ISO/IEC 27000 • Sistema de gestión de la
seguridad de la informaciónqué es un SGSI; enfoque basado en la gestión por procesosImportancia del SGSI; cómo establecer, poner en marcha, vigilar, revisar, mantener y mejorar el SGSI; factores fundamentales de éxito de un SGSI; beneficios de la familia de normas SGSI.
• Familia de normas SGSI normas que describen una visión global y terminología; normas que especifican requerimientos; guías generales; guías específicas por sector. • Formas verbales en la expresión de las disposiciones
• Términos por categoría ISO/IEC 27001:2005
• Sistema de gestión de la seguridad de la informaciónCómo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de documentación y su control.
• Responsabilidades de la DirecciónEn cuanto a compromiso con el SGSI, provisión de recursos y formación y concienciación del personal.
• Auditorías internas del SGSICómo realizar las auditorías internas de control.
• Revisión del SGSI por la direcciónCómo gestionar el proceso de revisión constante del SGSI.
• Mejora de SGSI Mejora continua, acciones correctoras y acciones preventivas.
• Resumen de controles
Anexo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 7799:200 • Relación con los Principios de la OCDE. Correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
• Correspondencia con otras normasTabla de correspondencia de puntos con ISO 9001 y 14001ISO/IEC 27002
• Evaluación y tratamiento del riesgoIndicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.
• Política de seguridad: Documento de política de seguridad y su gestión. Política de seguridad de la información Documento de política de seguridad de la información Revisión de la política de seguridad de la información
• Organización de la Seguridad de Información. Organización interna; organización externa. Estructura para la
seguridad de la información Comité de gestión de seguridad de la información Coordinación de seguridad de la información Asignación de responsabilidades para la seguridad de la información Proceso de autorización de recursos para el tratamiento de la información Acuerdos de confidencialidad Contacto con las autoridades Contacto con organizaciones de especial interés Revisión independiente de la seguridad de la información Terceros Identificación de los riesgos derivados del acceso de terceros Tratamiento de la seguridad en la relación con los clientes Tratamiento de la seguridad en contratos con terceros • Gestión de activos: Responsabilidad sobre los activos; clasificación de la información. Responsabilidad sobre los activos. Inventario de activos. Responsable de los activos. Acuerdos sobre el uso aceptable de los activos. Clasificación de la información Directrices de clasificación. Marcado y tratamiento de la información. • Seguridad ligada a los
recursos humanos: Anterior al empleo; durante el empleo; finalización o cambio de empleo. Seguridad en la definición del trabajo y los recursos. Inclusión de la seguridad en las responsabilidades laborales. Selección y política de personal. Términos y condiciones de la relación laboral. Seguridad en el desempeño de las funciones del empleo. Supervisión de las obligaciones. Formación y capacitación en seguridad de la información. Procedimiento disciplinario. Finalización o cambio del puesto de trabajo. Cese de responsabilidades. Restitución de activos. Cancelación de permisos de acceso. • Seguridad física y del entorno: Áreas seguras; seguridad de los equipos. Áreas seguras. Perímetro de seguridad física. Controles físicos de entrada. Seguridad de oficinas, despachos y recursos. Protección contra amenazas externas y del entorno. El trabajo en áreas seguras. Áreas aisladas de carga y descarga.
