Professional Documents
Culture Documents
Pgina 1 de 22
SGSI-V.003.2 Ing. Jaime Lpez Hernndez Uso exclusivo educativo Ed. Sep/09
ISO 27001
Planificar (establecer la poltica, los objetivos, procesos y procedimientos de seguridad pertinentes para
gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados acordes con las
polticas y objetivos globales de una organizacin.
Hacer (implementar y operar la poltica, los controles, procesos y procedimientos del SGSI.
Verificar (evaluar, y, en donde sea aplicable, medir el desempeo del proceso contra la poltica y los objetivos
de seguridad y la experiencia prctica, y reportar los resultados a la direccin, para su revisin.
Actuar (emprender acciones correctivas y preventivas con base en los resultados de la auditoria interna del
SGSDI y la revisin por la direccin, para lograr la mejora continua del SGSI.
0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN
Esta norma est alineada con la NTC-ISO 9001:2008 y la NTC-ISO 14001:2004.
Esta norma est diseada para permitir que una organizacin alinee o integre su SGSI con los requisitos de
los sistemas de gestin relacionados.
TECOLOGIA DE IFORMACI TECICAS DE SEGURIDAD
SISTEMA DE GESTI DE SEGURIDAD DE IFORMACI - REQUISITOS
Importante: esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los
usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en s misma no confiere
exencin de las obligaciones legales.
1. OBJTETO
1.1 GENERALIDADES
Esta norma internacional es aplicable a todo tipo de organizacin.
Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento,
revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del
negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad adaptados a las
necesidades de las organizaciones individuales o a partes de ellas.
El SGSI est diseado para seleccionar controles suficientes y proporcionarles que protejan los
activos de informacin y brinden confianza a las partes interesadas.
Nota: Las referencias que se hacen en esta norma a negocio se deberan interpretar ampliamente como aquellas
actividades que son esenciales para la existencia de la organizacin.
Nota: La norma ISO17799-ISO 27002 brinda orientacin sobre la implementacin, que se puede usar cuando se disean
controles.
1.2 APLICACIN
Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas las
organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la exclusin de
cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una organizacin declara
conformidad con la presente norma. Cualquier exclusin de controles, considerada necesaria para satisfacer
los criterios de aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos
asociados han sido aceptados apropiadamente por las personas responsables. En donde se excluya cualquier
control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusiones
no afecten la capacidad de la organizacin y/o la responsabilidad para ofrecer seguridad de la informacin que
satisfaga los requisitos de seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios
aplicables.
Nota: si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (ISO 9001 ISO
14001), en la mayora de los casos es preferible satisfacer los requisitos de la presente norma dentro de este sistema de
gestin existente.
2 NORMAS REFERENCIALES
ISO/IEC 17799:2005 o ISO 27002.
Tecnologas de Informacin. Tcnicas de seguridad. Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin.
3 TERMINOS Y DEFINICIONES
Aceptacin del riesgo: decisin de asumir el riesgo.
Activo: cualquier cosa que tiene valor para la organizacin.
Anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.
Confidencialidad: propiedad que determina la condicin de que la informacin no est disponible ni sea
revelada a individuos o procesos no autorizados.
Pgina 2 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Declaracin de aplicabilidad: documento que describe los objetivos de control y los controles pertinentes y
aplicables para el SGSI de la organizacin.
Nota: Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de valoracin y
tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos del negocio de la
organizacin en cuanto a la seguridad de la informacin.
Disponibilidad: propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada.
Evaluacin del riesgo: proceso de comparar el riesgo estimado contra el criterio de riesgo dado, para
determinar la importancia del riesgo
Evento de seguridad de la informacin: presencia identificada de una condicin de un sistema, servicio o
red, que indica una posible violacin de la poltica de seguridad de la informacin o falla de las salvaguardas,
o una situacin desconocida previamente que puede ser pertinente a la seguridad
Gestin del riesgo: actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo
Incidente seguridad de la informacin: un evento o serie de eventos de seguridad de la informacin no
deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la informacin.
Integridad: propiedad de proteger la exactitud y estado completo de los activos
Riesgo residual: nivel restante de riesgo despus del tratamiento de riesgo.
