Читать книгу Gestión de servicios en el sistema informático. IFCT0609 - Ester Chicano Tejada - Страница 8
2. Norma ISO 27002. Código de buenas prácticas para la gestión de la seguridad de la información
ОглавлениеLa norma ISO/IEC 27002 se crea bajo la coordinación de la International Organization for Standaration y la Comisión Electrotécnica Internacional e, inicialmente, era llamada normativa ISO 17799.
Importante
La norma ISO 17799 consiste en un manual de buenas prácticas para una adecuada gestión de la seguridad de la información.
Se engloba dentro de un conjunto de normativas ISO/IEC 2700X que regulan temas de seguridad en los ámbitos digital y electrónico:
1 ISO 27000: incluye fundamentalmente el vocabulario que se va a utilizar en las normas incluidas en toda la serie para una mayor comprensión de las mismas.
2 ISO/IEC 27001: también es un manual de buenas prácticas pero, en este caso, se incluyen los requisitos necesarios de los sistemas de gestión de seguridad de la información.
3 ISO/IEC 27002: es un estándar para la seguridad de la información (también se considera una guía de buenas prácticas) en el que se incluyen los distintos objetivos de control y controles recomendados para mantener un nivel de seguridad de la información óptimo.
La norma ISO/IEC 27002 está formada por una serie de secciones que se van a describir y detallar brevemente en este apartado:
1 Introducción.
2 Campo de aplicación.
3 Términos y definiciones.
4 Estructura del estándar.
5 Evaluación y tratamiento del riesgo.
6 Política de seguridad.
7 Organización de la seguridad de la información.
8 Gestión de archivos.
9 Seguridad ligada a los recursos humanos.
10 Seguridad física y del entorno.
11 Gestión de comunicaciones y operaciones.
12 Control de accesos.
13 Adquisición, desarrollo y mantenimiento de sistemas de información.
14 Gestión de incidentes de seguridad de información.
15 Gestión de continuidad del negocio.
16 Cumplimientos legales.
Nota
En la norma ISO/IEC 27002 se incluyen un total de 133 controles, aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
En cada una de las secciones se describen los objetivos de los controles para la seguridad de la información, indicándose también una guía para la implantación de estos controles.