NORMAS BRITÁNICAS

BS 7799-21999
Incluye la
Modificación Nº1

CONTROL DE SEGURIDAD DE LA INFORMACIÓN

PARTE 2: ESPECIFICACIÓN PARA LOS SISTEMAS DE

CONTROL DE SEGURIDAD DE LA INFORMACIÓN

BSI
ICS 35.020;35.040

Prohibida su copia sin la autorización del BSI excepto por lo permitido en la ley sobre Derechos de Autor
Comités responsables de esta Norma Británica

La elaboración de esta Norma Británica fue encargada al Comité BSI/DISC BDD/2,

Control de seguridad de la información que a su ves representa a las siguientes
organismos:

Asociación de Aseguradores británicos

Sociedad británica de Computación
Telecomunicaciones Británicas plc.
Instituto de Continuidad de la Actividad Profesional
Departamento de Comercio e Industria (Grupo de Política de seguridad de la
Información)
Garantía de Calidad Det Norske Veritas
Autoridad en Seguridad protectora HMG
HSBC
Indicii Salus
Instituto de Contadores Certificados de Inglaterra y Gales
Instituto de Auditores Internos
KPMG plc.
Lloyds TSB
Logica UK
Marks and Spencer plc.
Sociedad Transnacional de Construcción
PCSL
Servicios de Red Racal
RKP Asociados
Shell International Petroleum Co Ltd.
Unilever plc.
Whitbread plc
XiSEC Consultants Ltd/AEXIS Consultants

Esta Norma Británica, ha sido

Elaborada bajo la dirección del Modificaciones emitidas desde su publicación
Directorio DISC, fue publicado
con la autorización del Comité
de Normas y entra en vigencia Mod. Nº Fecha Comentarios
el 15 de Mayo de 1999.
13087 Febrero del Indicado por línea
© BSI 02-2001
El primero publicado como 2001 de demarcación
Parte 2
En Febrero de 1998

Las siguientes referencias del BSI

concernientes al trabajo con la
presente norma:
Comité concerniente al BDD/2

ISBN 0 580 28230 5

Contenido

Página

Comités responsables Carátula

interior
Introducción
ii

1 Alcance 1
2 Términos y definiciones 1
3 Requerimientos del sistema de control de Seguridad de la Información 1
3.1 Generalidades 1
3.2 Establecimiento de un marco de manejo 1
3.3 Implementación 1
3.4 Documentación 2
3.5 Control de Documentos 2
3.6 Registros 4
4 Controles detallados 4
4.1 Política de Seguridad 4
4.2 Seguridad Organizacional 4
4.3 Control y clasificación del Activo 5
4.4 Seguridad del Personal 6
4.5 Seguridad física y ambiental 7
4.6 Manejo de las comunicaciones y operaciones 8
4.7 Control de Acceso 11
4.8 Desarrollo y mantenimiento de los sistemas 14
4.9 Control de continuidad de la actividad profesional 15
4.10 Cumplimiento 16

Figura 1- Establecimiento de un marco de control 3

Anexo A (informativo) cambios para la numeración interna 18
Bibliografía 19
Introducción

Esta sección del BS 7799 ha sido elaborado por el BDD/2, sobre el Control de
Seguridad de la Información. El mismo que reemplaza al BS 7799-2: 1998, que se
encuentra invalidado.
El BS 7799 es emitido en dos partes:
-Parte 1 Código de práctica para el control de seguridad de la información 1) ;
-Parte 2 Especificación para los sistemas de control de seguridad de la información.

Se necesita esta nueva edición de BS 7799-2 debido a la numeración del sistema, los
objetivos del control, y los controles dados en la cláusula 4 de ésta sección del BS
7799 que están directamente derivados y alineados con aquellos ya en lista desde la
cláusula 3 a la 12 del BS7799-1 1) que han sido revisados. No se ha hecho ningún otro
cambio.

Como nueva edición, no representa una verificación completa o revisión de la Norma,

ya que será realizada a su debido tiempo.
Elabora el fundamento para una valuación del sistema de control de seguridad de la
información (ISMS) (Information security management system) de todo o parte de una
organización. Puede ser utilizado como un fundamento para un esquema de
certificación formal.
Esta especificación está basada en el BS 7799-1, Control de seguridad de la
información- parte 1: Código de práctica para el control de seguridad de la información
1), el cual da orientación sobre la práctica óptima en el apoyo a las necesidades de
esta especificación.
Sin embargo, la lista de objetivos de control y los controles de la cláusula 4 de esta
parte del BS 7799 no es minuciosa y una organización puede considerar que tanto los
objetivos de control adicional como los controles, son necesarios.
No todos los controles descritos serán relevantes para toda circunstancia, ni pueden
tomar en cuenta el ambiente local o las coacciones tecnológicas, o estar presente de
manera que se adopte a todos los usuarios potenciales en una organización. Las
organizaciones necesitan realizar una medición del riesgo para identificar los objetivos
de control más apropiados para ser implementados, los mismos que son aplicables a
sus propias necesidades. Una vez identificados éstas necesitan ser registrados en una
declaración de aplicabilidad. La declaración de aplicabilidad necesita ser accesible a
los administradores, el personal y cualquier tercera persona ( por ejemplo: auditores,
verificadores, etc.) autorizada a tener acceso a él. Los objetivos de control y los
controles registrados en la declaración de aplicabilidad, junto con la política y los
documentos de procedimiento y todos los demás registros importantes, son conocidos
como el ISMS de la organización.

Los requerimientos dados en la cláusula 4 de ésta sección del BS 7799 son

intencionalmente generales en su naturaleza. Se espera que las organizaciones que
buscan certificación adopten aquellos elementos de una práctica optima mencionada
en la Parte 1 1) donde la medición del riesgo demuestra que son los más apropiados
para sus necesidades. Cualquier condición asociada al esquema de certificación será
emitida de manera separada bajo la autorización del dueño del esquema y no debe
caer dentro del ámbito de esta norma. Para ser certificable frente a esta Norma
Británica (British Standard) el ISMS será implementada y sostenida para la
satisfacción del cuerpo de certificación de la tercera parte.
Durante el anteproyecto de la presente Norma Británica se asumió que la ejecución de
sus disposiciones está encomendada a personas con experiencia y calificación de
manera apropiada.
El anexo A es informativo y contiene una tabla que muestra las relaciones entre las
secciones de la edición 1998 y las cláusulas de la edición 1999.
Una Norma Británica no pretende incluir todas las disposiciones necesarias de un
contrato. Los usuarios de una Norma Británica son responsables de su correcta
aplicación.

El cumplimiento con una Norma Británica no confiere inmunidad de sí misma

con respecto a las responsabilidades legales.

Resumen de Páginas
Este documento comprende de una carátula y una carátula interna, página i y ii desde
la página 1 hasta la página 17 y una contra carátula.

La nota de los derechos de Autor del BSI expuesta en este documento indica cuándo
fue emitido por ultima vez.
La línea de demarcación en el presente documento indica los cambios para su
modificación.

1) Parte 1 del BS 7799 ha sido ahora adoptado por ISO/TEC y actualmente e s asequible
como BS ISO/IEC 17799:2000
Contiene un anexo nacional que permite a los usuarios identificar rápidamente los cambios
entre éste y el BS 7799-1: 1999