Seguridad de la informacin: preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin; adems, pueden involucrar otras propiedades tales como: autenticidad, trazabilidad
(Accountability), no repudio y fiabilidad.
Sistema de gestin de la seguridad de la informacin SGSI: parte del sistema de gestin global, basada
en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la informacin.
Nota: El sistema de gestin incluye estructura organizacional, polticas, actividades de planificacin, responsabilidades,
prcticas, procedimientos, procesos y recursos.
Tratamiento de riesgo: proceso de seleccin e implementacin de medidas para modificar el riesgo.
Nota: En la presenta norma el trmino control se usa como sinnimo de medida.
Valoracin del riesgo: proceso global de anlisis y evaluacin del riesgo.
Pgina 3 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 4 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
a) Formular plan para tratamiento de riesgos que identifique la accin de gestin apropiada, los
recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin.
(Ver 5);
b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que
incluye considerar la financiacin y la asignacin de funciones y responsabilidades;
c) Implementar los controles seleccionados en el numeral 4.2.1 g) para cumplir los objetivos de control;
d) definir cmo medir la eficacia de los controles o grupos de controles seleccionados, y especificar
cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir
resultados comparables y reproducibles. (ver 4.2.3 c);
Nota: La medicin de la eficacia de los controles permite a los gerentes y al personal determinar la medida en que
se cumplen los objetivos de control planificados.
e) implementar programas de formacin y de toma de conciencia. (ver 5.2.2);
f) gestionar la operacin del SGSI;
g) gestionar recursos del SGSI (ver 5.2);
h) implementar procedimientos y otros controles para detectar y dar respuesta oportuna a los
incidentes de seguridad. (ver 4.2.3).
4.2.3 Seguimiento y revisin del SGSI
La organizacin debe:
a) Ejecutar procedimientos de seguimiento y revisin y otros controles para:
1) detectar rpidamente errores en los resultados del procesamiento;
2) identificar con prontitud los incidentes e intentos de violacin de la seguridad, tanto los que
tuvieron xito como los que fracasaron;
3) posibilitar que la direccin determine si las actividades de seguridad delegadas a las
personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la
forma esperada;
4) ayudar a detectar eventos de seguridad, y de esta manera impedir incidentes de seguridad
mediante el uso de indicadores, y
5) determinar si las acciones tomadas para solucionar un problema de violacin a la seguridad
fueron eficaces.
b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la poltica y
objetivos del SGSI, y la revisin de controles de seguridad) teniendo en cuenta los resultados de las
auditorias de seguridad, incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas
las partes interesadas.
c) Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
d) Revisar la valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y
riesgo aceptable identificado, teniendo en cuenta los cambios en:
1) la organizacin,
2) la tecnologa,
3) los objetivos y proceso del negocio,
1) las amenazas identificadas,
2) la eficacia de los controles implementados, y
3) eventos externos, tales como cambios en el entorno legal o reglamentario, en las
obligaciones contractuales, y en el clima social.
e) Realizar auditorias internas del SGSI a intervalos planificados. (ver 6).
Nota: Las auditorias internas, denominadas algunas veces auditorias de primera parte, las realiza la propia
organizacin u otra organizacin en su nombre, para propsitos internos.
f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el
alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI (ver 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de
seguimiento y revisin.
h) Registrar acciones y eventos que podrn tener impacto en la eficacia o el desempeo del SGSI. (ver
4.3.3).
4.2.4 Mantener y mejorar el SGSI
La organizacin debe, regularmente:
a) Implementar las mejoras identificadas en el SGSI;
Pgina 5 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3.
Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la
propia organizacin;
c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las
circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder;
d) Asegurar que las mejoras logren los objetivos previstos.
4.3 REQUISITOS DE DOCUMENTACIN
4.3.1 Generalidades
La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar que las acciones
sean trazables a las decisiones y polticas de la gerencia, y que los resultados registrados sean reproducibles.
Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y los resultados
del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la poltica y objetivos del SGSI.
