NORMA ISO/IEC 27002

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se rene
mantener sistemas de gestin de seguridad de informacin.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; qu
estructura:

A continuacin se realiza una descripcin de los aspectos que deben ser tenidos en cuenta al momento de
norma ISO 27002:
5. Poltica de seguridad

Estos controles proporcionan la gua y apoyo de la direccin para la seguridad de la informacin en relaci

6. Estructura organizativa para la seguridad

Organizacin interna: estos controles gestionan la seguridad de la informacin dentro de la Organizacin.
poltica de seguridad de la informacin, asignando los roles de seguridad y coordinando la implantacin de
Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de la info
la organizacin.

7. Clasificacin y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una proteccin adecuad
Clasificacin y control de de la informacin: la informacin se encuentra clasificada para indicar las necesid
previsto para su tratamiento.

8. Seguridad del personal

Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las ins

9. Seguridad fisica y del entorno

reas seguras: Los servicios de procesamiento de informacin sensible deben estar ubicados en reas seg
por barreras y controles de entrada, protegidas fsicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de proteccin contra amenazas fsicas y para salvagu
infraestructura del cableado.

10. Gestin de las comunicaciones y operaciones

Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la informacin, adems de
recursos de tratamiento de informacin, minimizando el riesgo de fallos en los sistemas y asegurando la p
la proteccin de su infraestructura de apoyo.

11. Control de accesos

Controla los accesos a la informacin y los recursos de tratamiento de la informacin en base a las necesid
el control de los accesos.

12. Desarrollo y mantenimiento de sistemas

Se disean y desarrollan controles adicionales para los sistemas que procesan o tienen algn efecto en act
Dichos controles se determinan en funcin de los requisitos de seguridad y la estimacin del riesgo.

13. Gestin de incidentes de seguridad de la informacin

Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratista
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto e
14. Gestin de la continuidad del negocio
La seguridad de informacin debe ser una parte integral del plan general de continuidad del negocio (PCN
organizacin. El plan de gestin de la continuidad debe incluir el proceso de evaluacin y asegurar la reanu

15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulacin u obligacin contrac
y fuera de la organizacin. Los requisitos legales especficos deberan ser advertidos por los asesores legal
Adems se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin.
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Nmero del dominio
Obj. de control Cantidad y nmero del objetivo de control
Controles Cantidad y nmero de controles por cada objetivo
Orientacion Proporciona informacin sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripcin de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo
NC.O Nivel de cumplimineto del dominio
PC Peso del control
NC.C Nivel de cumplimiento del control
Escala Escala del cumplimiento del control

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales correspondern al valor asignado al nivel de cumpli
en cuenta que en esta escala de valoracin, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriame
valores intermedios cuando se cumple parcialmente cualquiera de los controles.

