NORMA ISO

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las qu
gestin de seguridad de informacin.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 c

A continuacin se realiza una descripcin de los aspectos que deben ser tenidos en cuenta al

5. Poltica de seguridad
Estos controles proporcionan la gua y apoyo de la direccin para la seguridad de la informaci

6. Estructura organizativa para la seguridad

Organizacin interna: estos controles gestionan la seguridad de la informacin dentro de la O
poltica de seguridad de la informacin, asignando los roles de seguridad y coordinando la im
Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamien
la organizacin.

7. Clasificacin y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protec
Clasificacin y control de de la informacin: la informacin se encuentra clasificada para indic
previsto para su tratamiento.

8. Seguridad del personal

Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal u
9. Seguridad fisica y del entorno
reas seguras: Los servicios de procesamiento de informacin sensible deben estar ubicados
controles de entrada, protegidas fsicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de proteccin contra amenazas fsicas y
cableado.

10. Gestin de las comunicaciones y operaciones

Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la informacin
recursos de tratamiento de informacin, minimizando el riesgo de fallos en los sistemas y ase
la proteccin de su infraestructura de apoyo.

11. Control de accesos

Controla los accesos a la informacin y los recursos de tratamiento de la informacin en base
accesos.
12. Desarrollo y mantenimiento de sistemas

Se disean y desarrollan controles adicionales para los sistemas que procesan o tienen algn
determinan en funcin de los requisitos de seguridad y la estimacin del riesgo.
13. Gestin de incidentes de seguridad de la informacin

Se establecen informes de los eventos y de los procedimientos realizados, todos los emplead
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan ten

14. Gestin de la continuidad del negocio

La seguridad de informacin debe ser una parte integral del plan general de continuidad del n
gestin de la continuidad debe incluir el proceso de evaluacin y asegurar la reanudacin a ti
15. Cumplimiento

Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulacin u oblig
y fuera de la organizacin. Los requisitos legales especficos deberan ser advertidos por los a
Adems se deberan realizar revisiones regulares de la seguridad de los sistemas de informac

DESCRIPCION DE LA PLAN
Dominio
Obj. de control
Controles
Orientacion
Descripcion
PD
NC.D
PO
NC.O
PC
NC.C
Escala

Nmero del dominio

Cantidad y nmero del objetivo de control
Cantidad y nmero de controles por cada objetivo
Proporciona informacin sobre la obligatoriedad de implementar o no el co
Breve descripcin de cada objetivo de control agrupandolos por dominio
Peso del dominio
Nivel de cumplimineto del dominio
Peso del objetivo
Nivel de cumplimineto del dominio
Peso del control
Nivel de cumplimiento del control
Escala del cumplimiento del control

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales correspondern al v
tenga en cuenta que en esta escala de valoracin, el "0" indica que no cumple el control y "100
valores intermedios cuando se cumple parcialmente cualquiera de los controles.

