Ntp isoiec17799 addryan
Comisión de Reglamentos Técnicos y Comerciales - INDECOPI Calle de La Prosa 138, San Borja (Lima 41) Apartado 145
NTP-ISO/IEC 17799 2007
Lima, Perú
EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información
EDI. Information technology. Code of practice for information security management (EQV. ISO/IEC 17799:2005Information technology. Code of practice for information security management)
2007-01-16 2ª Edición
R.001-2007/INDECOPI-CRT. Publicada el 2007-01-22 Precio basado en 173 páginas I.C.S.: 35.040 ESTA NORMA ES RECOMENDABLE Descriptores: EDI, tecnología de la información, información multimedia e hipermedia, técnicas de seguridad IT, código de barras, código de buenas practicas
INDICE páginaINDICE PREFACIO INTRODUCCION ¿Qué es la seguridad de la Información? ¿Por qué es necesaria la seguridad de información? ¿Cómo establecer los requisitos de seguridad? Evaluación de los riesgos de seguridad Selección de controles Punto de partida de la seguridad de la información Factores críticos de éxito Desarrollo de directrices propias 1. 2. 3. OBJETO Y CAMPO DE APLICACIÓN TÉRMINOS YDEFINICIONES ESTRUCTURA DE ESTE ESTANDAR I IV 1 1 1 2 2 3 3 4 5 6 6 8 8 9 10 10 10 12 12 15 15 24 32 32 35 37
i
3.1 Cláusulas 3.2 Categorías principales de seguridad 4. EVALUACION Y TRATAMIENTO DEL RIESGO
4.1 Evaluando los riesgos de seguridad 4.2 Tratando riesgos de seguridad 5. POLÍTICA DE SEGURIDAD
5.1 Política de seguridad de la información 6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
6.1Organización interna 6.2 Seguridad en los accesos de terceras partes 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS
7.1 Responsabilidad sobre los activos 7.2 Clasificación de la información 8. SEGURIDAD EN RECURSOS HUMANOS
8.1 Seguridad antes del empleo 8.2 Durante el empleo 8.3 9. Finalización o cambio del empleo SEGURIDAD FÍSICA Y DEL ENTORNO
37 41 44 47 47 52 59 59 64 67 69 72 74 76 80 87 91 9898 100 105 108 115 121 124 128 128 130 134 138 142
ii
9.1 Áreas seguras 9.2 Seguridad de los equipos 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES
10.1 Procedimientos y responsabilidades de operación 10.2 Gestión de servicios externos 10.3 Planificación y aceptación del sistema 10.4 Protección contra software malicioso 10.5 Gestión de respaldo y recuperación 10.6 Gestión de seguridad en redes10.7 Utilización de los medios de información 10.8 Intercambio de información 10.9 Servicios de correo electrónico 10.10 11. Monitoreo CONTROL DE ACCESOS
11.1 Requisitos de negocio para el control de accesos 11.2 Gestión de acceso de usuarios 11.3 Responsabilidades de los usuarios 11.4 Control de acceso a la red 11.5 Control de acceso al sistema operativo 11.6 Control de acceso a lasaplicaciones y la información 11.7 Informática móvil y teletrabajo 12. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
12.1 Requisitos de seguridad de los sistemas 12.2 Seguridad de las aplicaciones del sistema 12.3 Controles criptográficos 12.4 Seguridad de los archivos del sistema 12.5 Seguridad en los procesos de desarrollo y soporte
12.6 Gestión de la vulnerabilidad técnica 13. GESTIÓN DEINCIDENTES EN LA SEGURIDAD DE INFORMACIÓN
147 149 149 152 156 156 164 164 170 172 174
13.1 Reportando eventos y debilidades de la seguridad de información 13.2 Gestión de las mejoras e incidentes en la seguridad de información 14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
14.1 Aspectos de la gestión de continuidad del negocio 15. CUMPLIMIENTO
15.1 Cumplimiento con los requisitos legales 15.2Revisiones de la política de seguridad y de la conformidad técnica 15.3 Consideraciones sobre la auditoria de sistemas 16. ANTECEDENTES
iii
PREFACIO
A.
RESEÑA HISTORICA
A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de junio a...
Regístrate para leer el documento completo.