Traducido del inglés al español - www.onlinedoctranslator.

com

PROYECTO DE NORMA INTERNACIONAL

ISO / IEC DIS 27002

ISO / IEC JTC 1/CAROLINA DEL SUR 27 Secretaría: ESTRUENDO

La votación comienza el: La votación termina el:

2021-01-28 2021-04-22

Seguridad de la información, ciberseguridad y protección de la

privacidad: controles de seguridad de la información

ICS: 35.030

VISTA PREVIA ESTÁNDAR DE iTeh

(estándares.iteh.ai)
ISO / IEC DIS 27002
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
5c3283e61a1a / iso-iec-dis-27002

ESTE DOCUMENTO ES UN BORRADOR CIRCULADO

PARA COMENTARIOS Y APROBACIÓN. POR LO
TANTO ESTÁ SUJETO A CAMBIOS Y NO PUEDE SER
REFERIDO COMO UN ESTÁNDAR INTERNACIONAL
HASTA QUE SE PUBLIQUE COMO TAL.

ADEMÁS DE SU EVALUACIÓN COMO ACEPTABLE

PARA FINES INDUSTRIALES, TECNOLÓGICOS, Este documento se distribuye tal como se recibió de la secretaría del comité.
COMERCIALES Y DE USUARIO, LOS PROYECTOS
DE NORMAS INTERNACIONALES PUEDEN EN
OCASIÓN DEBEN SER CONSIDERADOS A LA LUZ
DE SU POTENCIAL PARA CONVERTIRSE EN
NORMAS A LAS QUE SE PUEDE HACER
REFERENCIA EN LAS REGULACIONES Número de referencia
NACIONALES.
ISO / IEC DIS 27002: 2021 (E)
LOS DESTINATARIOS DE ESTE BORRADOR ESTÁN
INVITADOS A ENVIAR, CON SUS COMENTARIOS, UNA
NOTIFICACIÓN DE CUALQUIER DERECHO DE PATENTE
PERTINENTE DE LOS QUE TENGAN CONOCIMIENTO Y
PROPORCIONAR DOCUMENTACIÓN DE APOYO. © ISO / IEC 2021
ISO / IEC DIS 27002: 2021 (E)

VISTA PREVIA ESTÁNDAR DE iTeh

(estándares.iteh.ai)
ISO / IEC DIS 27002
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
5c3283e61a1a / iso-iec-dis-27002

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

© ISO / IEC 2021

Reservados todos los derechos. A menos que se especifique lo contrario, o se requiera en el contexto de su implementación, ninguna parte de esta
publicación puede ser reproducida o utilizada de otra manera en cualquier forma o por cualquier medio, electrónico o mecánico, incluyendo
fotocopias o publicación en Internet o intranet, sin previo aviso. permiso escrito. El permiso se puede solicitar a ISO en la dirección a continuación o
al organismo miembro de ISO en el país del solicitante.
Oficina de derechos de autor ISO

CP 401 • Cap. de Blandonnet 8

CH-1214 Vernier, Ginebra
Teléfono: +41 22749 01 11 Correo
electrónico: [email protected]
Sitio web: www.iso.org
Publicado en Suiza

ii © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

Contenido Página

Prefacio .................................................. .................................................. .................................................. .................................................. ................................vi

0 Introducción .................................................. .................................................. .................................................. .................................................. ..............vii

1 Alcance .................................................. .................................................. .................................................. .................................................. ......................... 1

2 Referencias normativas .................................................. .................................................. .................................................. ................................ 1

3 Términos, definiciones y términos abreviados.................................................. .................................................. ............................ 1

3.1 Términos y definiciones .................................................. .................................................. .................................................. ................. 1
3.2 Términos abreviados .................................................. .................................................. .................................................. ......................... 6

4 Estructura de este documento .................................................. .................................................. .................................................. .................. 7

4.1 Cláusulas .................................................. .................................................. .................................................. .................................................. ... 7
4.2 Temas y atributos .................................................. .................................................. .................................................. ............... 7
4.3 Diseño de control.................................................. .................................................. .................................................. ..................................... 8

5 Controles organizacionales.................................................. .................................................. .................................................. ........................... 9

5.1 Políticas de seguridad de la información .................................................. .................................................. ......................................... 9
5.2 Roles y responsabilidades de seguridad de la información.................................................. .................................................. .. 11
5.3 Segregación de deberes .................................................. .................................................. .................................................. ................ 12
5.4 Responsabilidades de gestión .................................................. .................................................. .............................................. 13
5.5 Contacto con autoridades .................................................. .................................................. .................................................. ........ 13
5,6 Contacto con grupos de interés especial .................................................. .................................................. ............................ 14
5.7
IT REVISIÓN
Inteligencia de amenazas.................................................. .................................................. .................................................. ...................... 15
5.8 ti mierynremng
Informa sobre shcuSesoTIApagnorte
en
ojDConnecticutAaRaDemPAG t .................................................. .................................................. ....... dieciséis
Inventario
5.9 de informar ersa.sIstjefemiI ahte.DaaIs)conjuntos .................................................. .................................... 18

5.10
(sattisobre
a norteunDDaAntiguo TestamentorhD
Uso aceptable de información y otros activos asociados .................................................. ....................... 20
5.11 Devolución de activos.................................................. .................................................. .................................................. ............................. 21
5.12 . . . .I..S....2..7...0...0..2.................................................. .................................................. ................ 21
Clasificación de informaciónIoSnorteO../.I..mi...C....DEtiquetahlitt

