EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC

Transcripción

1 Norma Española UNE-EN ISO/IEC Mayo 2017 Tecnología de la Información Técnicas de seguridad Código de prácticas para los controles de seguridad de la información (ISO/IEC 27002:2013 incluyendo Cor 1:2014 y Cor 2:2015) Esta norma ha sido elaborada por el comité técnico CTN 71 Tecnología de la información. Asociación Española de Normalización Génova, Madrid info@une.org

2 UNE-EN ISO/IEC Tecnología de la Información Técnicas de seguridad Código de prácticas para los controles de seguridad de la información (ISO/IEC 27002:2013 incluyendo Cor 1:2014 y Cor 2:2015) Information technology. Security techniques. Code of practice for information security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015). Technologies de l'information. Techniques de sécurité. Code de bonne pratique pour le management de la sécurité de l'information (ISO/IEC 27002:2013 y compris Cor 1:2014 et Cor 2:2015). Esta norma es la versión oficial, en español, de la Norma Europea EN ISO/IEC 27002:2017, que a su vez adopta las Normas Internacionales ISO/IEC 27002:2013, ISO/IEC 27002:2013/ Cor.1:2014 e ISO/IEC 27002:2013/Cor.2:2015. Esta norma anula y sustituye a las Normas UNE-ISO/IEC 27002:2009 y UNE-ISO/IEC 27002:2015. Las observaciones a este documento han de dirigirse a: Asociación Española de Normalización Génova, MADRID-España Tel.: info@une.org Depósito legal: M 15630:2017 UNE 2017 Publicado por AENOR Internacional, S.A.U. bajo licencia de la Asociación Española de Normalización. Reproducción prohibida

3 Índice Prólogo europeo... 6 Declaración... 6 Prólogo Introducción Antecedentes y contexto Requisitos de seguridad de la información Selección de controles Desarrollo de directrices propias Consideraciones del ciclo de vida Normas relacionadas Objeto y campo de aplicación Normas para consulta Términos y definiciones Estructura de esta norma Capítulos Categorías de controles Políticas de seguridad de la información Directrices de gestión de la seguridad de la información Organización de la seguridad de la información Organización interna Los dispositivos móviles y el teletrabajo Seguridad relativa a los recursos humanos Antes del empleo Durante el empleo Finalización del empleo o cambio en el puesto de trabajo Gestión de activos Responsabilidad sobre los activos Clasificación de la información Manipulación de los soportes Control de acceso Requisitos de negocio para el control de acceso Gestión de acceso de usuario Responsabilidades del usuario Control de acceso a sistemas y aplicaciones Criptografía Controles criptográficos Seguridad física y del entorno Áreas seguras Seguridad de los equipos... 54

4 12 Seguridad de las operaciones Procedimientos y responsabilidades operacionales Protección contra el software malicioso (malware) Copias de seguridad Registros y supervisión Control del software en explotación Gestión de la vulnerabilidad técnica Consideraciones sobre la auditoria de sistemas de información Seguridad de las comunicaciones Gestión de la seguridad de redes Intercambio de información Adquisición, desarrollo y mantenimiento de los sistemas de información Requisitos de seguridad en los sistemas de información Seguridad en el desarrollo y en los procesos de soporte Datos de prueba Relación con proveedores Seguridad en las relaciones con proveedores Gestión de la provisión de servicios del proveedor Gestión de incidentes de seguridad de la información Gestión de incidentes de seguridad de la información y mejoras Aspectos de seguridad de la información para la gestión de la continuidad del negocio Continuidad de la seguridad de la información Redundancias Cumplimiento Cumplimiento de los requisitos legales y contractuales Revisiones de la seguridad de la información Bibliografía Anexo A (Informativo) Nota nacional Objeto y campo de aplicación Esta norma internacional establece directrices para la seguridad de la información en las organizaciones y prácticas de gestión de la seguridad de la información incluyendo la selección, la implantación, y la gestión de los controles teniendo en consideración el entorno de riesgos de seguridad de la información de la organización. Esta norma internacional está diseñada para ser utilizada en organizaciones que pretendan: a) seleccionar controles en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información basado en la Norma ISO/IEC [10] ; b) implantar controles de seguridad de la información comúnmente aceptados; c) desarrollar sus propias directrices de seguridad de la información.

5 2 Normas para consulta Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluyendo cualquier modificación de ésta). ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.