Seguridad de los equipos. Instalación y protección de equipos. Suministro eléctrico. Seguridad del cableado. Mantenimiento de equipos. Seguridad de equipos fuera de los locales de la Organización. Seguridad en la reutilización o eliminación de equipos. Traslado de activos. • Gestión de comunicaciones y operaciones: Procedimientos y responsabilidades de operación; gestión de servicios de terceras partes; planificación y aceptación del sistema; protección contra software malicioso; backup; gestión de seguridad de
redes; utilización de soportes de información; intercambio de información y software; servicios de comercio electrónico; monitorización. Procedimientos y responsabilidades de operación. Documentación de procedimientos operativos. Control de cambios operacionales. Segregación de tareas. Separación de los recursos para desarrollo y producción. Supervisión de los servicios contratados a terceros. Prestación de servicios. Monitorización y revisión de los servicios contratados. Gestión de los cambios en los servicios contratados. Planificación y aceptación del sistema. Planificación de capacidades. Aceptación del sistema. Protección contra software malicioso y código móvil. Medidas y controles contra software malicioso. Medidas y controles contra código móvil. Gestión interna de soportes y recuperación. Recuperación de la información. Gestión de redes. Controles de red. Seguridad en los servicios de red. Utilización y seguridad de los soportes de información. Gestión de soportes extraíbles. Eliminación de soportes. Procedimientos de utilización de la información. Seguridad de la documentación de sistemas. Intercambio de información y software. Acuerdos para intercambio de información y software. Seguridad de soportes en tránsito. Mensajería
electrónica. Interconexión de sistemas con información de negocio Sistemas de información empresariales. Servicios de comercio electrónico.
Seguridad en comercio electrónico. Seguridad en transacciones en línea. Seguridad en información pública. Monitorización Registro de incidencias. Seguimiento del uso de los sistemas. Protección de los registros de incidencias. Diarios de operación del administrador y operador. Registro de fallos. Sincronización de reloj.• Control de accesos: Requisitos de negocio para el control de accesos; gestión de acceso de usuario; responsabilidades del usuario; control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e informaciones;
informática y conexión móvil. Requisitos de negocio para el control de accesos. Política de control de accesos. Gestión de acceso de usuario. Registro de usuario. Gestión de privilegios. Gestión de contraseñas de usuario. Revisión de los derechos de acceso de los usuarios. Responsabilidades del usuario. Uso de contraseña. Equipo informático de usuario desatendido. Políticas para escritorios y monitores sin información. Control de acceso en red. Política de uso de los servicios de red. Autenticación de usuario para conexiones externas. Autenticación de nodos de la red. Protección a puertos de diagnóstico remoto. Segregación en las
redes. Control de conexión a las redes. Control de encaminamiento en la red. Control de acceso al sistema operativo. Procedimientos de conexión de terminales. Identificación y autenticación de usuario. Sistema de gestión de contraseñas. Uso de los servicios del sistema. Desconexión automática de terminales. Limitación del tiempo de conexión. Control de acceso a las aplicaciones. Restricción de acceso a la información. Aislamiento de sistemas sensibles. Informática móvil y tele trabajo. Informática móvil. Tele trabajo. • Adquisición, desarrollo y mantenimiento de sistemas de información:Requisitos de seguridad de los sistemas de información; procesamiento correcto en aplicaciones; controles criptográficos;
seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestión de vulnerabilidades técnicas. Requisitos de seguridad de los sistemas. Análisis y especificación de los requisitos de seguridad. Seguridad de las aplicaciones del sistema. Validación de los datos de entrada. Control del proceso interno. Autenticación de mensajes. Validación de los datos de salida. Controles criptográficos. Política de uso de los controles criptográficos. Cifrado. Seguridad de los ficheros del sistema. Control del software en explotación. Protección de los datos de prueba del sistema. Control de acceso a la librería de programas fuente. Seguridad en los procesos de desarrollo y soporte. Procedimientos de control de cambios. Revisión técnica de los cambios en el sistema operativo. Restricciones en los cambios a los paquetes de software. Canales encubiertos y código Troyano. Desarrollo externalizado del software. Gestión de las vulnerabilidades técnicas. Control de las vulnerabilidades técnicas.• Gestión de incidentes de seguridad: Comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Comunicación de eventos y debilidades en la seguridad de la información. Comunicación de eventos en seguridad. Comunicación de debilidades en seguridad. Gestión de incidentes y mejoras en la seguridad de la información. Identificación de responsabilidades y procedimientos. Evaluación de incidentes en seguridad. Recogida de pruebas. • Gestión de continuidad del negocio: Aspectos de la seguridad de la información en la gestión de continuidad del negocio. Aspectos de la gestión de continuidad del negocio. Proceso de la gestión de continuidad del negocio. Continuidad del negocio y análisis de impactos. Redacción e implantación de planes de continuidad. Marco de planificación para la continuidad del negocio. Prueba, mantenimiento y reevaluación de planes de continuidad.• Conformidad: Con los requisitos legales; políticas de
seguridad y normas de conformidad y conformidad técnica; consideraciones sobre la auditoría de sistemas de información Conformidad con los requisitos legales. Identificación de la legislación aplicable. Derechos de
propiedad intelectual (IPR). Salvaguarda de los registros de la Organización.