5.13 nortepaggramos:/o/sFejército de reservaInortenorteDFaordrm

sentarseaehti.aoI/norteCalifornia ..t..a..l.o..gramo.../.s..t.a...norte..D..a...r.D...s../.s..I.s..t./..1..F..C..3..8...mi..1...0..-..6...2...4..F..-..4..mi..1...8...-..a..0..a...8..-.................................................. .............. 23

5.14 Transferencia de información5..C...3..2...8..3...mi..6...1..a...1..a.../.I.s..o..-..I.mi...C..-..D..I.s..-..2...7...0..0...2.................................................. .................................................. ... 24

5.15 Control de acceso .................................................. .................................................. .................................................. ................................. 26

5.16 Gestión de identidad .................................................. .................................................. .................................................. ............... 28
5.17 Información de autenticación .................................................. .................................................. .................................................. 29
5.18 Derechos de acceso.................................................. .................................................. .................................................. ..................................... 31
5.19 Seguridad de la información en las relaciones con los proveedores.................................................. .................................................. .... 32
5,20 Abordar la seguridad de la información dentro de los acuerdos con proveedores .................................................. ................ 34
5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC.................................................. ................................ 36
5.22 Seguimiento, revisión y gestión de cambios de los servicios de proveedores.................................................. ...... 38
5.23 Seguridad de la información para el uso de servicios en la nube.................................................. .................................................. ..... 39
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información ........................................... 42
5.25 Evaluación y decisión sobre eventos de seguridad de la información .................................................. ........................... 44
5.26 Respuesta a incidentes de seguridad de la información.................................................. .................................................. ........... 44
5.27 Aprendiendo de los incidentes de seguridad de la información .................................................. .................................................. ..... 45
5.28 Recolección de evidencia .................................................. .................................................. .................................................. .............. 46
5.29 Seguridad de la información durante la interrupción.................................................. .................................................. ..................... 47
5.30 Preparación de las TIC para la continuidad empresarial.................................................. .................................................. .......................... 48
5.31 Identificación de requisitos legales, estatutarios, reglamentarios y contractuales .................................. 49
5.32 Derechos de propiedad intelectual.................................................. .................................................. .................................................. . 51
5.33 Protección de registros .................................................. .................................................. .................................................. ................ 52
5.34 Privacidad y protección de PII .................................................. .................................................. ............................................... 53
5.35 Revisión independiente de la seguridad de la información.................................................. .................................................. ......... 54
5.36 Cumplimiento de políticas y estándares de seguridad de la información.................................................. ....... 55
5.37 Procedimientos operativos documentados .................................................. .................................................. ............................... 55

6 Controles de personas.................................................. .................................................. .................................................. ..............................................56

6.1 Poner en pantalla.................................................. .................................................. .................................................. ............................................. 56
6.2 Términos y condiciones de empleo .................................................. .................................................. ......................... 58

© ISO / IEC 2021 - Todos los derechos reservados iii

ISO / IEC DIS 27002: 2021 (E)

6.3 Sensibilización, educación y formación en seguridad de la información.................................................. ............................. 59

6.4 Proceso Disciplinario .................................................. .................................................. .................................................. .................. 60
6.5 Responsabilidades después de la terminación o cambio de empleo .................................................. .................. 61
6.6 Acuerdos de confidencialidad o no divulgación.................................................. .................................................. ..... 62
6,7 Trabajo remoto.................................................. .................................................. .................................................. ............................ 63
6,8 Informes de eventos de seguridad de la información .................................................. .................................................. .......................... 64

7 Controles físicos.................................................. .................................................. .................................................. ..........................................sesenta y cinco

7.1 Perímetro de seguridad física .................................................. .................................................. .................................................. sesenta y cinco
7.2 Controles de entrada física.................................................. .................................................. .................................................. ............ 66
7.3 Asegurar oficinas, salas e instalaciones .................................................. .................................................. ........................... 68
7.4 Monitoreo de seguridad física .................................................. .................................................. ............................................... 68
7.5 Protección contra amenazas físicas y ambientales.................................................. ................................. 69
7,6 Trabajando en áreas seguras.................................................. .................................................. .................................................. ......... 70
7.7 Escritorio despejado y pantalla despejada.................................................. .................................................. .................................................. . 71
7.8 Ubicación y protección de equipos .................................................. .................................................. ..................................... 72
7,9 Seguridad de los activos fuera de las instalaciones .................................................. .................................................. .......................................... 73
7,10 Medios de almacenamiento .................................................. .................................................. .................................................. ................................. 74
7.11 Utilidades de apoyo.................................................. .................................................. .................................................. ..................... 75
7.12 Seguridad del cableado.................................................. .................................................. .................................................. ............................. 76
7.13 Mantenimiento de equipo .................................................. .................................................. .................................................. ....... 77
7.14 Eliminación o reutilización segura de equipos.................................................. .................................................. ..................... 78

8 Controles tecnológicos .................................................. .................................................. .................................................. ..........................79

8.1 I
TA DARD PAG Rmi
Punto final de usuario d evices .................................................. .................................................. .................................................. ............. 79
8.2
8.3
Acceso privilegiado TRhode Islandmipeleas S norte V W I.......
..........................................................................................
...mi
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

s tanorte
Dar Ds It mih aI )
Restricción de acceso a la información .................................................. .................................................. ........................................... 82
8.4 Acceso al código fuente......... . . . .... (
. . . .. . . . . . . . . . . . . . . . . . . . . . .....
..... ........ . . ... . . . . . . . . . . . . . . . . . . . ..................................................
... ............................ 84
8.5 Autenticación segura .................................................. .................................................. .................................................. .............. 85
8,6 Gestión de capacidad ...........................I.S. . .O /.I..miC D
.... ... . . .I..S....2...7..0...0...2.................................................. ............................................... 86
.....

