Norma ISO 27001 de 2005

NORMA ISO 27001:2005
TECOLOGIA DE IFORMACI TECICAS DE SEGURIDAD

SISTEMA DE GESTI DE SEGURIDAD DE IFORMACI - REQUISITOS
____________________________________________________________________________________________________
Propiedad de SGS Colombia S.A. Uso permitido capacitaciones en SGS Colombia S.A.
Para comprar en www.iso.org
0. INTRODUCCIN
0.1 GENERALIDADES
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin, operacin,
seguimiento, revisin, mantenimiento y mejora de un SGSI. La adopcin de un SGSI debera ser una decisin
estratgica. El diseo e implementacin del SGSI estn influenciados por las necesidades y objetivos, los
requisitos de seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se espera que
estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI
se ajuste de acuerdo a las necesidades de la organizacin, por ejemplo, una situacin simple requiere de una
solucin de SGSI simple.
Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto internas como
externas.
0.2 ENFOQUE BASADO EN PROCESOS
Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer, implementar, operar,
hacer seguimiento, mantener y mejorar el SGSI de una organizacin. Para funcionar eficazmente, una
organizacin debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier
actividad que use recursos y cuya gestin permita la transformacin de entradas en salidas. Con frecuencia, el
resultado de un proceso constituye directamente la entrada del proceso siguiente. La aplicacin de un sistema
dentro de una organizacin, junto con la identificacin e interacciones entre estos procesos, y su gestin, se
puede denominar como un "enfoque basado en procesos".
El enfoque basado en procesos para la gestin de la seg de la inf, presentado en esta norma, estimula a sus
usuarios a hacer nfasis en la importancia de: a) comprender los requisitos de seg de la inf del negocio, y la
necesidad de establecer la poltica y objetivos en relacin con la seg de la inf. b) implementar y operar
controles para manejar los riesgos de seg de la inf de una organizacin en el contexto de los riesgos globales
del negocio de la organizacin; c) el seguimiento y revisin del desempeo y eficacia del SGSI, y d) la mejora
continua basada en la medicin de objetivos.
Esta norma adopta el modelo de procesos "PHVA", que se aplica para estructurar todos los procesos del
SGSI. La figura 1 ilustra cmo el SGSI toma como elementos de entrada los requisitos de seguridad de la
informacin y las expectativas de las partes interesadas, y a travs de las acciones y procesos necesarios
produce resultados de seg de la inf que cumplen estos requisitos y expectativas. La figura 1 tambin ilustra los
vnculos en los procesos especficos en los numerales 4, 5, 6, 7 y 8.
La adopcin de un modelo PHVA tambin reflejar los principios establecidos en las Directrices OCDE que
controlan la seguridad de sistemas y redes de informacin. Esta norma brinda un modelo robusto para
implementar los principios en aquellas directrices que controlan la evaluacin de riesgos, diseo e
implementacin de la seguridad, gestin y reevaluacin de la seguridad.
Ejemplo1: Un requisito podra ser que las violaciones a la seguridad de la informacin no causen dao financiero severo a
una organizacin, ni sean motivo de preocupacin para sta.
Ejemplo2: Una expectativa podra ser que si ocurre un incidente serio, como por ejemplo el Hacking del sitio web de una
organizacin, haya personas con capacidad suficiente en los procedimientos aprobados, para minimizar el impacto.
Partes Planificar Partes

interesadas Establecer el interesadas
Hacer SGSI Actuar
Implementar Mantener y
Requisitos y y operar el mejorar el
expectativas SGSI SGSI
de seguridad Verificar Seguridad de
de la Seguimiento la informacin
informacin y revisar el gestionada
SGSI
Figura 1
Pgina 1 de 22
SGSI-V.003.2 Ing. Jaime Lpez Hernndez Uso exclusivo educativo Ed. Sep/09
ISO 27001
Planificar (establecer la poltica, los objetivos, procesos y procedimientos de seguridad pertinentes para
gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados acordes con las
polticas y objetivos globales de una organizacin.
Hacer (implementar y operar la poltica, los controles, procesos y procedimientos del SGSI.
Verificar (evaluar, y, en donde sea aplicable, medir el desempeo del proceso contra la poltica y los objetivos
de seguridad y la experiencia prctica, y reportar los resultados a la direccin, para su revisin.
Actuar (emprender acciones correctivas y preventivas con base en los resultados de la auditoria interna del
SGSDI y la revisin por la direccin, para lograr la mejora continua del SGSI.
0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN
Esta norma est alineada con la NTC-ISO 9001:2008 y la NTC-ISO 14001:2004.
Esta norma est diseada para permitir que una organizacin alinee o integre su SGSI con los requisitos de
los sistemas de gestin relacionados.
TECOLOGIA DE IFORMACI TECICAS DE SEGURIDAD
SISTEMA DE GESTI DE SEGURIDAD DE IFORMACI - REQUISITOS
Importante: esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los
usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en s misma no confiere
exencin de las obligaciones legales.
1. OBJTETO
1.1 GENERALIDADES
Esta norma internacional es aplicable a todo tipo de organizacin.
Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento,
revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del
negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad adaptados a las
necesidades de las organizaciones individuales o a partes de ellas.
El SGSI est diseado para seleccionar controles suficientes y proporcionarles que protejan los
activos de informacin y brinden confianza a las partes interesadas.
Nota: Las referencias que se hacen en esta norma a negocio se deberan interpretar ampliamente como aquellas
actividades que son esenciales para la existencia de la organizacin.
Nota: La norma ISO17799-ISO 27002 brinda orientacin sobre la implementacin, que se puede usar cuando se disean
controles.
1.2 APLICACIN
Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas las
organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la exclusin de
cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una organizacin declara
conformidad con la presente norma. Cualquier exclusin de controles, considerada necesaria para satisfacer
los criterios de aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos
asociados han sido aceptados apropiadamente por las personas responsables. En donde se excluya cualquier
control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusiones
no afecten la capacidad de la organizacin y/o la responsabilidad para ofrecer seguridad de la informacin que
satisfaga los requisitos de seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios
aplicables.
Nota: si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (ISO 9001 ISO
14001), en la mayora de los casos es preferible satisfacer los requisitos de la presente norma dentro de este sistema de
gestin existente.
2 NORMAS REFERENCIALES
ISO/IEC 17799:2005 o ISO 27002.
Tecnologas de Informacin. Tcnicas de seguridad. Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin.
3 TERMINOS Y DEFINICIONES
Aceptacin del riesgo: decisin de asumir el riesgo.
Activo: cualquier cosa que tiene valor para la organizacin.
Anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.
Confidencialidad: propiedad que determina la condicin de que la informacin no est disponible ni sea
revelada a individuos o procesos no autorizados.
Pgina 2 de 22
SGSI-AI V.003 Edicin 27/Sep/2009 - Solo para fines capacitacin SGS.
Ing. Jaime Lpez Hernndez - jaimelopez27001@gmail.com
ISO 27001
Declaracin de aplicabilidad: documento que describe los objetivos de control y los controles pertinentes y
aplicables para el SGSI de la organizacin.
Nota: Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de valoracin y
tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos del negocio de la
organizacin en cuanto a la seguridad de la informacin.
Disponibilidad: propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada.
Evaluacin del riesgo: proceso de comparar el riesgo estimado contra el criterio de riesgo dado, para
determinar la importancia del riesgo
Evento de seguridad de la informacin: presencia identificada de una condicin de un sistema, servicio o
red, que indica una posible violacin de la poltica de seguridad de la informacin o falla de las salvaguardas,
o una situacin desconocida previamente que puede ser pertinente a la seguridad
Gestin del riesgo: actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo
Incidente seguridad de la informacin: un evento o serie de eventos de seguridad de la informacin no
deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la informacin.
Integridad: propiedad de proteger la exactitud y estado completo de los activos
Riesgo residual: nivel restante de riesgo despus del tratamiento de riesgo.
Seguridad de la informacin: preservacin de la confidencialidad, la integridad y la disponibilidad de la
informacin; adems, pueden involucrar otras propiedades tales como: autenticidad, trazabilidad
(Accountability), no repudio y fiabilidad.
Sistema de gestin de la seguridad de la informacin SGSI: parte del sistema de gestin global, basada
en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la informacin.
Nota: El sistema de gestin incluye estructura organizacional, polticas, actividades de planificacin, responsabilidades,
prcticas, procedimientos, procesos y recursos.
Tratamiento de riesgo: proceso de seleccin e implementacin de medidas para modificar el riesgo.
Nota: En la presenta norma el trmino control se usa como sinnimo de medida.
Valoracin del riesgo: proceso global de anlisis y evaluacin del riesgo.
4. SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN

4.1 REQUERIMIENTOS GENERALES
La organizacin debe establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI
documento, en el contexto de las actividades globales del negocio de la organizacin y de los riesgos que
enfrenta. Para los propsitos de esta norma, el proceso usado se basa en el modelo PHVA que se ilustra en la
figura 1.
4.2 ESTABLECIMIENTO Y GESTION DEL SGSI
4.2.1 Establecer el SGSI
La organizacin debe:
a) Definir el alcance y lmites del SGSI en trminos de caractersticas del negocio, la organizacin, su
ubicacin, sus activos y tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance (Ver
1.2).
b) Definir una poltica del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin,
activos y tecnologa, que:
1. incluya un marco de referencia para fijar sus objetivos y establezca un sentido general de direccin y
principios para la accin con relacin a la seguridad de la informacin;
2. tener en cuenta los requisitos del negocio, los legales o reglamentarios y las obligaciones de
seguridad contractuales.
3. est alineada con el contexto organizacional estratgico de gestin del riesgo en el cual tendr lugar
el establecimiento y mantenimiento del SGSI;
4. establezca los criterios contra los cuales evaluara los riesgos (Ver 4.2.1 c); y;
5. haya sido aprobado por la direccin.
c) Definir el enfoque organizacional hacia la valoracin del riesgo.
