04 Ntp-Isoiec 177992004

NTP-ISO/IEC 17799:2004 EDI.
TECNOLOGIA DE LA INFORMACIN. CODIGO DE

BUENAS PRACTICAS PARA LA GESTION DE LA
SEGURIDAD DE LA INFORMACION. 1 EDICIN
Norma Tcnica Peruana:

De conformidad con el Decreto Supremo N 066-2003-
PCM y el ROF de la PCM aprobado por el Decreto
Supremo N 067-2003-PCM, la Presidencia del Consejo
de Ministros se encarga de normar, coordinar, integrar y
promover el desarrollo de la actividad informtica en la
Administracin Pblica, impulsando y fomentando el uso
de las nuevas tecnologas de la informacin para la
modernizacin y desarrollo del Estado, acta como ente
rector del Sistema Nacional de Informtica, y dirige y
supervisa la poltica nacional de informtica y gobierno
electrnico.
Norma Tcnica Peruana: NTP-ISO/IEC 17799:2004 EDI.
ANTECEDENTES

Mediante Resolucin de la Comisin de Reglamentos
Tcnicos y Comerciales N 0026-2004/CRT-INDECOPI
se aprob como Norma Tcnica Peruana la NTP-
ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin.
Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin. 1 Edicin
Mediante Resolucin Ministerial N 224-2004-PCM con
fecha 23 de Julio de 2004 se aprob su uso obligatorio en
todas las Entidades integrantes del Sistema Nacional de
Informtica, sealndose que a partir del da siguiente de
la publicacin de la presente Resolucin se deber aplicar
en las Entidades antes mencionadas en un plazo de
dieciocho (18) meses para su implantacin.
ANTECEDENTES

ISO/IEC 17799:2000 Information technology

Code of practice for information security management
UNE-ISO/IEC 17799:2002 Tecnologa de la

informacin.
Cdigo de buenas prcticas para la Gestin de la
Seguridad de la Informacin.
ANTECEDENTES

Esta norma ofrece recomendaciones para realizar la
gestin de la seguridad de la informacin que
pueden utilizarse por los responsables de iniciar,
implantar o mantener la seguridad en una
organizacin. Persigue proporcionar una base
comn para desarrollar normas de seguridad dentro
de las organizaciones y ser una prctica eficaz de la
gestin de la seguridad, as como proporcionar
confianza en las relaciones entre organizaciones.
1.- OBJETO Y CAMPO DE APLICACIN

2.1.- Seguridad de la Informacin
2.- TERMINOS Y DEFINICIONES
Preservacin de:
Confidencialidad.- Aseguramiento de que la

informacin es accesible solo para aquellos autorizados a
tener acceso.
Integridad.- Garanta de la exactitud y el contenido

completo de la informacin y los mtodos de su
procesamiento.
Disponibilidad.- Aseguramiento de que los usuarios

autorizados tienen acceso cuando lo requieran a la
informacin y sus activos asociados.

2.2.- Evaluacin del Riesgo
2.- TERMINOS Y DEFINICIONES
Proceso de evaluacin de las amenazas, impactos y
vulnerabilidades de la informacin y de los medios de
tratamiento de la informacin y de su probable
ocurrencia.
2.3.- Gestin del Riesgo
Proceso de identificacin, control y minimizacin o
eliminacin, a un costo aceptable, de los riesgos que
afecten a los sistemas de informacin.

3.- POLTICA DE SEGURIDAD
OBJETIVO: Dirigir y dar soporte a la gestin de la
seguridad de la informacin.
La gerencia debera establecer de forma clara las lneas
de la poltica de actuacin y manifestar su apoyo y
compromiso a la seguridad de la informacin, publicando
y manteniendo una poltica de seguridad en toda la
organizacin.
Documento de poltica de seguridad de la informacin.
Revisin y evaluacin.
3.1.- Poltica de seguridad de la informacin

4.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
OBJETIVO: Gestionar la seguridad de la informacin
dentro de la organizacin.
Debera establecerse una estructura de gestin para
iniciar y controlar la implantacin de la seguridad de la
informacin dentro de la organizacin, en coordinacin
con las gerencias para aprobar la poltica de seguridad
de la informacin, asignar roles de seguridad y
coordinar la implantacin de la seguridad en toda la
organizacin.
Debera fomentarse un enfoque multidisciplinario de la
seguridad de la informacin.
4.1.- Estructura para la seguridad de la informacin

4.1.- Estructura para la seguridad de la informacin
Comit de gestin de seguridad de la informacin.
Coordinacin de la seguridad de la informacin.
Asignacin de responsabilidades sobre seguridad de

la
informacin.
Proceso de autorizacin de recursos para el

tratamiento de la informacin.
Asesoramiento de especialistas en seguridad de la

informacin.
Cooperacin entre organizaciones.
Revisin independiente de la seguridad de la

informacin.

