Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clasificación 27002 2022 Ves 2013 Versión Nueva
Clasificación 27002 2022 Ves 2013 Versión Nueva
6.1 6.1 Selección Las verificaciones de antecedentes de Asegurar que todo el personal sea Personas preventivo
todos los candidatos para convertirse en elegible y adecuado para las funciones
personal se deben llevar a cabo antes para las que se considera y permanece
de unirse a la organización y de forma elegibles y adecuados durante su empleo.
continúa teniendo en cuenta las leyes,
regulaciones y ética aplicables y deben ser
proporcionales a los requisitos
comerciales, la clasificación de la
información a la que se accederá y los
riesgos percibidos.
1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad ecosistema
Disponibilidad
1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad ecosistema
Disponibilidad
1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad Responder ecosistema
Disponibilidad
1
Confidencialidad Proteger Seguridad Recursos humanos Gobernanza y
Integridad Gestión de activos ecosistema
Disponibilidad
1
Confidencialidad proteger Seguridad Recursos humanos Gobernanza y
Gestión de activos ecosistema
Acuerdos de Proveedor
1
Confidencialidad Proteger Gestión de Activos Protección
Integridad Protección de información
Disponibilidad Seguridad Físca
Seguridad Sistema y red
1
Confidencialidad Detectar Gestión eventos de SI
Integridad
Disponibilidad
Defensa 1
8
Introducción
1 Alcance
2 Referencias normativas
3 términos, definiciones y términos abreviados
3.1 Términos y definiciones
3.2 Términos abreviados
4 Estructura de este documento
4.1 Cláusulas
4.2 Temas y atributos
5 controles organizacionales
5.1 Políticas para la seguridad de la información
5.2 Roles y responsabilidades de seguridad de la información
5.3 Segregación de deberes
5.4 Responsabilidades de gestión
5.5 Contacto con las autoridades
5.6 Contacto con grupos de interés especial
5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos
5.9 Inventario de información y otros activos asociados
5.10 Uso aceptable de información y otros activos asociados
5.11 Devolución de activos
5.12 Clasificación de información
5.13 Etiquetado de información
5.14 Transferencia de información
5.15 Control de acceso
5.16 Gestión de identidad
5.17 Información de autenticación
5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores
5.20 Abordar la seguridad de la información dentro de los acuerdos de proveedores
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
5.22 Monitoreo, revisión y gestión de cambios de servicios de proveedores
5.23 Seguridad de la información para el uso de servicios en la nube
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
5.25 Evaluación y decisión sobre eventos de seguridad de la información
5.26 Respuesta a incidentes de seguridad de la información
5.27 Aprendiendo de los incidentes de seguridad de la información
5.28 Recopilación de evidencia
5.29 Seguridad de la información durante la interrupción
5.30 Preparación de las TIC para la continuidad del negocio
5.31 Requisitos legales, legales, regulatorios y contractuales
5.32 Derechos de propiedad intelectual
5.33 Protección de registros
5.34 Privacidad y protección de PII
5.35 Revisión independiente de seguridad de la información
5.36 Cumplimiento de políticas, reglas y estándares para la seguridad de la información
5.37 procedimientos operativos documentados
6.1 Detección
6.2 Términos y condiciones de empleo
6.3 Conciencia de seguridad de la información, educación y capacitación
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo remoto
6.8 Informes de eventos de seguridad de la información
7.1 Perímetros de seguridad física
7.2 Entrada física
7.3 Asegurar oficinas, habitaciones e instalaciones
7.4 Monitoreo de seguridad física
7.5 Protección contra amenazas físicas y ambientales
7.6 Trabajando en áreas seguras
7.7 Desk Borrar y Clear Screen
7.8 Equipo y protección de equipos
7.9 Seguridad de activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad de cableado
7.13 Mantenimiento del equipo
7.14 Eliminación o reutilización segura del equipo
8 controles tecnológicos
8.1 Dispositivos de punto final del usuario
8.2 Derechos de acceso privilegiados
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de capacidades
