fbpx
Wikipedia

ISO/IEC 27002

Septiembre 07, 2021

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27 000 para la Seguridad de la Información, el estándar ISO/IEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.

Publicación de la norma en diversos países

En España existe la publicación nacional UNE-ISO/IEC 17799, que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.

En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento está a cargo de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI (www.ongei.gob.pe).

En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la norma que establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO". En 2013, el Instituto de Normalización Nacional (INN), homologó la norma vigente en el documento Nch ISO27002 Of. 2013.

En Bolivia, se aprobó la primera traducción bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalización y calidad IBNORCA el 14 de noviembre de 2003. Durante el año 2007 se aprobó una actualización a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.[1]

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares equivalentes de diversos países:

Países Estándar equivalente
  Argentina IRAM-ISO-IEC 27002:2008
  Australia

  Nueva Zelanda

AS/NZS ISO/IEC 27002:2006
  Brasil ISO/IEC NBR 17799/2007 - 27002
  Francia ČSN ISO/IEC 27002:2006
  Dinamarca DS484:2005
  Alemania EVS-ISO/IEC 17799:2003, 2005 versión en traducción
  Japón JIS Q 27002
  Italia LST ISO/IEC 17799:2005
  Países Bajos NEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción
  Polonia PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
  España NTP-ISO/IEC 17799:2007
  España NB-ISO/IEC 17799:2005
  Países Bajos SANS 17799:2005
  España UNE 71501
  Suecia SS 627799
  Portugal TS ISO/IEC 27002
  Reino Unido BS ISO/IEC 27002:2005
  Chile BS ISO/IEC 27002:2005
  Brasil UNIT/ISO 17799:2005
  España Nch ISO-27002 Of. 2013
  Rusia ГОСТ/Р ИСО МЭК 17799-2005
  China GB/T 22081-2008
  México NMX-I-27002-NYCE-2015

Directrices del estándar

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

  1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de la información. Revisión de las políticas para la seguridad de la información.
    1. Gestión directiva en seguridad
  2. Organización de la Seguridad de la Información: Trata sobre la organización interna: asignación de responsabilidades relacionadas con la seguridad de la información, segregación de funciones, contacto con las autoridades, contacto con grupos de interés especial y seguridad de la información en la gestión de proyectos.
    1. Organización interna
    2. Dispositivos móviles y teletrabajo
  3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones de los contratos. Durante la contratación se propone se traten los temas de responsabilidad de gestión, concienciación, educación y capacitación en seguridad de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de seguridad, como lo es des habilitación o actualización de privilegios o accesos.
    1. Pre contratación
    2. Durante el contrato
    3. Finalización y cambio de contrato
  4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en tránsito).
    1. Responsabilidad por los activos
    2. Clasificación de la información
    3. Manejo de los medios de comunicación
  5. Control de Accesos: Se refiere a los requisitos de la organización para el control de accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones.
    1. Requisitos empresariales para el control de acceso
    2. Gestión del acceso en usuarios
    3. Responsabilidades del usuario
    4. Control de acceso en sistemas y aplicaciones
  6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de claves.
    1. Controles en el cifrado
  7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras (perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario desatendido y política de puesto de trabajo y bloqueo de pantalla).
    1. Áreas seguras
    2. Equipamiento
  8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
    1. Procedimientos y responsabilidades operativas
    2. Protección ante malware
    3. Copias de seguridad
    4. Registros y monitoreo
    5. Control del software operacional
    6. Gestión del as vulnerabilidades técnicas
    7. Consideraciones en auditorias de sistemas
  9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
    1. Gestión de la seguridad en red
    2. Transferencia de información
  10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
    1. Requisitos de seguridad en sistemas de la información
    2. Seguridad en el desarrollo y proceso de soporte
    3. Pruebas
  11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
    1. Seguridad de la información en las relaciones con proveedores
    2. Gestión de la entrega con proveedores
  12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
    1. Gestión de incidentes y mejoras
  13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
    1. Continuidad en la seguridad de la información
    2. Redundancias
  14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.
    1. Conformidad con la ley y los requisitos de contratos
    2. Revisiones en la seguridad de la información

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

Certificación

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.