Objetivos
Dominios Controles
de Control Orientacin Descripcin
1 2 Poltica de Seguridad
2 Poltica de Seguridad de la Informacin
5
1 1 Debe Documento de la poltica de seguridad de la informacin
2 Debe Revisin de la poltica de seguridad de la informacin
2 11 Estructura organizativa para la seguridad
8 Organizacin Interna
1 Debe Comit de la direccin sobre seguridad de la informacin
2 Debe Coordinacin de la seguridad de la informacin
3 Debe Asignacin de responsabilidades para la de seguridad de la informacin
1 4 Debe Proceso de autorizacin para instalaciones de procesamiento de informacin
5 Debe Acuerdos de confidencialidad
6
6 Puede Contacto con autoridades
7 Puede Contacto con grupos de inters
8 Puede Revisin independiente de la seguridad de la informacin
3 Terceras partes
1 Debe Identificacin de riesgos por el acceso de terceras partes
2
2 Debe Temas de seguridad a tratar con clientes
3 Debe Temas de seguridad en acuerdos con terceras partes
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
2 5 Clasificacin y control de activos
3 Responsabilidad sobre los activos
1 Debe Inventario de activos
1
2 Debe Propietario de activos
7
 1
7
3 Debe Uso aceptable de los activos
2 Clasificacin de la informacin
2 1 Debe Guas de clasificacin
2 Debe Etiquetado y manejo de la informacin
3 9 Seguridad en el personal
3 Antes del empleo
1 Debe Roles y responsabilidades
1
2 Debe Verificacin
3 Debe Trminos y condiciones de empleo
3 Durante el empleo
8 1 Debe Responsabilidades de la gerencia
2
2 Debe Educacin y formacin en seguridad de la informacin
3 Debe Procesos disciplinarios
3 Terminacin o cambio del empleo
1 Debe Responsabilidades en la terminacin
3
2 Debe Devolucin de activos
3 Debe Eliminacin de privilegios de acceso
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
2 13 Seguridad fisica y del entorno
6 reas Seguras
1 Debe Permetro de seguridad fsica
2 Debe Controles de acceso fsico
1 3 Debe Seguridad de oficinas, recintos e instalaciones
4 Debe Proteccin contra amenazas externas y ambientales
5 Debe Trabajo de reas seguras
6 Puede reas de carga, entrega y reas pblicas
9
7 Seguridad de los Equipos
1 Debe Ubicacin y proteccin del equipo
2 Debe Herramientas de soporte
3 Debe Seguridad del cableado
2
4 Debe Mantenimiento de equipos
5 Debe Seguridad del equipamiento fuera de las instalaciones
6 Debe Seguridad en la reutilizacin o eliminacin de equipos
7 Debe Movimientos de equipos
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
10 32 Gestin de comunicaciones y operaciones
4 Procedimientos operacionales y responsabilidades
1 Debe Procedimientos de operacin documentados
1 2 Debe Control de cambios
3 Debe Separacin de funciones
4 Debe Separacin de las instalaciones de desarrollo y produccin
3 Administracin de servicios de terceras partes
1 Puede Entrega de servicios
2
2 Puede Monitoreo y revisin de servicios de terceros
3 Puede Manejo de cambios a servicios de terceros
2 Planificacin y aceptacin del sistema
3 1 Debe Planificacin de la capacidad
 3

