plantilla_isa27002.xlsx

NORMA ISO/IEC 27002 ISO 27002 hace parte del conjunto de normas que conforman la sere ISO/IEC 27000 en las que se re!ne mantener sstemas de $est%n de se$urdad de nformac%n& 'a norma ISO 27002 se compone de (( domnos )del * al (*+" ,- o.jetos de control # (,, controles q estructura

A contnuac%n se real3a una descrpc%n de los aspectos que de.en ser tendos tendos en cuenta al momento d norma ISO 27002

Trusted by over 1 million members

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.

*& 4ol5tca de se$urdad Estos controles proporconan la $u5a # apo#o de la drecc%n para la se$urdad de la nformac%n en relac 6& Estructura or$an3ata para la se$urdad Or$an3ac%n nterna estos controles $estonan la se$urdad de la nformac%n dentro de la Or$an3ac%n& pol5tca de se$urdad de la nformac%n" as$nando los roles de se$urdad # coordnando la mplantac%n d :erceras partes estos controles elan por mantener la se$urdad de los recursos de tratamento de la nf la or$an3ac%n& 7& Clasfcac%n # control de actos Responsa.ldad so.re los actos estos controles pretenden alcan3ar # mantener una protecc%n adecua Clasfcac%n # control de de la nformac%n la nformac%n se encuentra clasfcada para ndcar las neces presto para su tratamento& & Se$urdad del personal Este conjunto de controles se enfocan en ase$urar que los empleados" contratstas # usuaros de terceras # sean aptos para las funcones que desarrollen" para reducr el res$o de ro.o" fraude # mal uso de las n -& Se$urdad fsca # del entorno ;reas se$uras 'os sercos de procesamento de nformac%n sens.le de.en estar u.cados en 1reas se por .arreras # controles de entrada" prote$das f5scamente contra accesos no autor3ados& Se$urdad de los equpos se enfoca en los controles de protecc%n contra amena3as f5scas # para sala$ nfraestructura del ca.leado& (0& 8est%n de las comuncacones # operacones 4rocura ase$urar" mplementar # mantener un nel apropado de se$urdad de la nformac%n" adem1s de recursos de tratamento de nformac%n" mnm3ando el res$o de fallos en los sstemas # ase$urando la p la protecc%n de su nfraestructura de apo#o& ((& Control de accesos Controla los accesos a la nformac%n # los recursos de tratamento de la nformac%n en .ase a las neces el control de los accesos& (2& 9esarrollo # mantenmento de sstemas Se dse=an # desarrollan controles adconales para los sstemas que procesan o tenen al$!n efecto en ac 9chos controles se determnan en func%n de los requstos de se$urdad # la estmac%n del res$o& (,& 8est%n de ncdentes de se$urdad de la nformac%n Se esta.lecen nformes de los eentos # de los procedmentos real3ados" todos los empleados" contratst procedmentos para nformar de los dferentes tpos de eentos # de.ldades que puedan tener mpacto







(>& 8est%n de la contnudad del ne$oco 'a se$urdad de nformac%n de.e ser una parte nte$ral del plan $eneral de contnudad del ne$oco )4CN or$an3ac%n& El plan de $est%n de la contnudad de.e nclur el proceso de ealuac%n # ase$urar la rean (*& Cumplmento Contempla accones que eten ncumplmentos de cualquer le#" estatuto" re$ulac%n u o.l$ac%n contra # fuera de la or$an3ac%n& 'os requstos le$ales espec5fcos de.er5an ser adertdos por los asesores le$a Adem1s se de.er5an real3ar resones re$ulares de la se$urdad de los sstemas de nformac%n&







DESCRIPCION DE LA PLANTILLA ISO Dominio

Número del dominio

Obj. de control

Cantdad # n!mero del o.jeto de control Cantdad # n!mero de controles por cada o.jeto 4roporcona nformac%n so.re la o.l$atoredad de mplementar o no el control ?ree descrpc%n de cada o.jeto de control a$rupandolos por domno 4eso del domno Nel de cumplmneto del domno 4eso del o.jeto Nel de cumplmneto del domno 4eso del control Nel de cumplmento del control Escala del cumplmento del control

Controles Orientacion Descripcion PD NC.D PO NC.O PC NC.C Escala

Indicaciones para usar la plantlla correcamene correspond sponderán erán al valor valor asignado asignado al al niv In"rese #alores enre 0 $ %00 SOLO en los cuadros a&ules , los cuales corre en cuenta ue en esta escala de valoraci!n, el "" indica ue no cumple el control # "$" ue lo cumple sa valores intermedios cuando se cumple parcialmente cualuiera de los controles.

