ISO 27002:2005

ISO 27002:2005 (Anterior ISO 17799:2005)

Esta norma proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. En este se pretende abordar los principales contenidos de la norma (mostrados de manera gráfica en el siguiente esquema).

prescripciones-iso-27002

  • Introducción: conceptos generales de seguridad de la información y SGSI.
  • Campo de aplicación: se especifica el objetivo de la norma.
  • Términos y definiciones: breve descripción de los términos más usados en la norma.
  • Estructura del estándar: descripción de la estructura de la norma.
  • Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
  • Política de seguridad: documento de política de seguridad y su gestión.
  • Aprobada por la Alta dirección.
  •  Distribuida a los empleados y terceros.
  • La Política de seguridad debe revisarse a intervalos o cuando se den cambios significativos.
  • Aspectos organizativos de la seguridad de la información: organización interna; terceros.
  • Creación de un Comité de Gestión de seguridad de la información.
  • Definición y asignación de responsabilidades relativas a seguridad.
  • Revisión de acuerdos de confidencialidad.
  • Identificación de los riesgos del acceso de terceros.
  • Tratamiento de la seguridad en la relación con sus clientes.
  • La relación de seguridad en contratos con terceros.
  • Gestión de activos: responsabilidad sobre los activos estableciendo las medidas necesarias para la protección de éstos. Resulta imprescindible:
  • Identificación e inventario de los activos de la organización.
  • La identificación de un propietario
  • Documentar el uso de los activos de la organización.
  • Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.
  • Antes del empleo.
    • K Asegurar que los empleados, los contratistas y los terceros son adecuados para las funciones que desempeñan.
    • Documentar las funciones de seguridad de los empleados, investigación de antecedentes y las Responsabilidades con respecto a la seguridad de la información.
  • Durante el empleo.
    • Asegurar que los empleados, los contratistas y los terceros cumplen con las responsabilidades de seguridad durante su trabajo habitual.
    • Implicación de la dirección, formación y concienciación periódica tanto del personal como de los terceros, etc.
  • Cese del empleo
    • Asegurar que los empleados, los contratistas y los terceros abandonan la organización de forma controlada
    • Las responsabilidades en el cese del empleo, devolución de los activos, retirada de los derechos de acceso.
  • Seguridad física y ambiental: áreas seguras; seguridad de los equipos.
  • Prevenir y controlar los accesos físicos en las instalaciones de la organización.
    • Perímetros de seguridad de las instalaciones, controles físicos de entrada, seguridad de oficinas despachos e instalaciones, protección contra las amenazas de origen ambiental, directrices de trabajo en áreas seguras, control de las áreas de acceso público y de carga y descarga.
  • Se deben de establecer las medidas necesarias para evitar perjuicios en los activos de la organización.
      • Emplazamiento y protección de equipos, instalaciones de suministro eléctrico, seguridad del cableado, mantenimiento de los equipos, seguridad de los equipos fuera de las instalaciones, retirada de materiales propiedad de la organización.




