Requisitos ISO/IEC 27002 en su vigente versión, especificación técnica
]para implantar sistema de gestión en seguridad informática para evaluar
bajo lineamientos ISO/IEC 27001 y certificar ISMS - ISO/IEC 27001.
 

                                                                                   Para certificación <ISMS>
 

La estructura de la normativa de gestión en seguridad de sistemas /
información, el par consistente ISO/IEC 27001, especifican:  
 

Planificación en Continuidad de la Empresa
     
Recuperación de Desastres - Contrarestrar interrupciones a las actividades
de la empresa y sus procesos de los efectos creados por un desastre o falla
de sistema(s) de comunicación / informática. 
 

Control de Acceso a Sistema e Información
 

(1) Control de acceso a la información, (2) Prevenir acceso sin autorización
(intrusión) a sistemas de información, (3) Asegurar la protección de los
servicios de red, (4) Prevenir acceso sin autorización a computadores y
redes, (5) Detectar actividades no autorizadas (intrusión al sistema), y (6)
Igualmente asegurar proteger la información cuando esta en uso movíl y
telecomunicación (en línea por acceso externo).
 

Desarrollo y Mantenimiento de Sistema
 

(1) La seguridad sea parte integral del sistema de las gestiones en la organización, (2) Durante uso/acceso a información prevenir perdida, modificación o mal uso de la misma y datos, (3) Proteger la confidencia, autenticidad e integridad de la información, (4) Asegurar proyectos de informática y actividades de soporte se realicen de manera segura, (5) Mantener la seguridad de las aplicaciones y plataforma operativa en el uso de datos, información y "software".
 

Seguridad de Ambiente y Física - Ambiente Laboral
 

Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información.

Cumplimiento a Requisitos Legales y Otros

(1) Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad, (2) Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO/IEC 27002 | ISO/IEC 27001, ISO 9001 y otras, también considerar guías ISO 13335 o ISO 15408), (3) Optimizar la eficacia con el proceso de verificar / auditar el sistema.
 

• ISO 13335 - Guías para Administración de Seguridad (de Información)

• ISO 15408 - Criterio para Seguridad (Informática)
   

Seguridad del Personal
 

Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información. Mediante conocimiento y prácticas, asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Las políticas y su palicación son para asegurar reducir incidentes de seguridad y funcionamiento inadecuado. Aplicar pasads experiencias a mejorar la seguridad e integridad de la información (aprender y aplicar experiencias).
 

Seguridad de la Organización
 

(1) Administrar la información de forma efectivamente segura, (2) Mantener seguridad de bienes y de las actividades en el procesado de información y sus premisas cuando accesan otras partes (externos, contratistas), (3) Mantener la integridad de la información cuando se utilicen servicios externos (de apoyo y extensión de servicios).
 

Administración de Sistemas y Redes
 

(1) Asegurar premisas y operaciones efectivas a la seguridad durante uso y retención de la información, (2) Minimizar las probabilidades de fallas en sistema ("Hardware"), (3) Proteger la integridad del "software" y la información que esta retiene, (4) Mantener integridad y disponibilidad de información en las redes y su comunicación, (5) Asegurar salvaguardar información en red y la protección de su infraestructura, (6) Prevenir daños a los bienes (inmoviles y otros) + el potencial de interrupciones a las actividades de la organización, (7) Prevenir perdida, modificación o mal uso de información cuando la misma se comunica entre organizaciones (clientes, proveedores, infraestructura).
 

Control y Clasificación de Bienes, Inventariar Equipos, Competencias...
 

Mantener protección apropiada de los bienes de la empresa, asegurando que la información reciba un nivel de protección apropiado (a la naturaleza de las actividades).
 

Política de Seguridad
 

Proveer dirección y apoyo por la seguridad de información.