Seguridad de lainformacion ciberseguridady proteccionde la privacidad
Control delaseguridad delainformacion
Esta norma ha sido elaborada por el ite tecnicoCTN-UNE 320 Ciberseguridad y proteccion de datospersonales cuya secretaria desempena UNE.
UNE-EN ISO/IEC 27002
Seguridad de la informacion ciberseguridad y proteccion de la privacidad(ISO/IEC 27002:2022) Control de la seguridad de la informacion
Information security cybersecurity and privocy protection. Information security controls(ISO/IEC 27002:2022).
Securite de Iinformotion cybersecurite et protection de lo vie privee. Moyens de maitrise de I'information(ISO/IEC 27002:2022).
Esta norma es la version oficial en espafiol de la Norma Europea EN ISO/IEC 27002:2022 que asu vez adopta la Norma Internacional ISO/IEC 27002:2022.
Esta norma anula y sustituye a la Norma UNE-EN ISO/IEC 27002:2017.
Esta version corregida de la Norma UNE-EN ISO/IEC 27002:2023 incorpora las siguientes correcciones:
- Se modifican los encabezados de las tablas B.1 y B.2.
- Se afiade un parrafo entre las tablas B.1 y B.2.
Las observaciones a este documento han de dirigirse a:
Asociacion Espaniola de Normalizacion
Genova 6Tel: 915 294 900 28004 MADRID-Espanainfo@
Prohibida la reproduccion sin el consentimiento de UNE. UNE 2023Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
UNE
Version en espanol
Seguridad de la informacion ciberseguridad y proteccion dela privacidad Control de laseguridad dela informacion (ISO/IEC 27002:2022)
Securite de l'information cybersecurite et protection de la vie privee. Moyens(ISO/IEC 27002:2022). de maitrise de l'information
Informationssicherheit Cybersicherheit und Schutz derPrivatsphare. InformationssicherheitsmaSnahmen(ISO/IEC 27002:2022).
Information security cybersecurity and privacy protection. Informationsecurity controls (ISO/IEC 27002:2022).
Esta norma europea ha sido aprobada por CEN/CENELEC el 2022-10-30.
las condiciones dentro de las cuales debe adoptarse sin modificacion la norma europea o norma Los miembros de CEN/CENELEC estan sometidos al Reglamento Interior de CEN/CENELEC que definenormas nacionales pueden obtenerse en el Centro de Gestion de CEN/CENELEC o a traves de sus nacional. Las correspondientes listas actualizadas y las referencias bibliograficas relativas a estasmiembros.
Esta norma europea existe en tres versiones oficiales (aleman frances e ingles). Una version en otranotificada al Centro de Gestion de CEN/CENELEC tiene el mismo rango que aquellas.
Los miembros de CEN/CENELEC son los organismos nacionales de normalizacion y los iteselectrotecnicos nacionales de los paises siguientes: Alemania Austria Belgica Bulgaria Chipre Croacia Dinamarca Eslovaquia Eslovenia Espana Estonia Finlandia Francia Grecia Hungria Irlanda Islandia Italia Letonia Lituania Luxemburgo Malta Noruega Paises Bajos Polonia Portugal Reino Unido Republica Checa Repuiblica de Macedonia del Norte Rumania Serbia Suecia Suiza y Turquia.