Dominios

Objetivos de
Control

Controles

1
6

Dominios

Objetivos de
Control
2

1
7

Descripcin

Orientacin

Poltica de Seguridad

Poltica de Seguridad de la Informacin

Debe

Documento de la poltica de seguridad de la informacin

Debe

Revisin de la poltica de seguridad de la informacin

11

Estructura organizativa para la seguridad

Organizacin Interna

Debe

Comit de la direccin sobre seguridad de la informacin

Debe

Coordinacin de la seguridad de la informacin

Debe

Asignacin de responsabilidades para la de seguridad de la informa

Debe

Proceso de autorizacin para instalaciones de procesamiento de inf

Debe

Acuerdos de confidencialidad

Puede

Contacto con autoridades

Puede

Contacto con grupos de inters

Revisin independiente de la seguridad de la informacin

Puede

Terceras partes

Debe

Identificacin de riesgos por el acceso de terceras partes

Debe

Temas de seguridad a tratar con clientes

Debe

Temas de seguridad en acuerdos con terceras partes

Controles

Descripcin

Orientacin

Clasificacin y control de activos

Responsabilidad sobre los activos

Debe

Inventario de activos

Debe

Propietario de activos

1
7

Dominios

Debe

Clasificacin de la informacin

Debe

Guas de clasificacin

Debe

Etiquetado y manejo de la informacin

Antes del empleo

Debe

Roles y responsabilidades

Debe

Verificacin

Debe

Trminos y condiciones de empleo

Durante el empleo

Debe

Responsabilidades de la gerencia

Debe

Educacin y formacin en seguridad de la informacin

Debe

Procesos disciplinarios

Terminacin o cambio del empleo

Debe

Responsabilidades en la terminacin

Debe

Devolucin de activos

Debe

Eliminacin de privilegios de acceso

13

Objetivos de
Control
10

Seguridad en el personal

Controles

Uso aceptable de los activos

Objetivos de
Control

Dominios

Descripcin

Orientacin

Seguridad fisica y del entorno

reas Seguras

Debe

Permetro de seguridad fsica

Debe

Controles de acceso fsico

Debe

Seguridad de oficinas, recintos e instalaciones

Debe

Proteccin contra amenazas externas y ambientales

Debe

Trabajo de reas seguras

Puede

reas de carga, entrega y reas pblicas

Seguridad de los Equipos

Debe

Ubicacin y proteccin del equipo

Debe

Herramientas de soporte

Debe

Seguridad del cableado

Debe

Mantenimiento de equipos

Debe

Seguridad del equipamiento fuera de las instalaciones

Debe

Seguridad en la reutilizacin o eliminacin de equipos

Debe

Movimientos de equipos

Controles

Descripcin

Orientacin

32

Gestin de comunicaciones y operaciones

Procedimientos operacionales y responsabilidades

Debe

Procedimientos de operacin documentados

Debe

Control de cambios

Debe

Separacin de funciones
Separacin de las instalaciones de desarrollo y produccin

Debe

Administracin de servicios de terceras partes

Puede

Entrega de servicios

Puede

Monitoreo y revisin de servicios de terceros

Manejo de cambios a servicios de terceros

Puede

Planificacin y aceptacin del sistema

Debe

Planificacin de la capacidad

10

10

Dominios

Objetivos de
Control
7
1

11

Debe

Proteccin contra software malicioso y mvil

Debe

Controles contra software malicioso

Debe

Controles contra cdigo mvil

Copias de seguridad

Debe

Administracin de la seguridad en redes

Debe

Controles de redes

Debe

Seguridad de los servicios de red

Manejo de medios de soporte

Debe

Administracin de los medios de computacin removibles

Debe

Eliminacin de medios

Debe

Procedimientos para el manejo de la informacin

Debe

Seguridad de la documentacin del sistema

Intercambio de informacin

Debe

Polticas y procedimientos para el intercambio de informacin

Puede

Acuerdos de intercambio

Puede

Medios fsicos en transito

Puede

Mensajes electrnicos

Puede

Sistemas de informacin del negocio

Servicios de comercio electronico

Puede

Comercio electronico

Puede

Transacciones en lnea

Puede

Informacin pblicamente disponible

Monitoreo y supervisin

Debe

Logs de auditoria

Debe

Monitoreo de uso de sistema

Debe

Proteccin de los logs

Debe

Registro de actividades de administrador y operador del sistema

Debe

Fallas de login

Puede

Sincronizacin del reloj

Controles

Aceptacin del sistema

Informacin de copias de seguridad

Descripcin

Orientacin

25

Control de accesos

Requisitos de negocio para el control de acceso

Debe

Administracin de acceso de usuarios

Debe

Registro de usuarios

Debe

Administracin de privilegios

Debe

Administracin de contraseas
Revisin de los derechos de acceso de usuario