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de configuración
8.10 Deleción de información
8.11 Enmascaramiento de datos
8.12 Prevención de fugas de datos
8.13 copia de seguridad de información
8.14 Redundancia de las instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de monitoreo
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Networks Seguridad
8.21 Seguridad de los servicios de red
8.22 Segregación de redes
8.23 filtrado web
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Principios de arquitectura e ingeniería de sistemas seguros
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 separación de entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de sistemas de información durante las pruebas de auditoría
Anexo A usando atributos
A.1 General
A.2 Vistas de organización
Anexo B Correspondencia de ISO/IEC 27002: 2022 con ISO/IEC 27002: 2013
Introduction
1 Scope
2 Normative references
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
3.2 Abbreviated terms
4 Structure of this document
4.1 Clauses
4.2 Themes and attributes
5 Organizational controls
5.1 Policies for information security
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
5.8 Information security in project management
5.9 Inventory of information and other associated assets
5.10 Acceptable use of information and other associated assets
5.11 Return of assets
5.12 Classification of information
5.13 Labelling of information
5.14 Information transfer
5.15 Access control
5.16 Identity management
5.17 Authentication information
5.18 Access rights
5.19 Information security in supplier relationships
5.20 Addressing information security within supplier agreements
5.21 Managing information security in the ICT supply chain
5.22 Monitoring, review and change management of supplier services
5.23 Information security for use of cloud services
5.24 Information security incident management planning and preparation
5.25 Assessment and decision on information security events
5.26 Response to information security incidents
5.27 Learning from information security incidents
5.28 Collection of evidence
5.29 Information security during disruption
5.30 ICT readiness for business continuity
5.31 Legal, statutory, regulatory and contractual requirements
5.32 Intellectual property rights
5.33 Protection of records
5.34 Privacy and protection of PII
5.35 Independent review of information security
5.36 Compliance with policies, rules and standards for information security
5.37 Documented operating procedures
6.1 Screening
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination or change of employment
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting
7.1 Physical security perimeters
7.2 Physical entry
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.5 Protecting against physical and environmental threats
7.6 Working in secure areas
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities
7.12 Cabling security
7.13 Equipment maintenance
7.14 Secure disposal or re-use of equipment
8 Technological controls
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.6 Capacity management
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information backup
8.14 Redundancy of information processing facilities
8.15 Logging
8.16 Monitoring activities
8.17 Clock synchronization
8.18 Use of privileged utility programs
8.19 Installation of software on operational systems
8.20 Networks security
8.21 Security of network services
8.22 Segregation of networks
8.23 Web filtering
8.24 Use of cryptography
8.25 Secure development life cycle
8.26 Application security requirements
8.27 Secure system architecture and engineering principles
8.28 Secure coding
8.29 Security testing in development and acceptance
8.30 Outsourced development
8.31 Separation of development, test and production environments
8.32 Change management
8.33 Test information
8.34 Protection of information systems during audit testing
Annex A Using attributes
A.1 General
A.2 Organizational views
Annex B Correspondence of ISO/IEC 27002:2022 with ISO/IEC 27002:2013
Introducción Introducción
1 Alcance 1 Alcance
2 Referencias normativas 2 Referencias normativas
3 términos, definiciones y términos abreviados 3 términos, definiciones y términos abrevia