2 Debe Aceptacin del sistema

2 Proteccin contra software malicioso y mvil
4 1 Debe Controles contra software malicioso
2 Debe Controles contra cdigo mvil
1 Copias de seguridad
5
1 Debe Informacin de copias de seguridad
2 Administracin de la seguridad en redes
6 1 Debe Controles de redes
2 Debe Seguridad de los servicios de red
10 4 Manejo de medios de soporte
1 Debe Administracin de los medios de computacin removibles
7 2 Debe Eliminacin de medios
3 Debe Procedimientos para el manejo de la informacin
4 Debe Seguridad de la documentacin del sistema
5 Intercambio de informacin
1 Debe Polticas y procedimientos para el intercambio de informacin
2 Puede Acuerdos de intercambio
8
3 Puede Medios fsicos en transito
4 Puede Mensajes electrnicos
5 Puede Sistemas de informacin del negocio
3 Servicios de comercio electronico
1 Puede Comercio electronico
9
2 Puede Transacciones en lnea
3 Puede Informacin pblicamente disponible
6 Monitoreo y supervisin
1 Debe Logs de auditoria
2 Debe Monitoreo de uso de sistema
10 3 Debe Proteccin de los logs
4 Debe Registro de actividades de administrador y operador del sistema
5 Debe Fallas de login
6 Puede Sincronizacin del reloj
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
7 25 Control de accesos
1 Requisitos de negocio para el control de acceso
1
1 Debe Poltica de control de accesos
4 Administracin de acceso de usuarios
1 Debe Registro de usuarios
2 2 Debe Administracin de privilegios
3 Debe Administracin de contraseas
4 Debe Revisin de los derechos de acceso de usuario
3 Responsabilidades de los usuarios
1 Debe Uso de contraseas
3
2 Puede Equipos de cmputo de usuario desatendidos
3 Puede Poltica de escritorios y pantallas limpias
7 Control de acceso a redes
1 Debe Poltica de uso de los servicios de red
2 Puede Autenticacin de usuarios para conexiones externas
3 Puede Identificacin de equipos en la red
4
11
 4
11 4 Debe Administracin remota y proteccin de puertos
5 Puede Segmentacin de redes
6 Debe Control de conexin a las redes
7 Debe Control de enrutamiento en la red
6 Control de acceso al sistema operativo
1 Debe Procedimientos seguros de Log-on en el sistema
2 Debe Identificacin y autenticacin de los usuarios
5 3 Debe Sistema de administracin de contraseas
4 Puede Uso de utilidades de sistema
5 Debe Inactividad de la sesin
6 Puede Limitacin del tiempo de conexin
2 Control de acceso a las aplicaciones y la informacin
6 1 Puede Restriccin del acceso a la informacin
2 Puede Aislamiento de sistemas sensibles
2 Ordenadores porttiles y teletrabajo
7 1 Puede Ordenadores porttiles y comunicaciones moviles
2 Puede Teletrabajo
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
6 16 Desarrollo y mantenimiento de sistemas
1 Requerimientos de seguridad de sistemas de informacin
1
1 Debe Anlisis y especificaciones de los requerimientos de seguridad
4 Procesamiento adecuado en aplicaciones
1 Debe Validacin de los datos de entrada
2 2 Puede Controles de procesamiento interno
3 Puede Integridad de mensajes
4 Puede Validacin de los datos de salida
2 Controles criptogrficos
3 1 Puede Poltica de utilizacin de controles criptogrficos
2 Puede Administracin de llaves
12 3 Seguridad de los archivos del sistema
1 Debe Control del software operacional
4
2 Puede Proteccin de los datos de prueba del sistema
3 Debe Control de acceso al cdigo fuente de las aplicaciones
5 Seguridad en los procesos de desarrollo y soporte
1 Debe Procedimientos de control de cambios
2 Debe Revisin tcnica de los cambios en el sistema operativo
5
3 Puede Restricciones en los cambio a los paquetes de software
4 Debe Fugas de informacin
5 Debe Desarrollo externo de software
1 Gestin de vulnerabilidades tcnicas
6
1 Debe Control de vulnerabilidades tcnicas
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
2 5 Gestin de incidentes de la seguridad de la informacin
2 Notificando eventos de seguridad de la informacin y debilidades
1 1 Debe Reportando eventos de seguridad de la informacin
2 Puede Reportando debilidades de seguridad
13
3 Gestin de incidentes y mejoramiento de la seguridad de la informacin
1 Debe Procedimientos y responsabilidades
2
 13

2
2 Puede Lecciones aprendidas
3 Debe Recoleccin de evidencia
1 5 Gestin de la continuidad del negocio
5 Aspectos de seguridad de la informacin en la gestin de continuidad del negocio

Inclusin de seguridad de la informacin en el proceso de gestin de la

1 Debe continuidad del negocio
14 2 Debe Continuidad del negocio y anlisis del riesgo
1
Desarrollo e implementacin de planes de continuidad incluyendo seguridad
3 Debe de la informacin
4 Debe Marco para la planeacin de la continuidad del negocio
Prueba, mantenimiento y reevaluacin de los planes de continuidad del
5 Debe negocio
Objetivos
Dominios
de Control
Controles Orientacin Descripcin
3 10 Cumplimiento
6 Cumplimiento con los requisitos legales
1 Debe Identificacin de la legislacin aplicable
2 Debe Derechos de propiedad intelectual (dpi)
1 3 Debe Proteccin de los registros de la organizacin
4 Debe Proteccin de datos y privacidad de la informacin personal
Prevencin del uso inadecuado de los recursos de procesamiento de
5 Debe informacin
15
6 Debe Regulacin de controles para el uso de criptografa
2 Cumplimiento con las polticas y estndares de seguridad y cumplimiento tcnico
2 1 Debe Cumplimiento con las polticas y procedimientos
2 Debe Verificacin de la cumplimiento tcnico
2 Consideraciones de la auditoria de sistemas de informacin
3 1 Debe Controles de auditoria a los sistemas de informacin
2 Debe Proteccin de las herramientas de auditoria de sistemas

