Norma Tecnica Peruana 17799
Páginas: 188 (46947 palabras)
Publicado: 8 de abril de 2013
NORMA TÉCNICA
PERUANA
NTP-ISO/IEC 17799
2007
Comisión de Reglamentos Técnicos y Comerciales - INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145
Lima, Perú
EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management
(EQV. ISO/IEC17799:2005 Information technology. Code of practice for information security management)
2007-01-16
2ª Edición
R.001-2007/INDECOPI-CRT. Publicada el 2007-01-22
Precio basado en 173 páginas
I.C.S.: 35.040
ESTA NORMA ES RECOMENDABLE
Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de
seguridad IT, código de barras, código de buenas practicas INDICE
página
INDICE
PREFACIO
I
IV
INTRODUCCION
1
¿Qué es la seguridad de la Información?
1
¿Por qué es necesaria la seguridad de información?
1
¿Cómo establecer los requisitos de seguridad?
2
Evaluación de los riesgos de seguridad
2
Selección de controles
3
Punto de partida de la seguridad de la información
3
Factores críticos de éxito
4Desarrollo de directrices propias
5
1.
OBJETO Y CAMPO DE APLICACIÓN
6
2.
TÉRMINOS Y DEFINICIONES
6
3.
ESTRUCTURA DE ESTE ESTANDAR
8
3.1 Cláusulas
8
3.2 Categorías principales de seguridad
9
4.
EVALUACION Y TRATAMIENTO DEL RIESGO
10
4.1 Evaluando los riesgos de seguridad
10
4.2 Tratando riesgos de seguridad
10
5.
12
POLÍTICA DESEGURIDAD
5.1 Política de seguridad de la información
12
6.
15
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
6.1 Organización interna
15
6.2 Seguridad en los accesos de terceras partes
24
7.
32
CLASIFICACIÓN Y CONTROL DE ACTIVOS
7.1 Responsabilidad sobre los activos
32
7.2 Clasificación de la información
35
8.
37
SEGURIDAD EN RECURSOS HUMANOSi
8.1 Seguridad antes del empleo
37
8.2 Durante el empleo
41
8.3
44
9.
Finalización o cambio del empleo
SEGURIDAD FÍSICA Y DEL ENTORNO
47
9.1 Áreas seguras
47
9.2 Seguridad de los equipos
52
10.
59
GESTIÓN DE COMUNICACIONES Y OPERACIONES
10.1 Procedimientos y responsabilidades de operación
59
10.2 Gestión de servicios externos
6410.3 Planificación y aceptación del sistema
67
10.4 Protección contra software malicioso
69
10.5 Gestión de respaldo y recuperación
72
10.6 Gestión de seguridad en redes
74
10.7 Utilización de los medios de información
76
10.8 Intercambio de información
80
10.9 Servicios de correo electrónico
87
10.10
91
11.
Monitoreo
CONTROL DE ACCESOS
11.1Requisitos de negocio para el control de accesos
98
98
11.2 Gestión de acceso de usuarios
100
11.3 Responsabilidades de los usuarios
105
11.4 Control de acceso a la red
108
11.5 Control de acceso al sistema operativo
115
11.6 Control de acceso a las aplicaciones y la información
121
11.7 Informática móvil y teletrabajo
124
12.
128
ADQUISICION,DESARROLLO Y MANTENIMIENTO DE SISTEMAS
12.1 Requisitos de seguridad de los sistemas
128
12.2 Seguridad de las aplicaciones del sistema
130
12.3 Controles criptográficos
134
12.4 Seguridad de los archivos del sistema
138
12.5 Seguridad en los procesos de desarrollo y soporte
142
ii
12.6 Gestión de la vulnerabilidad técnica
147
13.
149
GESTIÓN DE INCIDENTES ENLA SEGURIDAD DE INFORMACIÓN
13.1 Reportando eventos y debilidades de la seguridad de información
149
13.2 Gestión de las mejoras e incidentes en la seguridad de información
152
14.
156
GESTIÓN DE CONTINUIDAD DEL NEGOCIO
14.1 Aspectos de la gestión de continuidad del negocio
156
15.
164
CUMPLIMIENTO
15.1 Cumplimiento con los requisitos legales
164
15.2...