4.2.- Seguridad en los accesos de terceras partes
OBJETIVO: Mantener la seguridad de que los recursos
de tratamiento de la informacin y de los activos de
informacin de la organizacin sean accesibles por
terceros.
Debera controlarse el acceso de terceros a los
dispositivos de tratamiento de informacin de la
organizacin.

4.2.- Seguridad en los accesos de terceras partes
Identificacin de riesgos por parte de terceros

Tipos de acceso
Motivos de acceso
Subcontratados trabajando en la organizacin
Requisitos de seguridad en contratos con terceros


4.3.- Outsourcing
OBJETIVO: Mantener la seguridad de la informacin
cuando la responsabilidad de su tratamiento se ha
externalizado a otra organizacin.
Los acuerdos de outsourcing deberan incluir en el
contrato entre las partes, los riesgos, controles y
procedimientos de seguridad para sistemas de
informacin, entornos de redes y terminales.
Requisitos de seguridad en contratos de outsourcing


5.1.- Responsabilidad sobre los activos
OBJETIVO: Mantener una proteccin adecuada sobre
los activos de la organizacin.
Se debera adjudicar la responsabilidad de todos los
activos de informacin importantes y se debera
asignar un propietario. La responsabilidad sobre los
activos ayuda a asegurar que se mantiene la
proteccin adecuada. Deberan identificarse los
propietarios para todos los activos importantes, y se
debera asignar la responsabilidad del mantenimiento
de los controles apropiados.
Inventario de activos
5.- CLASIFICACIN Y CONTROL DE ACTIVOS

5.2.- Clasificacin de la informacin
OBJETIVO: Asegurar un nivel de proteccin adecuado
a los activos de informacin.
La informacin debera clasificarse para indicar la
necesidad, prioridades y grado de proteccin.
La informacin tiene grados variables de sensibilidad y
criticidad. Algunos elementos de informacin pueden
requerir un nivel adicional de proteccin o un uso
especial.
Guas de clasificacin
Marcado y tratamiento de la informacin

5.- CLASIFICACIN Y CONTROL DE ACTIVOS

6.- SEGURIDAD LIGADA AL PERSONAL
6.1.- Seguridad en la definicin del trabajo y los
recursos
OBJETIVO: Reducir los riesgos de errores humanos,
robos, fraudes o mal uso de las instalaciones y los
servicios.
La seguridad debera contemplarse desde las etapas
de seleccin de personal, incluirse en los contratos y
seguirse durante el desarrollo de la relacin laboral.
Inclusin de la seguridad en las responsabilidades

laborales
Seleccin y poltica de personal
Acuerdos de confidencialidad
Trminos y condiciones de la relacin laboral

6.2.- Formacin de usuarios
OBJETIVO: Asegurar que los usuarios son consientes
de las amenazas y riesgos en el mbito de la seguridad
de la informacin, y que estn preparados para
sostener la poltica de seguridad de la organizacin en
el curso normal de su trabajo.
Los usuarios deberan recibir formacin en
procedimientos de seguridad y en el uso correcto
de los recursos de tratamiento de informacin para
minimizar los posibles riesgos en la seguridad.
Formacin y capacitacin en seguridad de la

informacin

6.3.- Respuesta ante incidencias y malos
funcionamientos de la seguridad
OBJETIVO: Minimizar los daos provocados por
incidencias de seguridad y por el mal funcionamiento,
controlndolos y aprendiendo de ellos.
Debera informarse de las incidencias que afecten a la
seguridad de la informacin por los canales de la
organizacin adecuados, lo ms rpidamente posible.
Comunicacin de las incidencias de seguridad
Comunicacin de las debilidades de seguridad
Comunicacin de los fallos del software
Aprendiendo de las incidencias
Procedimiento disciplinario