3.1 Términos y definiciones 3.1 Términos y definiciones
3.2 Términos abreviados 3.2 Términos abreviados
4 Estructura de este documento 4 Estructura de este documento
4.1 Cláusulas 4.1 Cláusulas
4.2 Temas y atributos 4.2 Temas y atributos
5 controles organizacionales 5 controles organizacionales
5.1 Políticas para la seguridad de la información 5.1 Políticas para la seguridad de la inform
5.2 Roles y responsabilidades de seguridad de la información 5.2 Roles y responsabilidades de seguridad
5.3 Segregación de deberes 5.3 Segregación de deberes
5.4 Responsabilidades de gestión 5.4 Responsabilidades de gestión
5.5 Contacto con las autoridades 5.5 Contacto con las autoridades
5.6 Contacto con grupos de interés especial 5.6 Contacto con grupos de interés especia
5.7 Inteligencia de amenazas 5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos 5.8 Seguridad de la información en la gesti
5.9 Inventario de información y otros activos asociados 5.9 Inventario de información y otros activ
5.10 Uso aceptable de información y otros activos asociados 5.10 Uso aceptable de información y otros
5.11 Devolución de activos 5.11 Devolución de activos
5.12 Clasificación de información 5.12 Clasificación de información
5.13 Etiquetado de información 5.13 Etiquetado de información
5.14 Transferencia de información 5.14 Transferencia de información
5.15 Control de acceso 5.15 Control de acceso
5.16 Gestión de identidad 5.16 Gestión de identidad
5.17 Información de autenticación 5.17 Información de autenticación
5.18 Derechos de acceso 5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores 5.19 Seguridad de la información en las rel
5.20 Abordar la seguridad de la información dentro de los acuerdos de proveedores 5.20 Abordar la seguridad de la informació
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC 5.21 Gestión de la seguridad de la informa
5.22 Monitoreo, revisión y gestión de cambios de servicios de proveedores 5.22 Monitoreo, revisión y gestión de camb
5.23 Seguridad de la información para el uso de servicios en la nube 5.23 Seguridad de la información para el u
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información 5.24 Planificación y preparación de la gesti
5.25 Evaluación y decisión sobre eventos de seguridad de la información 5.25 Evaluación y decisión sobre eventos d
5.26 Respuesta a incidentes de seguridad de la información 5.26 Respuesta a incidentes de seguridad d
5.27 Aprendiendo de los incidentes de seguridad de la información 5.27 Aprendiendo de los incidentes de seg
5.28 Recopilación de evidencia 5.28 Recopilación de evidencia
5.29 Seguridad de la información durante la interrupción 5.29 Seguridad de la información durante l
5.30 Preparación de las TIC para la continuidad del negocio 5.30 Preparación de las TIC para la continu
5.31 Requisitos legales, legales, regulatorios y contractuales 5.31 Requisitos legales, legales, regulatorio
5.32 Derechos de propiedad intelectual 5.32 Derechos de propiedad intelectual
5.33 Protección de registros 5.33 Protección de registros
5.34 Privacidad y protección de PII 5.34 Privacidad y protección de PII
5.35 Revisión independiente de seguridad de la información 5.35 Revisión independiente de seguridad
5.36 Cumplimiento de políticas, reglas y estándares para la seguridad de la información 5.36 Cumplimiento de políticas, reglas y es
5.37 procedimientos operativos documentados 5.37 procedimientos operativos document
6.1 Detección 6.1 Detección
6.2 Términos y condiciones de empleo 6.2 Términos y condiciones de empleo
6.3 Conciencia de seguridad de la información, educación y capacitación 6.3 Conciencia de seguridad de la informac
6.4 Proceso disciplinario 6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo 6.5 Responsabilidades después de la termi
6.6 Acuerdos de confidencialidad o no divulgación 6.6 Acuerdos de confidencialidad o no divu
6.7 Trabajo remoto 6.7 Trabajo remoto
6.8 Informes de eventos de seguridad de la información 6.8 Informes de eventos de seguridad de la
7.1 Perímetros de seguridad física 7.1 Perímetros de seguridad física
7.2 Entrada física 7.2 Entrada física
7.3 Asegurar oficinas, habitaciones e instalaciones 7.3 Asegurar oficinas, habitaciones e instal
7.4 Monitoreo de seguridad física 7.4 Monitoreo de seguridad física