CENTRO DE GESTION DE CEN/CENELECRue de la Science 23 B-1040 Brussels Belgium
2022 CEN/CENELEC. Derechos de reproduccion reservados a los Miembros de CEN/CENELEC.
indice
Prologo europeo Declaracion....Prologo.80 0.1 Antecedentes y contexto.. Introduccion. ...10 ..1020 Requisitos de seguridad de la informacion. ...100.4 Controles. Determinar los controles. ..11 ...110.5 90 Elaboracion de directrices especificas para cada organizacion. Consideraciones relativas al ciclo de la vida. ..120.7 Normas internacionales relacionadas. ...1.2 121 Objeto y campo de aplicacion. 122 Normas para consulta. ...133 3.1 Terminos y definiciones. Terminos definiciones y abreviaturas. ..13 133.2 Terminos abreviados. ...184 Estructura del documento. 204.1 4.2 Temas y atributos.. Capitulos.. ..20 204.3 Panel de control. 225 Organizacion. 225.1 5.2 Politicas para la seguridad de la informacion. Roles y responsabilidades en seguridad de la informacion. ..2 255.3 Segregacion de tareas... 265.4 5.5 Responsabilidades de la direccion... Contacto con las autoridades. .27 285.6 Contacto con grupos de interes especial.5.7 5.8 Seguridad de la informacion en la gestion de proyectos. Inteligencia de amenazas. ...30 325.9 Uso aceptable de la informacion y activos asociados Inventario de informacion y otros activos asociados. 345.10 5.11 Devolucion de activos. 36 375.13 5.12 Clasificacion de la informacion. ...40 ..385.14 Etiquetado de la informacion. Transferencia de la informacion. ...425.15 Control de acceso.... Gestion de identidad ..47 ...455.17 5.16 Informacion de autenticacion.5.18 5.19 Seguridad de la informacion en las relaciones con los proveedores. Derechos de acceso. ..535.20 Abordar la seguridad de la informacion dentro de los acuerdos deproveedores ..56
5.21 Gestion de la seguridad de la informacion en la cadena de suministrode las TI... ...595.22 proveedores.. Seguimiento revision y gestion del cambio de los servicios de ...615.23 5.24 Seguridad de la informacion para el uso de servicios en la nube... Planificacion y preparacion de la gestion de incidentes de seguridad ...63de la informacion... ....665.25 Evaluacion y decision sobre los eventos de seguridad de la informacion... .695.26 Respuesta a incidentes de seguridad de la informacion. ...695.27 5.28 Recopilacion de evidencias... Aprender de los incidentes de seguridad de la informacion. ...71 ..715.29 Seguridad de la informacion durante la interrupcion.. ..735.31 5.30 Identificacionderequisitoslegalesreglamentariosycontractuale....75 Preparacion para las TIC para la continuidad del negocio. ...745.32 Proteccion de los registros .. Derechos de propiedad intelectual (DPl). ...775.33 5.34 Privacidad y proteccion de datos de caracter personal (DCP). ...81 ...795.35 5.36 Revision independiente de la seguridad de la informacion. Cumplimiento de las politicas y normas de seguridad de la ...82informacion.... 835.37 Documentacion de procedimientos operacionales. ...856 Controles de personas. Comprobacion .866.1 6.2 Terminos y condiciones de contratacion.. ...88 .866.3 informacion. Concienciacion educacion y formacion en seguridad de la6.4 Proceso disciplinario ...91 ...896.5 6.6 Responsabilidades ante la finalizacion o cambio. Acuerdos de confidencialidad o no divulgacion. ...2 ...9.6.7 Teletrabaj.. ...956.8 Notificacion de los eventos de seguridad de la informacion ..977 Controles fisicos.... ...98 ..987.1 7.2 Controles fisicos de entrada. Perimetro de seguridad fisica...... 1007.3 7.4 Seguridad de oficinas despachos y recursos .. Monitorizacion de la seguridad fisica.... 102 1037.5 Proteccion contra las amenazas externas y ambientales .. 1047.6 7.7 El trabajo en areas seguras..... Puesto de trabajo despejado y pantalla limpia... .106 1057.8 Emplazamiento y proteccion de equipos. .1087.9 7.10 Seguridad de los equipos fuera de las instalaciones.. Soportes de almacenamiento... .110 1097.11 Instalaciones de suministro ... .1127.12 7.13 Mantenimiento de los equipos. Seguridad del cableado. 113 1147.14 Eliminacion o reutilizacion segura de los equipos... 1158 Controles tecnologicos. 1178.1 Dispositivos finales de usuario... 117
