Академический Документы
Профессиональный Документы
Культура Документы
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las qu
gestin de seguridad de informacin.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 c
A continuacin se realiza una descripcin de los aspectos que deben ser tenidos en cuenta al
5. Poltica de seguridad
Estos controles proporcionan la gua y apoyo de la direccin para la seguridad de la informaci
Se disean y desarrollan controles adicionales para los sistemas que procesan o tienen algn
determinan en funcin de los requisitos de seguridad y la estimacin del riesgo.
13. Gestin de incidentes de seguridad de la informacin
Se establecen informes de los eventos y de los procedimientos realizados, todos los emplead
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan ten
La seguridad de informacin debe ser una parte integral del plan general de continuidad del n
gestin de la continuidad debe incluir el proceso de evaluacin y asegurar la reanudacin a ti
15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulacin u oblig
y fuera de la organizacin. Los requisitos legales especficos deberan ser advertidos por los a
Adems se deberan realizar revisiones regulares de la seguridad de los sistemas de informac
DESCRIPCION DE LA PLAN
Dominio
Obj. de control
Controles
Orientacion
Descripcion
PD
NC.D
PO
NC.O
PC
NC.C
Escala
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales correspondern al v
tenga en cuenta que en esta escala de valoracin, el "0" indica que no cumple el control y "100
valores intermedios cuando se cumple parcialmente cualquiera de los controles.
Dominios
Objetivos de
Control
Controles
1
6
Dominios
Objetivos de
Control
2
1
7
Descripcin
Orientacin
Poltica de Seguridad
Debe
Debe
11
Organizacin Interna
Debe
Debe
Debe
Debe
Debe
Acuerdos de confidencialidad
Puede
Puede
Puede
Terceras partes
Debe
Debe
Debe
Controles
Descripcin
Orientacin
Debe
Inventario de activos
Debe
Propietario de activos
1
7
Dominios
Debe
Clasificacin de la informacin
Debe
Guas de clasificacin
Debe
Debe
Roles y responsabilidades
Debe
Verificacin
Debe
Durante el empleo
Debe
Responsabilidades de la gerencia
Debe
Debe
Procesos disciplinarios
Debe
Responsabilidades en la terminacin
Debe
Devolucin de activos
Debe
13
Objetivos de
Control
10
Seguridad en el personal
Controles
Objetivos de
Control
Dominios
Descripcin
Orientacin
reas Seguras
Debe
Debe
Debe
Debe
Debe
Puede
Debe
Debe
Herramientas de soporte
Debe
Debe
Mantenimiento de equipos
Debe
Debe
Debe
Movimientos de equipos
Controles
Descripcin
Orientacin
32
Debe
Debe
Control de cambios
Debe
Separacin de funciones
Separacin de las instalaciones de desarrollo y produccin
Debe
Puede
Entrega de servicios
Puede
Puede
Debe
Planificacin de la capacidad
10
10
Dominios
Objetivos de
Control
7
1
11
Debe
Debe
Debe
Copias de seguridad
Debe
Debe
Controles de redes
Debe
Debe
Debe
Eliminacin de medios
Debe
Debe
Intercambio de informacin
Debe
Puede
Acuerdos de intercambio
Puede
Puede
Mensajes electrnicos
Puede
Puede
Comercio electronico
Puede
Transacciones en lnea
Puede
Monitoreo y supervisin
Debe
Logs de auditoria
Debe
Debe
Debe
Debe
Fallas de login
Puede
Controles
Descripcin
Orientacin
25
Control de accesos
Debe
Debe
Registro de usuarios
Debe
Administracin de privilegios
Debe
Administracin de contraseas
Revisin de los derechos de acceso de usuario
Debe
Debe
Uso de contraseas
Puede
Puede
Debe
Puede
Puede
11
Dominios
Debe
Puede
Segmentacin de redes
Debe
Debe
Debe
Debe
Debe
Puede
Debe
Inactividad de la sesin
Limitacin del tiempo de conexin
Puede
Puede
Puede
Puede
Puede
Teletrabajo
Objetivos de
Control
Controles
16
12
4
6
Dominios
Objetivos de
Control
2
1
13
Descripcin
Orientacin
Debe
Debe
Puede
Puede
Integridad de mensajes
Validacin de los datos de salida
Puede
Controles criptogrficos
Puede
Puede
Administracin de llaves
Debe
Puede
Debe
Debe
Debe
Puede
Debe
Fugas de informacin
Debe
Debe
Controles
Orientacin
Descripcin
Debe
Puede
13
14
Dominios
Objetivos de
Control
3
15
Dominios
Objetivos de control
Controles
Debe
Procedimientos y responsabilidades
Puede
Lecciones aprendidas
Debe
Recoleccin de evidencia
Debe
Debe
Debe
Debe
Debe
Controles
Descripcin
Orientacin
10
Cumplimiento
Debe
Debe
Debe
Debe
Debe
Debe
Debe
Debe
Debe
Debe
11
39
133
s, los cuales correspondern al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma;
que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que tambin se puede asignar
de los controles.
