INFORMACION
Páginas: 138 (34419 palabras)
Publicado: 20 de junio de 2013
NCh2777
Contenido
Página
Preámbulo
IV
0
Introducción
1
1
Alcance y campo de aplicación
6
2
Términos y definiciones
6
3
Política de seguridad
7
4
Seguridad organizacional
8
4.1
Infraestructura de la seguridad de la información
8
4.2
Seguridad del acceso de una tercera parte
12
4.3
Externalización
15
5Clasificación y control de bienes
17
5.1
Responsabilidad de los bienes
17
5.2
Clasificación de la información
18
6
Seguridad del personal
19
6.1
Seguridad en la definición del trabajo y recursos
19
6.2
Entrenamiento del usuario
21
6.3
Respuesta a los incidentes de seguridad y malfuncionamiento
22
7
Seguridad física y del ambiente
24
7.1Areas seguras
24
I
NCh2777
Contenido
Página
7.2
Seguridad de los equipos
27
7.3
Controles generales
32
8
Gestión de las operaciones y de las comunicaciones
33
8.1
Responsabilidades y procedimientos de las operaciones
33
8.2
Aceptación y planificación del sistema
38
8.3
Protección contra el software malicioso
40
8.4Administración interna
41
8.5
Gestión de red
43
8.6
Seguridad y manipulación de dispositivos
43
8.7
Intercambios de información y software
46
9
Control de acceso
53
9.1
Requisitos del negocio para el control de acceso
53
9.2
Gestión de acceso de usuario
54
9.3
Responsabilidades del usuario
57
9.4
Control de acceso a la red
59
9.5Control de acceso a la operación del sistema
64
9.6
Control de acceso a la aplicación
68
9.7
Monitoreo de uso y acceso al sistema
69
9.8
Computadores móviles y teletrabajo
73
10
Desarrollo y mantenimiento de sistemas
75
10.1
Requisitos de seguridad de los sistemas
75
II
NCh2777
Contenido
Página
10.2
Seguridad de las aplicaciones de lossistemas
76
10.3
Controles criptográficos
79
10.4
Seguridad de los archivos de sistema
83
10.5
Seguridad en los procesos de desarrollo y apoyo
86
11
Gestión de la continuidad del negocio
89
12
Cumplimiento
93
12.1
Cumplimiento con los requisitos legales
93
12.2
Revisión de las políticas de seguridad y cumplimiento técnico
9812.3
Consideraciones sobre la auditoría del sistema
100
III
NORMA CHILENA OFICIAL
NCh2777.Of2003
ISO/IEC 17799: 2000
Tecnología de la información - Código de práctica para la
gestión de seguridad de la información
Preámbulo
El Instituto Nacional de Normalización, INN, es el organismo que tiene a su cargo el
estudio y preparación de las normas técnicas a nivel nacional. Esmiembro de la
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION
PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esos
organismos.
La norma NCh2777 - ISO/IEC 17799: 2000 ha sido preparada por la División de Normas
del Instituto Nacional de Normalización, y en su estudio participaron los organismos y las
personas naturales siguientes:
Armada de ChileBanco del Estado
Banco Santander
Cámara Nacional de Comercio - ONCE
Certibanc - Enable
Corporación de Fomento de la Producción, CORFO
Corporación de Investigación Tecnológica de Chile - INTEC
e-Cert Chile
Instituto Nacional de Normalización, INN
Ministerio de Salud - DIPLAP
Orión
Orión 2000
Servicio de Impuestos Internos, SII
IV
Bernard Johnson H.
Héctor Monje V.
Marcelo MuñozA.
Bernardino Arance M.
Paula Silva B.
Roberto Riveros D.
Paul Saffery G.
Verónica Acha A.
Patricio Escobar R.
Esteban Segura R.
Leonor Ceruti M.
Jorge Muñoz C.
Andrés Tabja R.
Christian Yáñez V.
Claudio Ordóñez U.
Andrés Boré P.
Fernando Barraza L.
Jaime Labbé S.
NCh2777
Subsecretaría de Economía
Subsecretaría de Telecomunicaciones
Subsecretaría Secretaría General de la...