7.- SEGURIDAD FSICA Y DEL ENTORNO
7.1.- reas seguras
OBJETIVO: Evitar accesos no autorizados, daos e
interferencias contra los locales y la informacin de la
organizacin.
Los recursos para el tratamiento de informacin crtica o
sensible para la organizacin deberan ubicarse en reas
seguras protegidas.
Permetro de seguridad fsica
Controles fsicos de entradas
Seguridad de oficinas, despachos y recursos
El trabajo en las reas seguras
reas aisladas de carga y descarga

7.2.- Seguridad de los equipos
OBJETIVO: Evitar prdidas, daos o comprometer los
activos as como la interrupcin de las actividades de la
organizacin.
Instalacin y proteccin de equipos
Suministro elctrico
Seguridad del cableado
Mantenimiento de equipos
Seguridad de equipos fuera de los locales de la

organizacin
Seguridad en el reuso o eliminacin de equipos

7.3.- Controles generales
OBJETIVO: Prevenir las exposiciones a riesgo o robos de
informacin y de recursos de tratamiento de informacin.
La informacin y los recursos de tratamiento de
informacin deberan estar protegidos de su difusin,
modificacin no autorizada o robo; se deberan instalar
medidas y controles para minimizar las prdidas y los
daos.
Poltica de puesto de trabajo despejado y bloqueo de

pantalla
Extraccin de pertenencias

8.- GESTIN DE COMUNICACIONES Y OPERACIONES
8.1.- Proc. y responsabilidades de operacin
OBJETIVO: Asegurar la operacin correcta y segura de los
recursos de tratamiento de informacin.
Se deberan establecer responsabilidades y procedimientos
para la gestin y operacin de todos los recursos de
tratamiento de informacin.
Documentacin de procedimientos operativos
Control de cambios operacionales
Procedimientos de gestin de incidencias
Segregacin de tareas
Separacin de los recursos para desarrollo y para

produccin
Gestin de servicios externos

8.2.- Planificacin y aceptacin del sistema
OBJETIVO: Minimizar el riesgo de fallos de los sistemas.
Deberan realizarse proyecciones de los requisitos futuros
de capacidad para reducir el riesgo de sobrecarga del
sistema. Se debera establecer, documentar y probar, antes
de su aceptacin, los requisitos operacionales de los
sistemas nuevos.
Planificacin de la capacidad
Aceptacin del sistema

8.3.- Proteccin contra software malicioso
OBJETIVO: Proteger la integridad del software y de la
informacin.
Se requieren ciertas precauciones para prevenir y detectar
la introduccin de software malicioso.
Medidas y controles contra software malicioso

8.4.- Gestin interna de respaldo y recuperacin
OBJETIVO: Mantener la integridad y la disponibilidad de los
servicios de tratamiento de informacin y comunicacin.
Se deberan establecer procedimientos rutinarios para
conseguir la estrategia aceptada de respaldo haciendo
copias de seguridad, ensayando su oportuna recuperacin,
registrando eventos o fallos y monitoreando el entorno de
los equipos cuando proceda.
Recuperacin de la informacin
Diarios de operacin
Registro de fallos

8.5.- Gestin de redes
OBJETIVO: Asegurar la salvaguarda de la informacin en
las redes y la proteccin de su infraestructura de apoyo.
La gestin de la seguridad de las redes que cruzan las
fronteras de la organizacin requiere una atencin que se
concreta en controles y medidas adicionales para proteger
los datos sensibles que circulan por las redes pblicas.
Controles de red

8.6.- Utilizacin y seguridad de los medios de inf.
OBJETIVO: Evitar daos a los activos e interrupciones de
las actividades de la organizacin.
Se deberan establecer los procedimientos operativos
adecuados para proteger los documentos, medios
informticos (discos, cintas, etc.), datos de entrada o
salida y documentacin del sistema, de dao, robo y
acceso no autorizado.
Gestin de medios removibles
Eliminacin de medios
Procedimientos de manipulacin de la informacin
Seguridad de la documentacin de sistemas

8.7.- Intercambio de informacin y software
OBJETIVO: Evitar la prdida, modificacin o mal uso de la
informacin intercambiada entre organizaciones.
Se deberan realizar los intercambios sobre la base de
acuerdos formales. Se deberan establecer
procedimientos y normas para proteger los medios en
trnsito.
Acuerdos para intercambio de informacin y software
Seguridad de medios en trnsito
Seguridad en comercio electrnico
Seguridad del correo electrnico
Seguridad de los sistemas ofimticos
Sistemas pblicamente disponibles
Otras formas de intercambio de informacin