La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.

Referencias

  1. ISO - IBNORCA - Instituto Boliviano de Normalización y Calidad
  • ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
  • ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.

Véase también

Enlaces externos

  • www.iso27000.es Portal con información específica de la serie 27000 en español.
  • Compra de estándares Adquisición de la norma ISO/IEC 17799 en inglés.
  • AENOR Adquisición de la norma UNE-ISO/IEC 17799 en español.
  • ISO 17799 / 27001 Grupo de usuario.
  • Base de datos con todas las empresas certificadas y ámbitos de certificación.
  • British Standards Institution (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última). con información específica de la serie 27000 en español.
  • Registro Internacional de Auditores con información en español.
  • Decreto Supremo No. 83 (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última). "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO" de España.
  •   Datos: Q1654656

Septiembre 07, 2021
27002, anteriormente, denominada, 17799, estándar, para, seguridad, información, publicado, organización, internacional, normalización, comisión, electrotécnica, internacional, versión, más, reciente, 2013, Índice, precedentes, evolución, histórica, publicació. ISO IEC 27002 anteriormente denominada ISO 17799 es un estandar para la seguridad de la informacion publicado por la Organizacion Internacional de Normalizacion y la Comision Electrotecnica Internacional La version mas reciente es la ISO IEC 27002 2013 Indice 1 Precedentes y evolucion historica 2 Publicacion de la norma en diversos paises 3 Directrices del estandar 4 Certificacion 5 Referencias 6 Vease tambien 7 Enlaces externosPrecedentes y evolucion historica EditarEl estandar ISO IEC 17799 tiene su origen en el British Standard BS 7799 1 que fue publicado por primera vez en 1995 En el ano 2000 la Organizacion Internacional de Normalizacion y la Comision Electrotecnica Internacional publicaron el estandar ISO IEC 17799 2000 con el titulo de Information technology Security techniques Code of practice for information security management Tras un periodo de revision y actualizacion de los contenidos del estandar se publico en el ano 2005 el documento modificado ISO IEC 17799 2005 Con la aprobacion de la norma ISO IEC 27001 en octubre de 2005 y la reserva de la numeracion 27 000 para la Seguridad de la Informacion el estandar ISO IEC 17799 2005 paso a ser renombrado como ISO IEC 27002 en el ano 2007 Publicacion de la norma en diversos paises EditarEn Espana existe la publicacion nacional UNE ISO IEC 17799 que fue elaborada por el comite tecnico AEN CTN 71 y titulada Codigo de buenas practicas para la Gestion de la Seguridad de la Informacion que es una copia identica y traducida del ingles de la Norma Internacional ISO IEC 17799 2000 La edicion en espanol equivalente a la revision ISO IEC 17799 2005 se estima que este disponible en la segunda mitad del ano 2006 En Peru la ISO IEC 17799 2000 es de uso obligatorio en todas las instituciones publicas desde agosto del 2004 estandarizando de esta forma los diversos proyectos y metodologias en este campo respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales la supervision de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electronico e Informatica ONGEI www ongei gob pe En Chile se empleo la ISO IEC 17799 2005 para disenar la norma que establece las caracteristicas minimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electronicos de los organos de la Administracion del Estado de la Republica de Chile y cuya aplicacion se recomienda para los mismos fines denominado Decreto Supremo No 83 NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRoNICO En 2013 el Instituto de Normalizacion Nacional INN homologo la norma vigente en el documento Nch ISO27002 Of 2013 En Bolivia se aprobo la primera traduccion bajo la sigla NB ISO IEC 17799 2003 por el Instituto de Normalizacion y calidad IBNORCA el 14 de noviembre de 2003 Durante el ano 2007 se aprobo una actualizacion a la norma bajo la sigla NB ISO IEC 17799 2005 Actualmente el IBNORCA ha emitido la norma NB ISO IEC 27001 y NB ISO IEC 27002 1 El estandar ISO IEC 17799 tiene equivalentes directos en muchos otros paises La traduccion y publicacion local suele demorar varios meses hasta que el principal estandar ISO IEC es revisado y liberado pero el estandar nacional logra asi asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estandar ISO IEC 17799 A continuacion se muestra una tabla con los estandares equivalentes de diversos paises Paises Estandar equivalente Argentina IRAM ISO IEC 27002 2008 Australia Nueva Zelanda AS NZS ISO IEC 27002 2006 Brasil ISO IEC NBR 17799 2007 27002 Francia CSN ISO IEC 27002 2006 Dinamarca DS484 2005 Alemania EVS ISO IEC 17799 2003 2005 version en traduccion Japon JIS Q 27002 Italia LST ISO IEC 17799 2005 Paises Bajos NEN ISO IEC 17799 2002 nl 2005 version en traduccion Polonia PN ISO IEC 17799 2007 basada en ISO IEC 17799 2005 Espana NTP ISO IEC 17799 2007 Espana NB ISO IEC 17799 2005 Paises Bajos SANS 17799 2005 Espana UNE 71501 Suecia SS 627799 Portugal TS ISO IEC 27002 Reino Unido BS ISO IEC 27002 2005 Chile BS ISO IEC 27002 2005 Brasil UNIT ISO 17799 2005 Espana Nch ISO 27002 Of 2013 Rusia GOST R ISO MEK 17799 2005 China GB T 22081 2008 Mexico NMX I 27002 NYCE 2015Directrices del estandar EditarISO IEC 27002 proporciona recomendaciones de las mejores practicas en la gestion de la seguridad de la informacion a todos los interesados y responsables en iniciar implantar o mantener sistemas de gestion de la seguridad de la informacion La seguridad de la informacion se define en el estandar como la preservacion de la confidencialidad asegurando que solo quienes esten autorizados pueden acceder a la informacion integridad asegurando que la informacion y sus metodos de proceso son exactos y completos y disponibilidad asegurando que los usuarios autorizados tienen acceso a la informacion y a sus activos asociados cuando lo requieran La version de 2013 del estandar describe los siguientes catorce dominios principales Politicas de Seguridad Sobre las directrices y conjunto de politicas para la seguridad de la informacion Revision de las politicas para la seguridad de la informacion Gestion directiva en seguridad Organizacion de la Seguridad de la Informacion Trata sobre la organizacion interna asignacion de responsabilidades relacionadas con la seguridad de la informacion segregacion de funciones contacto con las autoridades contacto con grupos de interes especial y seguridad de la informacion en la gestion de proyectos Organizacion interna Dispositivos moviles y teletrabajo Seguridad de los Recursos Humanos Comprende aspectos a tomar en cuenta antes durante y para el cese o cambio de trabajo Para antes de la contratacion se sugiere investigar los antecedentes de los postulantes y la revision de los terminos y condiciones de los contratos Durante la contratacion se propone se traten los temas de responsabilidad de gestion concienciacion educacion y capacitacion en seguridad de la informacion Para el caso de despido o cambio de puesto de trabajo tambien deben tomarse medidas de seguridad como lo es des habilitacion o actualizacion de privilegios o accesos Pre contratacion Durante el contrato Finalizacion y cambio de contrato Gestion de los Activos En esta parte se toca la responsabilidad sobre los activos inventario uso aceptable propiedad y devolucion de activos la clasificacion de la informacion directrices etiquetado y manipulacion manipulacion y manejo de los soportes de almacenamiento gestion de soporte extraibles eliminacion y soportes fisicos en transito Responsabilidad por los activos Clasificacion de la informacion Manejo de los medios de comunicacion Control de Accesos Se refiere a los requisitos de la organizacion para el control de accesos la gestion de acceso de los usuarios responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones Requisitos empresariales para el control de acceso Gestion del acceso en usuarios Responsabilidades del usuario Control de acceso en sistemas y aplicaciones Cifrado Versa sobre los controles como politicas de uso de controles de cifrado y la gestion de claves Controles en el cifrado Seguridad Fisica y Ambiental Habla sobre el establecimiento de areas seguras perimetro de seguridad fisica controles fisicos de entrada seguridad de oficinas despacho y recursos proteccion contra amenazas externas y ambientales trabajo en areas seguras y areas de acceso publico y la seguridad de los equipos emplazamiento y proteccion de equipos instalaciones de suministro seguridad del cableado mantenimiento de equipos salida de activos fuera de las instalaciones seguridad de equipos y activos fuera de las instalaciones reutilizacion o retiro de equipo de almacenamiento equipo de usuario desatendido y