  • Gestión de comunicaciones y operaciones: se establecen las siguientes disposiciones:
  • Responsabilidades y procedimientos de operaciones. Se debe asegurar el funcionamiento correcto y seguro de los procedimientos de seguridad establecidos.
    • Documentación de los procedimientos de operación, gestión de cambios, segregación de tareas, separación de los recursos de desarrollo, prueba y operación.
  • Gestión de los servicios prestados por terceros. Se deben de definir los niveles de seguridad apropiados en relación con la seguridad de la información en los servicios prestados por terceros.
    • Comprobación del cumplimiento de los Acuerdos de nivel de servicio acordados con el proveedor, revisión periódica de los servicios prestados por terceros, gestión de cambios de los servicios prestados por terceros.
  • Planificación y aceptación del sistema, para minimizar los riesgos de fallos en los sistemas.
    • Gestión de la capacidad monitorizando la capacidad actual y planificando la capacidad futura, aceptación de los sistemas.
  • Protección contra código malicioso y descargables para mantener la integridad del software y de la información.
    •  Controles contra el código malicioso, controles contra el código descargado en el cliente.
  • Copias de Seguridad. Mantener la integridad y confidencialidad de la información de la organización.
    • Política de Copias de seguridad documentada.
  • Gestión de la seguridad de las redes.
    • Controles de Red, seguridad de los servicios de red.
  • Manipulación de los soportes para evitar la pérdida de confidencialidad o destrucción no autorizada de activos.
    • Gestión de soportes extraíbles, Procedimiento de retirada de soportes, procedimientos de manipulación de la información, seguridad en la documentación del sistema.
  • Intercambio de información. Debe Protegerse la información tanto dentro de la organización como externamente.
    • Políticas y procedimiento de intercambios de información, acuerdos de intercambio, soportes físicos en transito, mensajería electrónica.
  • Servicios de comercio electrónico. Debe asegurarse la seguridad de los servicios prestados de comercio electrónico.
    • Comercio electrónico, Transacciones en línea.
  • Supervisión. Deben controlarse las actividades de procesamiento de la información no autorizadas.
    • Registros de auditoria, procedimiento de supervisión del uso del sistema, protección de la información de los registros, registro de fallos, sincronización de relojes.
  • Control de acceso: se establecen una serie de controles referidos a:
  •  Requisitos de negocio para el control de accesos, persiguiendo controlar el acceso a la información.
    • Establecer una Política de control de accesos.
  • Gestión de acceso de usuarios para asegurar el acceso de los usuarios autorizados.
    • Registro de usuario, gestión de privilegios, gestión de contraseñas de usuarios.
  • Responsabilidades de usuario para evitar accesos no autorizados.
    • Uso de contraseña, equipo de usuario desatendido, Política de puesto despejado y mesa limpia.
  • Control de acceso a la Red evitando así accesos no autorizados a la red.
    • Política de uso de los servicios en la red, autenticación de los usuarios para conexiones externas, identificación de los equipos en las redes, segregación de las redes.
  • Control de acceso al sistema operativo para prevenir accesos no autorizados al mismo.
    • Procedimiento seguro de inicio de sesión, identificar y autentificación de usuarios, sistemas de gestión de contraseñas, desconexión automática de sesión, limitación del tiempo de conexión.
  • Control de acceso a las aplicaciones y a la información para evitar accesos no autorizados.
    • Restricciones de acceso a la información, aislamientos de sistemas sencillos.
  • Ordenadores portátiles y teletrabajo, garantizando la información de los ordenadores portátiles.
    • Política formal de ordenadores portátiles y comunicaciones móviles. Teletrabajo.
  • Adquisición, desarrollo y mantenimiento de los sistemas de información: este apartado de la norma está referido a:
  • Requisitos de negocio para el control de accesos con el objetivo de controlar la seguridad en los sistemas de información.
    • Análisis y especificación de los requisitos de seguridad.
  • Tratamiento Correcto de las aplicaciones para evitar errores, pérdidas y modificaciones no autorizadas.
    • Validación de los datos de entrada, control del procesamiento interno, integridad de los mensajes, validación de los datos de salida.
  • Controles criptográficos. Este punto se centra en proteger la integridad, la autenticidad y confidencialidad por medios criptográficos.
    • Política de uso de controles criptográficos, gestión de claves.
  • Seguridad de los archivos de sistemas para asegurar la integridad de los mismos.
    • Procedimiento de control de software en explotación, protección de los datos del sistema y control al código fuente de los programas.
  • Seguridad en los procesos de desarrollo y soporte con el fin de asegurar la seguridad de las aplicaciones y software de la organización.
    • Procedimiento de control de cambios, revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo, control de la subcontratación del desarrollo del software.
  • Gestión de vulnerabilidades técnica con el objetivo de reducir los riesgos de la explotación de las mismas.
    • Control de las vulnerabilidades técnicas.
  • Gestión de incidentes de seguridad de la información: como en muchas otras normas ISO éste punto resulta de vital importancia. En él se establecen controles referidos a:
  • Notificación de eventos y puntos débiles de la seguridad de la información con el fin de asegurar que se comunican las vulnerabilidades de seguridad para poder emprender acciones correctivas y preventivas para solucionar los incidentes de seguridad detectados.
    • Notificación de los eventos de seguridad, notificación de los puntos débiles de seguridad.
  • Gestión de incidentes de seguridad de la información y mejoras para garantizar el tratamiento de la gestión de los mismos.
    • Procedimiento para la gestión de los incidentes de seguridad, analizar las incidencias de seguridad, recopilación de evidencias.
  • Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio. Con este apartado se pretende contrarrestar las interrupciones que puedan afectar al negocio ante fallos importantes en los sistemas y garantizar la oportunidad de reanudarlos.
  • Desarrollo y mantenimiento de un proceso para la continuidad del negocio, relacionado con el análisis de riesgos, desarrollo de planes para la vuelta a la situación anterior lo antes posible, coherencia entre los diferentes planes de continuidad del negocio, realización de pruebas de los planes de continuidad del negocio.
  • Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.
  • Identificación de los requisitos legales, procedimiento control de los derechos de propiedad intelectual, protección de los procedimientos de la organización, cumplimiento de la LOPD, regulación de legislación criptográfica.
  • Cumplimiento de las políticas y normas, comprobación cumplimiento técnico.
  • Bibliografía: normas y publicaciones de referencia.

Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información

Puntúe el artículo

MaloPobreNormalBuenoExcelente (1 Votos, Promedio: 5,00 de 5)
Cargando...

El autor

Admin Gestion-Calidad.com

Consultor-Auditor en Sistemas Integrados de Gestión y Conformidad de Producción

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.