Norma Española

UNE-EN ISO/IEC 27002

Mayo 2023
Versión corregida, junio 2023

Seguridad de la información, ciberseguridad y protección

de la privacidad
Control de la seguridad de la información
(ISO/IEC 27002:2022)

Esta norma ha sido elaborada por el comité técnico

CTN-UNE 320 Ciberseguridad y protección de datos
personales, cuya secretaría desempeña UNE.

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC 27002

Asociación Española Calle de Génova, 6 915 294 900

de Normalización 28004 Madrid. España info@une.org – www.une.org
 UNE-EN ISO/IEC 27002

Seguridad de la información, ciberseguridad y protección de la privacidad

Control de la seguridad de la información
(ISO/IEC 27002:2022)

Information security, cybersecurity and privacy protection. Information security controls

(ISO/IEC 27002:2022).

Sécurité de l'information, cybersécurité et protection de la vie privée. Moyens de maîtrise de l'information

(ISO/IEC 27002:2022).

Esta norma es la versión oficial, en español, de la Norma Europea EN ISO/IEC 27002:2022, que a
su vez adopta la Norma Internacional ISO/IEC 27002:2022.

Esta norma anula y sustituye a la Norma UNE-EN ISO/IEC 27002:2017.

Esta versión corregida de la Norma UNE-EN ISO/IEC 27002:2023 incorpora las siguientes correcciones:

– Se modifican los encabezados de las tablas B.1 y B.2.

– Se añade un párrafo entre las tablas B.1 y B.2.

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC 27002

Las observaciones a este documento han de dirigirse a:

Asociación Española de Normalización

Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org

© UNE 2023
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
 Índice

Prólogo europeo .................................................................................................................................7

Declaración ...........................................................................................................................................7

Prólogo ...................................................................................................................................................8

0 Introducción ..................................................................................................................... 10
0.1 Antecedentes y contexto .............................................................................................. 10
0.2 Requisitos de seguridad de la información........................................................... 10
0.3 Controles............................................................................................................................ 11
0.4 Determinar los controles ............................................................................................. 11
0.5 Elaboración de directrices específicas para cada organización .................... 12
0.6 Consideraciones relativas al ciclo de la vida ........................................................ 12
0.7 Normas internacionales relacionadas .................................................................... 12

1 Objeto y campo de aplicación..................................................................................... 12

2 Normas para consulta ................................................................................................... 13

3 Términos, definiciones y abreviaturas ................................................................... 13

3.1 Términos y definiciones............................................................................................... 13
3.2 Términos abreviados .................................................................................................... 18

4 Estructura del documento ........................................................................................... 20

4.1 Capítulos ............................................................................................................................ 20
4.2 Temas y atributos ........................................................................................................... 20
4.3 Panel de control .............................................................................................................. 22

5 Organización .................................................................................................................... 22
5.1 Políticas para la seguridad de la información ..................................................... 22
5.2 Roles y responsabilidades en seguridad de la información............................ 25
5.3 Segregación de tareas ................................................................................................... 26
5.4 Responsabilidades de la dirección ........................................................................... 27
5.5 Contacto con las autoridades ..................................................................................... 28
5.6 Contacto con grupos de interés especial ................................................................ 29
5.7 Inteligencia de amenazas ............................................................................................ 30
5.8 Seguridad de la información en la gestión de proyectos ................................. 32
5.9 Inventario de información y otros activos asociados........................................ 34
5.10 Uso aceptable de la información y activos asociados ........................................ 36
5.11 Devolución de activos ................................................................................................... 37
5.12 Clasificación de la información ................................................................................. 38
5.13 Etiquetado de la información ..................................................................................... 40
5.14 Transferencia de la información .............................................................................. 42
5.15 Control de acceso ............................................................................................................ 45
5.16 Gestión de identidad ..................................................................................................... 47
5.17 Información de autenticación .................................................................................... 49
5.18 Derechos de acceso ........................................................................................................ 51
5.19 Seguridad de la información en las relaciones con los proveedores........... 53
5.20 Abordar la seguridad de la información dentro de los acuerdos de
proveedores ..................................................................................................................... 56
5.21 Gestión de la seguridad de la información en la cadena de suministro
de las TIC............................................................................................................................ 59
5.22 Seguimiento, revisión y gestión del cambio de los servicios de
proveedores ..................................................................................................................... 61
5.23 Seguridad de la información para el uso de servicios en la nube ................. 63

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC 27002

5.24 Planificación y preparación de la gestión de incidentes de seguridad
de la información............................................................................................................ 66
5.25 Evaluación y decisión sobre los eventos de seguridad de la
información ...................................................................................................................... 69
5.26 Respuesta a incidentes de seguridad de la información .................................. 69
5.27 Aprender de los incidentes de seguridad de la información .......................... 71
5.28 Recopilación de evidencias ......................................................................................... 71
5.29 Seguridad de la información durante la interrupción ...................................... 73
5.30 Preparación para las TIC para la continuidad del negocio ............................. 74
5.31 Identificación de requisitos legales, reglamentarios y contractuales......... 75
5.32 Derechos de propiedad intelectual (DPI) .............................................................. 77
5.33 Protección de los registros ......................................................................................... 79
5.34 Privacidad y protección de datos de carácter personal (DCP) ...................... 81
5.35 Revisión independiente de la seguridad de la información ........................... 82
5.36 Cumplimiento de las políticas y normas de seguridad de la
información ...................................................................................................................... 83
5.37 Documentación de procedimientos operacionales............................................ 85

