Gestión de activos
Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar sus objetivos empresariales se identifican y gestionan en función de su importancia relativa para los objetivos empresariales y la estrategia de riesgos de la organización.

Se inventariarán los dispositivos y sistemas físicos de la organización.
Inventario de las plataformas y aplicaciones informáticas de la organización
La comunicación y los flujos de datos dentro de la organización están planificados.
Se catalogan los sistemas de información externos
Los recursos (por ejemplo, hardware, dispositivos, datos y software) se priorizan en función de su clasificación y valor empresarial.
Se definen las funciones y responsabilidades en materia de ciberseguridad de todo el personal y de las partes interesadas externas (por ejemplo, proveedores, clientes, socios).

Entorno empresarial
Se comprenden y priorizan la misión, los objetivos, las partes interesadas y las actividades de la organización; esta información se utiliza para tomar decisiones sobre las funciones, las responsabilidades y la gestión de riesgos en materia de ciberseguridad.

Se identifica y comunica el papel de la organización en la cadena de suministro.
Se identifica y comunica el lugar que ocupa la organización en las infraestructuras críticas y en el sector empresarial.
Se identifican y comunican las prioridades de la misión, los objetivos y las actividades de la organización.
Se identifican las dependencias y funciones críticas para la prestación de servicios críticos
Se identifican los requisitos de resistencia para apoyar la prestación de servicios críticos

Gobernanza
Las políticas, procedimientos y procesos para gestionar y supervisar los requisitos normativos, legales, de riesgo, medioambientales y operativos de la organización se comprenden y constituyen la base para la gestión de riesgos de ciberseguridad.

La política de seguridad de la información de la organización está en vigor.
Las funciones y responsabilidades en materia de seguridad de la información están coordinadas y alineadas con las funciones internas y los socios externos.
Se comprenden y abordan los requisitos legales y reglamentarios de ciberseguridad, incluidas las obligaciones en materia de privacidad y libertades civiles.
Los procesos de gobernanza y gestión de riesgos abordan los riesgos de ciberseguridad

Control de acceso
El acceso a los activos y a las instalaciones asociadas se limita a los usuarios, procesos o dispositivos autorizados, y a las actividades y transacciones autorizadas.

Gestión de identidades y credenciales para dispositivos y usuarios autorizados
Gestión y protección del acceso físico a los activos
Se gestiona el acceso remoto
Los derechos de acceso se gestionan respetando los principios de privilegio mínimo y segregación de funciones.
Protección de la integridad de la red, incluida la segregación de la red cuando proceda.

Concienciación
El personal y los socios de la organización reciben formación en ciberseguridad y están adecuadamente formados para desempeñar sus funciones y responsabilidades relacionadas con la seguridad de la información de conformidad con las políticas, procedimientos y acuerdos pertinentes.

Se informa y forma a todos los usuarios
Los usuarios autorizados comprenden las funciones y responsabilidades
Las partes interesadas externas (proveedores, clientes, socios, etc.) comprenden sus funciones y responsabilidades.
Los altos directivos comprenden sus funciones y responsabilidades
El personal de seguridad física y de la información comprende sus funciones y responsabilidades

Seguridad de los datos
La información y los registros (datos) se gestionan de acuerdo con la estrategia de riesgos de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.

Los datos en reposo están protegidos
Los datos en tránsito están protegidos
Los activos se gestionan formalmente durante su enajenación, transferencia y disposición
Se mantiene una capacidad suficiente para garantizar la disponibilidad
Se aplican medidas de protección contra la fuga de datos
Los mecanismos de control de integridad se utilizan para verificar la integridad del software, el firmware y la información.
Los entornos de desarrollo y pruebas están separados del entorno de producción.

Procesos y procedimientos de seguridad de la información
Procesos y procedimientos de seguridad de la información (PR.IP): Se mantienen y utilizan políticas de seguridad (que abarcan el propósito, el alcance, las funciones, las responsabilidades, el compromiso de la dirección y la coordinación entre las entidades organizativas), procesos y procedimientos para gestionar la protección de los sistemas y activos de información.

