norma UNE-ISO/IEC 27002

española
Julio 2015

TÍTULO Tecnología de la Información

Técnicas de seguridad

Código de prácticas para los controles de seguridad de la

información

Information technology. Security techniques. Code of practice for information security controls.

Technologies de l’information. Techniques de sécurité. Code de bonne pratique pour le management de la

sécurité de l’information.

CORRESPONDENCIA Esta norma es idéntica a las Normas Internacionales ISO/IEC 27002:2013 e

ISO/IEC 27002-2013/Cor 1: 2014.

OBSERVACIONES

ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la
información.

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27002

Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 23102:2015
99 Páginas

 AENOR 2015 Génova, 6 info@[Link] Tel.: 902 102 201

Reproducción prohibida 28004 MADRID-España [Link] Fax: 913 104 032
 Índice

Prólogo...................................................................................................................................................... 5

0 Introducción ............................................................................................................................ 6
0.1 Antecedentes y contexto ......................................................................................................... 6
0.2 Requisitos de seguridad de la información ........................................................................... 6
0.3 Selección de controles ............................................................................................................. 7
0.4 Desarrollo de directrices propias .......................................................................................... 7
0.5 Consideraciones del ciclo de vida .......................................................................................... 7
0.6 Normas relacionadas .............................................................................................................. 8

1 Objeto y campo de aplicación ................................................................................................ 8

2 Normas para consulta ............................................................................................................ 8

3 Términos y definiciones .......................................................................................................... 8

4 Estructura de esta norma ....................................................................................................... 8

4.1 Capítulos.................................................................................................................................. 9
4.2 Categorías de controles .......................................................................................................... 9

5 Políticas de seguridad de la información .............................................................................. 9

5.1 Directrices de gestión de la seguridad de la información .................................................... 9

6 Organización de la seguridad de la información ............................................................... 11

6.1 Organización interna ............................................................................................................ 11
6.2 Los dispositivos móviles y el teletrabajo ............................................................................. 14

7 Seguridad relativa a los recursos humanos ........................................................................ 17

7.1 Antes del empleo ................................................................................................................... 17
7.2 Durante el empleo ................................................................................................................. 19
7.3 Finalización del empleo o cambio en el puesto de trabajo ................................................ 22

8 Gestión de activos ................................................................................................................. 22

8.1 Responsabilidad sobre los activos ....................................................................................... 22
8.2 Clasificación de la información ........................................................................................... 24
8.3 Manipulación de los soportes ............................................................................................... 27

9 Control de acceso .................................................................................................................. 29

9.1 Requisitos de negocio para el control de acceso ................................................................. 29
9.2 Gestión de acceso de usuario ............................................................................................... 31
9.3 Responsabilidades del usuario ............................................................................................. 35
9.4 Control de acceso a sistemas y aplicaciones ....................................................................... 36

10 Criptografía........................................................................................................................... 39
10.1 Controles criptográficos ....................................................................................................... 39

11 Seguridad física y del entorno ............................................................................................. 42

11.1 Áreas seguras ........................................................................................................................ 42
11.2 Seguridad de los equipos ...................................................................................................... 46

12 Seguridad de las operaciones ............................................................................................... 51

12.1 Procedimientos y responsabilidades operacionales ........................................................... 51
12.2 Protección contra el software malicioso (malware) ........................................................... 55
12.3 Copias de seguridad.............................................................................................................. 56
12.4 Registros y supervisión ......................................................................................................... 57

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27002

12.5 Control del software en explotación .................................................................................... 60
12.6 Gestión de la vulnerabilidad técnica ................................................................................... 61
12.7 Consideraciones sobre la auditoria de sistemas de información ...................................... 63

13 Seguridad de las comunicaciones ........................................................................................ 63

13.1 Gestión de la seguridad de redes ......................................................................................... 63
13.2 Intercambio de información ................................................................................................ 65

14 Adquisición, desarrollo y mantenimiento de los sistemas de información ....................... 69

14.1 Requisitos de seguridad en sistemas de información ......................................................... 69
14.2 Seguridad en el desarrollo y en los procesos de soporte .................................................... 72
14.3 Datos de prueba .................................................................................................................... 78

15 Relación con proveedores .................................................................................................... 78

15.1 Seguridad en las relaciones con proveedores ..................................................................... 78
15.2 Gestión de la provisión de servicios del proveedor ............................................................ 82

16 Gestión de incidentes de seguridad de la información ...................................................... 84

16.1 Gestión de incidentes de seguridad de la información y mejoras ..................................... 84

17 Aspectos de seguridad de la información para la gestión de la continuidad del

negocio ................................................................................................................................... 89
17.1 Continuidad de la seguridad de la información ................................................................. 89
17.2 Redundancias ........................................................................................................................ 91

18 Cumplimiento ....................................................................................................................... 91
18.1 Cumplimiento de los requisitos legales y contractuales .................................................... 91
18.2 Revisiones de la seguridad de la información .................................................................... 95

Bibliografía............................................................................................................................................. 97

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27002

1 Objeto y campo de aplicación
Esta norma internacional establece directrices para la seguridad de la información en las organizaciones y prácticas de
gestión de seguridad de la información incluyendo la selección, la implantación, y la gestión de los controles teniendo
en consideración el entorno de riesgos de seguridad de la información de la organización.

Esta norma internacional está diseñada para ser utilizada en organizaciones que pretendan:

a) seleccionar controles en el proceso de implantación de un Sistema de Gestión de Seguridad de la Información

basado en la Norma ISO/IEC 27001[10];

b) implantar controles de seguridad de la información comúnmente aceptados;

c) desarrollar sus propias normas de seguridad de la información.

2 Normas para consulta

Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la
aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin
fecha se aplica la última edición (incluyendo cualquier modificación de ésta).

ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la

Información (SGSI). Visión de conjunto y vocabulario.

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27002