Gap analysis
Cargando…
Cargando…
Operaciones · 89 de 89 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §7.7 (REQ-7.7-01) | 401-general-tsp | Utilizar sistemas y productos confiables, protegidos frente a modificaciones y que aseguren la seguridad técnica y fiabilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-02) | 401-general-tsp | Realizar análisis de requisitos de seguridad en la fase de diseño/especificación de proyectos de desarrollo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-03) | 401-general-tsp | Aplicar procedimientos de control de cambios para releases, modificaciones y parches de emergencia del software operacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-04) | 401-general-tsp | Documentar los cambios en los procedimientos de control. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-05) | 401-general-tsp | Proteger la integridad de los sistemas e información frente a virus, malware y software no autorizado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-06) | 401-general-tsp | Establecer procedimientos para todos los trusted/administrative roles que impactan en el servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-07) | 401-general-tsp | Especificar y aplicar procedimientos para que los parches se apliquen en plazo razonable, no se apliquen si introducen vulnerabilidades, y se documente la decisión de no aplicar. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-08) | 401-general-tsp | Establecer, documentar, monitorizar y revisar las configuraciones de hardware, software, servicios y redes (incluida la configuración de seguridad). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-09) | 401-general-tsp | Monitorizar configuraciones con un conjunto comprensivo de herramientas de gestión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-10) | 401-general-tsp | Revisar configuraciones regularmente para verificar parámetros, fortaleza de contraseñas y actividades. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-11) | 401-general-tsp | Establecer procesos para gestionar los riesgos de adquisición de servicios/productos ICT críticos basados en el análisis de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-12) | 401-general-tsp | Los procesos de adquisición deben incluir requisitos de seguridad, actualizaciones, descripción de componentes, funciones de ciberseguridad, garantía de cumplimiento y métodos de validación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-13) | 401-general-tsp | Revisar y actualizar los procesos al menos anualmente y tras incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-14) | 401-general-tsp | Antes de desarrollar redes/SI (incl. software), establecer reglas para el desarrollo seguro y aplicarlas en desarrollo interno o externalizado, cubriendo todas las fases. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-15) | 401-general-tsp | Para desarrollo seguro: análisis de requisitos, principios de ingeniería segura/zero-trust, requisitos del entorno, testing, gestión de datos de prueba y anonimización. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-16) | 401-general-tsp | Para desarrollo externalizado, aplicar también las políticas y procedimientos de proveedores y adquisición de productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-17) | 401-general-tsp | Revisar y actualizar las reglas de desarrollo seguro a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-18) | 401-general-tsp | Aplicar procedimientos de gestión de cambios para controlar cambios en redes y SI, coherentes con las políticas generales de cambio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-19) | 401-general-tsp | Aplicar gestión de cambios a releases, modificaciones y emergencias en software/hardware y configuración, asegurando documentación, testeo y evaluación de impacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-20) | 401-general-tsp | Si no es posible seguir los procedimientos regulares de cambio por emergencia, documentar el resultado y la justificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-21) | 401-general-tsp | Revisar y actualizar los procedimientos de gestión de cambios a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-22) | 401-general-tsp | Establecer y aplicar política y procedimientos de testing de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-23) | 401-general-tsp | El testing de seguridad debe definir necesidad, alcance, frecuencia, tipo, metodología documentada, evaluación de criticidad y acciones mitigadoras. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-24) | 401-general-tsp | Revisar y actualizar las políticas de testing de seguridad a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (REQ-7.7-25) | 401-general-tsp | Especificar y aplicar procedimientos de parches alineados con cambio, vulnerabilidades y riesgos: aplicación oportuna, testeo previo, fuentes confiables, integridad y compensaciones cuando no aplican. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.7 (PRO-7.7-26) [CONDITIONAL] | 401-general-tsp | El TSP puede no aplicar parches si las desventajas superan los beneficios; debe documentar y justificar la decisión. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-01) | 401-general-tsp | Proteger la red y los sistemas frente a ataques (referencia a ISO/IEC 27002:2022 §8.20-§8.23). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-02) | 401-general-tsp | Segmentar los sistemas en redes/zonas según el análisis de riesgos y separar los sistemas/redes de los de terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-03) | 401-general-tsp | Aplicar los mismos controles a sistemas co-ubicados en una zona y conceder acceso a una red/zona conforme a su evaluación de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-04) | 401-general-tsp | Restringir accesos y comunicaciones entre zonas y dentro de cada zona a las necesarias para la operación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-05) | 401-general-tsp | Prohibir o desactivar conexiones y servicios no necesarios; permitir solo el acceso de dispositivos autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-06) | 401-general-tsp | Revisar regularmente y tras incidentes el conjunto de reglas, segmentación y medidas de protección. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-07) | 401-general-tsp | Mantener todos los sistemas críticos para la operación del TSP en una o más zonas seguras. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-08) | 401-general-tsp | Separar la red dedicada a administración de IT y la red operacional, y segregar los canales de administración del resto del tráfico. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-09) | 401-general-tsp | Separar lógicamente los sistemas/redes de administración del resto y no usarlos para otros fines. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-10) | 401-general-tsp | Separar los sistemas de producción de los sistemas de desarrollo y test (incluyendo backups). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-11) | 401-general-tsp | Establecer comunicaciones entre sistemas confiables solo a través de canales aislados (lógica/criptográfica/físicamente) con identificación de extremos y protección de la integridad/confidencialidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-12) [CONDITIONAL] | 401-general-tsp | Si se requiere alta disponibilidad de acceso externo, asegurar redundancia de la conexión y desplegar una DMZ. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-13) | 401-general-tsp | Realizar escaneos regulares de vulnerabilidades sobre IPs públicas y privadas, registrando evidencia de la independencia y competencia del ejecutor. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-14) | 401-general-tsp | Realizar el escaneo de vulnerabilidades al menos trimestralmente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-15) | 401-general-tsp | Monitorizar información sobre vulnerabilidades a través de CSIRTs, autoridades, proveedores y otros canales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-16) | 401-general-tsp | Proteger redes/SI frente a software malicioso con detección y eliminación, actualizadas al menos diariamente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-17) | 401-general-tsp | Actualizar regularmente el software de detección de malware. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-18) | 401-general-tsp | Realizar pentests al instalar y tras cambios significativos en infraestructura/aplicaciones; abordar sin demora vulnerabilidades críticas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-19) | 401-general-tsp | Los pentests deben realizarse al menos anualmente; mitigar o documentar la justificación si no se mitiga. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-20) | 401-general-tsp | Registrar evidencia de la independencia y competencia de quien ejecuta el pentest. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-21) | 401-general-tsp | Proteger los dominios internos frente a accesos no autorizados (incluidos suscriptores y terceros) mediante firewalls u otros controles. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-22) | 401-general-tsp | Configurar los firewalls para impedir todos los protocolos y accesos no necesarios para la operación del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-23) | 401-general-tsp | Adoptar plan de implementación para protocolos de red de última generación, comunicaciones email seguras y mejores prácticas en seguridad DNS y enrutamiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.8 (REQ-7.8-24) | 401-general-tsp | Documentar de forma comprensible y actualizada la arquitectura de red. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-01) | 401-general-tsp | Registrar y mantener accesible durante un periodo adecuado (incluso tras el cese) toda la información relevante para evidencia legal y continuidad del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-02) | 401-general-tsp | Mantener la confidencialidad e integridad de los registros de operación, actuales y archivados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-03) | 401-general-tsp | Archivar de forma completa y confidencial los registros de operación de servicios conforme a las prácticas declaradas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-04) | 401-general-tsp | Hacer disponibles los registros como evidencia ante procesos legales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-05) | 401-general-tsp | Registrar el momento preciso de los eventos significativos relativos a entorno, gestión de claves y sincronización del reloj del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-06) | 401-general-tsp | Sincronizar el reloj utilizado para los registros con UTC al menos una vez al día. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-07) | 401-general-tsp | Conservar los registros durante el tiempo establecido en los T&C del servicio (§6.2). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.10 (REQ-7.10-08) | 401-general-tsp | Registrar los eventos de modo que no puedan eliminarse o destruirse fácilmente durante el periodo de retención (write-only, off-site, almacenamiento paralelo, etc.). | Obligatoria | TBD | TBD | — | — |
| A.8.1 | 27001-sgsi | Dispositivos de punto final del usuario | Obligatoria | TBD | TBD | — | — |
| A.8.6 | 27001-sgsi | Gestión de capacidad | Obligatoria | TBD | TBD | — | — |
| A.8.7 | 27001-sgsi | Protección frente a malware | Obligatoria | TBD | TBD | — | — |
| A.8.8 | 27001-sgsi | Gestión de vulnerabilidades técnicas | Obligatoria | TBD | TBD | — | — |
| A.8.9 | 27001-sgsi | Gestión de la configuración (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.10 | 27001-sgsi | Eliminación de información (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.11 | 27001-sgsi | Enmascaramiento de datos (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.12 | 27001-sgsi | Prevención de fugas de datos (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.13 | 27001-sgsi | Copia de seguridad de la información | Obligatoria | TBD | TBD | — | — |
| A.8.14 | 27001-sgsi | Redundancia de los recursos de tratamiento de la información | Obligatoria | TBD | TBD | — | — |
| A.8.15 | 27001-sgsi | Registro de eventos | Obligatoria | TBD | TBD | — | — |
| A.8.16 | 27001-sgsi | Actividades de monitorización (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.17 | 27001-sgsi | Sincronización del reloj | Obligatoria | TBD | TBD | — | — |
| A.8.18 | 27001-sgsi | Uso de programas utilitarios privilegiados | Obligatoria | TBD | TBD | — | — |
| A.8.19 | 27001-sgsi | Instalación de software en sistemas operativos | Obligatoria | TBD | TBD | — | — |
| A.8.20 | 27001-sgsi | Seguridad de redes | Obligatoria | TBD | TBD | — | — |
| A.8.21 | 27001-sgsi | Seguridad de servicios de red | Obligatoria | TBD | TBD | — | — |
| A.8.22 | 27001-sgsi | Segregación en redes | Obligatoria | TBD | TBD | — | — |
| A.8.23 | 27001-sgsi | Filtrado web (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.25 | 27001-sgsi | Ciclo de vida de desarrollo seguro | Obligatoria | TBD | TBD | — | — |
| A.8.26 | 27001-sgsi | Requisitos de seguridad de las aplicaciones | Obligatoria | TBD | TBD | — | — |
| A.8.27 | 27001-sgsi | Principios de ingeniería y arquitectura segura | Obligatoria | TBD | TBD | — | — |
| A.8.28 | 27001-sgsi | Codificación segura (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.8.29 | 27001-sgsi | Pruebas de seguridad en desarrollo y aceptación | Obligatoria | TBD | TBD | — | — |
| A.8.31 | 27001-sgsi | Separación de entornos de desarrollo, prueba y producción | Obligatoria | TBD | TBD | — | — |
| A.8.32 | 27001-sgsi | Gestión de cambios | Obligatoria | TBD | TBD | — | — |
| A.8.33 | 27001-sgsi | Información para pruebas | Obligatoria | TBD | TBD | — | — |
| A.8.34 | 27001-sgsi | Protección de los sistemas de información durante auditorías | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.e | eidas-legales | Sistemas y productos fiables protegidos contra alteración | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.f | eidas-legales | Sistemas fiables para almacenar datos verificables (acceso, integridad, autenticidad) | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.g | eidas-legales | Medidas adecuadas contra falsificación y robo de datos | Obligatoria | TBD | TBD | — | — |