8.7 Protección aghattIpagnortes:s//tS tmetro r

unadalwDas.resomieh .....a..I./.C..a...t.a..l.o...gramo../.s..t..a..norte..D...a..r..D..s../..s..I.s.t../.1...F.C..3...8..mi...1..0...-..6..2...4...F.-..4...mi..1..8...-..a..0...a..8...-............................................. 88

8.8 Gestión de vu técnica5enc3mi2r8a3BmiI6li1taI1mias/I.s..o...-..I.mi..C..-..D...I.s..-..2..7...0...0..2.................................................. ................................... 89

8,9 Gestión de la configuración .................................................. .................................................. .................................................. 92
8,10 Eliminación de información.................................................. .................................................. .................................................. ................. 94
8.11 Enmascaramiento de datos .................................................. .................................................. .................................................. ................................... 95
8.12 Prevención de fuga de datos .................................................. .................................................. .................................................. ........ 97
8.13 Respaldo de información .................................................. .................................................. .................................................. ................... 98
8.14 Redundancia de instalaciones de procesamiento de información.................................................. ................................................. 99
8.15 Inicio sesión.................................................. .................................................. .................................................. ...............................................100
8.16 Actividades de seguimiento.................................................. .................................................. .................................................. ..............103
8.17 Sincronización de reloj .................................................. .................................................. .................................................. ..........105
8.18 Uso de programas de utilidad privilegiados.................................................. .................................................. ................................105
8.19 Instalación de software en sistemas operativos.................................................. ................................................106
8,20 Controles de red .................................................. .................................................. .................................................. ......................108
8.21 Seguridad de los servicios de red.................................................. .................................................. .............................................109
8.22 Filtrado web.................................................. .................................................. .................................................. ..................................110
8.23 Segregación en redes.................................................. .................................................. .................................................. .....111
8.24 Uso de criptografía.................................................. .................................................. .................................................. ................112
8.25 Ciclo de vida de desarrollo seguro .................................................. .................................................. ...........................................114
8.26 Requisitos de seguridad de la aplicación.................................................. .................................................. ..............................115
8.27 Principios de ingeniería y arquitectura de sistemas seguros.................................................. .............................117
8.28 Codificación segura .................................................. .................................................. .................................................. ...............................119
8.29 Pruebas de seguridad en desarrollo y aceptación.................................................. ..............................................121
8.30 Desarrollo subcontratado.................................................. .................................................. .................................................. ...122
8.31 Separación de entornos de desarrollo, prueba y producción .................................................. .........123
8.32 Gestión del cambio .................................................. .................................................. .................................................. .............125
8.33 Información de prueba .................................................. .................................................. .................................................. ........................126
8,34 Protección de los sistemas de información durante la auditoría y las pruebas. .................................................. ..................127

Anexo A (informativo) Usando atributos .................................................. .................................................. ................................................. 128

iv © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

Anexo B (informativo) Correspondencia con ISO / IEC 27002: 2013.................................................. ............................ 138
Bibliografía .................................................. .................................................. .................................................. .................................................. ................. 145

VISTA PREVIA ESTÁNDAR DE iTeh

(estándares.iteh.ai)
ISO / IEC DIS 27002
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
5c3283e61a1a / iso-iec-dis-27002

© ISO / IEC 2021 - Todos los derechos reservados v

ISO / IEC DIS 27002: 2021 (E)

Prefacio
ISO (la Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional) forman
el sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO
o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la
organización respectiva para tratar campos particulares de actividad técnica. Los comités técnicos de ISO e
IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la
tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO / IEC JTC 1.

Los procedimientos utilizados para desarrollar este documento y aquellos previstos para su mantenimiento posterior se
describen en las Directivas ISO / IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de aprobación
necesarios para los diferentes tipos de documentos. Este documento fue redactado de acuerdo con las reglas editoriales
de las Directivas ISO / IEC, Parte 2 (ver www.iso.org/directives).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos
a derechos de patente. ISO e IEC no serán responsables de identificar ninguno o todos los derechos de patente. Los
detalles de cualquier derecho de patente identificado durante el desarrollo del documento estarán en la
Introducción y / o en la lista ISO de declaraciones de patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en este documento es información proporcionada para la conveniencia de los usuarios y no
constituye un respaldo.

Para una explicación de la v o I Tmi lun

atu A DA
R
de
hryreSnorte
ejército de reserva norte
y
T St
ds,
Arkansas
PAG f Términos específicos de ISO y
D losRmetromieaninVIgramomioW
expresiones relacionadas con la evaluación de la conformidad, así como información sobre la adhesión de ISO a los principios de
la Organización Mundial del Comercio (OMC) ip le s ( s t aen thDmiasTe.rICtDmirrih.miarsIt)o Comercio (OTC), ver www.iso.org/
hn ic a l B a
iso / foreword.html.

