ISO 27002

ISO 27002

Antes conocida con ISO 17799
La norma ISO 27002 es un estadar para la seguridad de la informacion que ha publicado la organizacion internacional
Se establece controles los culaes deben ser elegidos en base a una evaluacion de riesgos de los activos mas importantes de la empresa
Se la puede utilizar para apoyar el sistema de mantenimiento en todo tipo de organizacion pequeña o grande y no solo en empresas de tecnologia
El objetivo de la ISO 27002 es establecer directrices y principios para:
1. Iniciar
2. Implementar
3. Mantener
4. Mejorar la gestion de la seguridad de la informacion de la empresa
5. preservar la confidencialidad de los datos de la empresa
6. conservar la inteligencia de estos datos
BENEFICIOS
1. Cuando se obtiene esta certificación las empresas son reconocidas a nivel mundial
  1. Tienen mejor conocimiento sobre seguridad informatica
  2. Mayor control sobre su información
  3. Constante innovacion sobre politicas de control
  4. Tiene oportunidad de identificar y corregir puntos debiles
COMPONENTES DE LA ISO 27002
1. Se encuentra distribuida en las siguientes SECCIONES que corresponden a controles de seguridad de la informacio
  1. SECCION 5 - Política de Seguridad de la Información
    1. POLITICAS DE SEGURIDAD DE LA INFORMACION
      1. Documento de la politica de seguridad de la informacion
      2. Revision de la politica de seguridad de la informacion
  2. SECCIÓN 6 - Organizacion de la Seguridad de la Informacion
    1. ORGANIZACIÓN INTERNA
      1. Compromiso de la direccion con la seguridad de la informacion
      2. Coordinacion de la seguridad de la informacion
      3. Asignacion de responsabilidad relativas a la seguridad de la informacion
      4. Proceso de autorizacion de recursos para el tratamiento de la informacion
      5. Acuerdos de confidencialidad
      6. Contacto con grupos de especial interes
      7. Revision independiente de la seguridad de la informacion
    2. TERCEROS
      1. Identificacion de los riesgos derivados del acceso de terceros
      2. Tratamiento de la seguridad en la relacion de los clientes
      3. Tratamiento de la seguridad en contratos con terceros
  3. SECCION 7 - Gestión de Activos
    1. RESPONSABILIDAD SOBRE LOS ACTIVOS
      1. Inventario de activos
      2. Propiedad de los activos
      3. Uso aceptable de los activos
    2. cLASIFICACION DE LA INFORMACION
      1. Directrices de clasificacion
      2. etiquetado y manipulado de la informacion
  4. SECCION 8 - Seguridad en Recursos Humanos
    1. ANTES DEL EMPLEO
      1. Funciones y responsabilidades
      2. Investigacion de antecedentes
      3. Terminos y condiciones de contratacion
    2. DURANTE EL EMPLEO
      1. Responsabilidades de la direccion
      2. Concienciacio, formacion, y capacitacion en seguridad de la informacion
      3. Proceso disciplinario
    3. CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO
      1. Responsabilidad del cese o cambio
      2. Devolucion de activos
      3. Retirada de los derechos de acceso
  5. SECCION 9 - Seguridad física y del medio ambiente
    1. AREAS SEGURAS
      1. Perimetro de seguridad fisica
      2. Controles fisicos de entrada
      3. Seguridad de oficinas, despachos e instalaciones
      4. Proteccion de amenazas externas y de origen ambiental
      5. Trabajo en areas seguras
      6. Areas de acceso publico y de carga y descarga
    2. SEGURIDAD DE LOS EQUIPOS
      1. Emplazamiento y proteccion de equipos
      2. Instalacion de suministros
      3. Seguridad del cableado
      4. Seguridad de los equipos fuera de de las instalaciones
      5. Mantenimentos de los equipos
      6. Retirada de materiales propiedad de la empresa
      7. Reutilizacion o retirada segura de los equipos
  6. SECCIÓN - 10 Seguridad de las Operaciones y Comunicaciones
    1. GESTION DE LA PROVISION DE SERVICIOS POR TERCEROS
      1. Provision de servicios
      2. Supervision y revision de los servicios prestados por terceros
      3. Gestion del cambio en los servicios prestados por terceros
    2. SUPERVISION
      1. Registros de auditoria
      2. Proteccion de la informacion de los registros
      3. Registros de administracion y operacion
      4. Supervision del uso del sistema
      5. Registro de fallos
      6. Sincronizacion de reloj
    3. GESTION DE SEGURIDAD DE LAS REDES
      1. Controles de red
      2. Seguridad de los servicios de red
    4. PLANIFICACION Y ACEPTACION DEL SISTEMA
      1. Gestion de capacidades
      2. Aceptacion del sistema
    5. RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIONES
      1. Documentacion de los procedimientos de operacion
      2. Separacion de los recursos de desarrollo, prueba y operacio
      3. Gestion de cambios
      4. Segregacion de tareas
    6. COPIAS DE SEGURIDAD
      1. Copias de seguridad de la informacion
    7. PROTECCION CONTRA EL CODIGO MALICIOSO Y DESCARGABLE
      1. Controles contra el codigo descargado en el cliente
      2. Controles contra el codigo maliciosos
    8. INTERCAMBIO DE INFORMACION
      1. Politicas y procedimientos de intercambio de informacion
