De norma iram-iso iec 17799
Páginas: 147 (36729 palabras)
Publicado: 23 de septiembre de 2010
ESQUEMA 1
ISO IEC 17799
2002
Tecnología de la información
Código de práctica para la administración de la
seguridad de la información
Information technology.
Code of practice for information security management.
Este esquema está sometido a discu-
sión pública. Las observaciones de-
ben remitirse fundadas y por escri-
to, al Instituto IRAM, Perú 552 / 556 -(C1068AAB) Buenos Aires antes del
2002-06-28
DOCUMENTO EN ESTUDIO
Prefacio
El Instituto Argentino de Normalización (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de lanormalización como base de la calidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.
IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN).
Estanorma IRAM es el fruto del consenso técnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.
Esta norma es una adopción idéntica de la norma ISO 17799:2000.
Índice
INTRODUCCIÓN 9
QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN ? 9
POR QUÉ ES NECESARIA LA SEGURIDAD DE LA INFORMACIÓN 9
CÓMOESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD 10
EVALUACIÓN DE LOS RIESGOS EN MATERIA DE SEGURIDAD 10
SELECCIÓN DE CONTROLES 11
PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACIÓN 11
FACTORES CRÍTICOS DEL ÉXITO 12
DESARROLLO DE LINEAMIENTOS PROPIOS 12
1 ALCANCE 13
2 TÉRMINOS Y DEFINICIONES 13
3 POLÍTICA DE SEGURIDAD 13
3.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 13
3.1.1 Documentación de lapolítica de seguridad de la información 14
3.1.2 Revisión y evaluación 14
4 ORGANIZACIÓN DE LA SEGURIDAD 15
4.1 INFRAESTRUCTURA DE SEGURIDAD DE LA INFORMACIÓN 15
4.1.1 Foro gerencial sobre seguridad de la información 15
4.1.2 Coordinación de la seguridad de la información 15
4.1.3 Asignación de responsabilidades en materia de seguridad de la información 16
4.1.4 Proceso de autorizaciónpara instalaciones de procesamiento de información 16
4.1.5 Asesoramiento especializado en materia de seguridad de la información 17
4.1.6 Cooperación entre organizaciones 17
4.1.7 Revisión independiente de la seguridad de la información 17
4.2 SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS 18
4.2.1 Identificación de riesgos del acceso de terceras partes 18
4.2.2 Requerimientos de seguridaden contratos con terceros 19
4.3 TERCERIZACIÓN 20
4.3.1 Requerimientos de seguridad en contratos de tercerización 20
5 CLASIFICACIÓN Y CONTROL DE ACTIVOS 21
5.1 RESPONSABILIDAD POR RENDICIÓN DE CUENTAS DE LOS ACTIVOS 21
5.1.1 Inventario de activos 21
5.2 CLASIFICACIÓN DE LA INFORMACIÓN 22
5.2.1 Pautas de clasificación 22
5.2.2 Rotulado y manejo de la información 22
6 SEGURIDAD DELPERSONAL 23
6.1 SEGURIDAD EN LA DEFINICIÓN DE PUESTOS DE TRABAJO Y LA ASIGNACIÓN DE RECURSOS 23
6.1.1 Inclusión de la seguridad en las responsabilidades de los puestos de trabajo 23
6.1.2 Selección y política de personal 23
6.1.3 Acuerdos de confidencialidad 24
6.1.4 Términos y condiciones de empleo 24
6.2 CAPACITACIÓN DEL USUARIO 24
6.2.1 Formación y capacitación en materia de seguridad de lainformación 25
6.3 RESPUESTA A INCIDENTES Y ANOMALÍAS EN MATERIA DE SEGURIDAD 25
6.3.1 Comunicación de incidentes relativos a la seguridad 25
6.3.2 Comunicación de debilidades en materia de seguridad 25
6.3.3 Comunicación de anomalías del software 26
6.3.4 Aprendiendo de los incidentes 26
6.3.5 Proceso disciplinario 26
7 SEGURIDAD FÍSICA Y AMBIENTAL 26
7.1 ÁREAS SEGURAS 26
7.1.1...