Este documento fue preparado por TécnicoYO ASI CEmetroDIItSte2mi700I2SO / IEC JTC 1, Tecnologías de la información,
Co/Imetro

Subcomité SC 27, InformarhtatptsI:o//nortestasnortemiDCaturdrsI.tesoymi,hC.ayI/BCmiaraslomigramoC/tuS traInortetDyArkansasaDnortes/Dhermanapagt /r1IFvc3a8Cmiy1pag0-r6o2t4miFC-4timio1norte8-. a0a8-

5c3283e61a1a / iso-iec-dis-27002
Esta tercera edición anula y sustituye a la segunda edición (ISO / IEC 27002: 2013 + Corr 1: 2014 + Corr2:
2015), que ha sido revisada técnicamente.

Los principales cambios respecto a la edición anterior son los siguientes:

- La frase "Código de prácticas" se ha eliminado del título de este documento para reflejar mejor su propósito de ser un conjunto
de referencia de controles de seguridad de la información. Este no es un cambio de propósito. La intención de ISO / IEC
27002 siempre ha sido ayudar a las organizaciones a garantizar que no se haya pasado por alto ningún control necesario.
Este propósito es el mismo independientemente del uso previsto de este documento (verCláusula 1). Sin perjuicio de esta
declaración, la orientación proporcionada para los controles individuales se basa en las mejores prácticas reconocidas
internacionalmente.

- Este propósito de ser un conjunto de referencia se logra asegurando una cobertura integral de las diversas formas en que se
pueden describir los controles de seguridad de la información. Por diseño, esto da como resultado las superposiciones y
duplicaciones a las que se hace referencia en 0.3. Por este motivo, se ha modificado la estructura del documento,
presentando los controles mediante una taxonomía sencilla y atributos asociados.

- Se han fusionado algunos controles, se han eliminado algunos y se han introducido varios controles nuevos. La
correspondencia completa se puede encontrar enAnexo B.

Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo nacional de normalización del usuario.
Puede encontrar una lista completa de estos organismos en www.iso.org/members.html.

vi © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

0 Introducción
0.1 Antecedentes y contexto

Este documento está diseñado para organizaciones de todos los tipos y tamaños para ser utilizado como referencia para
determinar e implementar controles para el tratamiento de riesgos de seguridad de la información en un Sistema de Gestión de
Seguridad de la Información (SGSI) basado en ISO / IEC 27001. También se puede utilizar como documento de orientación para las
organizaciones que determinan e implementan controles de seguridad de la información comúnmente aceptados. Este
documento también está diseñado para su uso en el desarrollo de pautas de gestión de seguridad de la información específicas
de la industria y la organización, teniendo en cuenta sus entornos de riesgo de seguridad de la información específicos. Los
controles específicos de la organización o del medio ambiente distintos de los incluidos en este documento se pueden determinar
mediante la evaluación de riesgos según sea necesario para modificar el riesgo.

Organizaciones de todos los tipos y tamaños (incluidos los del sector público y privado, comerciales y sin fines de lucro)
crean, recopilan, procesan, almacenan, transmiten y disponen de información en muchas formas, incluidas electrónicas,
físicas y verbales (por ejemplo, conversaciones y presentaciones).

El valor de la información va más allá de las palabras escritas, los números y las imágenes: el conocimiento, los conceptos,
las ideas y las marcas son ejemplos de formas intangibles de información. En un mundo interconectado, la información y
otros activos asociados, al igual que otros intereses comerciales importantes, merecen o requieren protección contra
diversas fuentes de riesgo, ya sean naturales, accidentales o deliberadas.

La seguridad de la información se logra mediante la implementación de un conjunto adecuado de controles, incluidas políticas,

AR rgaD V
reglas, procesos, procedimientos, estructuras organizativas y funciones de software y hardware. Para cumplir con su seguridad
I Tsiminordestehss S jecA T D theo R sho
saa
PAG
mi ulIDmi
específica yb tu multa, implementar, monitorear, revisar
es,
D
niza tio
norte DelawareW
(s t
y mejorar estos controles cuando r mi norte eces a
transmisióntexterior
iv
r D ry . A s. I
norte I S METRO S
norte
t mishuc.haaIs)que especificado en ISO / IEC 27001 toma un
Visión holística y coordinada de los riesgos de seguridad de la información de la organización con el fin de determinar e
implementar un conjunto integral de controles de seguridad de la información dentro del marco general de un sistema de
gestión coherente.
ISO / IEC DIS 27002
/ stasnorte, DIanorterCDlstu.esoDmiIhnorte.agramoi
ejército de
/ ctahejército
reservaaDakota
esmi/de1nortefct3a8nortee1D0o
reservamiloirg
del Nortenorteaardgramosmi/smetro
/ smetro
Mucha información shyttspagtsmi: /metro - 6pag2mi4rF-a4tmiI1o8norte-as0, ah8a-no ha sido diseñado para ser
e6I1SaO
seguro en términos de un SGSI como especificación5siCI3mi2D83en 1a//IIsmio-Ces decir2C-7D0es0-2170a0norte2d este documento. El nivel de seguridad que
sólo puede lograrse a través de medidas tecnológicas es limitada y debe estar respaldada por actividades y procesos de
gestión adecuados. La identificación de los controles que se deben implementar requiere una planificación cuidadosa y
atención a los detalles mientras se lleva a cabo el tratamiento de riesgos.