1) Identificar una metodologa de valoracin del riesgo que sea adecuada al SGSI y a los requisitos
reglamentarios, legales y de seguridad de informacin del negocio, identificados.
Pgina 3 de 22
ISO 27001
2) Desarrollar criterios para la aceptacin de riesgos, e identificar niveles de riesgo aceptables.

(Ver 5.1 f).
La metodologa seleccionada para valoracin de riesgos debe asegurar que dichas valoraciones
producen resultados comparables y reproducibles.
Nota: Existen diferentes metodologas para la valoracin de riesgos. Ejemplos pueden verse en ISO/IEC TR 13335-3.
d) Identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.
2) Identificar las amenazas de estos activos
3) Identificar las vulnerabilidades que podran ser aprovechadas por las amenazas
4) Identificar los impactos que la perdida de confidencialidad, integridad y disponibilidad pueden tener
sobre los activos.
e) Anlisis y evaluacin de los riesgos
1) Valorar el impacto de negocios que podra causar una falta en la seguridad, sobre la organizacin,
teniendo en cuenta las consecuencias de la prdida de confidencialidad, integridad o disponibilidad
de los activos.
2) Valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas,
las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados
adecuadamente.
3) Estimar los niveles de los riesgos.
4) Determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los criterios
establecidos en el numeral 4.2.1 c).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Las posibles acciones incluyen:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la
poltica y los criterios de la organizacin para la aceptacin de riesgos (Ver 4.2.1 c);
3) Evitar riesgos; y
4) Transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras,
proveedores, etc.
g) seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan
los requisitos identificados en el proceso de valoracin y tratamiento de riesgos. Esta seleccin debe
tener en cuanta los criterios para la aceptacin de riesgos (Ver 4.2.1 c), al igual que los requisitos
legales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este
proceso, en tanto sean adecuados para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que
puede ser necesario seleccionar objetivos de control y controles adicionales.
Nota: El anexo A contiene una lista amplia de objetivos de control y controles que comnmente se han encontrado
pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de
partida para la seleccin de controles, con el fin de asegurarse de que no se pasan por alto opciones de control
importantes.
h) Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.
i) Obtener la aprobacin de la direccin para implementar y operar el SGSI.
J) Elaborar una declaracin de aplicabilidad.
Se debe elaborar una declaracin de aplicabilidad que incluya:
1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1 g) y las razones de su
seleccin;
2) Los objetivos de control y controles implementados actualmente (ver 4.2.1 e) 2); y
3) La exclusin de cualquier objetivo de control y controles enumerados en el anexo A y la
justificacin para su exclusin.
Nota: La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de
los riesgos. La justificacin de las exclusiones permite validar que ningn control se omita involuntariamente.
4.2.2 Implementacin y operacin del SGSI
Pgina 4 de 22
ISO 27001
a) Formular plan para tratamiento de riesgos que identifique la accin de gestin apropiada, los
recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin.
(Ver 5);
b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que
incluye considerar la financiacin y la asignacin de funciones y responsabilidades;
c) Implementar los controles seleccionados en el numeral 4.2.1 g) para cumplir los objetivos de control;
d) definir cmo medir la eficacia de los controles o grupos de controles seleccionados, y especificar
cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir
resultados comparables y reproducibles. (ver 4.2.3 c);
Nota: La medicin de la eficacia de los controles permite a los gerentes y al personal determinar la medida en que
se cumplen los objetivos de control planificados.
e) implementar programas de formacin y de toma de conciencia. (ver 5.2.2);
f) gestionar la operacin del SGSI;
g) gestionar recursos del SGSI (ver 5.2);
h) implementar procedimientos y otros controles para detectar y dar respuesta oportuna a los
incidentes de seguridad. (ver 4.2.3).
4.2.3 Seguimiento y revisin del SGSI
a) Ejecutar procedimientos de seguimiento y revisin y otros controles para:
1) detectar rpidamente errores en los resultados del procesamiento;
2) identificar con prontitud los incidentes e intentos de violacin de la seguridad, tanto los que
tuvieron xito como los que fracasaron;
3) posibilitar que la direccin determine si las actividades de seguridad delegadas a las
personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la
forma esperada;
4) ayudar a detectar eventos de seguridad, y de esta manera impedir incidentes de seguridad
mediante el uso de indicadores, y
5) determinar si las acciones tomadas para solucionar un problema de violacin a la seguridad
fueron eficaces.
b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la poltica y
objetivos del SGSI, y la revisin de controles de seguridad) teniendo en cuenta los resultados de las
auditorias de seguridad, incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas
las partes interesadas.
c) Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
d) Revisar la valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y
riesgo aceptable identificado, teniendo en cuenta los cambios en:
1) la organizacin,
2) la tecnologa,
3) los objetivos y proceso del negocio,
1) las amenazas identificadas,
2) la eficacia de los controles implementados, y
3) eventos externos, tales como cambios en el entorno legal o reglamentario, en las
obligaciones contractuales, y en el clima social.
e) Realizar auditorias internas del SGSI a intervalos planificados. (ver 6).
