NORMA ISO/IEC 27002

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúne
mantener sistemas de gestión de seguridad de información.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; qu
estructura:

A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de
norma ISO 27002:
5. Política de seguridad

Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relació

6. Estructura organizativa para la seguridad

Organización interna: estos controles gestionan la seguridad de la información dentro de la Organización.
política de seguridad de la información, asignando los roles de seguridad y coordinando la implantación de
Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de la info
la organización.

7. Clasificación y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección adecuad
Clasificación y control de de la información: la información se encuentra clasificada para indicar las necesid
previsto para su tratamiento.

8. Seguridad del personal

Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las ins

9. Seguridad fisica y del entorno

Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en áreas seg
por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para salvagu
infraestructura del cableado.

10. Gestión de las comunicaciones y operaciones

Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información, además de
recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y asegurando la p
la protección de su infraestructura de apoyo.

11. Control de accesos

Controla los accesos a la información y los recursos de tratamiento de la información en base a las necesid
el control de los accesos.

12. Desarrollo y mantenimiento de sistemas

Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún efecto en act
Dichos controles se determinan en función de los requisitos de seguridad y la estimación del riesgo.

13. Gestión de incidentes de seguridad de la información

Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratista
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto e
14. Gestión de la continuidad del negocio
La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN
organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanu

15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contrac
y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los asesores legal
Además se deberían realizar revisiones regulares de la seguridad de los sistemas de información.
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
Nivel de cumplimineto del dominio
PO Peso del objetivo
NC.O Nivel de cumplimineto del dominio
PC Peso del control
NC.C Nivel de cumplimiento del control
Escala Escala del cumplimiento del control

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumpli
en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriame
valores intermedios cuando se cumple parcialmente cualquiera de los controles.

Objetivos
Dominios Controles
de Control Orientación Descripción
1 2 Política de Seguridad
2 Política de Seguridad de la Información
5
1 1 Debe Documento de la política de seguridad de la información
2 Debe Revisión de la política de seguridad de la información
2 11 Estructura organizativa para la seguridad
8 Organización Interna
1 Debe Comité de la dirección sobre seguridad de la información
2 Debe Coordinación de la seguridad de la información
3 Debe Asignación de responsabilidades para la de seguridad de la información
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información
5 Debe Acuerdos de confidencialidad
6
6 Puede Contacto con autoridades
7 Puede Contacto con grupos de interés
8 Puede Revisión independiente de la seguridad de la información
3 Terceras partes
1 Debe Identificación de riesgos por el acceso de terceras partes
2
2 Debe Temas de seguridad a tratar con clientes
3 Debe Temas de seguridad en acuerdos con terceras partes
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 5 Clasificación y control de activos
3 Responsabilidad sobre los activos
1 Debe Inventario de activos
1
2 Debe Propietario de activos
7
 1
7
3 Debe Uso aceptable de los activos
2 Clasificación de la información
2 1 Debe Guías de clasificación
2 Debe Etiquetado y manejo de la información
3 9 Seguridad en el personal
3 Antes del empleo
1 Debe Roles y responsabilidades
1
2 Debe Verificación
3 Debe Términos y condiciones de empleo
3 Durante el empleo
8 1 Debe Responsabilidades de la gerencia
2
2 Debe Educación y formación en seguridad de la información
3 Debe Procesos disciplinarios
3 Terminación o cambio del empleo
1 Debe Responsabilidades en la terminación
3
2 Debe Devolución de activos
3 Debe Eliminación de privilegios de acceso
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 13 Seguridad fisica y del entorno
6 Áreas Seguras
1 Debe Perímetro de seguridad física
2 Debe Controles de acceso físico
1 3 Debe Seguridad de oficinas, recintos e instalaciones
4 Debe Protección contra amenazas externas y ambientales
5 Debe Trabajo de áreas seguras
6 Puede Áreas de carga, entrega y áreas públicas
9
7 Seguridad de los Equipos
1 Debe Ubicación y protección del equipo
2 Debe Herramientas de soporte
3 Debe Seguridad del cableado
2
4 Debe Mantenimiento de equipos
5 Debe Seguridad del equipamiento fuera de las instalaciones
6 Debe Seguridad en la reutilización o eliminación de equipos
7 Debe Movimientos de equipos
Objetivos
Dominios
de Control
Controles Orientación Descripción
10 32 Gestión de comunicaciones y operaciones
4 Procedimientos operacionales y responsabilidades
1 Debe Procedimientos de operación documentados
1 2 Debe Control de cambios
3 Debe Separación de funciones
4 Debe Separación de las instalaciones de desarrollo y producción
3 Administración de servicios de terceras partes
1 Puede Entrega de servicios
2
2 Puede Monitoreo y revisión de servicios de terceros
3 Puede Manejo de cambios a servicios de terceros
2 Planificación y aceptación del sistema
3 1 Debe Planificación de la capacidad
 3

