2. CONCEPTO: Responde a la necesidad de proteger las áreas, el equipo y controles
generales.
La estructura de este punto de la norma es:
1.ÁREAS SEGURAS
Objetivo: Evitar el acceso físico no autorizado, daños o intromisiones
en las instalaciones y a la información de a organización.
Principios:
 Los servicios de procesamiento de información sensible deberán
ubicarse en áreas seguras, protegidas y con controles de entrada.
Estas deberán estar protegidas físicamente contra daños e
interferencias.
 La protección suministrada debería estar acorde con los riesgos
identificados.
 Informes de inspecciones periódicas de seguridad física de
instalaciones, incluyendo actualización regular del estado de
medidas correctivas identificadas en inspecciones previas que aún
estén pendientes.

3. 1.1 PERÍMETRO DE SEGURIDAD FÍSICA:
Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas
o un puesto manual de recepción) deberían utilizarse para proteger las áreas que
contengan información y recursos para su procesamiento.
1.2 CONTROLES FÍSICOS DE ENTRADA:
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados
que garanticen el acceso únicamente al personal autorizado.
1.3 SEGURIDAD DE OFICINA, DESPACHOS Y RECURSOS:
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
1.4 PROTECCIÓN CONTARA AMENAZAS EXTERNAS Y DEL ENTORNO:
Se debería designar y aplicar medidas de protección física contra incendio,
inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o
humano.
1.5 EL TRABAJO EN ÁREAS SEGURAS:
Se debería diseñar y aplicar protección física y pautas para trabajar en las áreas
seguras.
1.6 ÁREAS AISLADAS DE CARGA Y DESCARGA:
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no
autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la
información

4. 2. SEGURIDAD DE LOS EQUIPOS
Objetivo: Evitar la pérdida, daño, robo o puesta en peligro de los activos y
interrupción de las actividades de la organización.
Principios:
 Deberían protegerse los equipos contra las amenazas físicas y ambientales.
Esto es necesario para reducir el riesgo de acceso a la información y su
protección contra pérdida o robo.
 Deberán considerar la ubicación y eliminación de los equipos.
 Se podrían requerir controles especiales para la protección contra amenazas
físicas y para salvaguardar servicios de apoyo (energía eléctrica e
infraestructura del cableado).
 los vigilantes de seguridad deben impedir a empleados, visitas, personas de
soporte TI, mensajeros, etc. sacar equipos informáticos de las instalaciones
sin autorización escrita.

5. 2.1. INSTALACIÓN Y PROTECCIÓN DE EQUIPOS:
El equipo debería situarse y protegerse para reducir el riesgo de materialización de las
amenazas del entorno, así como las oportunidades de acceso no autorizado.
2.2. SUMINISTRO ELÉCTRICO:
Se deberían proteger los equipos contra fallos en el suministro de energía u otras
anomalías eléctricas en los equipos de apoyo.
2.3.SEGURIDAD DEL CABLEADO:
Se debería proteger el cableado de energía y de telecomunicaciones que transporten datos
o soporten servicios de información contra posibles interceptaciones o daños
2.4 MANTENIMIENTO DE EQUIPOS:
Se deberían mantener adecuadamente los equipos para garantizar su continua
disponibilidad e integridad.
2.5SEGURIDAD DE EQUIPOS FUERA DE LOS LOCALES DE LA ORGANIZACIÓN:
Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la
organización considerando los diversos riesgos a los que están expuestos.
2.6 SEGURIDAD EN LA REUTILIZACIÓN O ELIMINACIÓN DE EQUIPOS:
Debería revisarse cualquier elemento del equipo que contenga dispositivos de
almacenamiento con el fin de garantizar que cualquier dato sensible y software con
licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación.
2.7 TRASLADO DE ACTIVOS:
No deberían sacarse equipos, información o software fuera del local sin una autorización.