Iso 17779

NORMA TECNICA
PERUANA

NTP-ISO/IEC 17799
2004

Comisión de Reglamentos Técnicos y Comerciales - INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145

Lima, Perú

EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management
(EQV. ISO/IEC17799:2000 Information technology. Code of practice for information security management)

2004-03-05
1ª Edición

R.0026-2004/INDECOPI-CRT.Públicada el 2004-03-27
I.C.S.: 35.040

Precio basado en 116 páginas
ESTA NORMA ES RECOMENDABLE

Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de
seguridad IT, código de barras, código de buenaspracticas.

INDICE
página
INDICE

i

PREFACIO

vi

INTRODUCCIÓN
¿Qué es la seguridad de la información?
¿Por qué es necesaria la seguridad de la información?
¿Cómo establecer los requisitos de seguridad?
Evaluación de los riesgos contra la seguridad
Selección de controles
Punto de partida de la seguridad de la información
Factores críticos de éxito
Desarrollo de directrices propiasviii
viii
ix
x
xi
xii
xiii
xiii

1.

OBJETO Y CAMPO DE APLICACIÓN

1

2.
2.1
2.2
2.3

TERMINOS Y DEFINICIONES
Seguridad de la información
Evaluación del riesgo
Gestión del riesgo

1
2
2

3
3.1
3.1.1
3.1.2

POLITICA DE SEGURIDAD
Política de seguridad de la información
Documento de política de seguridad de la información
Revisión y evaluación

2
2
3

4.4.1
4.1.1
4.1.2
4.1.3
4.1.4

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Estructura para la seguridad de la información
Comité de gestión de seguridad de la información
Coordinación de la seguridad de la información
Asignación de responsabilidades para la seguridad de la información
Proceso de autorización de recursos para el tratamiento de la
información
Asesoramiento de especialista enseguridad de la información
Cooperación entre organizaciones
Revisión independiente de la seguridad de la información
Seguridad en los accesos de terceras partes
Identificación de riesgos por el acceso de terceros
Requisitos de seguridad en contratos con terceros
Outsourcing
Requisitos de seguridad en contratos de outsourcing

4.1.5
4.1.6
4.1.7
4.2
4.2.1
4.2.2
4.3
4.3.1

4
5
56
7
8
8
9
9
10
11
14
14
i

página
5.
5.1
5.1.1
5.2
5.2.1
5.2.2

CLASIFICACIÓN Y CONTROL DE ACTIVOS
Responsabilidad sobre los activos
Inventario de archivos
Clasificación de la información
Guías de clasificación
Marcado y tratamiento de la información

15
15
16
16
17

6.
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.2
6.2.1
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5SEGURIDAD LIGADO AL PERSONAL
Seguridad en la definición del trabajo y los recursos
Inclusión de la seguridad en las responsabilidades laborales
Selección y política de personal
Acuerdos de confidencialidad
Términos y condiciones de la relación laboral
Formación de usuarios
Formación y capacitación en seguridad de la información
Respuesta ante incidencias y malos funcionamientos de la seguridadComunicación de las incidencias de seguridad
Comunicación de las debilidades de seguridad
Comunicación de los fallos del software
Aprendiendo de las incidencias
Procedimiento disciplinario

18
18
19
20
20
21
21
21
22
22
22
23
23

7.
7.1
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.2.6
7.3.
7.3.1
7.3.2

SEGURIDAD FÍSICA Y DEL ENTORNO
Areasseguras
Perímetro de seguridad física
Controles físicos de entrada
Seguridad de oficinas, despachos y recursos
El trabajo en las áreas seguras
Areas aisladas de carga y descarga
Seguridad de los equipos
Instalación y protección de equipos
Suministro eléctrico
Seguridad del cableado
Mantenimiento de equipos
Seguridad de equipos fuera de los locales de la organización
Seguridad en el...