Empresas
Páginas: 203 (50586 palabras)
Publicado: 23 de febrero de 2013
ICS: 35.040
Editada e impresa por
INTECO
©INTECO 2009
Derechos reservados
LAS OBSERVACIONES A ESTE DOCUMENTO DIRIGIRLAS A:
INSTITUTO DE NORMAS TECNICAS DE COSTA RICA
Teléfono: (506) 2283 4522 Fax: (506) 2283 4831 Apartado: 10004-1000
Email: info@inteco.or.cr Web: www.inteco.or.cr
1/133
INTE CTN 27
Fecha: 2009-09-21
INTE ISO IEC 27002:2009
Primera edición
Secretaría: INTECOTecnología de la información - Código de prácticas para la
gestión de la seguridad de la información.
CORRESPONDENCIA: La presente norma es equivalente con la norma internacional ISO/IEC
27002:2005 “Information technology - Security techniques - Code of Practice for Information
Security Management.
INTE/ISO/IEC 27002:2009
2
Contenido Pagina
0 INTRODUCCIÓN..................................................................................................................... 4
1 OBJETO Y CAMPO DE APLICACIÓN .................................................................................... 8
2 TÉRMINOS Y DEFINICIONES................................................................................................ 8
3 ESTRUCTURA DE ESTANORMA........................................................................................ 10
4 EVALUACIÓN TRATAMIENTO DE RIESGOS ..................................................................... 11
5 POLITICA DE SEGURIDAD .................................................................................................. 13
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN........................................... 15
7 GESTIÓN DEACTIVOS........................................................................................................ 28
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS....................................................... 32
9 SEGURIDAD FÍSICA Y DEL AMBIENTE.............................................................................. 40
10 GESTIÓN DE COMUNICACIONES Y OPERACIONES....................................................... 49
11 CONTROL DE ACCESO ....................................................................................................... 77
12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN..................................................................................................................... 98
13 GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LAINFORMACIÓN........................ 114
14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ............................................................. 119
15 CUMPLIMIENTO.................................................................................................................. 125
16 CORRESPONDENCIA ........................................................................................................132
INTE/ISO/IEC 27002:2009
3
Prólogo
El Instituto de Normas Técnicas de Costa Rica, INTECO, es el organismo nacional de
normalización, según la Ley 8279 de 2002.
El INTECO es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para
brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector
gubernamental y apoya al sector privadodel país, para lograr ventajas competitivas en los
mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está
garantizada por los Comités Técnicos y el periodo de Consulta Pública, este último caracterizado
por la participación del público en general.
Esta norma INTE ISO IEC 27002:2009 fue aprobada por la Comisión Nacional deNormalización el
2009-09-21.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo
momento a las necesidades y exigencias actuales.
A continuación se mencionan las organizaciones y personas que colaboraron en el estudio de esta
norma a través de su participación en el Comité Técnico Nacional de Tecnologías de Información
INTE CTN 27:
MIEMBRO...
Editada e impresa por
INTECO
©INTECO 2009
Derechos reservados
LAS OBSERVACIONES A ESTE DOCUMENTO DIRIGIRLAS A:
INSTITUTO DE NORMAS TECNICAS DE COSTA RICA
Teléfono: (506) 2283 4522 Fax: (506) 2283 4831 Apartado: 10004-1000
Email: info@inteco.or.cr Web: www.inteco.or.cr
1/133
INTE CTN 27
Fecha: 2009-09-21
INTE ISO IEC 27002:2009
Primera edición
Secretaría: INTECOTecnología de la información - Código de prácticas para la
gestión de la seguridad de la información.
CORRESPONDENCIA: La presente norma es equivalente con la norma internacional ISO/IEC
27002:2005 “Information technology - Security techniques - Code of Practice for Information
Security Management.
INTE/ISO/IEC 27002:2009
2
Contenido Pagina
0 INTRODUCCIÓN..................................................................................................................... 4
1 OBJETO Y CAMPO DE APLICACIÓN .................................................................................... 8
2 TÉRMINOS Y DEFINICIONES................................................................................................ 8
3 ESTRUCTURA DE ESTANORMA........................................................................................ 10
4 EVALUACIÓN TRATAMIENTO DE RIESGOS ..................................................................... 11
5 POLITICA DE SEGURIDAD .................................................................................................. 13
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN........................................... 15
7 GESTIÓN DEACTIVOS........................................................................................................ 28
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS....................................................... 32
9 SEGURIDAD FÍSICA Y DEL AMBIENTE.............................................................................. 40
10 GESTIÓN DE COMUNICACIONES Y OPERACIONES....................................................... 49
11 CONTROL DE ACCESO ....................................................................................................... 77
12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN..................................................................................................................... 98
13 GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LAINFORMACIÓN........................ 114
14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ............................................................. 119
15 CUMPLIMIENTO.................................................................................................................. 125
16 CORRESPONDENCIA ........................................................................................................132
INTE/ISO/IEC 27002:2009
3
Prólogo
El Instituto de Normas Técnicas de Costa Rica, INTECO, es el organismo nacional de
normalización, según la Ley 8279 de 2002.
El INTECO es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para
brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector
gubernamental y apoya al sector privadodel país, para lograr ventajas competitivas en los
mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está
garantizada por los Comités Técnicos y el periodo de Consulta Pública, este último caracterizado
por la participación del público en general.
Esta norma INTE ISO IEC 27002:2009 fue aprobada por la Comisión Nacional deNormalización el
2009-09-21.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo
momento a las necesidades y exigencias actuales.
A continuación se mencionan las organizaciones y personas que colaboraron en el estudio de esta
norma a través de su participación en el Comité Técnico Nacional de Tecnologías de Información
INTE CTN 27:
MIEMBRO...
Leer documento completo
Regístrate para leer el documento completo.