% de cumplimiento de la norma
Descripcin
Poltica de Seguridad
PD
NC. D
1.5
in
PO
NC. O
PC
100
100
a de seguridad de la informacin
50
e seguridad de la informacin
50
8.27
100
72.73
9.09
ridad de la informacin
9.09
9.09
9.09
alidad
9.09
es
9.09
inters
9.09
de la seguridad de la informacin
9.09
27.27
9.09
9.09
9.09
Descripcin
PD
NC. D
3.76
PO
NC. O
PC
100
60
0
20
20
tivos
20
40
0
20
la informacin
eguridad en el personal
20
6.77
100
33.33
es
11.11
11.11
de empleo
11.11
33.33
gerencia
11.11
en seguridad de la informacin
11.11
11.11
33.33
terminacin
11.11
11.11
os de acceso
Descripcin
11.11
PD
NC. D
9.77
PO
NC. O
PC
100
46.15
fsica
7.69
co
7.69
ecintos e instalaciones
7.69
7.69
7.69
y reas pblicas
7.69
53.85
del equipo
7.69
7.69
7.69
pos
7.69
7.69
7.69
7.69
Descripcin
e comunicaciones y operaciones
ponsabilidades
PD
NC. D
24.06
PO
NC. O
PC
100
12.5
acin documentados
3.125
3.125
3.125
ras partes
3.125
9.38
0
3.12
servicios de terceros
3.12
rvicios de terceros
ma
cidad
3.12
6.25
0
3.125
3.125
o y mvil
6.25
re malicioso
3.125
mvil
3.125
3.13
e seguridad
3.13
edes
6.25
0
3.125
os de red
3.125
12.5
3.125
3.125
manejo de la informacin
3.125
3.125
15.63
3.126
3.126
3.126
3.126
n del negocio
3.126
9.38
0
3.126
3.126
nte disponible
3.126
18.75
0
3.126
tema
3.126
3.126
3.126
3.126
3.126
Descripcin
Control de accesos
ol de acceso
PD
NC. D
18.8
PO
NC. O
PC
100
4
cesos
os
4
16
0
4
egios
aseas
s de acceso de usuario
4
12
0
4
usuario desatendidos
pantallas limpias
4
28
rvicios de red
s en la red
y proteccin de puertos
4
4
as redes
o en la red
vo
24
de Log-on en el sistema
n de contraseas
tema
4
4
e conexin
y la informacin
la informacin
s sensibles
y comunicaciones moviles
4
4
Descripcin
o y mantenimiento de sistemas
PD
NC. D
12.03
temas de informacin
PO
NC. O
PC
100
6.25
6.25
ones
25
de entrada
6.25
ento interno
6.25
6.25
de salida
6.25
12.5
controles criptogrficos
6.25
6.25
ma
18.75
eracional
6.25
6.25
6.25
rollo y soporte
31.25
rol de cambios
6.25
6.25
6.25
6.25
oftware
6.25
6.25
des tcnicas
Descripcin
ad de la informacin
e la informacin y debilidades
100
PD
NC. D
3.76
PO
NC. O
PC
100
40
seguridad de la informacin
20
de seguridad
20
to de la seguridad de la informacin
60
nsabilidades
20
20
20
3.76
100
100
20
20
20
Descripcin
Cumplimiento
ales
PD
NC. D
7.52
PO
NC. O
PC
100
60
slacin aplicable
10
intelectual (dpi)
10
os de la organizacin
10
10
10
10
20
olticas y procedimientos
10
imiento tcnico
10
istemas de informacin
los sistemas de informacin
20
0
10
10
n del control
cumplimiento
% de cumplimiento
"NC.C" de la norma;
n se puede asignar
norma
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
0
0
0
0
0
0
0
0
0
0
NC. C
Escala
0
0
0
0
0
0
0
0
0
0