
Politiques et procédures de transfert de l'information
Accords en matière de transfert d'information
Messagerie électronique
Engagements de confidentialité ou de non-divulgation

Exigences de sécurité applicables aux systèmes d’information

Analyse et spécification des exigences de sécurité de l 'information

Sécurisation des services d'application sur les réseaux publics
Protection des transactions liées aux services d'application

Sécurité des processus de développement et d’assistance technique

Politique de développement sécurisé
Procédures de contrôle des changements de système
Revue technique des applications après changement apporté à la
plateforme d’exploitation
Restrictions relatives aux changements apportés aux progiciels
Principe d'ingénierie de la sécurité des systèmes
Environnement de développement sécurisé
Développement externalisé
Test de la sécurité du système
Test de conformité du système
Données de test
Protection des données de test

Sécurité dans les relations avec les fournisseurs

Politique de sécurité de l'information dans les relations avec les
fournisseurs
Sécurité dans les accords conclus avec les fournisseurs

chaîne d'approvisionnement des produits et services informatiques

Gestion de la prestation du service
Surveillance et revue des services des fournisseurs

Gestion des changements apportés dans les services des fournisseurs

Gestion des incidents liés à la sécurité de l’information et

améliorations
Responsabilités et procédures
Signalement des événements liés à la sécurité de l’information
Signalement des failles liées à la sécurité de l’information
Appréciation des événements liés à la sécurité de l'information et
prise de décision
Réponse aux incidents liés à la sécurité de l’information
Tirer des enseignements des incidents liés à la sécurité de
l’information
Collecte de preuves

Continuité de la sécurité de l'information

Organisation de la continuité de la sécurité de l'information
Mise en oeuvre de la continuité de la sécurité de l'information

Vérifier, revoir et évaluer la continuité de la sécurité de l'information

Redondances
Disponibilité des moyens de traitement de l’information

Conformité aux obligations légales et réglementaires

Identification de la législation et des exigences contractuelles
applicables
Droits de propriété intellectuelle (DPI)
Protection des enregistrements
Protection de la vie privée et protection des données à caractère
personnel
Réglementation relative aux mesures cryptographiques
Revue de la sécurité de l’information
Revue indépendante de la sécurité de l’information
Conformité avec les politiques et les normes de sécurité
Vérification de la conformité technique
 À jour au: JJ/MM/AAAA

doptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point

Remarques (avec Mesures sélectionnées et Remarques (aperçu de la mise

justification des raisons de sélection en œuvre)
exclusions) LR CO BR/BP RRA
Declaração de aplicabilidade
Legenda (para seleção de controles e justificativa da seleção)
LR: requerimentos legais,CO: obrigações contratuais,BR/BP: requerimentos de negócio/melhores práticas adot

Controles
ISO 27001:2013 Controles de Segurança atuais

Clausula Secção Objetivo de controle / controle

5.1
Orientação da direção para segurança da informação
5 Políticas de segurança 5.1.1
da informação Políticas para segurança da informação
5.1.2 Análise crítica das políticas para segurança da
informação

6.1 Organização interna

6.1.1 Responsabilidades e papéis pela segurança da
informação
6.1.2 Segregação de funções
6.1.3 Contato com autoridades
6 Organização da
segurança da informação 6.1.4 Contato com grupos especiais
6.1.5 Segurança da informação no gerenciamento de
projetos
6.2 Dispositivos móveis e trabalho remoto
6.2.1 Política para o uso de dispositivo móvel
6.2.2 Trabalho remoto

7.1 Antes da contratação

7.1.1 Seleção
7.1.2 Termos e condições de contratação
7.2 Durante a contratação
7.2.1 Responsabilidades da direção
7 Segurança em recursos
humanos 7.2.2 Conscientização, educação e treinamento em
segurança da informação
7.2.3 Processo disciplinar
7.3 Encerramento e mudança da contratação
7.3.1 Responsabilidades pelo encerramento ou mudança
da contratação

8.1 Responsabilidade pelos ativos

8.1.1 Inventário dos ativos
8.1.2 Proprietário dos ativos
8.1.3 Uso aceitável dos ativos
8.1.4 Devolução de ativos
8.2 Classificação da informação
8 Gestão de ativos
 8 Gestão de ativos 8.2.1 Classificação da informação
8.2.2 Rótulos e tratamento da informação
8.2.3 Tratamento dos ativos
8.3 Tratamento de mídias
8.3.1 Gerenciamento de mídias removíveis
8.3.2 Descarte de mídias
8.3.3 Transferência física de mídias

9.1 Requisitos do negócio para controle de acesso

9.1.1 Política de controle de acesso
9.1.2 Acesso às redes e aos serviços de rede
9.2 Gerenciamento de acesso do usuário
9.2.1 Registro e cancelamento de usuário
9.2.2 Provisionamento para acesso de usuário
9.2.3 Gerenciamento de direitos de acesso privilegiados
9.2.4 Gerenciamento da informação de autenticação
secreta de usuários
9.2.5 Análise crítica dos direitos de acesso de usuário
9 Controle de acesso
9.2.6 Retirada ou ajuste de direitos de acesso
9.3 Responsabilidades dos usuários
9.3.1 Uso da informação de autenticação secreta
9.4 Controle de acesso ao sistema e à aplicação
9.4.1 Restrição de acesso à informação
9.4.2 Procedimentos seguros de entrada no sistema (log-
on)
9.4.3 Sistema de gerenciamento de senha
9.4.4 Uso de programas utilitários privilegiados
9.4.5 Controle de acesso ao código-fonte de programas

10.1 Controles criptográficos

10 Criptografia 10.1.1 Política para o uso de controles criptográficos
10.1.2 Gerenciamento de chaves

11.1 Áreas seguras

11.1.1 Perímetro de segurança física
11.1.2 Controles de entrada física
11.1.3 Segurança em escritórios, salas e instalações
11.1.4 Proteção contra ameaças externas e do meio-
ambiente
11.1.5 Trabalhando em áreas seguras
11.1.6 Áreas de entrega e de carregamento
11.2 Equipamentos
11 Segurança física e do 11.2.1
ambiente Escolha do local e proteção do equipamento
11.2.2 Utilidades
11.2.3 Segurança do cabeamento
11.2.4 Manutenção dos equipamentos
 ambiente

11.2.5 Remoção de ativos

11.2.6 Segurança de equipamentos e ativos fora das
dependências da organização
11.2.7 Reutilização e alienação segura de equipamentos
11.2.8 Equipamento de usuário sem monitoração
11.2.9 Política de mesa limpa e tela limpa

12.1 Responsabilidades e procedimentos operacionais

12.1.1 Documentação dos procedimentos de operação
12.1.2 Gestão de mudanças
12.1.3 Gestão de capacidade
12.1.4 Separação dos ambientes de desenvolvimento, teste
e de produção
12.2 Proteção contra códigos maliciosos
12.2.1 Controles contra códigos maliciosos
12.3 Cópias de segurança
12.3.1 Cópias de segurança das informações
12.4 Registros e monitoramento
12.4.1 Registros de eventos
12 Segurança nas
operações 12.4.2 Proteção das informações dos registros de eventos
(logs)
12.4.3 Registros de eventos (log) de administrador e
operador
12.4.4 Sincronização dos relógios
12.5 Controle de software operacional
12.5.1 Instalação de software nos sistemas operacionais
12.6 Gestão de vulnerabilidades técnicas
12.6.1 Gestão de vulnerabilidades técnicas
12.6.2 Restrições quanto à instalação de software
12.7 Considerações quanto à auditoria de sistemas de
informação
12.7.1 Controles de auditoria de sistemas de informação