La documentacin debe incluir:
a) declaraciones documentadas de la poltica y los objetivos del SGSI (ver 4.2.1 b);
b) el alcance del SGSI (ver 4.2.1 a);
c) procedimientos y controles que los apoyan el SGSI;
d) una descripcin de la metodologa de valoracin de riesgos (ver 4.2.1 c);
e) el informe de valoracin de riesgos (ver 4.2.1 c) a g);
f) el plan de tratamiento de riesgos (ver 4.2.2 b);
g) los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la
planificacin, operacin y control de sus procesos de seguridad de la informacin, y para describir
cmo medir la eficacia de los controles (ver 4.2.3 c);
h) los registros exigidos por esta norma (ver 4.3.3), y
i) la declaracin de aplicabilidad.
Nota1: En esta norma, el trmino procedimiento documentado significa que el procedimiento est establecido,
documentado, implementado y mantenido.
Nota2: El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a:
- El tamao de la organizacin y el tipo de sus actividades, y
- El tamao y complejidad de los requisitos de seguridad y del sistema que se est gestionando.
Nota3: Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
4.3.2 Control de documentos
Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento
documentado para definir las acciones de gestin necesarias para:
a) aprobar los documentos en cuanto a su suficiencia antes de su publicacin;
b) revisar y actualizar los documentos segn sea necesario y reaprobarlos;
c) asegurar que los cambios y el estado de actualizacin de los documentos estn identificados;
d) asegurar las versiones ms recientes de los documentos pertinentes estn disponibles en los puntos
de uso;
e) asegurar que los documentos permanezcan legibles y fcilmente identificables;
f) asegurar que los documentos estn disponibles para quienes los necesiten, y que se apliquen los
procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y
disposicin final.
g) asegurar que los documentos de origen externo estn identificados;
h) asegurar que la distribucin de documentos est controlada;
i) impedir el uso no previsto de los documentos obsoletos; y
j) aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier
propsito.
4.3.3 Control de Registros
Se deben establecer y mantener registros para brindar la evidencia de la conformidad con los requisitos y la
operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta
cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben
permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin,
almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se deben
documentar e implementar.
Se deben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de todos los
casos de incidentes de seguridad significativos relacionados con el SGSI.
Pgina 6 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Ejemplo: Algunos ejemplos de registros son: un libro de visitantes, informes de auditoras y formatos de autorizacin de
acceso diligenciados.
5 RESPONSABILIDAD DE LA DIRECCIN
5.1 COMPROMISO DE LA DIRECCIN
La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin,
seguimiento, revisin, mantenimiento y mejora del SGSI:
a) Mediante el establecimiento de una poltica del SGSI;
b) asegurando que se establezcan los objetivos y planes del SGSI;
c) estableciendo funciones y responsabilidades de seguridad de la informacin;
d) comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin
y de la conformidad de la poltica de seguridad de la informacin, sus responsabilidades bajo la ley, y
la necesidad de la mejora continua;
e) brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar,
mantener y mejorar un SGSI. (ver 5.2.1);
f) decidiendo los criterios para la aceptacin del riesgos, y los niveles de riesgo aceptables;
g) asegurando que se realizan auditorias Internas del SGSI (ver 6), y
h) efectuando las revisiones por la direccin, del SGSI (ver 7).
5.2 GESTION DE RECURSOS
5.2.1 Provisin de recursos
La organizacin debe determinar y suministrar los recursos necesarios para:
a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI;
b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del
negocio;
c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad
contractuales.
d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles
implementados;
e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de
estas revisiones; y.
f) en donde se requiera, mejorar la eficacia del SGSI.
5.2.2 Formacin, toma de conciencia y competencia
La organizacin debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI
sea competente para realizar las tareas exigidas, mediante:
a) la determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el
SGSI;
b) el suministro de formacin o realizacin de otras acciones (por ejemplo: la contratacin de personal
competente) para satisfacer estas necesidades;
c) la evaluacin de la eficacia de las acciones emprendidas, y
d) el mantenimiento de registro de educacin, formacin, habilidades, experiencia y calificaciones (ver
4.3.3).
La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e
importancia de sus actividades de seguridad de la informacin y cmo ellas contribuyen al logro de los
objetivos del SGSI.