Poltica de control de accesos

Debe

Responsabilidades de los usuarios

Debe

Uso de contraseas

Puede

Equipos de cmputo de usuario desatendidos

Poltica de escritorios y pantallas limpias

Puede

Control de acceso a redes

Debe

Poltica de uso de los servicios de red

Puede

Autenticacin de usuarios para conexiones externas

Puede

Identificacin de equipos en la red

11

Dominios

Debe

Administracin remota y proteccin de puertos

Puede

Segmentacin de redes

Debe

Control de conexin a las redes

Debe

Control de enrutamiento en la red

Control de acceso al sistema operativo

Debe

Procedimientos seguros de Log-on en el sistema

Debe

Identificacin y autenticacin de los usuarios

Debe

Sistema de administracin de contraseas

Puede

Uso de utilidades de sistema

Debe

Inactividad de la sesin
Limitacin del tiempo de conexin

Puede

Control de acceso a las aplicaciones y la informacin

Puede

Restriccin del acceso a la informacin

Puede

Aislamiento de sistemas sensibles

Ordenadores porttiles y teletrabajo

Puede

Ordenadores porttiles y comunicaciones moviles

Puede

Teletrabajo

Objetivos de
Control

Controles

16

12
4

6
Dominios

Objetivos de
Control
2

1
13

Descripcin

Orientacin

Desarrollo y mantenimiento de sistemas

Requerimientos de seguridad de sistemas de informacin

Debe

Procesamiento adecuado en aplicaciones

Debe

Validacin de los datos de entrada

Puede

Controles de procesamiento interno

Puede

Integridad de mensajes
Validacin de los datos de salida

Anlisis y especificaciones de los requerimientos de seguridad

Puede

Controles criptogrficos

Puede

Poltica de utilizacin de controles criptogrficos

Puede

Administracin de llaves

Seguridad de los archivos del sistema

Debe

Control del software operacional

Puede

Proteccin de los datos de prueba del sistema

Control de acceso al cdigo fuente de las aplicaciones

Debe

Seguridad en los procesos de desarrollo y soporte

Debe

Procedimientos de control de cambios

Debe

Revisin tcnica de los cambios en el sistema operativo

Puede

Restricciones en los cambio a los paquetes de software

Debe

Fugas de informacin

Debe

Desarrollo externo de software

Gestin de vulnerabilidades tcnicas

Debe

Controles

Orientacin

Control de vulnerabilidades tcnicas

Descripcin

Gestin de incidentes de la seguridad de la informacin

Notificando eventos de seguridad de la informacin y debilidades

Debe

Reportando eventos de seguridad de la informacin

Puede

Reportando debilidades de seguridad

Gestin de incidentes y mejoramiento de la seguridad de la informacin

13

14

Dominios

Objetivos de
Control
3

15

Dominios
Objetivos de control
Controles

Debe

Procedimientos y responsabilidades

Puede

Lecciones aprendidas

Debe

Recoleccin de evidencia

Gestin de la continuidad del negocio

Aspectos de seguridad de la informacin en la gestin de continuidad del n

Debe

Inclusin de seguridad de la informacin en el proceso de gestin d

negocio

Debe

Continuidad del negocio y anlisis del riesgo

Debe

Desarrollo e implementacin de planes de continuidad incluyendo s

informacin

Debe

Marco para la planeacin de la continuidad del negocio

Debe

Prueba, mantenimiento y reevaluacin de los planes de continuidad

Controles

Descripcin

Orientacin

10

Cumplimiento

Cumplimiento con los requisitos legales

Debe

Identificacin de la legislacin aplicable

Debe

Derechos de propiedad intelectual (dpi)

Debe

Proteccin de los registros de la organizacin

Debe

Proteccin de datos y privacidad de la informacin personal

Debe

Prevencin del uso inadecuado de los recursos de procesamiento de

Regulacin de controles para el uso de criptografa

Debe

Cumplimiento con las polticas y estndares de seguridad y cumplimiento t

Debe

Cumplimiento con las polticas y procedimientos

Debe

Verificacin de la cumplimiento tcnico

Consideraciones de la auditoria de sistemas de informacin

Debe

Controles de auditoria a los sistemas de informacin

Debe

Proteccin de las herramientas de auditoria de sistemas

11

39
133

RIPCION DE LA PLANTILLA ISO 27002

iedad de implementar o no el control

ntrol agrupandolos por dominio

Escala visual de la valoracin del control

Alto
Medio
Bajo

Mas del 70% de cumplimiento

Entre el 30 y 69 % de cumplimiento
Por debajo del 30%

s, los cuales correspondern al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma;
que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que tambin se puede asignar
de los controles.

