ISOIEC 27002 Código de Buenas Prácticas

Modelo de gestin de la seguridad, ISO 27002 :
Administracin de seguridad de la informacin
CIT
Conformidad legal
(6 Objetivo, 16 Controles)
Mantenimiento
De sistemas
Control de acceso
Comunicaciones
Y operaciones
Seguridad fsica
Estructura organizativa
Clasificacin de activos
Consulting Information Technology
Plan de Continuidad de Negocio
Seguridad del personal
Poltica de seguridad
CIT
Diagrama de la Norma
ISO 27002
CIT
Seguridad organizativa
Poltica de Seguridad
Seguridad lgica
Seguridad fsica
Seguridad legal
Organizacin de la
Seguridad de la informacin
Gestin de activos
Control de accesos
conformidad
Gestin de
Incidentes de seg.
de la informacin
Seguridad fsica y del
Seguridad en los
entorno
Recursos Humanos
Gestin de la
Continuidad del
negocio
Gestin de
comunicaciones
y operaciones
Adquisicin, desarrollo y
mantenimiento de
sistemas de informacin
CIT
ISO/IEC 27002: 2005

Seccin 5: Poltica de seguridad
Poltica de seguridad
de la informacin
Documento
de poltica
Revisin
de la poltica
CIT
Trata de que se
disponga de una
normativa comn de
seguridad que regule
las lneas maestras
sobre como va a
trabajar toda la
organizacin
CIT
ISO/IEC 27002:2005
Seccin 6: Aspectos Organizativos de la
Seguridad de la Informacin
Organizacin Interna
CIT
Seguridad en
accesos de
Terceras partes
Compromiso de la
Direccin
Identificacin de
riesgos en el acceso
de terceros
Coordinacin de la Seg
Responsables de
Seguridad
Autorizacin para
procesar la informacin
Acuerdo confidencialidad
Establece la estructura
organizativa (terceros,
responsables, comits,
colaboraciones, etc.) y su
funcionamiento de cara a
gestionar la seguridad de la
informacin
Tratamiento de seguridad
En relacin con los clientes
Contacto autoridades
Grupo especial de inters
Tratamiento de seguridad
En contratos con terceros
Revisin independiente
De la seguridad de la
informacin
CIT
ISO/IEC 27002:2005
Seccin 7: Clasificacin y control de activos
Responsabilidades
sobre los activos
Clasificacin
de la informacin
Inventario de
activos
Propiedad de
los activos
Uso aceptable de
los activos
CIT
Directrices de
clasificacin
Incorpora las herramientas para

establecer qu debe ser protegido,
qu nivel de proteccin requiere y
quin es el responsable principal
de su proteccin
Etiquetado y
manipulado de la
informacin
CIT
ISO/IEC 27002:2005
Seccin 8: Seguridad relacionada con el personal
Seguridad antes
del empleo
Funciones y
responsabilidades
Durante el
empleo
Responsabilidades
de la
direccin
CIT
Cese del empleo

cambio de puesto
Responsabilidad del
cese o cambio
Devolucin de activos
Investigacin de
antecedentes
Trminos y
condiciones
Concienciacin,
formacin
y capacitacin
Retiro de los derechos

de acceso
Procesos
disciplinarios
Establece las medidas de seguridad que se van

a tomar con el personal, ya que finalmente son
estos los que van a utilizar los sistemas y la
informacin
CIT
ISO/IEC 27002:2005
Seccin 9: Seguridad fsica y del entorno
Seguridad de los
Equipos
reas seguras
de informacin
Emplazamiento y
Proteccin equipos
Permetro de
Seguridad fsica
Controles fsicos
de entrada
Seguridad oficinas,
despachos e insta.
Proteccin amenazas
Externas de
origen ambiental
CIT
Instalaciones
suministros
Incluye las medidas de

