ISO/IEC 27002:2005

Marcos Sotelo B. msperu21@gmail.com Lima-Perú, Febrero 2012

Se utiliza como un documento de referencia.ISO/IEC 27002:2005 Basado en BS 7799-1:1999  ISO 17799:2000. . NO es certificable. Provee un conjunto de controles de seguridad.

2 Tratamiento de riesgos de seguridad de la información Objetivos de control y controles • 11 Dominios • 39 Objetivos de control • 133 Controles . Introducción • 1. Términos y definiciones • 3.ISO/IEC 27002:2005 Introducción • 0. Estructura del estándar Análisis de riesgos • 4.1 Identificación de riesgos de seguridad de la información • 4. Alcance • 2.

ISO/IEC 27002:2005 Sección 0: Introducción Qué es “Información & Seguridad de la Información” La información es un activo. se encuentra en diferentes formas. etc. debe ser protegida. Por qué es necesaria la Seguridad de la Información Requerimientos de seguridad – ¿Cómo establecerlos? Evaluación de los riesgos de seguridad Selección de controles Punto de partida para la seguridad de la información Factores críticos de éxito Algunos aspectos han sido revisados en las secciones anteriores .

. mantener y mejorar la gestión de la seguridad de la información en la organización. implementar.ISO/IEC 27002:2005 Sección 1: Alcance de la norma Guías y principios generales para iniciar.

. Confidencialidad. confiabilidad. no-repudio. Autenticidad.ISO/IEC 27002:2005 Sección 2: Términos y definiciones Seguridad de la Información: Integridad. Disponibilidad. responsabilidad (accountability).

Seguridad de la Información. Eventos de Seguridad de la Información.ISO/IEC 27002:2005 Sección 2: Términos y definiciones Sección ampliada con mayor cantidad de términos Aclaran y precisan el concepto de algunos términos usados en la norma: Infraestructura de procesamiento de información (facilities). Definiciones relacionadas con el Riesgo. . Incidentes de Seguridad de la Información.

Risk Analysis. Risk Assessment. Risk Treatment. Information Event. Third Party. Information Processing Security. Threat. Facilities. Risk Management. Policy. Vulnerability. Control. Risk Evaluation. . Risk.ISO/IEC 27002:2005 Sección 2: Términos y definiciones Definición de Términos: Asset. Guideline. Information Security Information Security Incident.

ISO/IEC 27002:2005 Sección 3: Estructura del estándar “This standard contains 11 security control clauses collectively containing a total of 39 main security categories and one introductory clause introducing risk assessment and treatment” 11 Cláusulas 39 Categorías principales de seguridad 133 1 Controles Cláusula introductoria – Evaluación y tratamiento del riesgo MSC: Main Security Category Categoría principal de seguridad: Objetivo de control .

Development and Maintenance (6) Information Security Incident Management (2) Business Continuity Management (1) Compliance (3) .1 Clauses (# of Main Sec) .Dominios o áreas Security Policy (1) Organizing Information Security (2) Asset Management (2) Human Resources Security (3) Physical and Environmental Security (2) Communications a Operations Management (10) Access Control (7) Information Systems Acquisition.ISO/IEC 27002:2005 Sección 3: Estructura del estándar 3.

ISO/IEC 27002:2005 Sección 3: Estructura del estándar 3. . Implementation Guide. Uno o más controles que pueden ser aplicados para lograr el objetivo de control. Other information (e. Describe la estructura de los controles: Control.2 Main Security Categories Define qué contiene cada MSC (Main Security Category).).. Un objetivo de control que establece qué se pretende lograr. reference to other standards.g.

2 Evaluación de los riesgos de seguridad. .ISO/IEC 27002:2005 Sección 4: Evaluación y tratamiento del riesgo 4. Tratamiento de los riesgos de seguridad.1 4.

con un alcance claramente definido.ISO/IEC 27002:2005 Sección 4: Evaluación y tratamiento del riesgo Define los conceptos de: Evaluación de los riesgos de seguridad Identificar. Tratamiento de los riesgos de seguridad Criterios para aceptación del riesgo. Aproximación sistemática. realizada periódicamente. cuantificar y priorizar. opciones para tratamiento del riesgo para cada riesgo identificado en RA .

desarrollo y mantenimiento de S. Gestión de incidentes de seguridad de información Gestión de la continuidad de negocio Cumplimiento .I.Dominios Anexo A 27001 / Contenido 27002 Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso Adquisición.

Relación ISO 27001 – ISO 27002 .

.

Satisfacción de los requerimientos de los clientes. Único estándar con aceptación mundial.Optimización de la efectividad de la seguridad de la información. . Diferenciación de la competencia. Debida diligencia. Potenciales descuentos en seguros y pólizas.