2 Debe Aceptación del sistema

2 Protección contra software malicioso y móvil
4 1 Debe Controles contra software malicioso
2 Debe Controles contra código móvil
1 Copias de seguridad
5
1 Debe Información de copias de seguridad
2 Administración de la seguridad en redes
6 1 Debe Controles de redes
2 Debe Seguridad de los servicios de red
10 4 Manejo de medios de soporte
1 Debe Administración de los medios de computación removibles
7 2 Debe Eliminación de medios
3 Debe Procedimientos para el manejo de la información
4 Debe Seguridad de la documentación del sistema
5 Intercambio de información
1 Debe Políticas y procedimientos para el intercambio de información
2 Puede Acuerdos de intercambio
8
3 Puede Medios físicos en transito
4 Puede Mensajes electrónicos
5 Puede Sistemas de información del negocio
3 Servicios de comercio electronico
1 Puede Comercio electronico
9
2 Puede Transacciones en línea
3 Puede Información públicamente disponible
6 Monitoreo y supervisión
1 Debe Logs de auditoria
2 Debe Monitoreo de uso de sistema
10 3 Debe Protección de los logs
4 Debe Registro de actividades de administrador y operador del sistema
5 Debe Fallas de login
6 Puede Sincronización del reloj
Objetivos
Dominios
de Control
Controles Orientación Descripción
7 25 Control de accesos
1 Requisitos de negocio para el control de acceso
1
1 Debe Política de control de accesos
4 Administración de acceso de usuarios
1 Debe Registro de usuarios
2 2 Debe Administración de privilegios
3 Debe Administración de contraseñas
4 Debe Revisión de los derechos de acceso de usuario
3 Responsabilidades de los usuarios
1 Debe Uso de contraseñas
3
2 Puede Equipos de cómputo de usuario desatendidos
3 Puede Política de escritorios y pantallas limpias
7 Control de acceso a redes
1 Debe Política de uso de los servicios de red
2 Puede Autenticación de usuarios para conexiones externas
3 Puede Identificación de equipos en la red
4
11
 4
11 4 Debe Administración remota y protección de puertos
5 Puede Segmentación de redes
6 Debe Control de conexión a las redes
7 Debe Control de enrutamiento en la red
6 Control de acceso al sistema operativo
1 Debe Procedimientos seguros de Log-on en el sistema
2 Debe Identificación y autenticación de los usuarios
5 3 Debe Sistema de administración de contraseñas
4 Puede Uso de utilidades de sistema
5 Debe Inactividad de la sesión
6 Puede Limitación del tiempo de conexión
2 Control de acceso a las aplicaciones y la información
6 1 Puede Restricción del acceso a la información
2 Puede Aislamiento de sistemas sensibles
2 Ordenadores portátiles y teletrabajo
7 1 Puede Ordenadores portátiles y comunicaciones moviles
2 Puede Teletrabajo
Objetivos
Dominios
de Control
Controles Orientación Descripción
6 16 Desarrollo y mantenimiento de sistemas
1 Requerimientos de seguridad de sistemas de información
1
1 Debe Análisis y especificaciones de los requerimientos de seguridad
4 Procesamiento adecuado en aplicaciones
1 Debe Validación de los datos de entrada
2 2 Puede Controles de procesamiento interno
3 Puede Integridad de mensajes
4 Puede Validación de los datos de salida
2 Controles criptográficos
3 1 Puede Política de utilización de controles criptográficos
2 Puede Administración de llaves
12 3 Seguridad de los archivos del sistema
1 Debe Control del software operacional
4
2 Puede Protección de los datos de prueba del sistema
3 Debe Control de acceso al código fuente de las aplicaciones
5 Seguridad en los procesos de desarrollo y soporte
1 Debe Procedimientos de control de cambios
2 Debe Revisión técnica de los cambios en el sistema operativo
5
3 Puede Restricciones en los cambio a los paquetes de software
4 Debe Fugas de información
5 Debe Desarrollo externo de software
1 Gestión de vulnerabilidades técnicas
6
1 Debe Control de vulnerabilidades técnicas
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 5 Gestión de incidentes de la seguridad de la información
2 Notificando eventos de seguridad de la información y debilidades
1 1 Debe Reportando eventos de seguridad de la información
2 Puede Reportando debilidades de seguridad
13
3 Gestión de incidentes y mejoramiento de la seguridad de la información
1 Debe Procedimientos y responsabilidades
2
 13

2
2 Puede Lecciones aprendidas
3 Debe Recolección de evidencia
1 5 Gestión de la continuidad del negocio
5 Aspectos de seguridad de la información en la gestión de continuidad del negocio

