¿Qué exige este criterio?
El Anexo A §8 de ISO 27001:2022 incluye controles tecnológicos: 8.1-8.2 dispositivos de usuario y acceso privilegiado; 8.5 autenticación segura; 8.6 gestión de capacidades; 8.7 malware; 8.8 gestión de vulnerabilidades; 8.9 gestión de la configuración; 8.12 prevención de fuga de datos; 8.20 redes; 8.24 criptografía; 8.29 pruebas de seguridad en desarrollo. Muchos de estos controles solapan con EN 319 401 y ENS ALTA.

¿Qué hay que revisar al cliente?

• SoA con controles del Anexo A §8 aplicados al QERDS.
• Gestión de vulnerabilidades (8.8): proceso de parcheo y CVEs.
• Gestión de la configuración (8.9): baseline de configuración segura.
• Criptografía (8.24): alineada con TS 119 312.
• Pruebas de seguridad (8.29): pentesting periódico.

Preguntas clave para las entrevistas

• ¿Hay un proceso de gestión de vulnerabilidades para el QERDS?
• ¿La gestión de la configuración garantiza que los sistemas del QERDS siguen un baseline seguro?
• ¿Se realizan pruebas de seguridad periódicas del servicio?

¿Por qué es esencial para QERDS y TSA?
Los controles tecnológicos del Anexo A §8 son los más verificables en auditoría técnica. Para el QERDS, el control de criptografía (8.24) debe alinearse con TS 119 312, y el de gestión de vulnerabilidades (8.8) debe incluir un proceso de parcheo con plazos definidos.

Evidencia que demostraría conformidad

• SoA con controles §8 y estado de implementación.
• Proceso de gestión de vulnerabilidades.
• Resultado de pentesting más reciente.