ISO IEC 17799
2002
Tecnología de la información
Código de práctica para la administración de la
seguridad de la información
Information technology.
Code of practice for information security management.
Este esquema está sometido a discu-
sión pública. Las observaciones de-
ben remitirse fundadas y por escri-
to, al Instituto IRAM, Perú 552 / 556 -(C1068AAB) Buenos Aires antes del
2002-06-28
DOCUMENTO EN ESTUDIO
Prefacio
El Instituto Argentino de Normalización (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de lanormalización como base de la calidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.
IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN).
Estanorma IRAM es el fruto del consenso técnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.
Esta norma es una adopción idéntica de la norma ISO 17799:2000.
Índice
INTRODUCCIÓN 9
QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN ? 9
POR QUÉ ES NECESARIA LA SEGURIDAD DE LA INFORMACIÓN 9
CÓMOESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD 10
EVALUACIÓN DE LOS RIESGOS EN MATERIA DE SEGURIDAD 10
SELECCIÓN DE CONTROLES 11
PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACIÓN 11
FACTORES CRÍTICOS DEL ÉXITO 12
DESARROLLO DE LINEAMIENTOS PROPIOS 12
1 ALCANCE 13
2 TÉRMINOS Y DEFINICIONES 13
3 POLÍTICA DE SEGURIDAD 13
3.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 13
3.1.1 Documentación de lapolítica de seguridad de la información 14
3.1.2 Revisión y evaluación 14
4 ORGANIZACIÓN DE LA SEGURIDAD 15
4.1 INFRAESTRUCTURA DE SEGURIDAD DE LA INFORMACIÓN 15
4.1.1 Foro gerencial sobre seguridad de la información 15
4.1.2 Coordinación de la seguridad de la información 15
4.1.3 Asignación de responsabilidades en materia de seguridad de la información 16
4.1.4 Proceso de autorizaciónpara instalaciones de procesamiento de información 16
4.1.5 Asesoramiento especializado en materia de seguridad de la información 17
4.1.6 Cooperación entre organizaciones 17
4.1.7 Revisión independiente de la seguridad de la información 17
4.2 SEGURIDAD FRENTE AL ACCESO POR PARTE DE TERCEROS 18
4.2.1 Identificación de riesgos del acceso de terceras partes 18
4.2.2 Requerimientos de seguridaden contratos con terceros 19
4.3 TERCERIZACIÓN 20
4.3.1 Requerimientos de seguridad en contratos de tercerización 20
5 CLASIFICACIÓN Y CONTROL DE ACTIVOS 21
5.1 RESPONSABILIDAD POR RENDICIÓN DE CUENTAS DE LOS ACTIVOS 21
5.1.1 Inventario de activos 21
5.2 CLASIFICACIÓN DE LA INFORMACIÓN 22
5.2.1 Pautas de clasificación 22
5.2.2 Rotulado y manejo de la información 22
6 SEGURIDAD DELPERSONAL 23
6.1 SEGURIDAD EN LA DEFINICIÓN DE PUESTOS DE TRABAJO Y LA ASIGNACIÓN DE RECURSOS 23
6.1.1 Inclusión de la seguridad en las responsabilidades de los puestos de trabajo 23
6.1.2 Selección y política de personal 23
6.1.3 Acuerdos de confidencialidad 24
6.1.4 Términos y condiciones de empleo 24
6.2 CAPACITACIÓN DEL USUARIO 24
6.2.1 Formación y capacitación en materia de seguridad de lainformación 25
6.3 RESPUESTA A INCIDENTES Y ANOMALÍAS EN MATERIA DE SEGURIDAD 25
6.3.1 Comunicación de incidentes relativos a la seguridad 25
6.3.2 Comunicación de debilidades en materia de seguridad 25
6.3.3 Comunicación de anomalías del software 26
6.3.4 Aprendiendo de los incidentes 26
6.3.5 Proceso disciplinario 26
7 SEGURIDAD FÍSICA Y AMBIENTAL 26
7.1 ÁREAS SEGURAS 26
7.1.1...
Leer documento completo
Regístrate para leer el documento completo.