ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la
seguridad de la informacin publicado por la Organizacin Internacional de Normalizacin y la Comisin Electrotcnica Internacional. La versin ms reciente es la ISO/IEC 27002:2013. Directrices del estndar ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)". La versin de 2013 del estndar describe los siguientes catorce dominios principales: 1. Polticas de Seguridad. Sobre las directrices y conjunto de polticas para la seguridad de la informacin. Revisin de las polticas para la seguridad de la informacin. 2. Organizacin de la Seguridad de la Informacin. Trata sobre la organizacin interna: asignacin de responsabilidades relacionadas a la seguridad de la informacin, segregacin de funciones, contacto con las autoridades, contacto con grupos de inters especial y seguridad de la informacin en la gestin de proyectos. 3. Seguridad de los Recursos Humanos. Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratacin se sugiere investigar los antecedentes de los postulantes y la revisin de los trminos y condiciones de los contratos. Durante la contratacin se propone se traten los temas de responsabilidad de gestin, concienciacin, educacin y capacitacin en seguridad de la informacin. Para el caso de despido o cambio de puesto de trabajo tambin deben tomarse medidas de seguridad, como lo es des habilitacin o actualizacin de privilegios o accesos. 4. Gestin de los Activos. En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolucin de activos), la clasificacin de la informacin (directrices, etiquetado y manipulacin, manipulacin) y manejo de los soportes de almacenamiento (gestin de soporte extrables, eliminacin y soportes fsicos en trnsito).
5. Control de Accesos. Se refiere a los requisitos de la organizacin para el control
de accesos, la gestin de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones. 6. Cifrado. Versa sobre los controles como polticas de uso de controles de cifrado y la gestin de claves. 7. Seguridad Fsica y Ambiental. Habla sobre el establecimiento de reas seguras (permetro de seguridad fsica, controles fsicos de entrada, seguridad de oficinas, despacho y recursos, proteccin contra amenazas externas y ambientales, trabajo en reas seguras y reas de acceso pblico) y la seguridad de los equipos (emplazamiento y proteccin de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilizacin o retiro de equipo de almacenamiento, equipo de usuario desatendido y poltica de puesto de trabajo y bloqueo de pantalla). 8. Seguridad de las Operaciones: procedimientos y responsabilidades; proteccin contra malware; resguardo; registro de actividad y monitorizacin; control del software operativo; gestin de las vulnerabilidades tcnicas; coordinacin de la auditora de sistemas de informacin. 9. Seguridad de las Comunicaciones: gestin de la seguridad de la red; gestin de las transferencias de informacin. 10. Adquisicin de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de informacin; seguridad en los procesos de desarrollo y soporte; datos para pruebas. 11. Relaciones con los Proveedores: seguridad de la informacin en las relaciones con los proveedores; gestin de la entrega de servicios por proveedores. 12. Gestin de Incidencias que afectan a la Seguridad de la Informacin: gestin de las incidencias que afectan a la seguridad de la informacin; mejoras. 13. Aspectos de Seguridad de la Informacin para la Gestin de la Continuidad del Negocio: continuidad de la seguridad de la informacin; redundancias. 14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la informacin. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 114 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.