ISO 17799 peru 2007
Páginas: 194 (48423 palabras)
Publicado: 5 de noviembre de 2014
NORMA TÉCNICA
PERUANA
NTP-ISO/IEC 17799
2007
Comisión de Reglamentos Técnicos y Comerciales - INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145
Lima, Perú
EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management
(EQV. ISO/IEC17799:2000 Information technology. Code of practice for information security management)
2007-01-16
2ª Edición
R.001-2007/INDECOPI-CRT. Publicada el 2007-01-22
Precio basado en 173 páginas
I.C.S.: 35.040
ESTA NORMA ES RECOMENDABLE
Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de
seguridad IT, código de barras, código de buenas practicas INDICE
página
INDICE
PREFACIO
i
vi
INTRODUCCIÓN
¿Qué es la seguridad de la información?
¿Por qué es necesaria la seguridad de la información?
¿Cómo establecer los requisitos de seguridad?
Evaluación de los riesgos contra la seguridad
Selección de controles
Punto de partida de la seguridad de la información
Factores críticos de éxito
Desarrollo de directrices propias
1
1
23
3
4
5
6
1.
OBJETO Y CAMPO DE APLICACIÓN
7
2.
TERMINOS Y DEFINICIONES
7
3.
3.1.
3.2.
ESTRUCTURA DE ESTE ESTANDAR
Cláusulas
Categorías principales de seguridad
9
10
4.
4.1.
4.2.
EVALUACION Y TRATAMIENTO DEL RIESGO
Evaluando los riesgos de seguridad
Tratando riesgos de seguridad
11
11
5.
5.1.
POLÍTICA DE SEGURIDAD
Política de seguridad de lainformación
13
6.
6.1.
6.2.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Organización interna
Seguridad en los accesos de terceras partes
16
25
7.
7.1.
7.2.
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Responsabilidad sobre los activos
Clasificación de la información
34
37
8.
8.1.
8.2.
8.3.
SEGURIDAD EN RECURSOS HUMANOS
Seguridad antes del empleo
Durante el empleoFinalización o cambio del empleo
39
43
46
i
página
9.
9.1.
9.2.
SEGURIDAD FÍSICA Y DEL ENTORNO
Areas seguras
Seguridad de los equipos
50
55
10.
10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
10.7.
10.8.
10.9.
10.10.
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Procedimientos y responsabilidades de operación
Gestión de servicios externos
Planificación y aceptación delsistema
Protección contra software malicioso
Gestión de respaldo y recuperación
Gestión de seguridad en redes
Utilización de los medios de información
Intercambio de información
Servicios de correo electrónico
Monitoreo
62
67
70
72
75
77
79
83
91
95
11.
11.1.
11.2.
11.3.
11.4.
11.5.
11.6.
11.7.
CONTROL DE ACCESOS
Requisitos de negocio para el control de accesos
Gestiónde acceso de usuarios
Responsabilidades de los usuarios
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso a las aplicaciones y la información
Informática móvil y teletrabajo
12.
ADQUISICION, DESARROLLO Y MANTENIMIENTO
SISTEMAS
Requisitos de seguridad de los sistemas
Seguridad de las aplicaciones del sistema
Controles criptográficos
Seguridad de losarchivos del sistema
Seguridad en los procesos de desarrollo y soporte
Gestión de la vulnerabilidad técnica
12.1.
12.2.
12.3.
12.4.
12.5.
12.6.
13.
102
104
109
113
119
126
128
DE
132
134
138
142
146
151
13.1.
13.2.
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE
INFORMACIÓN
Reportando eventos y debilidades de la seguridad de información
Gestión de las mejoras eincidentes en la seguridad de información
154
157
14.
14.1.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Aspectos de la gestión de continuidad del negocio
161
ii
página
15.
15.1.
15.2.
15.3.
CUMPLIMIENTO
Cumplimiento con los requisitos legales
Revisiones de la política de seguridad y de la conformidad técnica
Consideraciones sobre la auditoria de sistemas
169
175
177
16....