Contenido
Página
Preámbulo
IV
0
Introducción
1
1
Alcance y campo de aplicación
6
2
Términos y definiciones
6
3
Política de seguridad
7
4
Seguridad organizacional
8
4.1
Infraestructura de la seguridad de la información
8
4.2
Seguridad del acceso de una tercera parte
12
4.3
Externalización
15
5Clasificación y control de bienes
17
5.1
Responsabilidad de los bienes
17
5.2
Clasificación de la información
18
6
Seguridad del personal
19
6.1
Seguridad en la definición del trabajo y recursos
19
6.2
Entrenamiento del usuario
21
6.3
Respuesta a los incidentes de seguridad y malfuncionamiento
22
7
Seguridad física y del ambiente
24
7.1Areas seguras
24
I
NCh2777
Contenido
Página
7.2
Seguridad de los equipos
27
7.3
Controles generales
32
8
Gestión de las operaciones y de las comunicaciones
33
8.1
Responsabilidades y procedimientos de las operaciones
33
8.2
Aceptación y planificación del sistema
38
8.3
Protección contra el software malicioso
40
8.4Administración interna
41
8.5
Gestión de red
43
8.6
Seguridad y manipulación de dispositivos
43
8.7
Intercambios de información y software
46
9
Control de acceso
53
9.1
Requisitos del negocio para el control de acceso
53
9.2
Gestión de acceso de usuario
54
9.3
Responsabilidades del usuario
57
9.4
Control de acceso a la red
59
9.5Control de acceso a la operación del sistema
64
9.6
Control de acceso a la aplicación
68
9.7
Monitoreo de uso y acceso al sistema
69
9.8
Computadores móviles y teletrabajo
73
10
Desarrollo y mantenimiento de sistemas
75
10.1
Requisitos de seguridad de los sistemas
75
II
NCh2777
Contenido
Página
10.2
Seguridad de las aplicaciones de lossistemas
76
10.3
Controles criptográficos
79
10.4
Seguridad de los archivos de sistema
83
10.5
Seguridad en los procesos de desarrollo y apoyo
86
11
Gestión de la continuidad del negocio
89
12
Cumplimiento
93
12.1
Cumplimiento con los requisitos legales
93
12.2
Revisión de las políticas de seguridad y cumplimiento técnico
9812.3
Consideraciones sobre la auditoría del sistema
100
III
NORMA CHILENA OFICIAL
NCh2777.Of2003
ISO/IEC 17799: 2000
Tecnología de la información - Código de práctica para la
gestión de seguridad de la información
Preámbulo
El Instituto Nacional de Normalización, INN, es el organismo que tiene a su cargo el
estudio y preparación de las normas técnicas a nivel nacional. Esmiembro de la
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) y de la COMISION
PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esos
organismos.
La norma NCh2777 - ISO/IEC 17799: 2000 ha sido preparada por la División de Normas
del Instituto Nacional de Normalización, y en su estudio participaron los organismos y las
personas naturales siguientes:
Armada de ChileBanco del Estado
Banco Santander
Cámara Nacional de Comercio - ONCE
Certibanc - Enable
Corporación de Fomento de la Producción, CORFO
Corporación de Investigación Tecnológica de Chile - INTEC
e-Cert Chile
Instituto Nacional de Normalización, INN
Ministerio de Salud - DIPLAP
Orión
Orión 2000
Servicio de Impuestos Internos, SII
IV
Bernard Johnson H.
Héctor Monje V.
Marcelo MuñozA.
Bernardino Arance M.
Paula Silva B.
Roberto Riveros D.
Paul Saffery G.
Verónica Acha A.
Patricio Escobar R.
Esteban Segura R.
Leonor Ceruti M.
Jorge Muñoz C.
Andrés Tabja R.
Christian Yáñez V.
Claudio Ordóñez U.
Andrés Boré P.
Fernando Barraza L.
Jaime Labbé S.
NCh2777
Subsecretaría de Economía
Subsecretaría de Telecomunicaciones
Subsecretaría Secretaría General de la...
Leer documento completo
Regístrate para leer el documento completo.