seguridad fsica (edificios,
salas, cableado, armarios,
etc.) que se deben tomar para
proteger los sistemas y la
informacin
Seguridad cableado
Mantenimiento
de equipos
Seguridad equipos
fuera de la oficina
Trabajo en
reas seguras
Reutilizacin o ret.
Segura de equipo
Zonas de carga
y descarga
Retirada de materiales
Propiedad de la
empresa
CIT
ISO/IEC 27002:2005
Seccin 10: Gestin de comunicaciones y operaciones
Provisin servicios
por terceros
Procedimientos y
responsabilidades
Provisin de servicios
Procedimientos de
operaciones escritos
Supervisin y revisin
Servicios por terceros
Gestin de cambios
Servicios prestado
por terceros
Control de cambios
operacionales
Segregacin de
tareas y
responsabilidades
Separacin de
Ambientes (desarrollo,
Prueba y operacin)
Determina las medidas de

seguridad que la organizacin
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
CIT
Proteccin cdigo
Malicioso y descargable
Control contra cdigo
malicioso.
Control contra cdigo
Descargado por el
cliente
Planificacin y
Aceptacin del sist.
Gestin de
capacidades
Aceptacin del
Sistema
CIT
ISO/IEC 27002:2005
Manipulacin
de los soportes
Copias de seguridad
Gestin de soportes
extrables
Copias de seguridad de
La informacin
CIT
Intercambio de
informacin
Polticas y
procedimiento
Intercambio de informac.
Retirada de soportes
Acuerdos de cambio
Seguridad de
Redes
Controles de red
Seguridad de los
Servicios de red
Procedimientos de
Manipulacin de la info.
Seguridad de la
Documentacin del sist.
Determina las medidas de

seguridad que la organizacin
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
Soportes fsicos
en transito
Mensajera
Electrnica
Sistemas de informacin
empresariales
CIT
ISO/IEC 27002:2005
CIT
Supervisin
Servicios de
Comercio electrnico
Comercio electrnico
Transacciones en lnea
Registro de
Auditorias
Supervisin uso del
sistema
Proteccin de la
Informacin registros
Registros administracin
y operacin
Informacin pblica
Registro de fallos
Sincronizacin de reloj
CIT
CIT
ISO/IEC 27002:2005
Seccin 11: Control de acceso

Requisitos de negocio
para control de acceso
Responsabilidad
usuarios
Uso de
passwords
Poltica control
acceso
Gestin de
Acceso usuarios
Passwords
Revisin
Derechos
Routing
Identificacin de
equipos de red
Puesto de trabajo
despejado y
pantalla limpia
Diagnostico remoto
Proteccin puertos
configuracin
Establece las medidas de

control de acceso a la
informacin a los distintos
niveles en los que se
puede plantear
Poltica
Equipos
desatendidos
Registro
Privilegios
Control de
Acceso a la red
Segregacin de
redes
Segregacin
de redes
Control de
conexin
Control de
routing
CIT
ISO/IEC 27002:2005
CIT
Seccin 11: Control de acceso

Control de acceso
al SO
Procedimiento seguro
de inicio de sesin
Identificacin y
Autenticacin usuario
Sistema gestin
contrasea
Control acceso
a aplicaciones y a la
informacin
Restriccin
de acceso
Ordenadores porttiles
y teletrabajo
Informtica
mvil
Teletrabajo
Aislamiento
de sistemas sensibles
Uso recursos del