Nota: Las auditorias internas, denominadas algunas veces auditorias de primera parte, las realiza la propia
organizacin u otra organizacin en su nombre, para propsitos internos.
f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el
alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI (ver 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de
seguimiento y revisin.
h) Registrar acciones y eventos que podrn tener impacto en la eficacia o el desempeo del SGSI. (ver
4.3.3).
4.2.4 Mantener y mejorar el SGSI
La organizacin debe, regularmente:
a) Implementar las mejoras identificadas en el SGSI;
Pgina 5 de 22
ISO 27001
b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3.
Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la
propia organizacin;
c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las
circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder;
d) Asegurar que las mejoras logren los objetivos previstos.
4.3 REQUISITOS DE DOCUMENTACIN
4.3.1 Generalidades
La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar que las acciones
sean trazables a las decisiones y polticas de la gerencia, y que los resultados registrados sean reproducibles.
Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y los resultados
del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la poltica y objetivos del SGSI.
La documentacin debe incluir:
a) declaraciones documentadas de la poltica y los objetivos del SGSI (ver 4.2.1 b);
b) el alcance del SGSI (ver 4.2.1 a);
c) procedimientos y controles que los apoyan el SGSI;
d) una descripcin de la metodologa de valoracin de riesgos (ver 4.2.1 c);
e) el informe de valoracin de riesgos (ver 4.2.1 c) a g);
f) el plan de tratamiento de riesgos (ver 4.2.2 b);
g) los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la
planificacin, operacin y control de sus procesos de seguridad de la informacin, y para describir
cmo medir la eficacia de los controles (ver 4.2.3 c);
h) los registros exigidos por esta norma (ver 4.3.3), y
i) la declaracin de aplicabilidad.
Nota1: En esta norma, el trmino procedimiento documentado significa que el procedimiento est establecido,
documentado, implementado y mantenido.
Nota2: El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a:
- El tamao de la organizacin y el tipo de sus actividades, y
- El tamao y complejidad de los requisitos de seguridad y del sistema que se est gestionando.
Nota3: Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
4.3.2 Control de documentos
Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento
documentado para definir las acciones de gestin necesarias para:
a) aprobar los documentos en cuanto a su suficiencia antes de su publicacin;
b) revisar y actualizar los documentos segn sea necesario y reaprobarlos;
c) asegurar que los cambios y el estado de actualizacin de los documentos estn identificados;
d) asegurar las versiones ms recientes de los documentos pertinentes estn disponibles en los puntos
de uso;
e) asegurar que los documentos permanezcan legibles y fcilmente identificables;
f) asegurar que los documentos estn disponibles para quienes los necesiten, y que se apliquen los
procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y
disposicin final.
g) asegurar que los documentos de origen externo estn identificados;
h) asegurar que la distribucin de documentos est controlada;
i) impedir el uso no previsto de los documentos obsoletos; y
j) aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier
propsito.
4.3.3 Control de Registros
Se deben establecer y mantener registros para brindar la evidencia de la conformidad con los requisitos y la
operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta
cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben
permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin,
almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se deben
documentar e implementar.
Se deben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de todos los
casos de incidentes de seguridad significativos relacionados con el SGSI.
Pgina 6 de 22
ISO 27001
Ejemplo: Algunos ejemplos de registros son: un libro de visitantes, informes de auditoras y formatos de autorizacin de
acceso diligenciados.
5 RESPONSABILIDAD DE LA DIRECCIN
5.1 COMPROMISO DE LA DIRECCIN
La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin,
seguimiento, revisin, mantenimiento y mejora del SGSI:
a) Mediante el establecimiento de una poltica del SGSI;
b) asegurando que se establezcan los objetivos y planes del SGSI;
c) estableciendo funciones y responsabilidades de seguridad de la informacin;
d) comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin
y de la conformidad de la poltica de seguridad de la informacin, sus responsabilidades bajo la ley, y
la necesidad de la mejora continua;
e) brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar,
mantener y mejorar un SGSI. (ver 5.2.1);
f) decidiendo los criterios para la aceptacin del riesgos, y los niveles de riesgo aceptables;
g) asegurando que se realizan auditorias Internas del SGSI (ver 6), y
h) efectuando las revisiones por la direccin, del SGSI (ver 7).
5.2 GESTION DE RECURSOS
5.2.1 Provisin de recursos
La organizacin debe determinar y suministrar los recursos necesarios para:
a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI;
b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del
negocio;
c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad
contractuales.
d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles
implementados;
e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de
estas revisiones; y.
f) en donde se requiera, mejorar la eficacia del SGSI.
5.2.2 Formacin, toma de conciencia y competencia
La organizacin debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI
sea competente para realizar las tareas exigidas, mediante:
a) la determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el
SGSI;
b) el suministro de formacin o realizacin de otras acciones (por ejemplo: la contratacin de personal
competente) para satisfacer estas necesidades;
c) la evaluacin de la eficacia de las acciones emprendidas, y
d) el mantenimiento de registro de educacin, formacin, habilidades, experiencia y calificaciones (ver
4.3.3).