Se establece y mantiene una configuración básica de los sistemas de tecnología de la información/control industrial.
Se aplica un ciclo de desarrollo de sistemas de gestión.
Existen procesos de control para los cambios de configuración.
Se establecen, mantienen y comprueban periódicamente copias de seguridad de la información.
Se cumplen las políticas y normativas relativas al entorno físico operativo de los activos de la organización.
Los datos se destruyen de acuerdo con la política
Mejora continua de los procesos de seguridad
La eficacia de las tecnologías de protección se comparte con las partes apropiadas. Los planes de respuesta (Respuesta a Incidentes y Continuidad de Negocio) y los planes de recuperación (Recuperación de Incidentes y Recuperación de Desastres) están en marcha y son gestionados.
Se prueban los planes de respuesta y recuperación
La ciberseguridad se incluye en las políticas de personal (por ejemplo, la selección de personal)
Se elabora y aplica un plan de gestión de la vulnerabilidad

Mantenimiento
El mantenimiento y las reparaciones de los componentes de los sistemas de información y control industrial se llevan a cabo de acuerdo con las políticas y los procedimientos.

El mantenimiento y la reparación de los activos de la organización se realizan y registran de manera oportuna, utilizando herramientas aprobadas y controladas.
El mantenimiento a distancia de los activos de la organización se aprueba, registra y realiza de forma que se impida el acceso no autorizado.

Tecnología de protección
Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos, de conformidad con las políticas, procedimientos y acuerdos correspondientes.

Los registros de auditoría/registro se determinan, documentan, aplican y revisan de acuerdo con la política
Los soportes extraíbles están protegidos y su uso restringido de acuerdo con la política
Se controla el acceso a los sistemas y activos, respetando el principio de mínima funcionalidad.
Las redes de comunicación y control están protegidas

Anomalías y sucesos
Las anomalías se detectan a tiempo y se comprende el impacto potencial de los acontecimientos.

Se establece y gestiona una base de operaciones de red y flujos de datos previstos para usuarios y sistemas.
Los sucesos observados se analizan para comprender los objetivos y métodos de los ataques
Los datos de sucesos se agregan y correlacionan a partir de múltiples fuentes y sensores
Se determina el impacto de los sucesos y se fijan los umbrales para las alertas de incidentes.

Supervisión continua de la seguridad
El sistema de información y los activos se supervisan a intervalos discretos para identificar eventos de ciberseguridad y verificar la eficacia de las medidas de protección.

La red se supervisa para detectar posibles incidentes de ciberseguridad
El entorno físico se supervisa para detectar posibles incidentes de ciberseguridad
Seguimiento de las actividades del personal para detectar posibles incidentes de ciberseguridad.
Se detecta código malicioso
Se detecta un código de móvil no autorizado
Se supervisa la actividad de los proveedores de servicios externos para detectar posibles incidentes de ciberseguridad.
Se comprueba si hay personal no autorizado, conexiones no autorizadas, dispositivos no autorizados y software no autorizado.
Se realizan análisis para detectar vulnerabilidades

Procesos de detección
Los procesos y procedimientos de detección se mantienen y comprueban para garantizar un conocimiento oportuno y adecuado de los sucesos anómalos.

Planificación de la respuesta
Se aplican y mantienen procesos y procedimientos de respuesta para garantizar una respuesta oportuna a los incidentes de ciberseguridad detectados.

El plan de respuesta se aplica durante o después de un suceso

Comunicaciones
Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según proceda, incluido el apoyo externo de las fuerzas del orden.

El personal conoce su papel y la secuencia de operaciones cuando se requiere una respuesta
Los sucesos se notifican de acuerdo con los criterios establecidos
La información se comparte de acuerdo con los planes de respuesta
La coordinación con las partes interesadas se realiza de acuerdo con los planes de respuesta
Intercambio voluntario de información con partes interesadas externas para lograr un mayor conocimiento de la situación de la ciberseguridad.

Análisis
Se realizan análisis para garantizar una respuesta adecuada y apoyar las actividades de recuperación.

Se investigan los informes de los sistemas de detección
Se entiende el impacto del incidente
Se llevan a cabo investigaciones forenses
Los incidentes se clasifican de acuerdo con los planes de respuesta

Planificación de la recuperación
Se aplican y mantienen procesos y procedimientos de recuperación para garantizar la recuperación oportuna de los sistemas o activos afectados por incidentes de ciberseguridad.

El plan de recuperación se aplica durante o después de un suceso

Mejoras
La planificación y los procesos de recuperación se mejorarán incorporando las lecciones aprendidas a las actividades futuras.

Los planes de recuperación incorporan las lecciones aprendidas.
Se actualizan las estrategias de recuperación

Comunicaciones
Las actividades de recuperación se coordinan con partes internas y externas, como centros de coordinación, proveedores de servicios de Internet, propietarios de los sistemas atacantes, víctimas, otros CSIRT y proveedores.

Las relaciones públicas se gestionan
Se restablece la reputación tras el suceso
Las actividades de recuperación se comunican a las partes interesadas internas y a los equipos ejecutivos y de gestión