Protección de datos de carácter personal y de la intimidad de las personas. Evitar mal uso de los dispositivos de tratamiento de la información. Reglamentación de los controles de cifrados. Revisiones de la política de seguridad y de la conformidad técnica. Conformidad con la política de seguridad. Comprobación de la conformidad técnica. Consideraciones sobre la auditoria de sistemas. Controles de auditoria de sistemas. Protección de las herramientas de auditoria de sistemas.ISO/IEC 27005 Directrices para la gestión del riesgo en la seguridad de la información. Aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.• Fundamentos del proceso de gestión de riesgos (ISRM): cómo evaluar y tratar los riesgos de seguridad de la información. • Establecimiento del contexto • Evaluación de riesgos (ISRA)• Tratamiento de riesgos• Aceptación del riesgo• Comunicación del riesgo • Monitorización y revisión del riesgo • Anexo A: Definiendo el ámbito del proceso • Anexo B: Valoración de activos y evaluación de impacto • Anexo C: Ejemplos de amenazas más comunes• Anexo D: Vulnerabilidades y métodos de evaluación• Anexo E: Aproximación a ISRA ISO/IEC 27000 • Sistema de gestión de la seguridad de la informaciónqué es un SGSI; enfoque basado en la gestión por procesosImportancia del SGSI; cómo establecer, poner en marcha, vigilar, revisar, mantener y mejorar el SGSI; factores fundamentales de éxito de un SGSI; beneficios de la familia de normas SGSI. • Familia de normas SGSI normas que describen una visión global y terminología; normas que especifican requerimientos; guías generales; guías específicas por sector. • Formas verbales en la expresión de las disposiciones • Términos por categoría ISO/IEC 27001:2005 • Sistema de gestión de la
seguridad de la informaciónCómo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de documentación y su control. • Responsabilidades de la DirecciónEn cuanto a compromiso con el SGSI, provisión de recursos y formación y concienciación del personal. • Auditorías internas del SGSICómo realizar las auditorías internas de control. • Revisión del SGSI por la direcciónCómo gestionar el proceso de revisión constante del SGSI. • Mejora de SGSI Mejora continua, acciones correctoras y acciones preventivas. • Resumen de controlesAnexo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 7799:200 • Relación con los Principios de la OCDECorrespondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. • Correspondencia con otras normasTabla de correspondencia de puntos con ISO 9001 y 14001ISO/IEC 27002 • Evaluación y tratamiento del riesgoIndicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. • Política de seguridad: Documento de política de seguridad y su gestión. Política de seguridad de la información Documento de política de seguridad de la información Revisión de la política de seguridad de la información • Organización de la Seguridad de InformaciónOrganización interna; organización externa. Estructura para la seguridad de la información Comité de gestión de seguridad de la información Coordinación de seguridad de la información Asignación de responsabilidades para la seguridad de la información Proceso de autorización de recursos para el tratamiento de la información Acuerdos de confidencialidad Contacto con las autoridades Contacto con organizaciones de especial interés Revisión independiente de la seguridad de la información Terceros Identificación de los riesgos derivados del acceso de terceros Tratamiento de la seguridad en la relación con los clientes Tratamiento de la seguridad en contratos con terceros • Gestión de activos: Responsabilidad sobre los activos; clasificación de la información. Responsabilidad sobre los activos. Inventario de activos. Responsable de los activos. Acuerdos sobre el uso aceptable de los activos. Clasificación de la información Directrices de clasificación. Marcado y tratamiento de la información. •
Seguridad ligada a los