9.- CONTROL DE ACCESOS
9.1.- Requisitos para el control de accesos
OBJETIVO: Controlar los accesos a la informacin.
Se debera controlar el acceso a la informacin y los
procesos del negocio sobre la base de los requisitos de
seguridad y negocio.
Poltica de control de accesos
Poltica y requisitos de negocio
Reglas de los controles de accesos

9.2.- Gestin de acceso de usuarios
OBJETIVO: Evitar accesos no autorizados a los sistemas
de informacin.
Se debera establecer procedimientos formales para
controlar la asignacin de los derechos de acceso a los
sistemas y servicios, deberan cubrir todas las etapas del
ciclo de vida del acceso de los usuarios, desde el registro
inicial hasta la baja del registro de los usuarios.
Registro de usuarios
Gestin de privilegios
Gestin de contraseas de usuario
Revisin de los derechos de acceso de los usuarios

9.3.- Responsabilidades de los usuarios
OBJETIVO: Evitar el acceso de usuarios no autorizados.
Una proteccin eficaz necesita la cooperacin de los
usuarios autorizados, deberan ser conscientes de sus
responsabilidades en el mantenimiento de la eficacia de
las medidas de control de acceso, en particular respecto al
uso de contraseas y a la seguridad del material puesto a
su disposicin.
Uso de contraseas
Equipo informtico de usuario desatendido

9.4.- Control de acceso a la red
OBJETIVO: Proteccin de los servicios de la red.
Debera controlarse el acceso a los servicios a las redes
internas y externas.
Poltica de uso de los servicios de la red
Ruta forzosa
Autenticacin de usuarios para conexiones externas
Autenticacin de nodos de la red
Proteccin a puertos de diagnstico remoto
Segregacin en las redes
Control de conexin a las redes
Control de enrutamiento en la red
Seguridad de los servicios de red

9.5.- Control de acceso al sistema operativo
OBJETIVO: Evitar accesos no autorizados a los
computadores.
Las prestaciones de seguridad a nivel de sistema operativo
se deberan utilizar para restringir el acceso a los recursos
del computador.
Identificacin automtica de terminales
Procedimientos de conexin de terminales
Identificacin y autenticacin del usuario
Sistema de gestin de contraseas
Utilizacin de las facilidades del sistema
Proteccin del usuario frente a coacciones
Desconexin automtica de terminales
Limitacin del tiempo de conexin

9.6.- Control de acceso a las aplicaciones
OBJETIVO: Evitar el acceso no autorizado a la informacin
contenida en los sistemas.
Se deberan usar las facilidades de seguridad lgica dentro
de los sistemas de aplicacin
para restringir el acceso.
Se deberan restringir el acceso lgico al software y a la
informacin slo a los usuarios
autorizados.
Restriccin de acceso a la informacin
Aislamiento de sistemas sensibles

9.7.- Seguimiento de accesos y usos del sistema
OBJETIVO: Detectar actividades no autorizadas.
Debera efectuarse un seguimiento y control de los
sistemas para detectar desviaciones de la poltica de
control de accesos y registrar los eventos observables
que proporcionen evidencias en caso de incidencias de
seguridad.
Registro de incidencias
Seguimiento del uso de los sistemas
Sincronizacin de relojes

9.8.- Informtica mvil y teletrabajo
OBJETIVO: Garantizar la seguridad de la informacin
cuando se usan dispositivos de informtica mvil y
teletrabajo.
La proteccin requerida debera ser proporcional a los
riesgos que causan estas formas especficas de trabajo.
Informtica mvil
Teletrabajo

10.1.- Requisitos de seguridad de los sistemas
OBJETIVO: Asegurar que la seguridad est imbuida
dentro de los sistemas de informacin.
Esto incluir la infraestructura, las aplicaciones de
negocio y las aplicaciones desarrolladas por usuarios. Los
requisitos de seguridad deberan ser identificados y
consensuados antes de desarrollar los sistemas de
informacin.
Anlisis y especificacin de los requisitos de seguridad

10.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS

10.2.- Seguridad de las aplicaciones del sistema
OBJETIVO: Evitar prdidas, modificaciones o mal uso de
los datos de usuario en las aplicaciones.
Se deberan disear dentro de las aplicaciones las
medidas de control y las pistas de auditora o los registros
de actividad, deberan incluir la validacin de los datos de
entrada, el tratamiento interno y los datos de salida.
Validacin de los datos de entrada
Control del proceso interno
reas de riesgo
Verificaciones y controles
Autenticacin de mensajes
Validacin de los datos de salida