Un SGSI exitoso requiere el apoyo de todo el personal de la organización. También puede requerir la participación
de otras partes interesadas, como accionistas o proveedores. También puede ser necesario el asesoramiento de
expertos en la materia.

Un sistema de gestión de seguridad de la información adecuado, adecuado y eficaz proporciona garantía a la

dirección de la organización y a otras partes interesadas de que su información y otros activos asociados se
mantienen razonablemente seguros y protegidos contra amenazas y daños, lo que permite a la organización
alcanzar los objetivos comerciales establecidos.

0.2 Requisitos de seguridad de la información

Es fundamental que una organización determine sus requisitos de seguridad. Hay tres fuentes principales de
requisitos de seguridad:

a) la evaluación de los riesgos para la organización, teniendo en cuenta la estrategia y los objetivos comerciales generales
de la organización. Esto se puede facilitar o respaldar mediante una evaluación de riesgos específica de seguridad de
la información. Esto debería resultar en la determinación de los controles necesarios para asegurar que el riesgo
residual para la organización cumpla con sus criterios de aceptación del riesgo;

b) los requisitos legales, estatutarios, reglamentarios y contractuales que una organización y sus
partes interesadas (socios comerciales, proveedores de servicios, etc.) deben cumplir y su
entorno sociocultural;

© ISO / IEC 2021 - Todos los derechos reservados vii

ISO / IEC DIS 27002: 2021 (E)

c) el conjunto de principios, objetivos y requisitos comerciales para todos los pasos del ciclo de vida de la
información que una organización ha desarrollado para respaldar sus operaciones.

NOTA ISO / IEC 27005[11] Proporciona orientación sobre la gestión de riesgos de seguridad de la información, incluido el asesoramiento sobre riesgos.
evaluación, tratamiento de riesgos, aceptación de riesgos, comunicación de riesgos, seguimiento de riesgos y revisión de riesgos.

0.3 Controles

Un control se define como una medida que modifica o mantiene el riesgo. Algunos de los controles de este documento son
controles que modifican el riesgo, mientras que otros lo mantienen. Una política de seguridad de la información, por ejemplo,
solo puede mantener el riesgo, mientras que el cumplimiento de la política de seguridad de la información puede modificar el
riesgo. Además, algunos controles describen la misma medida genérica en diferentes contextos de riesgo. Este documento
proporciona una combinación genérica de controles de seguridad de la información organizativos, de personas, físicos y
tecnológicos derivados de las mejores prácticas reconocidas internacionalmente.

0.4 Determinación de controles

La determinación de los controles depende de las decisiones de la organización después de una evaluación de riesgos, con un
alcance claramente definido. Las decisiones relacionadas con los riesgos identificados deben basarse en los criterios de
aceptación del riesgo, las opciones de tratamiento del riesgo y el enfoque de gestión del riesgo, aplicado por la organización. La
determinación de los controles también debe estar sujeta a todas las leyes y reglamentos nacionales e internacionales
pertinentes. La determinación del control también depende de las formas en que los controles interactúan entre sí para
proporcionar una defensa en profundidad.

La organización puede diseñar controles según sea necesario o identificarlos desde cualquier fuente. Al especificar dichos

mi hTS D D V W
controles, las organizaciones deben considerar los recursos y la inversión necesarios para implementar y operar un
control contra el negocio. v Alabama IT
AlisedreA. Snorte
ue ee YO ASI/ESADECIRCR2701PAGpor
6R
furthImimi
mi rc exceso de este aspecto.

Debe haber un equilibrio entre th mi ( s ejército de reservarenorteasi queDtuacersDDsep.Ilotsíh.foarII)

Complementar los controles con el posible daño comercial resultante de los incidentes de seguridad en ausencia de esos controles. Los
resultados de una evaluación de riesgos deben ayudar a orientar OI/norte
y detectar IrSmetro
DmiESa2pag7pag0r0o2acción
ES DECIRmiCth de gestión priada, prioridades para
eh.FaoI/rCaliforniaItmetro
gestión de seguridad de la informaciónhtrtpesos:y//srejército de reservaInortesDkasrdas.norteesoD alopaggramol/miS
unmidanortertDIsnorte/sgramoesC/
tmetro 18en - ami0Da8norte- necesario
1ofcnorte3t8rmio1l0s-6D2mi4tFmi-4rmimetro para proteger

contra estos riesgos. 5c3283e61a1a / iso-iec-dis-27002

Algunos de los controles en este documento pueden considerarse como principios rectores para la gestión de la seguridad de la
información y como aplicables para la mayoría de las organizaciones. Puede encontrar más información sobre cómo determinar
los controles y otras opciones de tratamiento de riesgos en ISO / IEC 27005.

0.5 Desarrollar sus propias pautas

Este documento puede considerarse como un punto de partida para desarrollar pautas específicas de la organización. Es
posible que todos los controles y la guía de este documento no sean aplicables a todas las organizaciones. También se
pueden requerir controles y pautas adicionales no incluidos en este documento para abordar las necesidades específicas
de la organización y los riesgos que se han identificado. Cuando se desarrollan documentos que contienen pautas o
controles adicionales, puede ser útil incluir referencias cruzadas a cláusulas en este documento para referencia futura.