recursos humanos: Anterior al empleo; durante el empleo; finalización o cambio de empleo. Seguridad en la definición del trabajo y los recursos. Inclusión de la seguridad en las responsabilidades laborales. Selección y política de personal. Términos y condiciones de la relación laboral. Seguridad en el desempeño de las funciones del empleo. Supervisión de las obligaciones. Formación y capacitación en seguridad de la información. Procedimiento disciplinario. Finalización o cambio del puesto de trabajo. Cese de responsabilidades. Restitución de activos. Cancelación de permisos de acceso. • Seguridad física y del entorno: Áreas seguras; seguridad de los equipos. Áreas seguras. Perímetro de seguridad física. Controles físicos de entrada. Seguridad de oficinas, despachos y recursos. Protección contra amenazas externas y del entorno. El trabajo en áreas seguras. Áreas aisladas de carga y descarga. Seguridad de los equipos. Instalación y protección de equipos. Suministro eléctrico. Seguridad del cableado. Mantenimiento de equipos. Seguridad de equipos fuera de los locales de la Organización. Seguridad en la reutilización o eliminación de equipos. Traslado de activos. • Gestión de comunicaciones y operaciones: Procedimientos y responsabilidades de operación; gestión de servicios de terceras partes; planificación y aceptación del sistema; protección contra software malicioso; backup; gestión de seguridad de
redes; utilización de soportes de información; intercambio de información y software; servicios de comercio electrónico; monitorización. Procedimientos y responsabilidades de operación. Documentación de procedimientos operativos. Control de cambios operacionales. Segregación de tareas. Separación de los recursos para desarrollo y producción. Supervisión de los servicios contratados a terceros. Prestación de servicios. Monitorización y revisión de los servicios contratados. Gestión de los cambios en los servicios contratados. Planificación y aceptación del sistema. Planificación de capacidades. Aceptación del sistema. Protección contra software malicioso y código móvil. Medidas y controles contra software malicioso. Medidas y controles contra código móvil. Gestión interna de soportes y recuperación. Recuperación de la información. Gestión de redes. Controles de red.
Seguridad en los servicios de red. Utilización y seguridad de los soportes de información. Gestión de soportes extraíbles. Eliminación de soportes. Procedimientos de utilización de la información. Seguridad de la documentación de sistemas. Intercambio de información y software. Acuerdos para intercambio de información y software. Seguridad de soportes en tránsito. Mensajería
electrónica. Interconexión de sistemas con información de negocio Sistemas de información empresariales. Servicios de comercio electrónico. Seguridad en comercio electrónico. Seguridad en transacciones en línea. Seguridad en información pública. Monitorización Registro de incidencias. Seguimiento del uso de los sistemas. Protección de los registros de incidencias. Diarios de operación del administrador y operador. Registro de fallos. Sincronización de reloj.• Control de accesos: Requisitos de negocio para el control de accesos; gestión de acceso de usuario; responsabilidades del usuario; control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e informaciones;
informática y conexión móvil. Requisitos de negocio para el control de accesos. Política de control de accesos. Gestión de acceso de usuario. Registro de usuario. Gestión de privilegios. Gestión de contraseñas de usuario. Revisión de los derechos de acceso de los usuarios. Responsabilidades del usuario. Uso de contraseña. Equipo informático de usuario desatendido. Políticas para escritorios y monitores sin información. Control de acceso en red. Política de uso de los servicios de red. Autenticación de usuario para conexiones externas. Autenticación de nodos de la red. Protección a puertos de diagnóstico remoto. Segregación en las