PERUANA
NTP-ISO/IEC 17799
2007
Comisión de Reglamentos Técnicos y Comerciales - INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145
Lima, Perú
EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management
(EQV. ISO/IEC17799:2000 Information technology. Code of practice for information security management)
2007-01-16
2ª Edición
R.001-2007/INDECOPI-CRT. Publicada el 2007-01-22
Precio basado en 173 páginas
I.C.S.: 35.040
ESTA NORMA ES RECOMENDABLE
Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de
seguridad IT, código de barras, código de buenas practicas INDICE
página
INDICE
PREFACIO
i
vi
INTRODUCCIÓN
¿Qué es la seguridad de la información?
¿Por qué es necesaria la seguridad de la información?
¿Cómo establecer los requisitos de seguridad?
Evaluación de los riesgos contra la seguridad
Selección de controles
Punto de partida de la seguridad de la información
Factores críticos de éxito
Desarrollo de directrices propias
1
1
23
3
4
5
6
1.
OBJETO Y CAMPO DE APLICACIÓN
7
2.
TERMINOS Y DEFINICIONES
7
3.
3.1.
3.2.
ESTRUCTURA DE ESTE ESTANDAR
Cláusulas
Categorías principales de seguridad
9
10
4.
4.1.
4.2.
EVALUACION Y TRATAMIENTO DEL RIESGO
Evaluando los riesgos de seguridad
Tratando riesgos de seguridad
11
11
5.
5.1.
POLÍTICA DE SEGURIDAD
Política de seguridad de lainformación
13
6.
6.1.
6.2.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Organización interna
Seguridad en los accesos de terceras partes
16
25
7.
7.1.
7.2.
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Responsabilidad sobre los activos
Clasificación de la información
34
37
8.
8.1.
8.2.
8.3.
SEGURIDAD EN RECURSOS HUMANOS
Seguridad antes del empleo
Durante el empleoFinalización o cambio del empleo
39
43
46
i
página
9.
9.1.
9.2.
SEGURIDAD FÍSICA Y DEL ENTORNO
Areas seguras
Seguridad de los equipos
50
55
10.
10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
10.7.
10.8.
10.9.
10.10.
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Procedimientos y responsabilidades de operación
Gestión de servicios externos
Planificación y aceptación delsistema
Protección contra software malicioso
Gestión de respaldo y recuperación
Gestión de seguridad en redes
Utilización de los medios de información
Intercambio de información
Servicios de correo electrónico
Monitoreo
62
67
70
72
75
77
79
83
91
95
11.
11.1.
11.2.
11.3.
11.4.
11.5.
11.6.
11.7.
CONTROL DE ACCESOS
Requisitos de negocio para el control de accesos
Gestiónde acceso de usuarios
Responsabilidades de los usuarios
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso a las aplicaciones y la información
Informática móvil y teletrabajo
12.
ADQUISICION, DESARROLLO Y MANTENIMIENTO
SISTEMAS
Requisitos de seguridad de los sistemas
Seguridad de las aplicaciones del sistema
Controles criptográficos
Seguridad de losarchivos del sistema
Seguridad en los procesos de desarrollo y soporte
Gestión de la vulnerabilidad técnica
12.1.
12.2.
12.3.
12.4.
12.5.
12.6.
13.
102
104
109
113
119
126
128
DE
132
134
138
142
146
151
13.1.
13.2.
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE
INFORMACIÓN
Reportando eventos y debilidades de la seguridad de información
Gestión de las mejoras eincidentes en la seguridad de información
154
157
14.
14.1.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Aspectos de la gestión de continuidad del negocio
161
ii
página
15.
15.1.
15.2.
15.3.
CUMPLIMIENTO
Cumplimiento con los requisitos legales
Revisiones de la política de seguridad y de la conformidad técnica
Consideraciones sobre la auditoria de sistemas
169
175
177
16....
Leer documento completo
Regístrate para leer el documento completo.