0.6 Consideraciones sobre el ciclo de vida

La información tiene un ciclo de vida natural, desde su creación hasta su eliminación. El valor y los riesgos de la información pueden variar
a lo largo de su ciclo de vida (por ejemplo, la divulgación no autorizada o el robo de las cuentas financieras de una empresa no es
significativo después de su publicación, pero la integridad sigue siendo fundamental), por lo que la seguridad de la información sigue
siendo importante hasta cierto punto en todas las etapas. .

Los sistemas de información y otros activos relevantes para la seguridad de la información tienen ciclos de vida dentro de los
cuales se conciben, especifican, diseñan, desarrollan, prueban, implementan, usan, mantienen y finalmente se retiran del servicio
y se eliminan. La seguridad de la información debe considerarse en todas las etapas. Los proyectos de desarrollo de nuevos
sistemas y los cambios en los sistemas existentes brindan oportunidades para mejorar los controles de seguridad al tiempo que
se tienen en cuenta los riesgos de la organización y las lecciones aprendidas de los incidentes.

0.7 Estándares relacionados

viii © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

Si bien este documento ofrece orientación sobre una amplia gama de controles de seguridad de la información que se
aplican comúnmente en muchas organizaciones diferentes, otros documentos de la familia ISO / IEC 27000 brindan
asesoramiento o requisitos complementarios sobre otros aspectos del proceso general de gestión de la seguridad de la
información.

Consulte ISO / IEC 27000 para obtener una introducción general tanto al SGSI como a la familia de documentos.
ISO / IEC 27000 proporciona un glosario que define la mayoría de los términos utilizados en la familia de
documentos ISO / IEC 27000 y describe el alcance y los objetivos de cada miembro de la familia.

Existen estándares específicos del sector ISO / IEC 27002 que tienen controles adicionales que tienen como objetivo
abordar áreas específicas, por ejemplo, ISO / IEC 27017 para servicios en la nube, ISO / IEC 27701 para privacidad, ISO /
IEC 27019 para energía, ISO / IEC 27011 para telecomunicaciones organizaciones e ISO 27799 para la salud. Dichos
estándares se incluyen en la Bibliografía y algunos de ellos se mencionan en la guía y otras secciones de información en
Cláusulas 5-8.

VISTA PREVIA ESTÁNDAR DE iTeh

(estándares.iteh.ai)
ISO / IEC DIS 27002
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
5c3283e61a1a / iso-iec-dis-27002

© ISO / IEC 2021 - Todos los derechos reservados ix

 VISTA PREVIA ESTÁNDAR DE iTeh
(estándares.iteh.ai)
ISO / IEC DIS 27002
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
5c3283e61a1a / iso-iec-dis-27002
PROYECTO DE NORMA INTERNACIONAL ISO / IEC DIS 27002: 2021 (E)

Seguridad de la información, ciberseguridad y protección de la

privacidad: controles de seguridad de la información

1 Alcance

Este documento proporciona un conjunto de referencia de controles de seguridad de la información genéricos, incluida una guía
de implementación. Este documento está diseñado para ser utilizado por organizaciones:

a) dentro del contexto de un SGSI basado en ISO / IEC 27001;

b) para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente;

c) para desarrollar sus propias pautas de gestión de seguridad de la información.

2 Referencias normativas

Los siguientes documentos se mencionan en el texto de tal manera que parte o todo su contenido constituye
requisitos de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para referencias
sin fecha, se aplica la última edición del documento de referencia (incluidas las enmiendas).

ISO / IEC 27000, Informar esomiati sobre hteSno A DA D R

chTIniciar y - norte
sesión uri
Segundo echniqmiues V-ES DECIR
R ty tPAG EnW de la seguridad de la formación
gestión
sistemas: descripción general y vocabulario a ry ( s tandards.iteh.ai)

3 Términos, definiciones y abreviaturasESvOI a/ES DECIRte CDDItSmi2r7metro 002s

https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
3.1 Términos y definiciones 5c3283e61a1a / iso-iec-dis-27002

Para los propósitos de este documento, se aplican los términos y definiciones dados en ISO / IEC 27000 y los
siguientes.

ISO e IEC mantienen bases de datos terminológicas para su uso en normalización en las siguientes direcciones:

- Plataforma de navegación ISO Online: disponible en https://www.iso.org/obp

- IEC Electropedia: disponible en http://www.electropedia.org/

3.1.1
control de acceso
medios para garantizar que el acceso físico y lógico a los activos esté autorizado y restringido en función de los
requisitos comerciales y de seguridad

3.1.2
activo
cualquier cosa que tenga valor para la organización

Nota 1 a la entrada: Nota a la entrada 1: Se pueden distinguir dos tipos de activos relacionados con la seguridad de la información:

• los activos principales:

• procesos y actividades comerciales;

• información;

• los activos de apoyo (de los que dependen los activos primarios) de todo tipo:

• hardware;

© ISO / IEC 2021 - Todos los derechos reservados 1

ISO / IEC DIS 27002: 2021 (E)

• software;

• la red;

• personal;

• sitio;

• estructura de la organización.

