Incluye indicaciones de implementación y de auditoría, mapeo a otros frameworks y métricas.
Control Objectives for Information Technology
El 27002 describe 114 controles en 14 grupos para la seguridad de la información.
Objetivo: reducir el riesgo de ciberseguridad
197 controles en 17 dominios
El 27001 establece el Information Security Management System (ISMS)
18 controles que a su vez tienen subcontroles o "safeguards" (153).
Incluye un modelo de madurez
Center for Internet Security
Separa gobernanza de gestión.
Cloud Security Alliance
Cloud Controls Matrix
Se publican "profiles"
Information Systems Audit and Control Association
International Office of Standarization
Pone el foco en los procesos, requerimientos, responsabilidades, gobernanza y tecnología.
22 categorías y 108 subcategorías.
Originalmente solo para operadores de ICs en EE.UU, ahora es voluntario excepto para estos.
Define 4 grados de madurez o implementation tiers.
Define un "framework core": 5 funciones (identify, protect, detect, respond, recover)
Objetivo de reducir el riesgo en general
18 controles que a su vez tienen subcontroles o "safeguards" (153).
Foco en cloud
Cyber Security Framework
Una docena de estándares
National Institute of Standards and Technologies
Enfoque holístico
ISACA