Gap analysis
Cargando…
Cargando…
CISO + Operaciones · 58 de 57 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §7.3.1 (REQ-7.3.1-01) | 401-general-tsp | Garantizar un nivel adecuado de protección de los activos, incluyendo activos de información. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.1 (REQ-7.3.1-02) | 401-general-tsp | Los activos provistos a través de la cadena de suministro deben protegerse según §7.14. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-01) | 401-general-tsp | Mantener un inventario preciso de activos como prerrequisito de la gestión de vulnerabilidades técnicas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-02) | 401-general-tsp | Establecer un sistema de niveles de clasificación y asociar a cada activo un nivel basado en CIA y criticidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-03) | 401-general-tsp | Asignar nivel de clasificación a cada activo o grupo según requisitos de CIA, evaluación de riesgos y valor de negocio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-04) | 401-general-tsp | Asegurar que la disponibilidad clasificada de cada activo está alineada con los objetivos del plan de continuidad/recuperación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-05) | 401-general-tsp | Realizar revisiones periódicas de los niveles de clasificación y actualizarlos cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-06) | 401-general-tsp | Identificar, documentar e implementar reglas para el uso aceptable y el manejo de activos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-07) | 401-general-tsp | Implementar procedimientos de cambio/terminación que incluyan la devolución de los activos físicos y electrónicos confiados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-01) | 401-general-tsp | Establecer y aplicar una política de manejo de activos que cubra ciclo de vida, soportes extraíbles, uso/almacenamiento/transporte/destrucción seguros y transferencia segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-02) | 401-general-tsp | Manejar de forma segura los soportes de almacenamiento utilizados en los sistemas del TSP frente a daño, robo, acceso no autorizado y obsolescencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-03) | 401-general-tsp | Mantener un procedimiento de gestión de soportes durante el período de retención requerido (referencia a ISO/IEC 27002:2022 §7.10). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-04) | 401-general-tsp | Revisar y actualizar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-05) | 401-general-tsp | Aplicar una política específica sobre soportes extraíbles que incluya prohibición técnica, deshabilitar autoejecución, escaneo de malware, controles en tránsito y cifrado cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-01) | 401-general-tsp | Establecer e implementar políticas de control de acceso lógico y físico que cubran personas, sistemas y autenticación adecuada. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-02) | 401-general-tsp | Administrar el acceso de operadores, administradores y auditores aplicando el principio de mínimo privilegio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-03) | 401-general-tsp | Configurar cuentas específicas para tareas administrativas (instalación, configuración, mantenimiento). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-04) | 401-general-tsp | Las cuentas privilegiadas se utilizan solo cuando sus privilegios son necesarios para la actividad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-05) | 401-general-tsp | Aplicar identificación, autenticación y autorización fuertes para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-06) [CONDITIONAL] | 401-general-tsp | Cuando proceda, autenticar usuarios y dispositivos con MFA o autenticación continua antes de acceder a redes y SI del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-07) | 401-general-tsp | Aprovisionar, modificar, retirar y documentar derechos de acceso conforme a la política, con revisiones planificadas para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-08) | 401-general-tsp | Asignar/revocar derechos basados en need-to-know, mínimo privilegio y separación de deberes; modificar tras cambio de empleo; gestionar acceso de terceros; mantener registro y aplicar logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-09) | 401-general-tsp | Restringir el acceso a las funciones del sistema de información y aplicaciones conforme a la política de acceso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-10) | 401-general-tsp | Garantizar la separación de trusted roles mediante controles de seguridad informática, incluida la separación de la administración de seguridad y operación; restringir utilidades del sistema. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-11) | 401-general-tsp | Identificar y autenticar al personal antes de usar aplicaciones críticas relacionadas con el servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-12) | 401-general-tsp | El personal debe ser accountable de sus actividades (p. ej. mediante logs). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-13) | 401-general-tsp | Proteger los datos sensibles frente a su recuperación a través de objetos o soportes reutilizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-14) | 401-general-tsp | Revisar y actualizar las políticas de control de acceso a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-01) | 401-general-tsp | Mantener políticas de gestión de cuentas privilegiadas y de administración como parte de la política de acceso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-02) | 401-general-tsp | Las políticas deben incluir MFA/autenticación fuerte, cuentas dedicadas a administración, individualización y restricción al máximo, y uso solo para conectarse a sistemas de administración. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-03) | 401-general-tsp | Revisar y documentar los derechos de acceso de cuentas privilegiadas a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-01) | 401-general-tsp | Restringir y controlar el uso de los sistemas de administración. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-02) | 401-general-tsp | Los sistemas de administración deben usarse solo para administración, separarse lógicamente del software no administrativo y protegerse mediante autenticación y cifrado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-01) | 401-general-tsp | Gestionar el ciclo de vida completo de las identidades de redes, SI y sus usuarios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-02) | 401-general-tsp | Para la gestión de identidades: identidades únicas, vincular usuarios a una persona, supervisión de identidades y logging de la gestión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-03) | 401-general-tsp | Permitir identidades compartidas solo cuando sean necesarias y bajo proceso explícito de aprobación y documentación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-04) | 401-general-tsp | Considerar las identidades compartidas en el marco de gestión de ciberriesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-05) | 401-general-tsp | Revisar regularmente las identidades y desactivarlas sin demora cuando ya no sean necesarias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-01) | 401-general-tsp | Implementar procedimientos y tecnologías de autenticación segura basados en restricciones de acceso y la política. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-02) | 401-general-tsp | La autenticación debe garantizar fortaleza acorde a la clasificación, gestión segura de credenciales, cambios periódicos, bloqueos por intentos fallidos, terminación de sesiones inactivas y separación de credenciales para cuentas privilegiadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-03) | 401-general-tsp | Utilizar, en la medida de lo posible, métodos de autenticación state-of-the-art acordes al riesgo y la clasificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-04) | 401-general-tsp | Revisar los procedimientos y tecnologías de autenticación a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.4.6 (REQ-7.4.6-01) | 401-general-tsp | Garantizar la autenticación de usuarios según REQ-7.4.1-06 y REQ-7.4.5-02 a). | Obligatoria | TBD | TBD | — | — |
| A.5.9 | 27001-sgsi | Inventario de información y otros activos asociados | Obligatoria | TBD | TBD | — | — |
| A.5.10 | 27001-sgsi | Uso aceptable de la información y otros activos | Obligatoria | TBD | TBD | — | — |
| A.5.11 | 27001-sgsi | Devolución de activos | Obligatoria | TBD | TBD | — | — |
| A.5.12 | 27001-sgsi | Clasificación de la información | Obligatoria | TBD | TBD | — | — |
| A.5.13 | 27001-sgsi | Etiquetado de la información | Obligatoria | TBD | TBD | — | — |
| A.5.14 | 27001-sgsi | Transferencia de información | Obligatoria | TBD | TBD | — | — |
| A.5.15 | 27001-sgsi | Control de acceso | Obligatoria | TBD | TBD | — | — |
| A.5.16 | 27001-sgsi | Gestión de identidades | Obligatoria | TBD | TBD | — | — |
| A.5.17 | 27001-sgsi | Información de autenticación | Obligatoria | TBD | TBD | — | — |
| A.5.18 | 27001-sgsi | Derechos de acceso | Obligatoria | TBD | TBD | — | — |
| A.8.2 | 27001-sgsi | Privilegios de acceso | Obligatoria | TBD | TBD | — | — |
| A.8.3 | 27001-sgsi | Restricción de acceso a la información | Obligatoria | TBD | TBD | — | — |
| A.8.4 | 27001-sgsi | Acceso al código fuente | Obligatoria | TBD | TBD | — | — |
| A.8.5 | 27001-sgsi | Autenticación segura | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.j (MFA-01) | nis2 | Uso de **autenticación multifactor (MFA)** o autenticación continua. Comunicaciones seguras de voz, vídeo y texto. Sistemas de comunicaciones de emergencia seguros. Aplica a acceso a sistemas críticos (TSU, sello QERDS, consola HSM). | Obligatoria | TBD | TBD | — | — |