Dominios 11
Objetivos de control 39
Controles 133
LLA ISO 27002

o el control

Escala visual de la valoracin del control

Alto Mas del 70% de cumplimiento

Medio Entre el 30 y 69 % de cumplimiento
Bajo Por debajo del 30%

gnado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga

cumple satisfactoriamente, recuerde que tambin se puede asignar

% de cumplimiento de la norma

PD NC. D PO NC. O PC NC. C Escala

1.5 100 100

100 100
50 100 100
50 100 100
8.27 72.73 100
72.73 72.73
9.09 100 100
9.09 100 100
9.09 100 100
9.09 100 100
9.09 100 100
9.09 100 100
9.09 100 100
9.09 100 100
27.27 0
9.09 0 0
9.09 0 0
9.09 0 0

PD NC. D PO NC. O PC NC. C Escala

3.76 80 100
60 60
20 100 100
20 100 100
 20 100 100
40 20
20 0 0
20 100 100
6.77 50 100
33.33 22.22
11.11 100 100
11.11 100 100
11.11 0 0
33.33 22.22
11.11 100 100
11.11 100 100
11.11 0 0
33.33 5.56
11.11 0 0
11.11 0 0
11.11 50 50

PD NC. D PO NC. O PC NC. C Escala

9.77 77.69 100

46.15 23.84
7.69 10 10
7.69 100 100
7.69 100 100
7.69 100 100
7.69 0 0
7.69 0 0
53.85 53.85
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100
7.69 100 100

PD NC. D PO NC. O PC NC. C Escala

24.06 91.3 100

12.5 6.25
3.125 100 100
3.125 100 100
3.125 0 0
3.125 0 0
9.38 0
3.12 0 0
3.12 0 0
3.12 0 0
6.25 6.25
3.125 100 100
 3.125 100 100
6.25 6.25
3.125 100 100
3.125 100 100
3.13 3.13
3.13 100 100
6.25 6.25
3.125 100 100
3.125 100 100
12.5 9.38
3.125 100 100
3.125 0 0
3.125 100 100
3.125 100 100
15.63 6.88
3.126 100 100
3.126 0 0
3.126 20 20
3.126 100 100
3.126 0 0
9.38 0
3.126 0 0
3.126 0 0
3.126 0 0
18.75 46.88
3.126 100 100
3.126 100 100
3.126 100 100
3.126 100 100
3.126 100 100
3.126 1000 1000

PD NC. D PO NC. O PC NC. C Escala

18.8 92 100
4 4
4 100
16 16
4 100
4 100
4 100
4 100
12 12
4 100
4 100
4 100
28 28
4 100
4 100
4 100
 4 100
4 100
4 100
4 100
24 20
4 100
4 100
4 100
4 100
4 0
4 100
8 8
4 100
4 100
8 4
4 100
4 0

PD NC. D PO NC. O PC NC. C Escala

12.03 43.75 100

6.25 6.25
6.25 100 100
25 6.25
6.25 100 100
6.25 0 0
6.25 0 0
6.25 0 0
12.5 0
6.25 0 0
6.25 0 0
18.75 18.75
6.25 100 100
6.25 100 100
6.25 100 100
31.25 6.25
6.25 0 0
6.25 0 0
6.25 0 0
6.25 100 100
6.25 0 0
6.25 6.25
100 100 100

PD NC. D PO NC. O PC NC. C Escala

3.76 60 100
40 40
20 100 100
20 100 100
60 20
20 100 100
 20 0 0
20 0 0
3.76 100 100
100 100

20 100 100
20 100 100

20 100 100
20 100 100
20 100 100

PD NC. D PO NC. O PC NC. C Escala

7.52 50 100
60 40
10 0 0
10 100 100
10 100 100
10 100 100
10 100 100
10 0 0
20 20
10 100 100
10 100 100
20 0
10 0 0
10 0 0