Ob&etivos Dominios de Control 1 *

( 2

( 6

2

Controles

Orientación

Descripci!n

2

Política de Seguridad

2

Polí Políti tica ca de Segu egurid ridad de la Info nforma maci ció ón

(

Debe

9ocumento de la pol5tca de se$urdad de la nformac%n

2

Debe

Res%n de la pol5tca de se$urdad de la nformac%n

11

Estructura organizativa para la seguridad



Organización Interna

(

Debe

Comt< de la drecc%n so.re se$urdad de la nformac%n

2

Debe

Coordnac%n de la se$urdad de la nformac%n

,

Debe

As$nac%n de responsa.ldades responsa.ldades para la de se$urdad se$urdad de la nformac%n

> *

Debe Debe

4roceso de autor3ac%n para nstalacones de procesamento de nformac%n Acuerdos de confdencaldad confdencaldad

6

Puede

Contacto con autordades

7

Puede

Contacto con $rupos de nter


Puede

Res%n ndependente de la se$urdad de la nformac%n

!

"erceras partes

(

Debe

Identfcac%n de res$os por el acceso de terceras partes

2

Debe

:emas de se$urdad a tratar con clentes

,

Debe

:emas de se$urdad en acuerdos con terceras partes







2 !

(



2

,

Dominios Ob&etivos de Control 2

(

-

2

Dominios Ob&etivos de Control 1-

(

,

Debe

@so acepta.le de los actos

2

Clasificación de de la la in información

(

Debe

8u5as de clasfcac%n

2

Debe

Etquetado # manejo de la nformac%n

'

Seguridad en el personal

!

(ntes del empleo

(

Debe

Roles # responsa.ldades

2

Debe

erfcac%n

,

Debe

:
!

Durante el empleo

(

Debe

Responsa.ldades de la $erenca

2

Debe

Educac%n # formac%n en se$urdad de la nformac%n

,

Debe

4rocesos dscplnaros

!

"erminación o cambio del em empleo

(

Debe

Responsa.ldades en la termnac%n

2

Debe

9eoluc%n de actos

,

Debe

Elmnac%n de prle$os de acceso

Controles

Orientación

Descripci!n

1!

Seguridad fisica $ del entorno

)

*reas Seguras

(

Debe

4er5metro de se$urdad f5sca

2

Debe

Controles de acceso f5sco

,

Debe

Se$urdad de ofcnas" recntos e nstalacones

>

Debe

4rotecc%n contra amena3as eBternas # am.entales

*

Debe

:ra.ajo de 1reas se$uras

6

Puede

;reas de car$a" entre$a # 1reas p!.lcas p!.lcas

+

Seguridad de los E,uipos

(

Debe

@.cac%n # protecc%n del equpo

2

Debe

erramentas de soporte

,

Debe

Se$urdad del ca.leado

>

Debe

Mantenmento de equpos

*

Debe

Se$urdad del equpamento fuera de las nstalacones

6

Debe

Se$urdad en la reutl3ac%n o elmnac%n de equpos

7

Debe

Momentos de equpos

Controles

Orientación

!2

Descripci!n

.estión de comunicaciones $ operaciones

/

Proc Proced edim imie ient ntos os oper operac acio iona nale less $ resp respon onsa sabi bili lid dades ades

(

Debe

4rocedmentos de operac%n documentados

2

Debe

Control de cam.os

,

Debe

Separac%n de funcones

>

Debe

Separac%n de las nstalacones de desarrollo # producc%n

!

(dmi (dmini nist stra raci ción ón de serv servic icio ioss de terc tercer eras as part partes es







>

*

6 (0 7



-

(0

Dominios Ob&etivos de Control + (

2

,

2

Debe

2

Pro Protecc tecció ión n co contra tra so soft0a ft0are re ma mali lici cio oso $ mó móvil vil

(

Debe

Controles contra softDare malcoso

2

Debe

Controles contra c%d$o m%l

1

Copias de seguridad

(

Debe

2

(dmini minisstrac tració ión n de la segu egurid ridad en redes edes

(

Debe

Controles de redes

2

Debe

Se$urdad de los sercos de red

/

ane&o de medios de soporte

(

Debe

Admnstrac%n de los medos medos de computac%n remo.les

2

Debe

Elmnac%n de medos

,

Debe

4rocedmentos para el manejo de la nformac%n

>

Debe

Se$urdad de la documentac%n del sstema

#

Intercambio de de in información

(

Debe

4ol5tcas # procedmentos para el ntercam.o de nformac%n

2

Puede

Acuerdos de ntercam.o

,

Puede

Medos f5scos en transto

>

Puede

Mensajes electr%ncos

*

Puede

Sstemas de nformac%n del ne$oco

!