7.5 Protección contra amenazas físicas y ambientales 7.5 Protección contra amenazas físicas y am
7.6 Trabajando en áreas seguras 7.6 Trabajando en áreas seguras
7.7 Desk Borrar y Clear Screen 7.7 Desk Borrar y Clear Screen
7.8 Equipo y protección de equipos 7.8 Equipo y protección de equipos
7.9 Seguridad de activos fuera de las instalaciones 7.9 Seguridad de activos fuera de las instal
7.10 Medios de almacenamiento 7.10 Medios de almacenamiento
7.11 Utilidades de apoyo 7.11 Utilidades de apoyo
7.12 Seguridad de cableado 7.12 Seguridad de cableado
7.13 Mantenimiento del equipo 7.13 Mantenimiento del equipo
7.14 Eliminación o reutilización segura del equipo 7.14 Eliminación o reutilización segura del
8 controles tecnológicos 8 controles tecnológicos
8.1 Dispositivos de punto final del usuario 8.1 Dispositivos de punto final del usuario
8.2 Derechos de acceso privilegiados 8.2 Derechos de acceso privilegiados
8.3 Restricción de acceso a la información 8.3 Restricción de acceso a la información
8.4 Acceso al código fuente 8.4 Acceso al código fuente
8.5 Autenticación segura 8.5 Autenticación segura
8.6 Gestión de capacidades 8.6 Gestión de capacidades
8.7 Protección contra malware 8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas 8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de configuración 8.9 Gestión de configuración
8.10 Deleción de información 8.10 Deleción de información
8.11 Enmascaramiento de datos 8.11 Enmascaramiento de datos
8.12 Prevención de fugas de datos 8.12 Prevención de fugas de datos
8.13 copia de seguridad de información 8.13 copia de seguridad de información
8.14 Redundancia de las instalaciones de procesamiento de información 8.14 Redundancia de las instalaciones de p
8.15 Registro 8.15 Registro
8.16 Actividades de monitoreo 8.16 Actividades de monitoreo
8.17 Sincronización del reloj 8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados 8.18 Uso de programas de utilidad privileg
8.19 Instalación de software en sistemas operativos 8.19 Instalación de software en sistemas o
8.20 Networks Seguridad 8.20 Networks Seguridad
8.21 Seguridad de los servicios de red 8.21 Seguridad de los servicios de red
8.22 Segregación de redes 8.22 Segregación de redes
8.23 filtrado web 8.23 filtrado web
8.24 Uso de criptografía 8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro 8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación 8.26 Requisitos de seguridad de la aplicació
8.27 Principios de arquitectura e ingeniería de sistemas seguros 8.27 Principios de arquitectura e ingeniería
8.28 Codificación segura 8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación 8.29 Pruebas de seguridad en desarrollo y
8.30 Desarrollo subcontratado 8.30 Desarrollo subcontratado
8.31 separación de entornos de desarrollo, prueba y producción 8.31 separación de entornos de desarrollo
8.32 Gestión de cambios 8.32 Gestión de cambios
8.33 Información de prueba 8.33 Información de prueba
8.34 Protección de sistemas de información durante las pruebas de auditoría 8.34 Protección de sistemas de informació
Anexo A usando atributos Anexo A usando atributos
A.1 General A.1 General
A.2 Vistas de organización A.2 Vistas de organización
Anexo B Correspondencia de ISO/IEC 27002: 2022 con ISO/IEC 27002: 2013 Anexo B Correspondencia de ISO/IEC 2700
finiciones y términos abreviados
definiciones
e este documento
anizacionales
ra la seguridad de la información
ponsabilidades de seguridad de la información
n de deberes
lidades de gestión
on las autoridades
on grupos de interés especial
a de amenazas
de la información en la gestión de proyectos
de información y otros activos asociados
able de información y otros activos asociados
n de activos
ón de información
o de información
ncia de información
ón de autenticación
de cableado
miento del equipo
n o reutilización segura del equipo
capacidades
contra malware
vulnerabilidades técnicas
configuración
de información
amiento de datos
n de fugas de datos
eguridad de información
cia de las instalaciones de procesamiento de información
es de monitoreo
ción del reloj
ogramas de utilidad privilegiados
n de software en sistemas operativos
da de desarrollo seguro
s de seguridad de la aplicación
de arquitectura e ingeniería de sistemas seguros
ón de prueba
n de sistemas de información durante las pruebas de auditoría