6 AUDITORIAS INTERNAS AL SGSI
La organizacin debe realizar auditorias internas al SGSI a intervalos planificados, para determinar si los
objetivos de control, controles, procesos y procedimientos de su SGSI:
a) cumplen los requisitos de esta norma y de la legislacin o reglamentaciones pertinentes;
b) cumplen los requisitos identificados de seguridad de la informacin;
c) estn implementados y se mantienen eficazmente, y
d) tienen un desempeo acorde con lo esperado.
Se debe planificar un programa de auditoria, tomando en consideracin el estado e importancia de los
procesos y reas que se van a auditar, as como los resultados de auditorias previas. Se deben definir los
criterios, alcance, frecuencia y mtodos de auditoria. La seleccin de los auditores y la realizacin de las
auditorias deben asegurar la objetividad e imparcialidad del proceso de auditoria. Los auditores no deben
auditar su propio trabajo.
Pgina 7 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 8 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 9 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
ANEXO A
Pgina 10 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Control: Los acuerdos con terceras partes que implican acceso, procesamiento, comunicacin o gestin de la
informacin o de los servicios de procesamiento de informacin de la organizacin, o la adicin de productos o
servicios a los servicios de procesamiento de la informacin deben considerar todos los requisitos pertinentes
de seguridad
Pgina 11 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 12 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Control: Se deben suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los
diferentes riesgos de trabajar fuera de las instalaciones de la organizacin
A.9.2.6 Seguridad en la reutilizacin o eliminacin de equipos
Control: Se deben verificar todos los elementos del equipo que contenga medios de almacenamiento para
asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se haya
sobrescrito de forma segura, antes de la eliminacin
A.9.2.7 Retiro de activos
Control: Ningn equipo, informacin ni software se deben retirar sin autorizacin previa.
Pgina 13 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
A.10.5 Respaldo
Objetivo de control: Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de
informacin.
A.10.5.1 Respaldo de la informacin
Control: Se deben hacer copias de respaldo de la informacin y software, y se deben poner a prueba con
regularidad de acuerdo con la poltica de respaldo acordada.
A.10.6 Gestin de la seguridad de las redes
Objetivo de control: Asegurar la proteccin de informacin en las redes y proteccin del soporte de la infraestructura de
soporte.
A.10.6.1 Controles de las redes
Control: Las redes se deben mantener y controlar adecuadamente para protegerlas de las amenazas y
mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la informacin en trnsito.
A.10.6.2 Seguridad de los servicios de red.
Control: En cualquier acuerdo sobre los servicios de la red se deben identificar e incluir las caracterstica de
seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de la red, sin importar si los
servicios se prestan en la organizacin o se contratan externamente.
A.10.7 MANEJO DE LOS MEDIOS
Objetivo de control: Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en
las actividades del negocio.
A.10.7.1 Gestin de los medios removibles
Control: Se debe establecer procedimientos para la administracin de los medios removibles.
A.10.7.2 Eliminacin de medios
Control: Cuando ya no se requieran estos medios, su eliminacin se debe hacer de forma segura y sin
riesgos, utilizando los procedimientos formales.
A.10.7.3 Procedimientos para el manejo de la informacin
Control: Se deben establecer procedimientos para el manejo y almacenamiento de la informacin con el fin
de proteger dicha informacin contra divulgacin no autorizada o uso inadecuado.
A.10.7.4 Seguridad de la documentacin del sistema
Control: La documentacin del sistema debe estar protegida contra el acceso no autorizado.
A.10.8 Intercambio de informacin
Objetivo de control: Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin
y con cualquier entidad externa.
A.10.8.1 Polticas y procedimientos para el intercambio de informacin
Control: Se deben establecer polticas, procedimientos y controles formales de intercambio para proteger la
informacin mediante el uso de todo tipo de servicios de comunicacin.
A.10.8.2 Acuerdos para el Intercambio
Control: Se deben establecer acuerdos para los intercambios de informacin y del software entre la
organizacin y partes externas.
A.10.8.3 Medios fsicos en trnsito
Control: Los medios que contienen informacin se deben proteger contra el acceso no autorizado, el uso
inadecuado o la corrupcin durante el transporte ms all de los lmites fsicos de la organizacin.