10.3.- Controles criptogrficos
OBJETIVO: Proteger la confidencialidad, autenticidad o
integridad de la informacin.
Se deberan usar sistemas y tcnicas criptogrficas para
proteger la inf. sometida a riesgo, cuando otras medidas y
controles no proporcionen la proteccin adecuada.
Poltica de uso de los controles criptogrficos
Cifrado
Firmas digitales
Servicios de no repudio
Gestin de claves
Proteccin de claves criptogrficas
Normas, procedimientos y mtodos


10.4.- Seguridad de los archivos del sistema
OBJETIVO: Para asegurar que los proyectos de
Tecnologa de la Informacin (TI) y las actividades
complementarias sean llevadas a cabo de una forma
segura.
El acceso a los archivos del sistema debera ser
controlado. El mantenimiento de la integridad del sistema
debera ser responsabilidad del grupo de desarrollo o de
la funcin del usuario a quien pertenezca las aplicaciones
del sistema o el software.
Control del software en produccin
Proteccin de los datos de prueba del sistema
Control de acceso a la librera de programas fuente


10.5.- Seguridad en los procesos de desarrollo y
soporte
OBJETIVO: Mantener la seguridad del software de
aplicacin y la informacin.
Se deberan controlar estrictamente los entornos del
proyecto y de soporte. Los directivos responsables de los
sistemas de aplicaciones tambin lo deberan ser de la
seguridad del entorno del proyecto o su soporte.
Procedimientos de control de cambios
Revisin tcnica de los cambios en el sistema

operativo
Restricciones en los cambios a los paquetes de sw
Canales encubiertos y cdigo Troyano
Desarrollo externo del software


11.- GESTIN DE CONTINUIDAD DEL NEGOCIO
11.1.- Aspectos de la gestin de continuidad del negocio
OBJETIVO: Reaccionar a la interrupcin de actividades del
negocio y proteger sus procesos crticos frente a grandes
fallos o desastres.
Se debera implantar un proceso de gestin de continuidad
del negocio para reducir, a niveles aceptables, la
interrupcin causada por los desastres y fallas de seguridad
mediante controles preventivos y de recuperacin.
Proceso de gestin de la continuidad del negocio
Continuidad del negocio y anlisis de impactos
Redaccin e implantacin de planes de continuidad
Marco de planificacin para la continuidad del negocio
Prueba, mantenimiento y reevaluacin de los planes de

continuidad

12.- CUMPLIMIENTO
12.1.- Cumplimiento con los requisitos legales
OBJETIVO: Evitar los incumplimientos de cualquier ley civil
o penal, requisito reglamentario, regulacin u obligacin
contractual, y de todo requisito de seguridad.
Identificacin de la legislacin aplicable
Derechos de propiedad intelectual (DPI)
Salvaguarda de los registros de la organizacin
Proteccin de los datos y de la privacidad de la

informacin personal
Evitar el mal uso de los recursos de tratamiento de la

informacin
Regulacin de los controles criptogrficos
Recopilacin de pruebas

12.- CUMPLIMIENTO
12.2.- Revisiones de la poltica de seguridad y de la
conformidad tcnica
OBJETIVO: Asegurar la conformidad de los sistemas con
las polticas y normas de seguridad.
Se deberan hacer revisiones regulares de la seguridad de
los sistemas de informacin. stas se deberan atener a
las polticas de seguridad apropiadas y se auditar el
cumplimiento de las normas de implantacin de la
seguridad en los sistemas de informacin.
Conformidad con la poltica de seguridad
Comprobacin de la conformidad tcnica

12.- CUMPLIMIENTO
12.3.- Consideraciones sobre la auditora de sistemas
OBJETIVO: Maximizar la efectividad y minimizar las
interferencias en el proceso de auditora del sistema.
Se deberan establecer controles para salvaguardar los
sistemas operativos y las herramientas de auditora
durante las auditoras del sistema. Tambin se requiere
proteccin para salvaguardar la integridad y evitar el mal
uso de las herramientas de auditora.
Controles de auditora de sistemas
Proteccin de las herramientas de auditora de sistemas

