ISO/IEC 27002

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la

información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica
Internacional. La versión más reciente es la ISO/IEC 27002:2013.

Índice
Precedentes y evolución histórica
Publicación de la norma en diversos países
Directrices del estándar
Certificación
Referencias
Véase también
Enlaces externos

Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera
vez en 1995. En el año 2000 la Organización Internacional de Normalización y la Comisión Electrotécnica
Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology -
Security techniques - Code of practice for information security management. Tras un periodo de revisión y
actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC
17799:2005.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27 000
para la Seguridad de la Información, el estándar ISO/IEC 17799:2005 pasó a ser renombrado como
ISO/IEC 27002 en el año 2007.

Publicación de la norma en diversos países

En España existe la publicación nacional UNE-ISO/IEC 17799, que fue elaborada por el comité técnico
AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información,
que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La
edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la
segunda mitad del año 2006.

En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del
2004, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la
necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su
cumplimiento está a cargo de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI
(www.ongei.gob.pe).
En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la norma que establece las características
mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documento electrónicos de los
órganos de la Administración del Estado de la República de Chile, y cuya aplicación se recomienda para
los mismos fines, denominado Decreto Supremo No. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y
CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO". En 2013, el Instituto de
Normalización Nacional (INN), homologó la norma vigente en el documento Nch ISO27002 Of. 2013.

En Bolivia, se aprobó la primera traducción bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de
Normalización y calidad IBNORCA el 14 de noviembre de 2003. Durante el año 2007 se aprobó una
actualización a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la
norma NB ISO/IEC 27001 y NB ISO/IEC 27002.1 ​

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación
local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el
estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y
fehacientemente el estándar ISO/IEC 17799. A continuación se muestra una tabla con los estándares
equivalentes de diversos países:
 Países Estándar equivalente
 Argentina IRAM-ISO-IEC 27002:2008

 Australia
AS/NZS ISO/IEC 27002:2006
 Nueva Zelanda

 Brasil ISO/IEC NBR 17799/2007 - 27002

 Francia ČSN ISO/IEC 27002:2006

 Dinamarca DS484:2005

 Alemania EVS-ISO/IEC 17799:2003, 2005 versión en traducción

 Japón JIS Q 27002

 Italia LST ISO/IEC 17799:2005

 Países Bajos NEN-ISO/IEC 17799:2002 nl, 2005 versión en traducción

 Polonia PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005

 España NTP-ISO/IEC 17799:2007

 España NB-ISO/IEC 17799:2005

 Países Bajos SANS 17799:2005

 España UNE 71501

 Suecia SS 627799

 Portugal TS ISO/IEC 27002

 Reino Unido BS ISO/IEC 27002:2005

 Chile BS ISO/IEC 27002:2005

 Brasil UNIT/ISO 17799:2005

 España Nch ISO-27002 Of. 2013

 Rusia ГОСТ/Р ИСО МЭК 17799-2005

 China GB/T 22081-2008

 México NMX-I-27002-NYCE-2015

Directrices del estándar

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información. La seguridad de la información se define en el estándar como "la preservación
de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información),
integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y
disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos
asociados cuando lo requieran)".

