Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aplicacion Norma
Aplicacion Norma
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúne
mantener sistemas de gestión de seguridad de información.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; qu
estructura:
A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de
norma ISO 27002:
5. Política de seguridad
Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relació
Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratista
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto e
14. Gestión de la continuidad del negocio
La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN
organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanu
15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contrac
y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los asesores legal
Además se deberían realizar revisiones regulares de la seguridad de los sistemas de información.
DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo
NC.O Nivel de cumplimineto del dominio
PC Peso del control
NC.C Nivel de cumplimiento del control
Escala Escala del cumplimiento del control
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumpli
en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriame
valores intermedios cuando se cumple parcialmente cualquiera de los controles.
Objetivos
Dominios Controles
de Control Orientación Descripción
1 2 Política de Seguridad
2 Política de Seguridad de la Información
5
1 1 Debe Documento de la política de seguridad de la información
2 Debe Revisión de la política de seguridad de la información
2 11 Estructura organizativa para la seguridad
8 Organización Interna
1 Debe Comité de la dirección sobre seguridad de la información
2 Debe Coordinación de la seguridad de la información
3 Debe Asignación de responsabilidades para la de seguridad de la información
1 4 Debe Proceso de autorización para instalaciones de procesamiento de información
5 Debe Acuerdos de confidencialidad
6
6 Puede Contacto con autoridades
7 Puede Contacto con grupos de interés
8 Puede Revisión independiente de la seguridad de la información
3 Terceras partes
1 Debe Identificación de riesgos por el acceso de terceras partes
2
2 Debe Temas de seguridad a tratar con clientes
3 Debe Temas de seguridad en acuerdos con terceras partes
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 5 Clasificación y control de activos
3 Responsabilidad sobre los activos
1 Debe Inventario de activos
1
2 Debe Propietario de activos
7
1
7
3 Debe Uso aceptable de los activos
2 Clasificación de la información
2 1 Debe Guías de clasificación
2 Debe Etiquetado y manejo de la información
3 9 Seguridad en el personal
3 Antes del empleo
1 Debe Roles y responsabilidades
1
2 Debe Verificación
3 Debe Términos y condiciones de empleo
3 Durante el empleo
8 1 Debe Responsabilidades de la gerencia
2
2 Debe Educación y formación en seguridad de la información
3 Debe Procesos disciplinarios
3 Terminación o cambio del empleo
1 Debe Responsabilidades en la terminación
3
2 Debe Devolución de activos
3 Debe Eliminación de privilegios de acceso
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 13 Seguridad fisica y del entorno
6 Áreas Seguras
1 Debe Perímetro de seguridad física
2 Debe Controles de acceso físico
1 3 Debe Seguridad de oficinas, recintos e instalaciones
4 Debe Protección contra amenazas externas y ambientales
5 Debe Trabajo de áreas seguras
6 Puede Áreas de carga, entrega y áreas públicas
9
7 Seguridad de los Equipos
1 Debe Ubicación y protección del equipo
2 Debe Herramientas de soporte
3 Debe Seguridad del cableado
2
4 Debe Mantenimiento de equipos
5 Debe Seguridad del equipamiento fuera de las instalaciones
6 Debe Seguridad en la reutilización o eliminación de equipos
7 Debe Movimientos de equipos
Objetivos
Dominios
de Control
Controles Orientación Descripción
10 32 Gestión de comunicaciones y operaciones
4 Procedimientos operacionales y responsabilidades
1 Debe Procedimientos de operación documentados
1 2 Debe Control de cambios
3 Debe Separación de funciones
4 Debe Separación de las instalaciones de desarrollo y producción
3 Administración de servicios de terceras partes
1 Puede Entrega de servicios
2
2 Puede Monitoreo y revisión de servicios de terceros
3 Puede Manejo de cambios a servicios de terceros
2 Planificación y aceptación del sistema
3 1 Debe Planificación de la capacidad
3
2
2 Puede Lecciones aprendidas
3 Debe Recolección de evidencia
1 5 Gestión de la continuidad del negocio
5 Aspectos de seguridad de la información en la gestión de continuidad del negocio
Dominios 11
Objetivos de control 39
Controles 133
LLA ISO 27002
o el control
% de cumplimiento de la norma
9.77 60 100
46.15 30
7.69 60 60
7.69 60 60
7.69 60 60
7.69 70 70
7.69 70 70
7.69 70 70
53.85 30
7.69 70 70
7.69 70 70
7.69 60 60
7.69 70 70
7.69 40 40
7.69 40 40
7.69 40 40
20 60 60
20 70 70
20 70 70
20 70 70
20 70 70