La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e
importancia de sus actividades de seguridad de la informacin y cmo ellas contribuyen al logro de los
objetivos del SGSI.
6 AUDITORIAS INTERNAS AL SGSI
La organizacin debe realizar auditorias internas al SGSI a intervalos planificados, para determinar si los
objetivos de control, controles, procesos y procedimientos de su SGSI:
a) cumplen los requisitos de esta norma y de la legislacin o reglamentaciones pertinentes;
b) cumplen los requisitos identificados de seguridad de la informacin;
c) estn implementados y se mantienen eficazmente, y
d) tienen un desempeo acorde con lo esperado.
Se debe planificar un programa de auditoria, tomando en consideracin el estado e importancia de los
procesos y reas que se van a auditar, as como los resultados de auditorias previas. Se deben definir los
criterios, alcance, frecuencia y mtodos de auditoria. La seleccin de los auditores y la realizacin de las
auditorias deben asegurar la objetividad e imparcialidad del proceso de auditoria. Los auditores no deben
auditar su propio trabajo.
Pgina 7 de 22
ISO 27001
Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la planificacin y

realizacin de las auditorias, para informar los resultados, y para mantener los registros. (Ver 4.3.3).
El responsable de la direccin del rea auditada debe asegurarse de que las acciones para eliminar las no
conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las actividades de
seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de la
verificacin.
Nota: (Ver ISO 19011:2002).
7 REVISIN DEL SGSI POR LA DIRECCIN
7.1 GENERALIDADES
La direccin debe revisar el SGSI de la organizacin a intervalos planificados (por lo menos una vez al ao),
para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de
oportunidades para mejorar y la necesidad de cambios en el SGSI, incluidos la poltica de seguridad y los
objetivos de seguridad. Los resultados de la revisin se deben documentar claramente y se deben llevar
registros (Ver 4.3.3).
7.2 INFORMACIN PARA LA REVISIN
Las entradas para la revisin por la direccin deben incluir:
a) resultados de las auditorias y revisiones del SGSI;
b) retroalimentacin de las partes interesadas;
c) tcnicas, productos o procedimientos que se puedan usar en la organizacin para mejorar el
desempeo y eficacia del SGSI;
d) estado de las acciones correctivas y preventivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos;
f) resultados de las mediciones de eficacia;
g) acciones de seguimiento resultantes de revisiones anteriores por la direccin;
h) cualquier cambio que pueda afectar el SGSI; y
i) recomendaciones para mejorar.
7.3 RESULTADOS DE LA REVISIN
Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con:
a) mejoramiento de la eficacia del SGSI;
b) la actualizacin de la evaluacin de riesgo y plan de tratamiento de riesgos;
c) la modificacin de los procedimientos y controles que afecten la seguridad de la informacin, segn
sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI,
incluidos cambios a:
1) los requisitos del negocio,
2) los requisitos de seguridad,
3) los procesos del negocio que afectan los requisitos del negocio existentes,
4) los requisitos reglamentarios o legales,
5) las obligaciones contractuales, y
6) los niveles de riesgo y/o niveles de aceptacin de riesgos.
d) los recursos necesarios.
e) la mejora a la manera en que se mide la eficacia de los controles.
8 MEJORA DEL SGSI
8.1 MEJORA CONTINUA
La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica de seguridad
de la informacin, los objetivos de la seguridad de la informacin, los resultados de la auditora, el anlisis de
los eventos a los que seles ha hecho seguimiento, las acciones correctivas y preventivas y la revisin por la
direccin.
8.2 ACCIN CORRECTIVA
La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los
requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la
accin correctiva debe definir requisitos para:
a) Identificar no conformidades;
b) determinar las causas de las no conformidades;
c) evaluar la necesidad de acciones que aseguren que las no conformidades no vuelven a ocurrir;
d) determinar e implementar las acciones correctivas necesaria:
Pgina 8 de 22
ISO 27001
e) registrar los resultados de la accin tomada (Ver 4.3.3); y

f) revisar la accin correctiva tomada.
8.3 ACCIN PREVENTIVA
La organizacin debe determinar acciones para eliminar la causa de no conformidades potenciales con los
requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto
de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir requisitos
para:
a) identificar no conformidades potenciales y sus causas;
b) evaluar la necesidad de acciones para impedir que las no conformidades ocurran.
c) determinar e implementar la accin preventivas necesaria;
d) registrar los resultados de la accin tomada (Ver 4.3.3); y
e) revisar la accin preventiva tomada.
La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones
preventivas, concentrando la atencin en los riesgos que han cambiado significativamente.
La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracin de
los riesgos.
Nota: Las acciones para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.
Pgina 9 de 22
ISO 27001
ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES

A.5 POLTICA DE SEGURIDAD
A.5.1 Poltica de seguridad de la informacin.
Objetivo de Control: Brindar orientacin y apoyo a la direccin con respecto a la seguridad de la informacin, de acuerdo
con los requisitos del negocio y los reglamentos y las leyes pertinentes.
A.5.1.1 Documento de la poltica de seguridad de la informacin.