Inclusión de seguridad de la información en el proceso de gestión de la

1 Debe continuidad del negocio
14 2 Debe Continuidad del negocio y análisis del riesgo
1
Desarrollo e implementación de planes de continuidad incluyendo seguridad
3 Debe de la información
4 Debe Marco para la planeación de la continuidad del negocio
Prueba, mantenimiento y reevaluación de los planes de continuidad del
5 Debe negocio
Objetivos
Dominios
de Control
Controles Orientación Descripción
3 10 Cumplimiento
6 Cumplimiento con los requisitos legales
1 Debe Identificación de la legislación aplicable
2 Debe Derechos de propiedad intelectual (dpi)
1 3 Debe Protección de los registros de la organización
4 Debe Protección de datos y privacidad de la información personal
Prevención del uso inadecuado de los recursos de procesamiento de
5 Debe información
15
6 Debe Regulación de controles para el uso de criptografía
2 Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico
2 1 Debe Cumplimiento con las políticas y procedimientos
2 Debe Verificación de la cumplimiento técnico
2 Consideraciones de la auditoria de sistemas de información
3 1 Debe Controles de auditoria a los sistemas de información
2 Debe Protección de las herramientas de auditoria de sistemas

Dominios 11
Objetivos de control 39
Controles 133
LLA ISO 27002

o el control

Escala visual de la valoración del control

Alto Mas del 70% de cumplimiento

Medio Entre el 30 y 69 % de cumplimiento
Bajo Por debajo del 30%

gnado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga

cumple satisfactoriamente, recuerde que también se puede asignar

% de cumplimiento de la norma

PD NC. D PO NC. O PC NC. C Escala

1.5 100 100

100 100
50 100 100
50 100 100
8.27 80.91 100
72.73 58.18
9.09 90 90
9.09 80 80
9.09 60 60
9.09 100 100
9.09 70 70
9.09 70 70
9.09 100 100
9.09 70 70
27.27 22.73
9.09 70 70
9.09 90 90
9.09 90 90

PD NC. D PO NC. O PC NC. C Escala

3.76 100 100

60 60
20 100 100
20 100 100
 20 100 100
40 40
20 100 100
20 100 100
6.77 97.8 100
33.33 31.11
11.11 90 90
11.11 90 90
11.11 100 100
33.33 33.33
11.11 100 100
11.11 100 100
11.11 100 100
33.33 33.33
11.11 100 100
11.11 100 100
11.11 100 100

PD NC. D PO NC. O PC NC. C Escala

9.77 98.46 100

46.15 44.61
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 80 80
7.69 100 100
53.85 53.85
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100

PD NC. D PO NC. O PC NC. C Escala

24.06 91 100
12.5 11.56
3.125 90 90
3.125 90 90
3.125 100 100
3.125 90 90
9.38 7.19
3.12 100 100
3.12 60 60
3.12 70 70
6.25 6.25
3.125 100 100
 3.125 100 100
6.25 6.25
3.125 100 100
3.125 100 100
3.13 1.25
3.13 40 40
6.25 6.25
3.125 100 100
3.125 100 100
12.5 12.5
3.125 100 100
3.125 100 100
3.125 100 100
3.125 100 100
15.63 15.32
3.126 100 100
3.126 90 90
3.126 100 100
3.126 100 100
3.126 100 100
9.38 5.63
3.126 50 50
3.126 60 60
3.126 70 70
18.75 18.75
3.126 100 100
3.126 100 100
3.126 100 100
3.126 100 100
3.126 100 100
3.126 100 100

PD NC. D PO NC. O PC NC. C Escala

18.8 92 100
4 4
4 100
16 14
4 100
4 100
4 50
4 100
12 12
4 100
4 100
4 100
28 28
4 100
4 100
4 100
 4 100
4 100
4 100
4 100
24 22
4 100
4 100
4 100
4 100
4 100
4 50
8 6
4 100
4 50
8 6
4 100
4 50

PD NC. D PO NC. O PC NC. C Escala

12.03 98.13 100

6.25 6.25
6.25 100 100
25 25
6.25 100 100
6.25 100 100
6.25 100 100
6.25 100 100
12.5 12.5
6.25 100 100
6.25 100 100
18.75 18.75
6.25 100 100
6.25 100 100
6.25 100 100
31.25 29.38
6.25 100 100
6.25 100 100
6.25 100 100
6.25 100 100
6.25 70 70
6.25 6.25
100 100 100

PD NC. D PO NC. O PC NC. C Escala

3.76 90 100
40 30
20 100 100
20 50 50
60 60
20 100 100
 20 100 100
20 100 100
3.76 76 100
100 76

20 80 80
20 80 80

20 80 80
20 70 70
20 70 70

PD NC. D PO NC. O PC NC. C Escala

7.52 97.77 100

60 57
10 70 70
10 100 100
10 100 100
10 100 100
10 100 100
10 100 100
20 20
10 100 100
10 100 100
20 20
10 100 100
10 100 100