controle

Norma ISO 27002
Tecnología de la Información – Técnicas
de seguridad Código de buenas
prácticas para la Gestión de la
Seguridad de la Información
 11 dominios de control
 39 categorías de seguridad principales


Estructura de la Norma

Controles de Seguridad













1. Política de Seguridad
2. Organización de la Seguridad de la Información
3.Gestión de Activos
4. Seguridad de Recursos Humanos
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Control de Acceso
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información
9. Gestión de Incidentes de Seguridad de la Información
10. Gestión de la Continuidad Comercial
11. Conformidad

1. Política de Seguridad
1. Política de seguridad de lainformación
Objetivo: Proporcionar a la gerencia la dirección y soporte para
la seguridad de la información en concordancia con los
requerimientos comerciales y las leyes y regulaciones
relevantes.
Controles:
1. Documento de la política de seguridad de la información
2. Revisión de la política de seguridad de la información

2. Organización de la seguridad de la
información
1. Organizacióninterna

Objetivo: Manejar la seguridad de la información dentro de la
organización.
Controles:
1. Compromiso de la gerencia con la seguridad de la información
2. Coordinación de la seguridad de la información
3. Asignación de las responsabilidades
4. Autorización de proceso para facilidades procesadoras de
información
5. Acuerdos de confidencialidad
6. Contacto con las autoridades
7.Contacto con grupos de interés especial
8. Revisión independiente de la seguridad de la información

2. Organización de la seguridad de la
información
2. Grupos o personas externas
Objetivo: Mantener la seguridad de la información y los medios
de procesamiento de información de la organización que son
ingresados, procesados, comunicados a, o manejados por,
grupos externos.
Controles:
1.Identificación de los riesgos relacionados con los grupos
externos
2. Tratamiento de la seguridad cuando se lidia con clientes
3. Tratamiento de la seguridad en acuerdos con terceros

3. Gestión de activos
1. Responsabilidad por los activos
Objetivo: Lograr y mantener una apropiada protección de
los activos organizacionales.

Controles:
1. Inventario de los activos
2. Propiedad delos activos
3. Uso aceptable de los activos

3. Gestión de activos
2. Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel de
protección apropiado.

Controles:
1. Lineamientos de clasificación
2. Etiquetado y manejo de la información

4. Seguridad de Recursos Humanos
1. Antes del empleo
Objetivo: Asegurar que los empleados, contratistas y
tercerosentiendan sus responsabilidades, y sean idóneos
para los roles para los cuales son considerados; y reducir
el riesgo de robo, fraude y mal uso de los medios.
Controles:
1.

2.
3.

Roles y responsabilidades
Investigación de antecedentes
Términos y condiciones del empleo

4. Seguridad de Recursos Humanos
2. Durante el empleo
Objetivo: Asegurar que los usuarios empleados,
contratistasy terceras personas estén al tanto de las
amenazas e inquietudes de la seguridad de la
información, sus responsabilidades y obligaciones, y estén
equipadas para apoyar la política de seguridad
organizacional en el curso de su trabajo normal, y reducir
el riesgo de error humano.
Controles:
1. Responsabilidades de la gerencia
2. Conocimiento, educación y capacitación en
seguridad de lainformación
3. Proceso disciplinario

4. Seguridad de Recursos Humanos
3. Terminación o cambio de empleo
Objetivo: Asegurar que los usuarios empleados,
contratistas y terceras personas salgan de la organización
o cambien de empleo de una manera ordenada.
Controles:
1. Responsabilidades de terminación
2. Devolución de los activos
3. Retiro de los derechos de acceso

5. Seguridad...