% de cumplimiento de la norma

Descripcin

Poltica de Seguridad

PD

NC. D

1.5

in

PO

NC. O

PC

100
100

a de seguridad de la informacin

50

e seguridad de la informacin

50

organizativa para la seguridad

8.27

100
72.73

obre seguridad de la informacin

9.09

ridad de la informacin

9.09

bilidades para la de seguridad de la informacin

9.09

para instalaciones de procesamiento de informacin

9.09

alidad

9.09

es

9.09

inters

9.09

de la seguridad de la informacin

9.09
27.27

s por el acceso de terceras partes

9.09

atar con clientes

9.09

acuerdos con terceras partes

9.09

Descripcin

ficacin y control de activos

PD

NC. D

3.76

PO

NC. O

PC

100
60

0
20
20

tivos

20
40

0
20

la informacin

eguridad en el personal

20
6.77

100
33.33

es

11.11
11.11

de empleo

11.11
33.33

gerencia

11.11

en seguridad de la informacin

11.11
11.11
33.33

terminacin

11.11
11.11

os de acceso

Descripcin

uridad fisica y del entorno

11.11
PD

NC. D

9.77

PO

NC. O

PC

100
46.15

fsica

7.69

co

7.69

ecintos e instalaciones

7.69

azas externas y ambientales

7.69

7.69

y reas pblicas

7.69
53.85

del equipo

7.69

7.69
7.69

pos

7.69

ento fuera de las instalaciones

7.69

acin o eliminacin de equipos

7.69

7.69

Descripcin

e comunicaciones y operaciones

ponsabilidades

PD

NC. D

24.06

PO

NC. O

PC

100
12.5

acin documentados

3.125
3.125

3.125

aciones de desarrollo y produccin

ras partes

3.125
9.38

0
3.12

servicios de terceros

3.12

rvicios de terceros

ma

cidad

3.12
6.25

0
3.125

3.125

o y mvil

6.25

re malicioso

3.125

mvil

3.125
3.13

e seguridad

3.13

edes

6.25

0
3.125

os de red

3.125
12.5

edios de computacin removibles

3.125
3.125

manejo de la informacin

3.125

entacin del sistema

3.125
15.63

os para el intercambio de informacin

3.126

3.126

3.126
3.126

n del negocio

3.126
9.38

0
3.126
3.126

nte disponible

3.126
18.75

0
3.126

tema

3.126
3.126

de administrador y operador del sistema

3.126
3.126
3.126

Descripcin
Control de accesos

ol de acceso

PD

NC. D

18.8

PO

NC. O

PC

100
4

cesos

os

4
16

0
4

egios

aseas

s de acceso de usuario

4
12

0
4

usuario desatendidos

pantallas limpias

4
28

rvicios de red

os para conexiones externas

s en la red

y proteccin de puertos

4
4

as redes

o en la red

vo

24

de Log-on en el sistema

acin de los usuarios

n de contraseas

tema

4
4

e conexin

y la informacin

la informacin

s sensibles

y comunicaciones moviles

4
4

Descripcin

o y mantenimiento de sistemas

PD

NC. D

12.03

temas de informacin

PO

NC. O

PC

100
6.25

es de los requerimientos de seguridad

6.25

ones

25

de entrada

6.25

ento interno

6.25
6.25

de salida

6.25
12.5

controles criptogrficos

6.25

6.25

ma

18.75

eracional

6.25

de prueba del sistema

6.25

digo fuente de las aplicaciones

6.25

rollo y soporte

31.25

rol de cambios

6.25

cambios en el sistema operativo

6.25

mbio a los paquetes de software

6.25
6.25

oftware

6.25

6.25

des tcnicas

Descripcin

ad de la informacin

e la informacin y debilidades

100
PD

NC. D

3.76

PO

NC. O

PC

100
40

seguridad de la informacin

20

de seguridad

20

to de la seguridad de la informacin

60

nsabilidades

20
20

20

de la continuidad del negocio

3.76

acin en la gestin de continuidad del negocio

100
100

de la informacin en el proceso de gestin de la continuidad del

20

o y anlisis del riesgo

20

acin de planes de continuidad incluyendo seguridad de la

20

n de la continuidad del negocio

20

y reevaluacin de los planes de continuidad del negocio

20

Descripcin
Cumplimiento

ales

PD

NC. D

7.52

PO

NC. O

PC

100
60

slacin aplicable

10

intelectual (dpi)

10

os de la organizacin

10

rivacidad de la informacin personal

10

ecuado de los recursos de procesamiento de informacin

10

para el uso de criptografa

ndares de seguridad y cumplimiento tcnico

10
20

olticas y procedimientos

10

imiento tcnico

10

istemas de informacin
los sistemas de informacin

mientas de auditoria de sistemas

20

0
10
10

n del control

cumplimiento
% de cumplimiento

"NC.C" de la norma;
n se puede asignar

norma
NC. C

Escala

0
0

0
0
0
0
0
0
0
0
0
0
0
NC. C

Escala

0
0

0
0
0

0
0
0
0
0
0
0
0
0
NC. C

Escala

0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C

Escala

0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C

Escala

NC. C

Escala

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C

Escala

0
0

0
0
0

0
0
0
0
0
NC. C

Escala

0
0
0
0
0
0
0
0
0
0