Gap analysis

Cargando…

Control	Norma	Requisito	Aplicab.	Estado	Severidad	Owner	WP
EN 319 401 §7.2 (REQ-7.2-01)	401-general-tsp	Asegurar que empleados, proveedores y contratistas comprenden y se comprometen con sus responsabilidades de seguridad; mecanismos de awareness, formación y revisión anual de asignaciones (referencia a ISO/IEC 27002:2022 §5.4).	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-02)	401-general-tsp	Emplear personal y subcontratistas con expertise, fiabilidad, experiencia y formación en ciberseguridad y protección de datos.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-03)	401-general-tsp	Identificar al menos una persona responsable de seguridad de redes y SI que reporte a la alta dirección.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-04)	401-general-tsp	El personal en trusted roles (incl. subcontratistas) debe poder demostrar conocimientos expertos mediante formación formal, credenciales o experiencia.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-05)	401-general-tsp	El personal en trusted roles debe recibir actualizaciones sobre nuevas amenazas y prácticas de seguridad al menos cada 12 meses.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-06)	401-general-tsp	Aplicar sanciones disciplinarias proporcionadas tras un proceso documentado, revisado anualmente, considerando requisitos legales y contractuales.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-07)	401-general-tsp	Documentar roles y responsabilidades de seguridad en descripciones de puesto accesibles al personal.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-08)	401-general-tsp	Identificar claramente los trusted roles de los que depende la operación del TSP.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-09)	401-general-tsp	Definir descripciones de puesto con segregación de funciones y mínimo privilegio, sensibilidad de la posición, screening y formación.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (PRO-7.2-10)	401-general-tsp	Diferenciar funciones generales y específicas del TSP en las descripciones de puesto, incluyendo skills y experiencia.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-11)	401-general-tsp	El personal debe ejercer procedimientos de gestión coherentes con los procedimientos de seguridad de la información del TSP.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-12)	401-general-tsp	El personal directivo debe poseer experiencia/formación en el servicio de confianza, procedimientos de seguridad y evaluación de riesgos.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-13)	401-general-tsp	El personal en trusted roles debe estar libre de conflictos de interés que perjudiquen la imparcialidad.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-14)	401-general-tsp	Los trusted roles deben incluir Security Officers, System Administrators, System Operators y System Auditors con responsabilidades específicas.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-15)	401-general-tsp	El personal debe ser nombrado formalmente en los trusted roles por la alta dirección responsable de seguridad.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-16)	401-general-tsp	Los trusted roles deben ser aceptados por la persona designada.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-17)	401-general-tsp	El personal no debe acceder a las trusted functions hasta que se completen los chequeos necesarios.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-18) [CONDITIONAL]	401-general-tsp	Cuando el personal trabaja en remoto, implementar medidas de ciberseguridad para proteger la información accedida fuera de las instalaciones.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-19) [CONDITIONAL]	401-general-tsp	Si se permite trabajo remoto, emitir una política específica que defina condiciones y restricciones de ciberseguridad.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-20)	401-general-tsp	Verificar el background de empleados (y proveedores/contratistas cuando aplique) en la medida que sea factible y proporcional al rol.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-21)	401-general-tsp	Establecer criterios para la verificación de background y realizarla antes de que las personas ejerzan los roles, considerando ley, ética y riesgos percibidos.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-22)	401-general-tsp	Revisar y actualizar la política de verificación de background al menos cada dos años.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-23)	401-general-tsp	Asegurar que las responsabilidades de seguridad que sigan siendo válidas tras la terminación o cambio de empleo se definen y exigen contractualmente.	Obligatoria	TBD	TBD	—	—
EN 319 401 §7.2 (REQ-7.2-24)	401-general-tsp	Incluir en los términos de empleo las responsabilidades válidas tras la terminación, como cláusulas de confidencialidad.	Obligatoria	TBD	TBD	—	—
A.6.1	27001-sgsi	Investigación de antecedentes	Obligatoria	TBD	TBD	—	—
A.6.2	27001-sgsi	Términos y condiciones de empleo	Obligatoria	TBD	TBD	—	—
A.6.3	27001-sgsi	Sensibilización, formación y entrenamiento en seguridad	Obligatoria	TBD	TBD	—	—
A.6.4	27001-sgsi	Proceso disciplinario	Obligatoria	TBD	TBD	—	—
A.6.5	27001-sgsi	Responsabilidades tras finalización o cambio de empleo	Obligatoria	TBD	TBD	—	—
A.6.6	27001-sgsi	Acuerdos de confidencialidad o no divulgación	Obligatoria	TBD	TBD	—	—
A.6.7	27001-sgsi	Trabajo remoto	Obligatoria	TBD	TBD	—	—
A.6.8	27001-sgsi	Notificación de eventos de seguridad de la información	Obligatoria	TBD	TBD	—	—
eIDAS §24.2.b	eidas-legales	Personal y subcontratistas con conocimientos, fiabilidad y formación adecuados	Obligatoria	TBD	TBD	—	—
LOPDGDD §87-91 (DIG-01)	rgpd-lopdgdd	Derechos digitales de los trabajadores de Correos con acceso a datos QTSP: protección frente a videovigilancia laboral, geolocalización, dispositivos personales, desconexión digital. Política interna de Correos debe abordarlos.	Obligatoria	TBD	TBD	—	—
NIS2 §21.2.i (RRHH-01)	nis2	Seguridad de los recursos humanos: políticas de control de acceso y gestión de activos. Solapa con 401 §7.2 y 27001 §6.	Obligatoria	TBD	TBD	—	—

Control

Norma

Requisito

Aplicab.

Estado

Severidad

Owner

EN 319 401 §7.2 (REQ-7.2-01)

401-general-tsp

Asegurar que empleados, proveedores y contratistas comprenden y se comprometen con sus responsabilidades de seguridad; mecanismos de awareness, formación y revisión anual de asignaciones (referencia a ISO/IEC 27002:2022 §5.4).

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-02)

401-general-tsp

Emplear personal y subcontratistas con expertise, fiabilidad, experiencia y formación en ciberseguridad y protección de datos.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-03)

401-general-tsp

Identificar al menos una persona responsable de seguridad de redes y SI que reporte a la alta dirección.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-04)

401-general-tsp

El personal en trusted roles (incl. subcontratistas) debe poder demostrar conocimientos expertos mediante formación formal, credenciales o experiencia.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-05)

401-general-tsp

El personal en trusted roles debe recibir actualizaciones sobre nuevas amenazas y prácticas de seguridad al menos cada 12 meses.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-06)

401-general-tsp

Aplicar sanciones disciplinarias proporcionadas tras un proceso documentado, revisado anualmente, considerando requisitos legales y contractuales.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-07)

401-general-tsp

Documentar roles y responsabilidades de seguridad en descripciones de puesto accesibles al personal.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-08)

401-general-tsp

Identificar claramente los trusted roles de los que depende la operación del TSP.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-09)

401-general-tsp

Definir descripciones de puesto con segregación de funciones y mínimo privilegio, sensibilidad de la posición, screening y formación.

Obligatoria

TBD

—

EN 319 401 §7.2 (PRO-7.2-10)

401-general-tsp

Diferenciar funciones generales y específicas del TSP en las descripciones de puesto, incluyendo skills y experiencia.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-11)

401-general-tsp

El personal debe ejercer procedimientos de gestión coherentes con los procedimientos de seguridad de la información del TSP.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-12)

401-general-tsp

El personal directivo debe poseer experiencia/formación en el servicio de confianza, procedimientos de seguridad y evaluación de riesgos.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-13)

401-general-tsp

El personal en trusted roles debe estar libre de conflictos de interés que perjudiquen la imparcialidad.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-14)

401-general-tsp

Los trusted roles deben incluir Security Officers, System Administrators, System Operators y System Auditors con responsabilidades específicas.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-15)

401-general-tsp

El personal debe ser nombrado formalmente en los trusted roles por la alta dirección responsable de seguridad.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-16)

401-general-tsp

Los trusted roles deben ser aceptados por la persona designada.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-17)

401-general-tsp

El personal no debe acceder a las trusted functions hasta que se completen los chequeos necesarios.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-18) [CONDITIONAL]

401-general-tsp

Cuando el personal trabaja en remoto, implementar medidas de ciberseguridad para proteger la información accedida fuera de las instalaciones.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-19) [CONDITIONAL]

401-general-tsp

Si se permite trabajo remoto, emitir una política específica que defina condiciones y restricciones de ciberseguridad.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-20)

401-general-tsp

Verificar el background de empleados (y proveedores/contratistas cuando aplique) en la medida que sea factible y proporcional al rol.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-21)

401-general-tsp

Establecer criterios para la verificación de background y realizarla antes de que las personas ejerzan los roles, considerando ley, ética y riesgos percibidos.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-22)

401-general-tsp

Revisar y actualizar la política de verificación de background al menos cada dos años.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-23)

401-general-tsp

Asegurar que las responsabilidades de seguridad que sigan siendo válidas tras la terminación o cambio de empleo se definen y exigen contractualmente.

Obligatoria

TBD

—

EN 319 401 §7.2 (REQ-7.2-24)

401-general-tsp

Incluir en los términos de empleo las responsabilidades válidas tras la terminación, como cláusulas de confidencialidad.

Obligatoria

TBD

—

A.6.1

27001-sgsi

Investigación de antecedentes

Obligatoria

TBD

—

A.6.2

27001-sgsi

Términos y condiciones de empleo

Obligatoria

TBD

—

A.6.3

27001-sgsi

Sensibilización, formación y entrenamiento en seguridad

Obligatoria

TBD

—

A.6.4

27001-sgsi

Proceso disciplinario

Obligatoria

TBD

—

A.6.5

27001-sgsi

Responsabilidades tras finalización o cambio de empleo

Obligatoria

TBD

—

A.6.6

27001-sgsi

Acuerdos de confidencialidad o no divulgación

Obligatoria

TBD

—

A.6.7

27001-sgsi

Trabajo remoto

Obligatoria

TBD

—

A.6.8

27001-sgsi

Notificación de eventos de seguridad de la información

Obligatoria

TBD

—

eIDAS §24.2.b

eidas-legales

Personal y subcontratistas con conocimientos, fiabilidad y formación adecuados

Obligatoria

TBD

—

LOPDGDD §87-91 (DIG-01)

rgpd-lopdgdd

Derechos digitales de los trabajadores de Correos con acceso a datos QTSP: protección frente a videovigilancia laboral, geolocalización, dispositivos personales, desconexión digital. Política interna de Correos debe abordarlos.

Obligatoria

TBD

—

NIS2 §21.2.i (RRHH-01)

nis2

Seguridad de los recursos humanos: políticas de control de acceso y gestión de activos. Solapa con 401 §7.2 y 27001 §6.

Obligatoria

TBD

—