13.1 Gerenciamento da segurança em redes

13.1.1 Controles de redes
13.1.2 Segurança dos serviços de rede
13.1.3 Segregação de redes
13 Segurança nas 13.2 Transferência de informação
comunicações
13.2.1 Políticas e procedimentos para transferência de
informações
13.2.2 Acordos para transferência de informações
13.2.3 Mensagens eletrônicas
13.2.4 Acordos de confidencialidade e não divulgação

14.1
Requisitos de segurança de sistemas de informação
 14.1.1 Análise e especificação dos requisitos de segurança
da informação
14.1.2 Serviços de aplicação seguros em redes públicas
14.1.3
Protegendo as transações nos aplicativos de serviços
14.2 Segurança em processos de desenvolvimento e de
suporte
14.2.1 Política de desenvolvimento seguro
14 Aquisição, 14.2.2 Procedimentos para controle de mudanças de
desenvolvimento e sistemas
manutenção de sistemas
14.2.3 Análise crítica técnica das aplicações após mudanças
nas plataformas operacionais
14.2.4
Restrições sobre mudanças em pacotes de Software
14.2.5 Princípios para projetar sistemas seguros
14.2.6 Ambiente seguro para desenvolvimento
14.2.7 Desenvolvimento terceirizado
14.2.8 Teste de segurança do sistema
14.2.9 Teste de aceitação de sistemas
14.3 Dados para teste
14.3.1 Proteção dos dados para teste

15.1 Segurança da informação na cadeia de suprimento

15.1.1 Política de segurança da informação no
relacionamento com os fornecedores
15.1.2 Identificando segurança da informação nos acordos
com fornecedores

15 Relacionamento na 15.1.3 Cadeia de suprimento na tecnologia da comunicação

cadeia de suprimento e informação
15.2
Gerenciamento da entrega do serviço do fornecedor
15.2.1 Monitoramento e análise crítica de serviços com
fornecedores
15.2.2 Gerenciamento de mudanças para serviços com
fornecedores

16.1 Gestão de incidentes de segurança da informação e

melhorias
16.1.1 Responsabilidades e procedimentos
16.1.2
Notificação de eventos de segurança da informação

16 Gestão de incidentes 16.1.3 Notificando fragilidades de segurança da informação

de segurança da
informação 16.1.4 Avaliação e decisão dos eventos de segurança da
informação
16 Gestão de incidentes
de segurança da
informação

16.1.5
Resposta aos incidentes de segurança da informação
16.1.6 Aprendendo com os incidentes de segurança da
informação
16.1.7 Coleta de evidências

17.1 Continuidade da segurança da informação

17.1.1 Planejando a continuidade da segurança da
informação
17 Aspectos da 17.1.2 Implementando a continuidade da segurança da
segurança da informação informação
na gestão da
continuidade do negócio 17.1.3 Verificação, análise crítica e avaliação da
continuidade da segurança da informação
17.2 Redundâncias
17.2.1 Disponibilidade dos recursos de processamento da
informação

18.1 Conformidade com requisitos legais e contratuais

18.1.1 Identificação da legislação aplicável e de requisitos
contratuais
18.1.2 Direitos de propriedade intelectual
18.1.3 Proteção de registros
18.1.4 Proteção e privacidade de informações de
identificação pessoal
18 Conformidade
18.1.5 Regulamentação de controles de criptografia
18.2 Análise crítica da segurança da informação
18.2.1 Análise crítica independente da segurança da
informação
18.2.2 Conformidade com as políticas e procedimentos de
segurança da informação
18.2.3 Análise crítica da conformidade técnica
 Vigente a partir de: dd/mm/aaaa

hores práticas adotadas,RRA: resultado da avaliação de risco;TSE: até certo ponto

Comentarios Controles selecionados e razões da Comentários (visão geral da

(justificativa de seleção implementação)
execlusão)
LR CO BR/BP RRA