sistema
Desconexin
Automtica de sesin
Limitacin tiempo
conexin
CIT
ISO/IEC 27002:2005
Seccin 12: Adquisicin, desarrollo y mantenimiento
de los sistemas de informacin
Requisitos
de seguridad de sistemas
de informacin
Seguridad
Desarrollo y
soporte
Poltica de
criptografa
Anlisis y
especificaciones
Tratamiento correcto
de las aplicaciones
Gestin claves
Seguridad de los
Archivo del sistema
Validacin de
Datos de entrada
Control proceso
interno
Controles
criptogrficos
CIT
Control software
en explotacin
Integridad de
los mensajes
Proteccin
datos prueba
Validacin de los
datos de salida
Control
Cdigo fuente
Control de
cambios
Revisin tcnica de
Aplicaciones tras
cambios SO
Restriccin de
Cambios software
Fugas de
informacin
Vulnerabilidad
tcnica
Control de
vulnerabilidades
Desarrollo
externalizado
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
CIT
ISO/IEC 27002:2005
Seccin 13: Gestin de incidentes en la seguridad
de la
informacin
Notificacin eventos y puntos
Dbiles de la seguridad
de la informacin
Notificacin eventos
CIT
Incidentes de seguridad
de la informacin y
mejoras
Responsabilidades y
Procedimientos
Aprendizaje de los
Incidentes de seguridad
Notificacin puntos
Dbiles de la seguridad
Recopilacin de
evidencias
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
CIT
ISO/IEC 27002:2005
Seccin 14: Gestin de la continuidad del negocio
CIT
Seguridad de la informacin
en la gestin del negocio
Inclusin de la seguridad
de la informacin en
el proceso de gestin de
continuidad del negocio
Continuidad del negocio

y evaluacin de riesgos
Desarrollo e implantacin
de planes de continuidad
que incluyan seguridad de
la informacin
Marco de referencia para la
Planificacin de la continuidad
del negocio
Pruebas, mantenimiento y
Reevaluacin de planes de
continuidad
CIT
CIT
ISO/IEC 27002:2005
Seccin 15: Cumplimiento
Cumplimiento de los
Requisitos legales
Cumplimiento de las
Polticas y normas de seguridad
y cumplimiento tcnico
Identificacin de la
Legislacin aplicable
Derechos propiedad
Intelectual (DPI)
Proteccin documentos
de la organizacin
Proteccin datos y
Privacidad informacin
personal
Prevencin uso indebido
De los recursos tratamiento
de la informacin
Regulacin de los controles
criptogrficos
Cumplimiento de las polticas

y normas de seguridad
Comprobacin del
Cumplimiento tcnico
Consideraciones de las
Auditoras de los
Sistemas de informacin
Control de Auditora
de los sistemas de informacin
Proteccin de las herramientas

de auditoria de los sistemas de
informacin
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
CIT
Gracias
CIT
Apoyo gerencial
Equipo Slido
La Seguridad es un proceso,
No un producto
Preguntas?
Necesitamos la
artillera correcta
Alianzas
Estratgicas
CIT
CIT
Less risk, better IT works
www.consultinginformationtechnology.com
info@consultinginformationtechnology.com
www.facebook.com/CITNIC
CIT

ISOIEC 27002 Código de Buenas Prácticas

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

ISOIEC 27002 Código de Buenas Prácticas

Hochgeladen von

Copyright:

Verfügbare Formate

Modelo de gestin de la seguridad, ISO 27002 :

Administracin de seguridad de la informacin

(10 Objetivo, 32 Controles)

Consulting Information Technology

Plan de Continuidad de Negocio

Seguridad del personal

Seguridad fsica y del

Consulting Information Technology

ISO/IEC 27002: 2005

Consulting Information Technology

Consulting Information Technology

Consulting Information Technology

Incorpora las herramientas para

Cese del empleo

Retiro de los derechos

Establece las medidas de seguridad que se van

Incluye las medidas de

Consulting Information Technology

Determina las medidas de

Consulting Information Technology

Determina las medidas de

Consulting Information Technology

Consulting Information Technology

Seccin 11: Control de acceso

Establece las medidas de

Consulting Information Technology

Seccin 11: Control de acceso

Uso recursos del

Consulting Information Technology

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

Continuidad del negocio

Consulting Information Technology

Cumplimiento de las polticas

Proteccin de las herramientas

Consulting Information Technology

Consulting Information Technology

Das könnte Ihnen auch gefallen