      2. Soportes fisicos en transito
      3. Acuerdos de intercambio
      4. Mensajeria electronica
      5. Sistema de informacion empresariales
    9. MANIPULACION DE LOS SOPORTES
      1. Gestion de soportes extraibles
      2. Retirada de soportes
      3. Procesamiento de manipulacion de la informacion
      4. Seguridad de la documentacion del sistema
    10. SUPERVISION DE COMERCIO ELECTRONICO
      1. Comercio electronico
      2. Transaccion en linea
      3. Infromacion publicamente disponible
  7. SECCIÓN 11 - Control de Acceso
    1. REQUISITOS DE NEGOCIOS PARA EL CONTROL DE ACCESO
      1. Politicas de control de acceso
    2. GESTION DE ACCESO DE USUARIO
      1. Gestion de privilegios
      2. Revision de los derechos de acceso de usuario
      3. Gestion de contraseñas de usuario
      4. Registros de usuario
    3. CONTROL DE ACCESO A LA RED
      1. Politicas de uso de los servicios de red
      2. segregacion de las redes
      3. Proteccion de los puertos de diagnostico y configuracion remotos
      4. Autentificacion de usuario para conexiones externas
      5. Identificacion de los equipos en las redes
      6. control de la conexion a la red
      7. control de encaminamiento (routing) de red
    4. CONTROL DE ACCESO AL SISTEMA OPERATIVO
      1. limitacion del tiempo de desconexion
      2. procedimientos seguros de inicio de sesion
      3. identificacion y autenticacion de usuario
      4. desconexion automatica de sesion
      5. uso de los recursos del sistema
      6. sistema de gestion de contraseñas
    5. RESPONSABILIDADES DE USUSARIO
      1. Politica de puestos de trabajo despejado y pantalla limpia
      2. Uso de contraseñas
      3. Equipos de usuario desatendido
    6. CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACION
      1. restriccion del acceso a la informacion
      2. aislamiento de sistemas sensibles
    7. ORDENADORES PORTATILES Y TELETRABAJOS
      1. ordenadores portatiles y comunicaciones moviles
      2. teletrabajos
  8. SECCION 13 - Gestión de Incidentes de Seguridad de la Información
    1. NOTIFICACION DE EVENTOS Y PUNTOS DEBILES DE SEGURIDAD DE LA INFORMACION
      1. notificacion de los eventos de seguridad de la informacion
      2. notificacion de puntos debiles de seguridad
    2. GESTION DE INCIDENTES Y MEJORAS DE SEGURIDAD DE LA INFORMACION
      1. aprendizajes de los incidentes de seguridad de la informacion
      2. recopilacion de evidencias
      3. responsabilidades y procedimientos
  9. SECCIÓN - 14 Gestión de la Continuidad del Negocio
    1. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
      1. inclusion de la seguridad de la informacion en el proceso degestion de la continuidad del negocio
      2. continuidad del negocio y evaluacion de riesgo
      3. desarrollo e implantacion de planes de continuidad que incluyan la seguridad de la informacion
      4. marco de referencia para la planificacion de la continuidad del negocio
      5. pruebas, mantenimiento y reevaluacion de planes de continuidad
  10. SECCIÓN 15 - Conformidad
    1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES
      1. derechos de propiedad intelectual (DPI)
      2. proteccion de los documentos de la organizacion
      3. identificacion de la legislacion aplicable
      4. proteccion de los datos y privacidad de la informacion de caracter personal
      5. prevencion del uso indebido de recursos de tratamiento de la informacion
      6. regulacion de los controles criptograficos
    2. CUMPLIMIENTO DE LAS POLITICAS Y NORMAS DE SEGURIDAD Y CUMPLIMIENTO TECNICO
      1. cumplimiento de las politicas y normas de seguridad
      2. comprobacion del cumplimiento tecnico
    3. CONSIDERACION SOBRE LAS AUDITORIAS DE LOS SISTEMAS DE INFORMACION
      1. controles de auditoria de los sistemas de informacion
      2. proteccion de las herramientas de auditoria de los sistemas de informacion
  11. SECCION12.- ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
    1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION
      1. analisis y especificaciones de los requisitos de seguridad
    2. TRATAMIENTO CORRECTO DE LAS APLICACIONES
      1. integridad de los mensajes
      2. validacion de los datos de salida
      3. control d eprocedimientos interno
      4. validacion de los datos de entrada
    3. CONTROLES CRIPTOGRAFICOS
      1. politicas de uso criptograficos
      2. gestion de claves
    4. SEGURIDAD DE LOS ARCHIVOS DE SISTEMA
      1. control de software
      2. proteccion de los datos de prueba del sistema
      3. control de acceso al codigo fuente de los programas
    5. SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE
      1. revision tecnica de las palicaciones tras efectuar cambio en el sistema operativo
      2. restriccion a los cambios en los paquetes de software
      3. fugas de informacion
      4. procedimientos de control de cambio
      5. externalizacion del desarrollo de software
    6. GESTION DE VULNERABILIDADES TECNICAS
      1. control de la vulnerabilidades tecnicas

Next up

Description

Resource summary

Similar

	Created by Nirvana Quispe Flores about 4 years ago