Control: La direccin debe aprobar un documento de poltica de seguridad de la informacin y lo debe
publicar y comunicar a todos los empleados y a partes externas pertinentes.
A.5.1.2 Revisin de la poltica de seguridad de la informacin.
Control: La poltica de seguridad de la informacin se debe revisar a intervalos planificados, para garantizar
que sigue siendo adecuada, suficiente y eficaz.
A.6 ORGANIZACIN DE SEGURIDAD DE INFORMACION

A.6.1 Organizacin Interna.
Objetivo de control: Gestionar la seguridad de la informacin dentro de la organizacin.
A.6.1.1 Compromiso de la direccin en la seguridad de la informacin.
Control: La direccin debe apoyar activamente la seguridad dentro de la organizacin con un rumbo claro, un
compromiso demostrado, una asignacin explcita, y el conocimiento de las responsabilidades de la seguridad
de la informacin.
A.6.1.2 Coordinacin de la seguridad de la informacin.
Control: Las actividades de la seguridad de la informacin deben ser coordinadas por los representantes de
todas las partes de la organizacin con roles y funciones laborales pertinentes.
A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin.
Control: Se debe definir claramente todas las responsabilidades en cuanto a seguridad de la informacin.
A.6.1.4 Proceso de autorizacin para servicios de procesamiento de la informacin.
Control: Se debe definir e implementar un proceso de autorizacin de la direccin para nuevos servicios de
procesamiento de informacin.
A.6.1.5 Acuerdo de Confidencialidad.
Control: Se deben identificar y revisar con regularidad los requisitos de confidencialidad o los acuerdos de no-
divulgacin que reflejan las necesidades de la organizacin para la proteccin de la informacin.
A.6.1.6 Contacto con las Autoridades.
Control: Se deben mantener contacto apropiados con las autoridades pertinentes.
A.6.1.7 Contacto con grupos inters especiales
Control: Se deben mantener los contactos apropiados con grupos de inters especiales, otros foros
especializados en seguridad de la informacin, y asociaciones de profesionales.
A.6.1.8 Revisin Independiente de seguridad de la informacin
Control: El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin
(es decir, objetivos de control, controles, polticas, procesos, y procedimientos de seguridad de la informacin)
se deben revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en la
implementacin de la seguridad.
A.6.2 Partes externas
Objetivo de control: Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de
informacin de la organizacin a los cuales tienen acceso partes externas o que son procesados, comunicados o dirigidos
por stas.
A.6.2.1 Identificacin de riesgos relacionados con partes externas.
Control: Se deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin
de la organizacin de los procesos del negocio que involucran partes externas e implementar los controles
apropiados antes de autorizar el acceso.
A.6.2.2. Consideraciones de la seguridad cuando se trata con clientes.
Control: Todos los requisitos de seguridad identificados se deben considerar antes de dar acceso a los
clientes a los activos o la informacin de la organizacin
A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes.
Pgina 10 de 22
ISO 27001
Control: Los acuerdos con terceras partes que implican acceso, procesamiento, comunicacin o gestin de la
informacin o de los servicios de procesamiento de informacin de la organizacin, o la adicin de productos o
servicios a los servicios de procesamiento de la informacin deben considerar todos los requisitos pertinentes
de seguridad
A.7 GESTIN DE ACTIVOS

A.7.1 Responsabilidad
Objetivo de control: Lograr y mantener la proteccin adecuada de los activos organizacionales.
A.7.1.1 Inventario de activos
Control: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario
de todos los activos importantes.
A.7.1.2 Propiedad de los activos
Control: Toda la informacin y los activos asociados con los servicios de procesamiento de informacin
deben ser propiedad de una parte designada de la organizacin.
A.7.1.3 Uso aceptable de los activos
Control: Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la informacin y
de los activos asociados con los servicios de procesamiento de informacin.
A.7.2 Clasificacin de la informacin
Objetivo de control: Asegurar que la informacin reciba el nivel de proteccin adecuado.
A.7.2.1 Directrices de clasificacin
Control: La informacin se debe clasificar en trminos de su valor, de los requisitos legales, de la sensibilidad
y la importancia para la organizacin.
A.7.2.2 Etiquetado y manejo de informacin
Control: Se deben desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y
el manejo de la informacin de acuerdo al esquema de clasificacin adoptado por la organizacin.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.1 Antes de la contratacin laboral
Objetivo de control: asegurar que los empleados, contratistas y usuarios por terceras partes entienden sus
responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso
inadecuado de las instalaciones
A.8.1.1 Roles y Responsabilidades
Control: Se deben definir y documentar los roles y responsabilidades de los empleados, contratistas y
usuarios de terceras partes por la seguridad, de acuerdo con poltica de seguridad de la informacin de la
organizacin.
A.8.1.2 Seleccin
Control: Se debe realizar revisiones para la verificacin de antecedentes de los candidatos a ser empleados,
contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la tica y las leyes pertinentes, y
deben ser proporcionales a los requisitos del negocio, la clasificacin de la informacin a la cual se va a tener
acceso y los riesgos percibidos.