politica de puesto de trabajo y bloqueo de pantalla Areas seguras Equipamiento Seguridad de las Operaciones procedimientos y responsabilidades proteccion contra malware resguardo registro de actividad y monitorizacion control del software operativo gestion de las vulnerabilidades tecnicas coordinacion de la auditoria de sistemas de informacion Procedimientos y responsabilidades operativas Proteccion ante malware Copias de seguridad Registros y monitoreo Control del software operacional Gestion del as vulnerabilidades tecnicas Consideraciones en auditorias de sistemas Seguridad de las Comunicaciones gestion de la seguridad de la red gestion de las transferencias de informacion Gestion de la seguridad en red Transferencia de informacion Adquisicion de sistemas desarrollo y mantenimiento requisitos de seguridad de los sistemas de informacion seguridad en los procesos de desarrollo y soporte datos para pruebas Requisitos de seguridad en sistemas de la informacion Seguridad en el desarrollo y proceso de soporte Pruebas Relaciones con los Proveedores seguridad de la informacion en las relaciones con los proveedores gestion de la entrega de servicios por proveedores Seguridad de la informacion en las relaciones con proveedores Gestion de la entrega con proveedores Gestion de Incidencias que afectan a la Seguridad de la Informacion gestion de las incidencias que afectan a la seguridad de la informacion mejoras Gestion de incidentes y mejoras Aspectos de Seguridad de la Informacion para la Gestion de la Continuidad del Negocio continuidad de la seguridad de la informacion redundancias Continuidad en la seguridad de la informacion Redundancias Conformidad conformidad con requisitos legales y contractuales revisiones de la seguridad de la informacion Conformidad con la ley y los requisitos de contratos Revisiones en la seguridad de la informacionDentro de cada seccion se especifican los objetivos de los distintos controles para la seguridad de la informacion Para cada uno de los controles se indica asimismo una guia para su implantacion El numero total de controles suma 114 entre todas las secciones aunque cada organizacion debe considerar previamente cuantos seran realmente los aplicables segun sus propias necesidades Certificacion EditarLa norma ISO IEC 17799 es una guia de buenas practicas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificacion adecuado para este documento La norma ISO IEC 27001 Information technology Security techniques Information security management systems Requirements si es certificable y especifica los requisitos necesarios para establecer implantar mantener y mejorar un Sistema de Gestion de la Seguridad de la Informacion segun el famoso Circulo de Deming PDCA acronimo de Plan Do Check Act Planificar Hacer Verificar Actuar Es consistente con las mejores practicas descritas en ISO IEC 17799 y tiene su origen en la norma britanica British Standard BS 7799 2 publicada por primera vez en 1998 y elaborada con el proposito de poder certificar los Sistemas de Gestion de la Seguridad de la Informacion implantados en las organizaciones y por medio de un proceso formal de auditoria realizado por un tercero Referencias Editar ISO IBNORCA Instituto Boliviano de Normalizacion y Calidad ISO IEC 17799 2005 Information technology Security techniques Code of practice for information security management ISO IEC 27001 2005 Information technology Security techniques Information security management systems Requirements Vease tambien EditarSeguridad de la informacion SGSIEnlaces externos Editarwww iso27000 es Portal con informacion especifica de la serie 27000 en espanol Compra de estandares Adquisicion de la norma ISO IEC 17799 en ingles AENOR Adquisicion de la norma UNE ISO IEC 17799 en espanol ISO 17799 27001 Grupo de usuario Base de datos con todas las empresas certificadas y ambitos de certificacion British Standards Institution enlace roto disponible en Internet Archive vease el historial la primera version y la ultima con informacion especifica de la serie 27000 en espanol Registro Internacional de Auditores con informacion en espanol Decreto Supremo No 83 enlace roto disponible en Internet Archive vease el historial la primera version y la ultima NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRoNICO de Espana Datos Q1654656Obtenido de https es wikipedia org w index php title ISO IEC 27002 amp oldid 134475692, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos