Please enable JavaScript.
Coggle requires JavaScript to display documents.
NTP-ISO/IEC 17799:2007 iso (1) - Coggle Diagram
NTP-ISO/IEC 17799:2007
9. Seguridad Física y del Entorno :check:
Seguridad de equipos
Instalación y protección de equipos
Suministro Eléctrico
Seguridad del cableado
Mantenimiento de Equipos
Seguridad de equipos fuera de los locales de la organización
Seguridad en el rehúso o eliminación de equipos
Retiro de la propiedad
Áreas Seguras
Perímetro de Seguridad Física
Controles Físicos de Entradas
Seguridad de Oficinas, Despachos y Recursos
Protección contra amenazas externas y ambientales
El trabajo en las áreas seguras
Acceso publico, áreas de carga y descarga
12. Adquisición, Desarrollo y Mantenimiento de Sistemas
Requisitos de seguridad de los sistemas :star:
Mejoras del sistemas
Análisis y especificación de los requisitos de seguridad
Seguridad de las aplicaciones del sistema
Validación de los datos de entrada
Integridad de mensajes
Validación de los datos de salida
Controles criptográficos :fountain_pen:
Política de uso de los controles criptográficos
Gestión de claves
Seguridad de los archivos del sistema
Control del software en producción
Protección de los datos de prueba del sistema
Control de acceso a los códigos de programas fuentes
Seguridad en los procesos de desarrollo y soporte :red_flag:
Restricciones en los cambios a los paquetes de software
Fuga de Información
Desarrollo externo del software
Gestión de la vulnerabilidad técnica :check:
Control de las vulnerabilidades técnicas
Inventario actual y completo de activos
8. Seguridad en Recursos Humanos
Durante el Empleo :red_flag:
Conocimiento, Educación y Entrenamiento de la Seguridad de la Información
Proceso Disciplinario
Responsabilidades de la Gerencia
Finalización o Cambio del Empleo
Retorno de Activos
Retiro de los Derechos de Acceso
Responsabilidades de Finalización
Seguridad Antes del Empleo 1
Selección y Política de Personal
Acuerdos de Confidencialidad
Inclusión de la Seguridad en las Responsabilidades y Funciones Laborales
14.Gestión de Continuidad del Negocio - Aspectos de la gestión de continuidad del negocio
Continuidad del negocio y evaluación de riesgos
Seguridad de Información en el proceso de gestión de la continuidad del negocio
Redacción e implantación de planes de continuidad
Marco de planificación para la continuidad
Prueba, mantenimiento y re evaluación de los planes de continuidad
11. Control de Accesos
Control de Acceso a la Red
Diagnostico Remoto y Configuración de Protección de Puertos
Segregación en las Redes
Control de Conexión a las Redes
Identificación de Equipos en las Redes
Autentificación de Usuario para Conexiones Externas :red_flag:
Control de Enrutamiento en la Red
Política de Uso de los Servicios de la Red
Responsabilidades de los Usuarios
Uso de Contraseñas
Equipo Informático de Usuario Desatendido
Políticas de Pantalla y Escritorio Limpio
Gestión de Accesos de Usuarios
Gestión de Privilegios :silhouettes:
Gestión de Contraseñas de Usuario :
Registros de Usuarios : :silhouette:
Revisión de los Derechos de Acceso de los Usuarios
Control de Acceso al Sistema Operativo
Sistema de Gestión de Contraseñas
Utilización de las Facilidades del Sistema :warning:
Identificación y autentificación del Usuario
Desconexión automática de sesiones :recycle:
Procedimiento de Conexión de Terminales
Limitación de Tiempo de Conexión
Control de Acceso a las Aplicaciones y la Información
Restricción de Acceso a la Información :no_entry:
Aislamiento de Sistemas Sensibles
Requisitos de Negocio para el Control de Accesos
Políticas de Control de Accesos
Informática Móvil y Teletrabajo
Informática Móvil y Comunicaciones
Teletrabajo
10. Gestión de comunicaciones y operaciones
10.1. Procedimientos y responsabilidades de operación
10.1.1. Documentación de procedimientos operativos
:red_flag:
Control
Documentar y mantener los procedimientos
Guía de implementación
Prendido y apagado de la computadora,
Backups, mantenimiento
10.1.3. Segregación de tareas
:pen:
Control
Segregar las tareas y las áreas
Guía de implementación
Método para reducir el riesgo de mal uso
Cuidar de persona no autorizadas.
Considerar
Controles como motorización
Pistas de auditoria
10.1.2. Gestión de Cambios
:warning:
Guía de implementación
registro de cambios significativos;
Planeamiento y prueba de los cambios
Control
Control de cambios en los sistemas
10.1.4. Separación de los recursos para desarrollo y para producción
Control
Cambios al sistema operacional.
Guía de implementación
.
Compiladores
Editores
Servicios del sistema
Objetivo
Establecer responsabilidades
Procedimientos para la gestión
10.2 Gestión de servicios externos
Objetivo
Entrega de servicio en línea con los acuerdos con terceros.
10.2.1. Servicio de entrega
Control
Definiciones de servicio
Todos los controles de seguridad
Guía de Implementación
.
Aspectos de la gestión del servicio
Definiciones de servicio
10.2.2 Monitoreo y revisión de los servicios externos
Control
reportes y registros
Auditorias debe ser regularmente.
provistos por terceros monitoreados
Guía de Implementación
El monitoreo y la revisión
servicio de monitoreo de niveles
reportes de revisión de servicio
10.2.3 Gestionando cambios para los servicios externos
Control
provisión del servicio
Incluyendo mantenimiento
Guía de Implementación
Proceso de gestionar cambios
Realces en el actual servicio ofrecido
El uso de nuevas tecnologías
10.3 Planificación y aceptación del sistema
OBJETIVO: Minimizar el riesgo de fallos de los sistemas.
10.3.1 Planificación de la capacidad
El uso de recursos monitoreado
capacidades adecuadas futuras
10.3.2 Aceptación del sistema
criterios de aceptación
10.4 Protección contra software malicioso
OBJETIVO: Proteger la integridad del software y información
10.4.1 Medidas y controles contra software malicioso
concientizar a los usuarios
10.4.2 Medidas y controles contra código móvil
Una política de seguridad definida
10.5 Gestión de respaldo y recuperación
OBJETIVO
: Mantener la integridad y la disponibilidad de información
10.5.1 Recuperación de la información
Copias de seguridad
10.6 Gestión de seguridad en redes
OBJETIVO
: Asegurar la salvaguarda de la información en las redes .
10.6.1 Controles de red
Las redes deben ser manejadas
10.6.2 Seguridad en los servicios de redes
requisitos de gestión de servicios de red
10.7 Utilización de los medios de información
10.7.1 Gestión de medios removibles
procedimientos para la gestión de los medios informáticos
OBJETIVO
: Prevenir acceso no autorizado, modificaciones, evitar daños
10.7.2 Eliminación de medio
Eliminar los medios de forma segura y sin peligro
10.7.3 Procedimientos de manipulación de la información
Proteger esta información
10.7.4 Seguridad de la documentación de sistemas
protegida contra acceso no autorizado.
10.8 Intercambio de información
OBJETIVO:
Evitar la pérdida, mal uso de la información
10.8.1 Políticas y procedimientos para el intercambio de información y software
Instalaciones electrónicas de comunicación
10.8.2 Acuerdos de Intercambio
Entre la organización y terceros
10.8.3 Medios físicos en tránsito
.
acceso no autorizado
mal uso o corrupción
10.8.4 Seguridad en la mensajería electrónica
protegida apropiadamente
10.8.5 Sistemas de Información de Negocios
procedimientos para proteger la
información
10.9 Servicios de correo electrónico
OBJETIVO: Asegurar la seguridad de los servicios
10.9.1 Comercio Electrónico : :
deben ser protegidas de actividad fraudulenta
10.9.2 Transacciones en línea
la transacción quede confidencial;
10.9.3 Información publica disponible
Protegida durante la recolección, procesamiento y almacenamiento;
10.10 Monitoreo
OBJETIVO: Detectar las actividades no autorizadas.
10.10.1 Registro de la auditoria
identificaciones de usuarios;
fecha y hora de conexión y desconexión
10.10.2 Monitoreando el uso del sistema
la identificación del usuario;
la fecha y hora de los eventos clave;
.
.
10.10.4 Registro de administradores y operadores
evento o fallas;
(éxito o fracaso);
10.10.5 Registro de la avería
registradas, analizadas y acciones apropiadas
10.10.6 Sincronización del reloj
sincronizados con una fuente acordada y exacta de
tiempo.
10.10.3 Protección de la información de registro
archivos de registro editados o eliminados;
15. Cumplimiento
:check:
Revisiones de la Política de Seguridad y de la Conformidad Técnica :!:
Conformidad con la Política de Seguridad y los Estándares
Comprobación de la Conformidad Técnica
Consideraciones sobre la Auditoria de Sistemas :silhouettes:
Controles de Auditoria de Sistemas :star:
Protección de las Herramientas de Auditoria de Sistemas
Cumplimiento con los Requisitos Legales :check:
Salvaguarda de los Registros de la Organización :pencil2:
Protección de los Datos y de la Privacidad de la Información Personal :unlock:
Derechos de Propiedad Intelectual (DPI)
Prevención en el Mal Uso de los Recursos de Tratamiento de la Información :warning:
Identificación de la Legislación Aplicable
Regulación de los Controles Criptográficoa :pen:
OBJETO Y CAMPO DE APLICACIÓN :silhouettes:
para realizar la gestión de la seguridad de la información
ESTRUCTURA DE ESTE ESTANDAR :smiley:
contiene 11 cláusulas de control de seguridad
EVALUACIÓN Y TRATAMIENTO DEL RIESGO :silhouette:
Tratando riesgos de seguridad :checkered_flag:
determinar si los riesgos son aceptados o no
4.1 Evaluando los riesgos de seguridad :star:
Identifica :check:
Prioriza :red_flag:
Cuantifica :pencil2:
POLÍTICA DE SEGURIDAD :lock:
Gestión de la seguridad de la informacion :check:
Dirigir
dar Soporte
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD :lock:
6.1 Organización interna :recycle:
Iniciar
la implantación de la
seguridad de la información :red_flag:
Controlar
6.2 Seguridad en los accesos de terceras partes :warning:
Mantener la seguridad
Tratamiento de información
Activos de información
CLASIFICACIÓN Y CONTROL DE ACTIVOS :green_cross:
7.1 Responsabilidad sobre los activos :fountain_pen:
protección de activos
Inventario de activos
Propiedad de los activos
Uso adecuado de los activos
7.2 Clasificación de la información :star:
asegurar la protección
Guías de clasificación :black_flag:
por su Valor
Requisitos legales
Sensibilidad
Criticidad
Marcado y tratamiento de la información :!:
GESTIÓN DE INCIDENTES EN LA
SEGURIDAD DE INFORMACIÓN :warning:
13.1 Reportando eventos y debilidades
de la seguridad de información :red_flag:
Asegurar Eventos
seguridad de información :check:
Reportando los eventos en la
seguridad de información : :checkered_flag:
gestión de canales
apropiada
Reportando debilidades en la
seguridad de información :recycle:
anotar
reportar
Debilidades
13.2 Gestión de las mejoras e incidentes
en la seguridad de información :lock:
Asegurar el alcance :pencil2:
Responsabilidades y
procedimientos :star:
respuesta de
incidentes
Aprendiendo de los incidentes
en la seguridad de información :black_flag:
tipos
incidentes :pen:
cuantificados
monitoriados
volúmenes
costos
Recolección de evidencia :explode:
implicar acción legal :silhouette:
civil
criminal