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de

la información. Revisión de las políticas para la seguridad de la información.
 1. Gestión directiva en seguridad
2. Organización de la Seguridad de la Información: Trata sobre la organización interna:
asignación de responsabilidades relacionadas con la seguridad de la información,
segregación de funciones, contacto con las autoridades, contacto con grupos de interés
especial y seguridad de la información en la gestión de proyectos.
1. Organización interna
2. Dispositivos móviles y teletrabajo
3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes,
durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere
investigar los antecedentes de los postulantes y la revisión de los términos y condiciones
de los contratos. Durante la contratación se propone se traten los temas de responsabilidad
de gestión, concienciación, educación y capacitación en seguridad de la información. Para
el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de
seguridad, como lo es des habilitación o actualización de privilegios o accesos.
1. Pre contratación
2. Durante el contrato
3. Finalización y cambio de contrato
4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos
(inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la
información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes
de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en
tránsito).
1. Responsabilidad por los activos
2. Clasificación de la información
3. Manejo de los medios de comunicación
5. Control de Accesos: Se refiere a los requisitos de la organización para el control de
accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control
de acceso a sistemas y aplicaciones.
1. Requisitos empresariales para el control de acceso
2. Gestión del acceso en usuarios
3. Responsabilidades del usuario
4. Control de acceso en sistemas y aplicaciones
6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión
de claves.
1. Controles en el cifrado
7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras
(perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho
y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y
áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de
equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos,
salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las
instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario
desatendido y política de puesto de trabajo y bloqueo de pantalla).
1. Áreas seguras
2. Equipamiento
8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra
malware; resguardo; registro de actividad y monitorización; control del software operativo;
 gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de
información.
1. Procedimientos y responsabilidades operativas
2. Protección ante malware
3. Copias de seguridad
4. Registros y monitoreo
5. Control del software operacional
6. Gestión del as vulnerabilidades técnicas
7. Consideraciones en auditorias de sistemas
9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las
transferencias de información.
1. Gestión de la seguridad en red
2. Transferencia de información
10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los
sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para
pruebas.
1. Requisitos de seguridad en sistemas de la información
2. Seguridad en el desarrollo y proceso de soporte
3. Pruebas
11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los
proveedores; gestión de la entrega de servicios por proveedores.
1. Seguridad de la información en las relaciones con proveedores
2. Gestión de la entrega con proveedores
12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las
incidencias que afectan a la seguridad de la información; mejoras.
1. Gestión de incidentes y mejoras
13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del
Negocio: continuidad de la seguridad de la información; redundancias.
1. Continuidad en la seguridad de la información
2. Redundancias
14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la
seguridad de la información.
1. Conformidad con la ley y los requisitos de contratos
2. Revisiones en la seguridad de la información

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la
información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número
total de controles suma 114 entre todas las secciones aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias necesidades.

Certificación
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que
puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security
management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso
“Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica
British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder
certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y
por medio de un proceso formal de auditoría realizado por un tercero.

Referencias
1. ISO - IBNORCA - Instituto Boliviano de Normalización y Calidad (https://www.iso.org/membe
r/1565.html)

ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for

information security management.
ISO/IEC 27001:2005 Information technology - Security techniques - Information security
management systems - Requirements.

Véase también
Seguridad de la información
SGSI

Enlaces externos
www.iso27000.es Portal con información específica de la serie 27000 en español. (http://ww
w.iso27000.es)
Compra de estándares (http://www.standardsdirect.org/iso17799.htm) Adquisición de la
norma ISO/IEC 17799 en inglés.
AENOR (http://www.aenor.es/desarrollo/inicio/home/home.asp) Adquisición de la norma
UNE-ISO/IEC 17799 en español.
ISO 17799 / 27001 Grupo de usuario. (http://www.17799.com)
Base de datos con todas las empresas certificadas y ámbitos de certificación. (http://www.is
o27001certificates.com)
British Standards Institution (http://www.bsispain.com/Seguridad+en+Informacion/index.xalt
er) (enlace roto disponible en Internet Archive; véase el historial (https://web.archive.org/web/*/http://w
ww.bsispain.com/Seguridad+en+Informacion/index.xalter), la primera versión (https://web.archive.org/
web/1/http://www.bsispain.com/Seguridad+en+Informacion/index.xalter) y la última (https://web.archiv
e.org/web/2/http://www.bsispain.com/Seguridad+en+Informacion/index.xalter)). con información
específica de la serie 27000 en español.
Registro Internacional de Auditores (http://www.irca.org) con información en español.
Decreto Supremo No. 83 (http://www.csirt.gov.es/filesapp/ds83.pdf) (enlace roto disponible en
Internet Archive; véase el historial (https://web.archive.org/web/*/http://www.csirt.gov.es/filesapp/ds83.p
df), la primera versión (https://web.archive.org/web/1/http://www.csirt.gov.es/filesapp/ds83.pdf) y la
última (https://web.archive.org/web/2/http://www.csirt.gov.es/filesapp/ds83.pdf)). "NORMA TÉCNICA
SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO" de
España.
Obtenido de «https://es.wikipedia.org/w/index.php?title=ISO/IEC_27002&oldid=134475692»

Esta página se editó por última vez el 2 abr 2021 a las 21:10.

El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0;
pueden aplicarse
cláusulas adicionales. Al usar este sitio, usted acepta nuestros términos de uso y nuestra política de privacidad.
Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de lucro.