Este documento establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Define términos clave como activo, control, directriz, servicio de procesamiento de información, política, riesgo, análisis de riesgos, evaluación de riesgos y valoración de riesgos. Describe la estructura de la norma, que contiene once secciones sobre controles de seguridad organizados en categorías principales.

1. TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. CÓDIGO
DE PRÁCTICA
PARA LA GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN

2. OBJETO
 Esta norma establece directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestión de la seguridad de la información en una organización. Los
objetivos indicados en esta norma brindan una guía general sobre las metas aceptadas
comúnmente para la gestión de la seguridad de la información.
 Los objetivos de control y los controles de esta norma están destinados a ser
implementados para satisfacer los requisitos identificados por la evaluación de riesgos.
Esta norma puede servir como guía práctica para el desarrollo de normas de seguridad de
la organización y para las prácticas eficaces de gestión de la seguridad, así como para
crear confianza en las actividades entre las organizaciones

3. TÉRMINOS Y DEFINICION
Para los propósitos de este documento se aplican los siguientes términos y definiciones:
Activo: Cualquier cosa que tenga valor para la organización
Control. Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices,
prácticas o estructuras de la organización que pueden ser de naturaleza administrativa,
técnica, de gestión o legal.
Directriz: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los
objetivos establecidos en las políticas.
Servicios de procesamiento de información: Cualquier servicio, infraestructura o
sistema de procesamiento de información o los sitios físicos que los albergan.

4. NORMA TÉCNICA COLOMBIANA NTC-
ISO/IEC 27002
Seguridad de la información. Preservación de la confidencialidad, integridad y
disponibilidad de la información, además, otras propiedades tales como autenticidad,
responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Evento de seguridad de la información. Un evento de seguridad de la información es
la presencia identificada de un estado del sistema, del servicio o de la red que indica un
posible incumplimiento de la política de seguridad de la información, una falla de
controles, o una situación previamente desconocida que puede ser pertinente para la
seguridad.
Incidente de seguridad de la información. Un incidente de seguridad de la información
está indicado por un solo evento o una serie de eventos inesperados o no deseados de
seguridad de la información que tienen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información.
Política: Toda intención y directriz expresada formalmente por la Dirección
Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.

5. Análisis de riesgos: Uso sistemático de la información para identificar las fuentes
y estimar el riesgo.
Evaluación de riesgos. Todo proceso de análisis y valoración del riesgo.
Valoración del riesgo. Proceso de comparación del riesgo estimado frente a
criterios de riesgo establecidos para determinar la importancia del riesgo.
ESTRUCTURA DE ESTA NORMA
Esta norma contiene once secciones sobre controles de seguridad que en
conjunto tienen un total de 39 categorías principales de seguridad y una sección
de introducción a la evaluación y el tratamiento del riesgo.
CLÁUSULAS
Cada cláusula contiene una cantidad de categorías principales de seguridad. Estas once
cláusulas (acompañadas por la cantidad de categorías principales de seguridad incluida en
cada numeral) son:
a) Política de seguridad (1).
b) Organización de la seguridad de la información (2).
c) Gestión de activos (2).
d) Seguridad de los recursos humanos (3).
e) Seguridad física y del entorno (2).
f) Gestión de operaciones y comunicaciones (10).

6. g) Control del acceso (7).
h) Adquisición, desarrollo y mantenimiento de sistemas de información (6).
i) Gestión de los incidentes de seguridad de la información (2).
j) Gestión de la continuidad del negocio (1).
k) Cumplimiento (3).
NOTA: El orden de las cláusulas no implica su importancia. Dependiendo de las circunstancias,
todos las cláusulas
podrían ser importantes, por lo tanto cada organización que aplique esta norma debería identificar
las cláusulas
aplicables, su importancia y su aplicación a procesos individuales del negocio. Igualmente, ninguna
de las listas de
esta norma está en orden prioritario, a menos que así se indique.
CATEGORÍAS PRINCIPALES DE SEGURIDAD
Cada categoría principal de seguridad contiene:
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27002 DE 211-07
a) un objetivo de control que establece lo que se debe lograr;
b) uno o más controles que se pueden aplicar para lograr el objetivo de control.
Las descripciones de los controles tienen la siguiente estructura:
Control
Define la declaración específica del control para cumplir el objetivo de control.

7. Guía de implementación
Suministra información más detallada para apoyar la implementación del control y satisfacer el
objetivo de control. Algunas partes de esta guía pueden no ser adecuadas en todos los casos y
por ello pueden ser más apropiadas otras formas de implementación del control.
Información adicional
Suministra información que puede ser necesario considerar, por ejemplo las consideraciones
legales y las referencias a otras normas.