3.1.3
ataque
Intento no autorizado de destruir, exponer, alterar o cualquier intento de deshabilitar, robar, obtener acceso o hacer un
uso no autorizado de un activo.

3.1.4
autenticación
provisión de garantía de que una característica declarada de un entidad (3.1.11) es correcto

3.1.5
autenticidad
propiedad que un entidad (3.1.11) es lo que dice ser

3.1.6
cadena de custodia
Posesión, movimiento, manipulación y ubicación demostrables de material de un momento a otro.
VISTA PREVIA ESTÁNDAR DE iTeh
Nota 1 a la entrada: el material incluye información(iosnortetaa socs sse. ene)l contexto de ISO / IEC 27002.
Dakota del Norte norteAntiguo .I
I teTestamento
atDmiD ahélata
real s I de bellas artesrsD
academia

[FUENTE: ISO / IEC 27050-1: 2019, 3.1, modificado - Se agregó la "Nota 1 a la entrada"]
ISO / IEC DIS 27002
3.1.7 https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
información confidencial 5c3283e61a1a / iso-iec-dis-27002
información que no debe estar disponible o divulgada a personas, entidades o procesos no
autorizados

3.1.8
control
medida que mantiene y / o modifica el riesgo

Nota 1 a la entrada: Los controles incluyen, entre otros, cualquier proceso, política, dispositivo, práctica u otras condiciones y / o
acciones que mantengan y / o modifiquen el riesgo.

Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador previsto o supuesto.

[FUENTE: ISO 31000: 2018, 3.8]

3.1.9
ruptura
Incidente, ya sea anticipado o no anticipado, que causa una desviación negativa no planificada de la entrega
esperada de productos y servicios de acuerdo con los objetivos de una organización.

[FUENTE: ISO 22301: 2019, 3.10]

3.1.10
dispositivo de punto final

Dispositivo de hardware de TIC conectado a la red

Nota 1 a la entrada: Dispositivo de punto final puede referirse a computadoras de escritorio, portátiles, teléfonos inteligentes, tabletas, clientes
ligeros, impresoras u otro hardware especializado, incluidos medidores inteligentes y dispositivos de IoT.

2 © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

3.1.11
entidad
elemento relevante para el propósito de la operación de un dominio que tiene una existencia distintiva reconocible

Nota 1 a la entrada: Una entidad puede tener una realización física o lógica.

EJEMPLO Una persona, una organización, un dispositivo, un grupo de dichos elementos, un suscriptor humano a una empresa de telecomunicaciones.
servicio, una tarjeta SIM, un pasaporte, una tarjeta de interfaz de red, una aplicación de software, un servicio o un sitio web.

[FUENTE: ISO / IEC 24760-1: 2019, 3.1.1]

3.1.12
instalación de procesamiento de información
cualquier sistema, servicio o infraestructura de procesamiento de información, o la ubicación física que lo alberga

[FUENTE: ISO / IEC 27000: 2018, 3.27, modificado - "instalaciones" ha sido reemplazado por "instalación"]

3.1.13
violación de la seguridad de la información
Compromiso de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación o acceso no deseados a la
información protegida transmitida, almacenada o procesada de otro modo.

3.1.14
evento de seguridad de la información
ocurrencia que indica una posible incumplimiento (3.1.5) de seguridad de la información o falla de control S (3.1.8)

[FUENTE: ISO / IEC 270 35-1mi: 2h IT

01S3]
6, T.3VISTA PREVIA DE
3.1.15
incidente de seguridad de la información
ANDARD (standards.iteh.ai)
uno o varios relacionados e identificados eventos de seguridad de la información (3.1.13) que pueden dañar los activos de una
ISO / IEC DIS 27002
organización o comprometer sus operaciones
https://standards.iteh.ai/catalog/standards/sist/1fc38e10-624f-4e18-a0a8-
[FUENTE: ISO / IEC 27035-1: 2016, 3.54C]3283e61a1a / iso-iec-dis-27002

3.1.16
gestión de incidentes de seguridad de la información
ejercicio de un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información (3.1.14)

[FUENTE: ISO / IEC 27035-1: 2016, 3.5]

3.1.17
sistema de informacion
conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información

[FUENTE: ISO / IEC 27000: 2018, 3.35]

3.1.18
parte interesada (término preferido)
parte interesada (término admitido)
Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad.

[FUENTE: ISO / IEC 27000: 2018, 3.37]

3.1.19
no repudio
capacidad para probar la ocurrencia de un evento o acción reclamada y su origen entidades (3.1.11)

© ISO / IEC 2021 - Todos los derechos reservados 3

ISO / IEC DIS 27002: 2021 (E)

3.1.20
personal
personas que realizan trabajos bajo el control de la organización

Nota 1 a la entrada: El concepto de personal incluye a los miembros de la organización, como el órgano de gobierno, la alta
dirección, los empleados, el personal temporal, los contratistas y los voluntarios.

3.1.21
información de identificación personal
PII
cualquier información que (a) pueda utilizarse para establecer un vínculo entre la información y la persona física a la que
se refiere dicha información, o (b) esté o pueda estar vinculada directa o indirectamente a una persona física.