La informacin es hoy da uno de los activos mas
importantes de las organizaciones y como tal
requiere de una adecuada proteccin de un amplio
espectro de amenazas, con el fin de asegurar la
continuidad de la operacin de la organizacin, esto
minimiza riesgos y maximiza la utilizacin de sus
inversiones.
Cualquiera que sea la forma que tome la informacin
esta debe ser protegida.
CONCLUSIONES

Se define la seguridad de la informacin como la
preservacin de la confidencialidad, integridad y
disponibilidad de la informacin y su objeto es
proporcionar recomendaciones para realizar la
gestin de la seguridad de la informacin en las
organizaciones, se utilizaran por los responsables de
iniciar, implantar o mantener la seguridad en una
organizacin.
CONCLUSIONES

Tiene por objeto proporcionar una base comn
para desarrollar normas de seguridad dentro de las
organizaciones de la Administracin Pblica y ser una
prctica eficaz de la gestin de la seguridad, as
como proporcionar confianza en las relaciones de
intercambio de informacin entre organizaciones
pblicas.
La flexibilidad de la norma es intencional, por cuanto
es difcil contar con una norma que se aplique a una
variedad de entornos de tecnologa de la informacin
y que sea capaz de desarrollarse con el cambiante
mundo de la tecnologa.
CONCLUSIONES

PLAZO PARA SU IMPLEMENTACIN
Se aprob su uso obligatorio a partir del da siguiente
de la publicacin de la presente Resolucin teniendo
como plazo para su implantacin dieciocho (18)
meses.
23-07-2004 23-01-2006 23-06-2005
11 meses 7 meses

GRACIAS POR SU ATENCIN.

04 Ntp-Isoiec 177992004

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

04 Ntp-Isoiec 177992004

Diunggah oleh

Hak Cipta:

Format Tersedia

NTP-ISO/IEC 17799:2004 EDI.

TECNOLOGIA DE LA INFORMACIN. CODIGO DE

ISO/IEC 17799:2000 Information technology

UNE-ISO/IEC 17799:2002 Tecnologa de la

Confidencialidad.- Aseguramiento de que la

Integridad.- Garanta de la exactitud y el contenido

Disponibilidad.- Aseguramiento de que los usuarios

Documento de poltica de seguridad de la informacin.

Comit de gestin de seguridad de la informacin.

Coordinacin de la seguridad de la informacin.

Asignacin de responsabilidades sobre seguridad de

Proceso de autorizacin de recursos para el

Asesoramiento de especialistas en seguridad de la

Cooperacin entre organizaciones.

Revisin independiente de la seguridad de la

Identificacin de riesgos por parte de terceros

Requisitos de seguridad en contratos con terceros

Requisitos de seguridad en contratos de outsourcing

Marcado y tratamiento de la informacin

Inclusin de la seguridad en las responsabilidades

Seleccin y poltica de personal

Trminos y condiciones de la relacin laboral

Formacin y capacitacin en seguridad de la

Comunicacin de las incidencias de seguridad

Comunicacin de las debilidades de seguridad

Comunicacin de los fallos del software

Aprendiendo de las incidencias

Permetro de seguridad fsica

Controles fsicos de entradas

Seguridad de oficinas, despachos y recursos

El trabajo en las reas seguras

reas aisladas de carga y descarga

Instalacin y proteccin de equipos

Seguridad del cableado

Seguridad de equipos fuera de los locales de la

Seguridad en el reuso o eliminacin de equipos

Poltica de puesto de trabajo despejado y bloqueo de

Documentacin de procedimientos operativos

Control de cambios operacionales

Procedimientos de gestin de incidencias

Separacin de los recursos para desarrollo y para

Gestin de servicios externos

Aceptacin del sistema

Medidas y controles contra software malicioso

Gestin de medios removibles

Procedimientos de manipulacin de la informacin

Seguridad de la documentacin de sistemas

Acuerdos para intercambio de informacin y software

Seguridad de medios en trnsito

Seguridad en comercio electrnico

Seguridad del correo electrnico

Seguridad de los sistemas ofimticos

Sistemas pblicamente disponibles

Otras formas de intercambio de informacin

Poltica de control de accesos

Poltica y requisitos de negocio

Reglas de los controles de accesos

Gestin de contraseas de usuario

Revisin de los derechos de acceso de los usuarios

Equipo informtico de usuario desatendido

Poltica de uso de los servicios de la red

Autenticacin de usuarios para conexiones externas

Autenticacin de nodos de la red