Serv ervicios de comercio ele electronico

(

Puede

Comerco electronco

2

Puede

:ransaccones en l5nea

,

Puede

Informac%n p!.lcamente dspon.le

)

onitoreo $ supervisión

(

Debe

'o$s de audtora

2

Debe

Montoreo de uso de sstema

,

Debe

4rotecc%n de los lo$s

>

Debe

Re$stro de actdades de admnstrador # operador del sstema

*

Debe

allas de lo$n

6

Puede

Sncron3ac%n del reloj

Controles

Aceptac%n del sstema

Informac%n de copas de se$urdad

Orientación

Descripci!n

2#

Control de accesos

1

%e,u %e,uis isit itos os de nego negoci cio o para ara el cont contro roll de acce acceso so

(

Debe

/

(dministración de de ac acceso eso de de us usuarios

(

Debe

Re$stro de usuaros

2

Debe

Admnstrac%n de prle$os prle$os

,

Debe

Admnstrac%n de contrase=as

>

Debe

Res%n de los derechos de acceso de usuaro

!

%esponsabilidades de lo los usuarios

(

Debe

@so de contrase=as

2

Puede

Equpos de c%mputo de usuaro desatenddos

4ol5tca de control de accesos









((

*

6

7 Ob&etivos Dominios de Control ) (

2

, (2 >

>

Debe

Admnstrac%n remota # protecc%n de de puertos

*

Puede

Se$mentac%n de redes

6

Debe

Control de coneB%n a las redes

7

Debe

Control de enrutamento en la red

)

Contr ntrol de acc acceso eso al siste istem ma opera erativo tivo

(

Debe

4rocedmentos se$uros de 'o$Fon en el sst ema

2

Debe

Identfcac%n # autentcac%n de los usuaros

,

Debe

Sstema de admnstrac%n de contrase=as

>

Puede

@so de utldades de sstema

*

Debe

Inactdad de la ses%n

6

Puede

'mtac%n del tempo de coneB%n

2

Cont Contro roll de de acc acces eso o a las las apl aplic icac acio ione ness $ la info inform rmac ació ión n

(

Puede

Restrcc%n del acceso a la nformac%n

2

Puede

Aslamento de sstemas sens.les

2

Ord Ordena enadores res port ortti tile less $ tele teletr traaba&o ba&o

(

Puede

Ordenadores port1tles # comuncacones moles

2

Puede

:eletra.ajo

Controles

Orientación

1)

Descripci!n

Desarrollo $ mantenimiento de sistemas

1

%e,u %e,uer erim imie ient ntos os de segu seguri rida dad d de de sist sistem emas as de inf infor orma maci ción ón

(

Debe

/

Pro Proces cesamien miento to adec adecu uado ado en apli aplica caci cio ones nes

(

Debe

aldac%n de los datos de entrada

2

Puede

Controles de procesamento nterno

,

Puede

Inte$rdad de mensajes

>

Puede

aldac%n de los datos de salda

2

Controles criptogrficos

(

Puede

4ol5tca de utl3ac%n de controles crpto$r1fcos

2

Puede

Admnstrac%n de llaes

!

Segu eguridad de de lo los ar arc3ivos de del si sistema

(

Debe

Control del softDare operaconal

2

Puede

4rotecc%n de los datos de prue.a del sstema

,

Debe

Control de acceso al c%d$o fuente de las aplcacones

#

Segu Seguri rida dad d een n los los proc proces esos os de desa desarr rrol ollo lo $ sop sopor orte te

(

Debe

An1lss # especfcacones de los los requermentos de se$urdad

4rocedmentos de control de cam.os







1

(>

(

2

Puede

'eccones aprenddas

,

Debe

Recolecc%n de edenca

#

.estión de la continuidad del negocio

#

(spec (spectos tos de seguri segurida dad d de de la informa informació ción n en la gestió gestión n de de conti continui nuida dad d del del nego negocio cio

(

Debe

Inclus%n de se$urdad de la nformac%n en el proceso de $est%n de la contnudad del ne$oco

2

Debe

Contnudad del ne$oco # an1lss del res$o

,

Debe

9esarrollo e mplementac%n de planes de contnudad nclu#endo se$urdad de la nformac%n