Nota 1 a la entrada: La "persona física" en la definición es el principal de PII (3.1.22). Para determinar si un principal de PII
es identificable, se deben tener en cuenta todos los medios que puedan ser utilizados razonablemente por el interesado
en la privacidad que posee los datos, o por cualquier otra parte, para establecer el vínculo entre el conjunto de PII y la
persona física.

[FUENTE: ISO / IEC 29100: 2011 / Amd.1: 2018, 2.9]

3.1.22
Principal de PII
persona física a quien el información de identificación personal (PII) (3.1.20) relaciona

S DA
Nota 1 a la entrada: Dependiendo de la jurisdicción y la legislación particular de protección de datos y privacidad, el sinónimo
IT mi
TA norte rmR
"PIDC ªR VISTA
"sujeto de datos" también puede B ed i e te
quinta Yo prPAG ipa

mish nsté
[FUENTE: ISO / IEC 29100: 2011, 2.11] (estándares.iteh.ai)
UE hacer l ”.

3.1.23
Procesador de PII
accionista de privacidad que procesa personalIlSyOI/IDmimiCnorteDtiIFSI a2B7l0mi02información (PII) en nombre y en
ejército de reservallolegramor/
//ssejército de reservaonorteFdaardPAGsI.IIteCho.anorteI/tCrao estándares / sist /
de acuerdo con el instruhCtttpios:norte
1fc38e10-624f-4e18-a0a8- 5c3283e61a1a / iso-iec-dis-27002

[FUENTE: ISO / IEC 29100: 2011, 2.12]

3.1.24
política
Intenciones y dirección de una organización, expresadas formalmente por su alta dirección.

[FUENTE: ISO / IEC 27000: 2018, 3.53]

3.1.25
evaluación del impacto de la privacidad
PIA
proceso general de identificación, análisis, evaluación, consulta, comunicación y planificación del tratamiento de
posibles impactos en la privacidad con respecto al procesamiento de información de identificación personal,
enmarcado dentro del marco de gestión de riesgos más amplio de una organización

[FUENTE: ISO / IEC 29134: 2017, 3.7, modificado — Nota 1 a la entrada eliminada]

3.1.26
procedimiento
forma especificada de realizar una actividad o un proceso (3.1.25)

[FUENTE: ISO 30000: 2009, 3.12]

3.1.27
proceso
conjunto de actividades interrelacionadas o interactuantes que transforman entradas en salidas

[FUENTE: ISO 9000: 2005, 3.4.1]

4 © ISO / IEC 2021 - Todos los derechos reservados

 ISO / IEC DIS 27002: 2021 (E)

3.1.28
registro
información creada, recibida y mantenida como evidencia y como un activo por una organización o persona, en
cumplimiento de obligaciones legales o en la transacción de negocios

Nota 1 a la entrada: las obligaciones legales en este contexto incluyen todos los requisitos legales, estatutarios, reglamentarios y
contractuales.

[FUENTE: ISO 15489-1: 2016, modificada - Se agregó la “Nota 1 a la entrada”]

3.1.29
punto de recuperación objetivo
RPO
momento en el que se deben recuperar los datos después de una ruptura (3.1.9) ha ocurrido

[FUENTE: ISO / IEC 27031: 2011, 3.12]

3.1.30
objetivo de tiempo de
recuperación RTO
período de tiempo dentro del cual los niveles mínimos de servicios y / o productos y los sistemas, aplicaciones o
funciones de soporte deben recuperarse después de una ruptura (3.1.9) ha ocurrido

[FUENTE: ISO / IEC 27031: 2011, 3.13]

3.1.31
fiabilidad VISTA PREVIA ESTÁNDAR DE iTeh
propiedad de la intención consistente B eh a ( s t avnorte a
yo Dr anorterDDressu.Iestseh.ai)
3.1.32
regla ISO / IEC DIS 27002
principio aceptado ohrttpIsnorte: /s/stejército de reservarnortetuDCatrdios.norteitethh.aaI/tCalifornias
- s en lo que se debe hacer,
1fICz3a8tmiI1o0norte-6's24miFX-4pagmimi1C8t-aa0tiao8norte

ejército de reservatlaotgramomi/ssbroncearsetDhamirdos/rsgramo esat /n lo que está permitido

5c3283e61a1a o no
/ iso-iec-dis-27002

Nota 1 a la entrada: Las reglas pueden expresarse formalmente en políticas y en otros tipos de documentos.

3.1.33
información sensible
información que debe protegerse contra la indisponibilidad, el acceso no autorizado, la modificación o la
divulgación pública debido a posibles efectos adversos en un individuo, organización, seguridad nacional o
seguridad pública

3.1.34
amenaza
Causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u organización.

[FUENTE: ISO / IEC 27000: 2018, 3.74]

3.1.35
política de tema específico
intención y dirección sobre un tema o tema específico, según lo expresado formalmente por el nivel apropiado de
gestión

Nota 1 a la entrada: Las políticas específicas de un tema pueden expresar formalmente reglas, pautas o estándares de la organización.

Nota 2 a la entrada: Algunas organizaciones utilizan otros términos para estas políticas de temas específicos.

Nota 3 a la entrada: Las políticas de temas específicos a las que se hace referencia en este documento están relacionadas con la seguridad de la

información. EJEMPLO Política específica de tema sobre control de acceso, política específica de tema sobre escritorio despejado y pantalla despejada.

© ISO / IEC 2021 - Todos los derechos reservados 5