A.8.1.3 Trminos y condiciones de la relacin laboral
Control: Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes
deben estar de acuerdo y firmar los trminos y condiciones de su contrato laboral, el cual debe establecer sus
responsabilidades y las de la organizacin con relacin a la seguridad de la informacin.
A.8.2 Durante la vigencia de la contratacin laboral
Objetivo de control: Asegurar que todos los empleados, contratistas y usuarios de terceras partes estn conscientes de las
amenazas y preocupaciones respecto a la seguridad de la informacin, sus responsabilidades y sus deberes, y estn
equipados para apoyar la poltica de seguridad de la organizacional en el transcurso de su trabajo normal, al igual que
reducir el riesgo de error humano.
A.8.2.1 Responsabilidad de la direccin
Control: La direccin debe exigir que los empleados, contratistas y usuarios de terceras partes apliquen la
seguridad segn las polticas y los procedimientos establecidos por la organizacin.
A.8.2.2 Educacin, formacin y concientizacin sobre la seguridad de la informacin
Control: Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y los usuarios de
terceras partes deben recibir formacin adecuada en concientizacin y actualizaciones regulares sobre las
polticas y procedimientos de la organizacin, segn sea pertinente para sus funciones laborales.
Pgina 11 de 22
ISO 27001
A.8.2.3 Proceso disciplinario

Control: Debe existir un proceso disciplinario formal para los empleados que hayan cometido alguna violacin
de la seguridad.
A.8.3 Terminacin o cambio de la contratacin laboral
Objetivo de control: Asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la
organizacin o cambian su contrato laboral de forma ordenada.
A.8.3.1 Terminacin de responsabilidades
Control: Se deben definir y asignar claramente las responsabilidades para llevar a cabo la terminacin o el
cambio de la contratacin laboral.
A.8.3.2 Devolucin de activos
Control: Todos los usuarios empleados, contratistas o terceras partes deben devolver a la organizacin todos
los activos pertenecientes a la organizacin que estn en su poder al finalizar su contratacin laboral, contrato
o acuerdos.
A.8.3.3 Retiro de los derechos de acceso
Control: Los derechos de acceso de todos los empleados, contratistas o usuarios de terceras partes a la
informacin y a los servicios de procesamiento de informacin se deben retirar al finalizar su contratacin
laboral, contrato o acuerdo o se deben ajustar despus del cambio.
A.9 SEGURIDAD FSICA Y DEL ENTORNO

A.9.1 reas seguras
Objetivo de Control: Evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y la informacin de la
organizacin.
A.9.1.1 Permetro de seguridad fsica
Control: Se deben utilizar permetros de seguridad (barreras tales como paredes, puertas de acceso
controlado con tarjeta o mostradores de recepcin atendidos) para proteger las reas que contienen
informacin y servicios de procesamiento de informacin.
A.9.1.2 Control de acceso fsico
Control: Las reas seguras deben estar protegidas con controles de acceso apropiados para asegurar que
slo se permite el acceso a personal autorizado.
A.9.1.3 Seguridad de oficinas, recintos e instalaciones
Control: Se debe disear y aplicar la seguridad fsica para oficinas, recintos e instalaciones
A.9.1.4 Proteccin contra amenazas externas y ambientales.
Control: Se deben disear y aplicar protecciones fsicas contra dao por incendio, inundacin, terremoto,
explosin, manifestaciones sociales y otras formas de desastre natural o artificial
A.9.1.5 Trabajo en reas seguras
Control: Se deben disear y aplicar la proteccin fsica y las directrices para trabajar en reas seguras
A.9.1.6 reas de carga, despacho y acceso pblico
Control: Los puntos de acceso tales como las reas de carga y despacho y otros puntos por donde pueda
ingresar personal no autorizado a las instalaciones se deben controlar y, si es posible, aislar de los servicios
de procesamiento de informacin para evitar el acceso no autorizado
A.9.2 Seguridad de los equipos
Objetivo de control: Evitar prdida, dao, robo o puesta en peligro de los activos y la interrupcin de las actividades de la
organizacin
A.9.2.1 Ubicacin y proteccin de los equipos
Control: Los equipos deben estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros
del entorno, y las oportunidades de acceso no autorizado
A.9.2.2 Suministro de energa
Control: Los equipos deben estar protegidos contra fallas en el suministro de energa y otras anomalas
causadas por fallas en los servicios de suministro
A.9.2.3 Seguridad del cableado
Control: El cableado de energa elctrica y de telecomunicaciones que transporta datos o presta soporte a los
servicios de informacin deben estar protegidos contra interceptaciones o daos
A.9.2.4 Mantenimiento de los equipos
Control: Los equipos deben recibir mantenimiento adecuado para asegurar su continua disponibilidad e
integridad
A.9.2.5 Seguridad de los equipos fuera de las instalaciones
Pgina 12 de 22
ISO 27001
Control: Se deben suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los
diferentes riesgos de trabajar fuera de las instalaciones de la organizacin
A.9.2.6 Seguridad en la reutilizacin o eliminacin de equipos
Control: Se deben verificar todos los elementos del equipo que contenga medios de almacenamiento para
asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se haya
sobrescrito de forma segura, antes de la eliminacin
A.9.2.7 Retiro de activos
Control: Ningn equipo, informacin ni software se deben retirar sin autorizacin previa.
