Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AA1-E5-Aplicación de La Norma ISO 27002
AA1-E5-Aplicación de La Norma ISO 27002
La norma ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC27000 en
las que se reúnen prácticas para desarrollar, implementar y mantener sistemas de gestión de
seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39
objetivos de control y 133 controles.
A continuación, se realiza una descripción de los aspectos que deben ser tenidos en cuenta al
momento de evaluar los controles de cada uno de los dominios de la norma ISO27002:
Terceras partes: Estos controles velan por mantener la seguridad de los recursos de tratamiento
de la información y de los activos informáticos de la organización.
Clasificación y control de activos: Responsabilidad sobre los activos, estos controles pretenden
alcanzar y mantener una protección adecuada de los activos de la organización. Clasificación y
control de la información, se encuentra clasificada para identificar las necesidades, prioridades y
nivel de protección previsto para su tratamiento.
Seguridad del personal: Este conjunto de controles se enfocan en asegurar que los empleados,
contratiastas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las
funciones que desarrollan, para reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios tecnológicos.
Áreas seguras: Los servicios y procesamientos de información sensible deben ser ubicados en
áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de
entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: Se enfoca en los controles de protección contra amenazas físicas y para
salvaguardar servicios de apoyo como energía eléctrica e infraestructura de cableado.
Gestión de la continuidad del negocio: La seguridad de la información debe ser una parte integral
de la organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y
asegurar la reanudación a tiempo de las operaciones esenciales.
OBJETIVO DE LA AUDITORIA