PERUANA
NTP-ISO/IEC 17799
2007
Comisión de Reglamentos Técnicos y Comerciales - INDECOPI
Calle de La Prosa 138, San Borja (Lima 41) Apartado 145
Lima, Perú
EDI. Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management
(EQV. ISO/IEC17799:2005 Information technology. Code of practice for information security management)
2007-01-16
2ª Edición
R.001-2007/INDECOPI-CRT. Publicada el 2007-01-22
Precio basado en 173 páginas
I.C.S.: 35.040
ESTA NORMA ES RECOMENDABLE
Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de
seguridad IT, código de barras, código de buenas practicas INDICE
página
INDICE
PREFACIO
I
IV
INTRODUCCION
1
¿Qué es la seguridad de la Información?
1
¿Por qué es necesaria la seguridad de información?
1
¿Cómo establecer los requisitos de seguridad?
2
Evaluación de los riesgos de seguridad
2
Selección de controles
3
Punto de partida de la seguridad de la información
3
Factores críticos de éxito
4Desarrollo de directrices propias
5
1.
OBJETO Y CAMPO DE APLICACIÓN
6
2.
TÉRMINOS Y DEFINICIONES
6
3.
ESTRUCTURA DE ESTE ESTANDAR
8
3.1 Cláusulas
8
3.2 Categorías principales de seguridad
9
4.
EVALUACION Y TRATAMIENTO DEL RIESGO
10
4.1 Evaluando los riesgos de seguridad
10
4.2 Tratando riesgos de seguridad
10
5.
12
POLÍTICA DESEGURIDAD
5.1 Política de seguridad de la información
12
6.
15
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
6.1 Organización interna
15
6.2 Seguridad en los accesos de terceras partes
24
7.
32
CLASIFICACIÓN Y CONTROL DE ACTIVOS
7.1 Responsabilidad sobre los activos
32
7.2 Clasificación de la información
35
8.
37
SEGURIDAD EN RECURSOS HUMANOSi
8.1 Seguridad antes del empleo
37
8.2 Durante el empleo
41
8.3
44
9.
Finalización o cambio del empleo
SEGURIDAD FÍSICA Y DEL ENTORNO
47
9.1 Áreas seguras
47
9.2 Seguridad de los equipos
52
10.
59
GESTIÓN DE COMUNICACIONES Y OPERACIONES
10.1 Procedimientos y responsabilidades de operación
59
10.2 Gestión de servicios externos
6410.3 Planificación y aceptación del sistema
67
10.4 Protección contra software malicioso
69
10.5 Gestión de respaldo y recuperación
72
10.6 Gestión de seguridad en redes
74
10.7 Utilización de los medios de información
76
10.8 Intercambio de información
80
10.9 Servicios de correo electrónico
87
10.10
91
11.
Monitoreo
CONTROL DE ACCESOS
11.1Requisitos de negocio para el control de accesos
98
98
11.2 Gestión de acceso de usuarios
100
11.3 Responsabilidades de los usuarios
105
11.4 Control de acceso a la red
108
11.5 Control de acceso al sistema operativo
115
11.6 Control de acceso a las aplicaciones y la información
121
11.7 Informática móvil y teletrabajo
124
12.
128
ADQUISICION,DESARROLLO Y MANTENIMIENTO DE SISTEMAS
12.1 Requisitos de seguridad de los sistemas
128
12.2 Seguridad de las aplicaciones del sistema
130
12.3 Controles criptográficos
134
12.4 Seguridad de los archivos del sistema
138
12.5 Seguridad en los procesos de desarrollo y soporte
142
ii
12.6 Gestión de la vulnerabilidad técnica
147
13.
149
GESTIÓN DE INCIDENTES ENLA SEGURIDAD DE INFORMACIÓN
13.1 Reportando eventos y debilidades de la seguridad de información
149
13.2 Gestión de las mejoras e incidentes en la seguridad de información
152
14.
156
GESTIÓN DE CONTINUIDAD DEL NEGOCIO
14.1 Aspectos de la gestión de continuidad del negocio
156
15.
164
CUMPLIMIENTO
15.1 Cumplimiento con los requisitos legales
164
15.2...
Leer documento completo
Regístrate para leer el documento completo.