redes. Control de conexión a las redes. Control de encaminamiento en la red. Control de acceso al sistema operativo. Procedimientos de conexión de terminales. Identificación y autenticación de usuario. Sistema de gestión de contraseñas. Uso de los servicios del sistema. Desconexión automática de terminales. Limitación del tiempo de conexión. Control de acceso a las aplicaciones. Restricción de acceso a la información. Aislamiento de sistemas sensibles. Informática móvil y tele trabajo. Informática móvil. Tele trabajo. • Adquisición, desarrollo y mantenimiento de sistemas de información:Requisitos de
seguridad de los sistemas de información; procesamiento correcto en aplicaciones; controles criptográficos; seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestión de vulnerabilidades técnicas. Requisitos de seguridad de los sistemas. Análisis y especificación de los requisitos de seguridad. Seguridad de las aplicaciones del sistema. Validación de los datos de entrada. Control del proceso interno. Autenticación de mensajes. Validación de los datos de salida. Controles criptográficos. Política de uso de los controles criptográficos. Cifrado. Seguridad de los ficheros del sistema. Control del software en explotación. Protección de los datos de prueba del sistema. Control de acceso a la librería de programas fuente. Seguridad en los procesos de desarrollo y soporte. Procedimientos de control de cambios. Revisión técnica de los cambios en el sistema operativo. Restricciones en los cambios a los paquetes de software. Canales encubiertos y código Troyano. Desarrollo externalizado del software. Gestión de las vulnerabilidades técnicas. Control de las vulnerabilidades técnicas.• Gestión de incidentes de seguridad: Comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Comunicación de eventos y debilidades en la seguridad de la información. Comunicación de eventos en seguridad. Comunicación de debilidades en seguridad. Gestión de incidentes y mejoras en la seguridad de la información. Identificación de responsabilidades y procedimientos. Evaluación de incidentes en seguridad. Recogida de pruebas. • Gestión de continuidad del negocio: Aspectos de la seguridad de la información en la gestión de continuidad del negocio. Aspectos de la gestión de continuidad del negocio. Proceso de la gestión de continuidad del negocio. Continuidad del negocio y análisis de impactos. Redacción e implantación de planes de continuidad. Marco de planificación para la continuidad del negocio. Prueba, mantenimiento y reevaluación de planes de continuidad.• Conformidad: Con los requisitos legales; políticas de
seguridad y normas de conformidad y conformidad técnica; consideraciones sobre la auditoría de sistemas de información Conformidad con los requisitos legales. Identificación de la legislación aplicable. Derechos de
propiedad intelectual (IPR). Salvaguarda de los registros de la Organización.
Protección de datos de carácter personal y de la intimidad de las personas. Evitar mal uso de los dispositivos de tratamiento de la información. Reglamentación de los controles de cifrados. Revisiones de la política de seguridad y de la conformidad técnica. Conformidad con la política de seguridad. Comprobación de la conformidad técnica. Consideraciones sobre la auditoria de sistemas. Controles de auditoria de sistemas. Protección de las herramientas de auditoria de sistemas.ISO/IEC 27005 Directrices para la gestión del riesgo en la seguridad de la información. Aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.• Fundamentos del proceso de gestión de riesgos (ISRM): cómo evaluar y tratar los riesgos de seguridad de la información. • Establecimiento del contexto • Evaluación de riesgos (ISRA)• Tratamiento de riesgos• Aceptación del riesgo• Comunicación del riesgo • Monitorización y revisión del riesgo • Anexo A: Definiendo el ámbito del proceso • Anexo B: Valoración de activos y evaluación de impacto • Anexo C: Ejemplos de amenazas más comunes• Anexo D: Vulnerabilidades y métodos de evaluación• Anexo E: Aproximación a ISRA