6 Controles de personas .................................................................................................. 86

6.1 Comprobación ................................................................................................................. 86
6.2 Términos y condiciones de contratación ............................................................... 88
6.3 Concienciación, educación y formación en seguridad de la
información ...................................................................................................................... 89
6.4 Proceso disciplinario .................................................................................................... 91
6.5 Responsabilidades ante la finalización o cambio ............................................... 92
6.6 Acuerdos de confidencialidad o no divulgación .................................................. 94
6.7 Teletrabajo ....................................................................................................................... 95
6.8 Notificación de los eventos de seguridad de la información .......................... 97

7 Controles físicos .............................................................................................................. 98

7.1 Perímetro de seguridad física .................................................................................... 98
7.2 Controles físicos de entrada .................................................................................... 100
7.3 Seguridad de oficinas, despachos y recursos .................................................... 102
7.4 Monitorización de la seguridad física .................................................................. 103
7.5 Protección contra las amenazas externas y ambientales ............................. 104
7.6 El trabajo en áreas seguras ...................................................................................... 105
7.7 Puesto de trabajo despejado y pantalla limpia................................................. 106
7.8 Emplazamiento y protección de equipos ............................................................ 108
7.9 Seguridad de los equipos fuera de las instalaciones ...................................... 109
7.10 Soportes de almacenamiento .................................................................................. 110
7.11 Instalaciones de suministro .................................................................................... 112
7.12 Seguridad del cableado ............................................................................................. 113
7.13 Mantenimiento de los equipos ............................................................................... 114
7.14 Eliminación o reutilización segura de los equipos .......................................... 115

8 Controles tecnológicos .............................................................................................. 117

8.1 Dispositivos finales de usuario............................................................................... 117
8.2 Gestión de privilegios de acceso ............................................................................ 120
8.3 Restricción del acceso a la información .............................................................. 122
8.4 Acceso al código fuente ............................................................................................. 124
8.5 Autenticación segura.................................................................................................. 125
8.6 Gestión de capacidades ............................................................................................. 127
8.7 Controles contra el código malicioso ................................................................... 129
8.8 Gestión de vulnerabilidades técnicas .................................................................. 131
8.9 Gestión de la configuración ..................................................................................... 135
8.10 Eliminación de la información ................................................................................ 138
8.11 Enmascaramiento de datos...................................................................................... 140

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC 27002

 8.12 Prevención de fugas de datos .................................................................................. 142
8.3 Copias de seguridad de la información ............................................................... 144
8.14 Redundancia de los recursos de tratamiento de la información ............... 145
8.15 Registros de eventos .................................................................................................. 147
8.16 Seguimiento de actividades ..................................................................................... 150
8.17 Sincronización del reloj ............................................................................................ 153
8.18 Uso de los programas de utilidad con privilegios............................................ 154
8.19 Instalación del software en sistemas de producción ...................................... 155
8.20 Seguridad de redes ..................................................................................................... 157
8.21 Seguridad de los servicios de red .......................................................................... 158
8.22 Segregación en redes ................................................................................................. 160
8.23 Filtrado de webs........................................................................................................... 161
8.24 Uso de la criptografía ................................................................................................. 162
8.25 Seguridad en el ciclo de vida del desarrollo ...................................................... 165
8.26 Requisitos de seguridad de las aplicaciones ..................................................... 166
8.27 Arquitectura segura de sistemas y principios de ingeniería ....................... 169
8.28 Codificación segura ..................................................................................................... 172
8.29 Pruebas de seguridad en desarrollo y aceptación........................................... 175
8.30 Externalización del desarrollo ............................................................................... 177
8.31 Separación de los entornos de desarrollo, prueba y producción .............. 178
8.32 Gestión de cambios ..................................................................................................... 180
8.33 Datos de prueba ........................................................................................................... 181
8.34 Protección de los sistemas de información durante las pruebas de
auditoría ......................................................................................................................... 182

Anexo A (Informativo) Atributos de uso ......................................................................... 184

Anexo B (Informativo) Correspondencia de ISO/IEC 27002:2022 (este

documento) con ISO/IEC 27002:2013................................ 196

Bibliografía ..................................................................................................................................... 205

1 Objeto y campo de aplicación

Este documento proporciona un conjunto de referencia de controles genéricos de seguridad de la
información que incluyen orientaciones para su aplicación. Este documento está diseñado para ser
utilizado por las organizaciones:

a) en el contexto de un sistema de gestión de la seguridad de la información (SGSI) basado en la Norma

ISO/IEC 27001;

b) para implementar controles de seguridad de la información basados en las mejores prácticas

reconocidas internacionalmente;

c) para desarrollar directrices de gestión de la seguridad de la información específicas de la

organización.

2 Normas para consulta

En este documento no hay normas para consulta.

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC 27002