A.10.8.4 Mensajera electrnica
Control: La informacin contenida en la mensajera electrnica debe tener la proteccin adecuada.
A.10.8.5 Sistemas de informacin del negocio
Control: Se deben establecer, desarrollar e implementar polticas y procedimientos para proteger la
informacin asociada con la interconexin de los sistemas de informacin del negocio.
A.10.9 Servicio de comercio electrnico
Objetivo de control: Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura.
A.10.9.1 Comercio electrnico
Control: La informacin involucrada en el comercio electrnico que se transmite por las redes pblicas debe
estar protegida contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no
autorizada.
A.10.9.2 Transacciones en lnea
Control: La informacin involucrada en las transacciones en lnea debe estar protegida para evitar
transmisin incompleta, enrutamiento inadecuado, alteracin, divulgacin, duplicacin o repeticin no
autorizada del mensaje.
Pgina 14 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 15 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 16 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Control: Se deben desarrollar e implementar polticas, planes operativos y procedimientos para las
actividades de trabajo remoto
Pgina 17 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 18 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Control: Los planes de continuidad del negocio se deben someter a pruebas y revisiones peridicas para
asegurar su actualizacin y su eficacia.
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento con los requisitos legales
Objetivo de control: Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y
de cualquier requisito de seguridad.
A.15.1.1 Identificacin de la legislacin aplicable
Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, as como el enfoque de
la organizacin para cumplir estos requisitos se deben definir explcitamente, documentar y mantener
actualizados para cada sistema de informacin y para la organizacin.
A.15.1.2 Derechos de propiedad intelectual (DPI)
Control: Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos
legales, reglamentarios y contractuales sobre el uso del material con respecto al cual se pueden existir
derechos de propiedad intelectual y sobre el uso de productos de software patentados.
A.15.1.3 Proteccin de los registros de la organizacin
Control: Los registros importantes se deben proteger contra prdida, destruccin y falsificacin, de acuerdo
con los requisitos estatutarios, reglamentarios, contractuales, y del negocio.
A.15.1.4 Proteccin de los datos y privacidad de la informacin personal
Control: Se debe garantizar la proteccin de los datos y la privacidad, de acuerdo con la legislacin y los
reglamentos pertinentes y, si se aplica, con las clusulas del contrato.
A.15.1.5 Prevencin del uso inadecuado de los servicios de procesamiento de la informacin
Control: Se debe disuadir a los usuarios de utilizar los servicios de procesamiento de informacin para
propsitos no autorizados.
A.15.1.6 Reglamentacin de los controles criptogrficos
Control: Se deben utilizar controles criptogrficos que cumplan todos los acuerdos, las leyes y los
reglamentos pertinentes.
A.15.2 Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico
Objetivo de control: Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin.
A.15.2.1 Cumplimiento con las polticas y normas de seguridad.
Control: Los directores deben garantizar que todos los procedimientos de seguridad dentro de su rea de
responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las polticas y las normas de
seguridad.
A.15.2.2 Verificacin de cumplimiento tcnico
Control: Los sistemas de informacin se deben verificar peridicamente para determinar el cumplimiento con
las normas de implementacin de la seguridad.
A.15.3 Consideraciones de auditora de sistemas de informacin
Objetivo de control: Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su
interferencia.
A.15.3.1 Controles de auditoria de los sistemas de informacin
Control: Los requisitos y las actividades de auditoria que implican verificaciones de los sistemas operativos se
deben planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones de los procesos del
negocio.
A.15.3.2 Proteccin de las herramientas de auditoria de sistemas de informacin
Control: Se debe proteger el acceso a las herramientas de auditoria de los sistemas de informacin para
evitar su uso inadecuado o ponerlas en peligro.
ANEXO B
PRINCIPIOS
Toma de conciencia
Responsabilidad
Respuesta
Valoracin de riesgos
Diseo e implementacin de la seguridad
Gestin de la seguridad
Reevaluacin
Pgina 19 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Pgina 20 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Anexo C
Pgina 21 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Anexo C
Pgina 22 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com