>

Debe

* Ob&etivos Dominios Controles de Control ! 1-

(

(*

2

,

Dominios Obje%vos de control Controles

Debe

Marco para la planeac%n de la contnudad del ne$oco " ne$oco

Orientación

Descripci!n

Cumplimiento

)

Cumpli mplimi mien ento to con los los re, re,uis uisito itos leg legales les

(

Debe

Identfcac%n de la le$slac%n aplca.le

2

Debe

9erechos de propedad ntelectual )dp+

,

Debe

4rotecc%n de los re$stros de la or$an3ac%n

>

Debe

*

Debe

4rotecc%n de datos # pracdad de la nformac%n personal 4reenc%n del uso nadecuado de los recursos de procesamento de nformac%n

6

Debe

Re$ulac%n de controles para el uso de crpto$raf5a

2

Cumpl Cumplimi imient ento o con con las polít política icass $ estnd estndare aress de de segu segurid ridad ad $ cump cumplim limien iento to t4cnic t4cnico o

(

Debe

Cumplmento con las pol5tcas # procedmentos

2

Debe

erfcac%n de la cumplmento cumplmento t
2

Cons Consid ider erac acio ione ness de la audi audito tori riaa de sist sistem emas as de info inform rmac ació ión n

(

Debe

Controles de audtora a los sstemas de nformac%n

2

Debe

4rotecc%n de las herramentas de audtora de sstemas

(( () $((







7002

Escala visual de la valoraci!n del control

Mas del 70G de cumplmento Entre el ,0 # 6- G de cumplmento 4or de.ajo del ,0G

*lto +edio ajo

el de cumplimiento de cada control "NC.C" de la norma; tenga s&actoriamente, s&actoriamente, recuerde ue tambi'n se puede asignar

6 de cumplimiento de la norma PD

5C7 D

17#

1--

PO

PC

5C7 C Escala

$

1--

72+

5C7 O

1-#-

1-- 1--

#-

1-- 1--

'7-'

1-- 1--

'7-'

1-- 1--

'7-'

1-- 1--

'7-'

1-- 1--

$

+27+! +27+!

+27+!







2/-

22-

)7++

!!7!!

!!7!!

!!7!!

'7++

++7)'

-

2-

1-- 1--

11711

1-- 1--

11711

1-- 1--

22722

11711

5C7 D

-

$

#-

PD

1-- 1--

PO

-

-

22722 11711

1-- 1--

11711

1-- 1--

11711

-

-

11711

-

-

11711

-

-

11711

#-

#-

#7#)

5C7 O

PC

5C7 C Escala

$

/)71#

2!7/ +7)'

#!7#

1-

1-

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

-

-

+7)'

-

-

#!7# +7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--

+7)'

1-- 1--







)72#

!71! )72#

127#

!712#

1-- 1--

!712#

1-- 1--

!712#

1-- 1--

!71!

1-- 1--

!712#

1-- 1--

!712#

1-- 1--

!712#

1-- 1--

)72#

!71! )72#

'7! !712#

1#7)!

1-- 1--

!712#

1-- 1--

!712)

1-- 1--

)7

'7!

PD

5C7 D

17

'2

PO

!712)

-

-

!712)

2-

2-

1-- 1--

!712)

-

-

!712)

-

-

!712)

-

-

!712)

-

-

-

/)7

5C7 O

!712)

1-- 1--

!712)

1-- 1--

!712)

1-- 1--

!712)

1-- 1--

!712)

1-- 1--

!712)

1--- 1---

PC

5C7 C Escala

(00 /

-

!712#

!712)

17+#

-

/ /

1--









2/

127-!

/!7+#

PO

/

1--

/

1--

/

1--

/

1--

/

1--

/

1--

/

1--

/

-

/

1--

/

1--

/

1--

/

1--

/

-





5C7 D

1--

2-



PD

/

/

5C7 O

PC

5C7 C

Escala

$

)72# 2#

)72# )72#

1-- 1--

)72#

1-- 1--

)72# )72#

-

-

)72#

-

-

)72#

-

-







!7+)

1--

5C7 D

+7#2

#-

-

-

2-

-

-

$

1--

PD

2-

PO

1--

5C7 O

2-

1-- 1--

2-

1-- 1--

2-

1-- 1--

2-

1-- 1--

2-

1-- 1--

PC

5C7 C Escala

$

)-

/1-

2-

-

1-

1-- 1--

1-

1-- 1--

1-

1-- 1--

1-

1-- 1--

12-

-

-

-

21-

1-- 1--

1-

1-- 1--

1-

-

-

1-

-

-

plantilla_isa27002.xlsx

Recommend Documents