A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.1 Procedimientos operacionales y responsabilidades
Objetivo de control: Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin.
A.10.1.1 Documentacin de los procedimientos de operacin
Control: Los procedimientos de operacin se deben documentar, mantener y estar disponibles para todos los
usuarios que lo necesiten.
A.10.1.2 Gestin de Cambios
Control: Se deben controlar los cambios en los servicios de procesamiento de informacin.
A.10.1.3 Distribucin de funciones
Control: Las funciones y las reas de responsabilidad se deben distribuir para reducir las oportunidades de
modificacin no autorizada o no intencional, o el uso inadecuado de los activos de la organizacin.
A.10.1.4 Separacin de las instalaciones de desarrollo, ensayo y operacin
Control: Las instalaciones de desarrollo, ensayo y operacin deben estar separadas para reducir los riesgos
de acceso o cambios no autorizados en el sistema operativo.
A.10.2 Gestin de la prestacin del servicio por terceras partes
Objetivo de control: Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del
servicio, de conformidad con los acuerdos de prestacin del servicio por terceras partes.
A.10.2.1 Prestacin del servicio
Control: Se debe garantizar que los controles de seguridad, las definiciones del servicio y niveles de
prestacin del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por las terceras
partes.
A.10.2.2 Monitoreo y revisin de los servicios por terceras partes
Control: Los servicios, reportes y registros suministrados por las terceras partes se deben controlar y revisar
con regularidad y las auditorias se debe llevar a cabo a intervalos regulares.
A.10.2.3 Gestin de cambios en los servicios por terceras partes
Control: Los cambios en la prestacin de los servicios, incluyendo mantenimiento y mejora de las polticas de
seguridad de la informacin existentes, en los procedimientos y los controles se deben gestionar teniendo en
cuenta la importancia de los sistemas y procesos del negocio involucrados, as como la reevaluacin de los
riesgos.
A.10.3 Planificacin y aceptacin del sistema
Objetivo de control: Minimizar el riesgo de fallas de los sistemas.
A.10.3.1 Gestin de la capacidad
Control: Se debe hacer seguimiento y adaptacin del uso de los recursos, as como proyecciones de los
requisitos de la capacidad futura para asegurar el desempeo requerido del sistema.
A.10.3.2 Aceptacin del sistema
Control: Se deben establecer criterios de aceptacin para sistemas de informacin nuevos, actualizaciones y
nuevas versiones y llevar a cabo ensayos adecuados del sistema durante el desarrollo y antes de su
aceptacin.
A.10.4 Proteccin contra cdigos maliciosos y mviles
Objetivo de control: Proteger la integridad del software y de la informacin
A.10.4.1 Proteccin contra cdigos maliciosos
Control: Se deben implementar controles de deteccin, prevencin y recuperacin para proteger contra
cdigos maliciosos, as como procedimientos apropiados de concientizacin de los usuarios.
A.10.4.2 Controles contra cdigos mviles
Control: Cuando se autoriza la utilizacin de cdigos mviles, la configuracin debe asegurar que dichos
cdigos operan de acuerdo con la poltica de seguridad claramente definida, y se debe evitar la ejecucin de
los cdigos mviles no autorizados.
Pgina 13 de 22
ISO 27001
A.10.5 Respaldo
Objetivo de control: Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de
informacin.
A.10.5.1 Respaldo de la informacin
Control: Se deben hacer copias de respaldo de la informacin y software, y se deben poner a prueba con
regularidad de acuerdo con la poltica de respaldo acordada.
A.10.6 Gestin de la seguridad de las redes
Objetivo de control: Asegurar la proteccin de informacin en las redes y proteccin del soporte de la infraestructura de
soporte.
A.10.6.1 Controles de las redes
Control: Las redes se deben mantener y controlar adecuadamente para protegerlas de las amenazas y
mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la informacin en trnsito.
A.10.6.2 Seguridad de los servicios de red.
Control: En cualquier acuerdo sobre los servicios de la red se deben identificar e incluir las caracterstica de
seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de la red, sin importar si los
servicios se prestan en la organizacin o se contratan externamente.
A.10.7 MANEJO DE LOS MEDIOS
Objetivo de control: Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en
las actividades del negocio.
A.10.7.1 Gestin de los medios removibles
Control: Se debe establecer procedimientos para la administracin de los medios removibles.
A.10.7.2 Eliminacin de medios
Control: Cuando ya no se requieran estos medios, su eliminacin se debe hacer de forma segura y sin
riesgos, utilizando los procedimientos formales.
A.10.7.3 Procedimientos para el manejo de la informacin
Control: Se deben establecer procedimientos para el manejo y almacenamiento de la informacin con el fin
de proteger dicha informacin contra divulgacin no autorizada o uso inadecuado.
A.10.7.4 Seguridad de la documentacin del sistema
Control: La documentacin del sistema debe estar protegida contra el acceso no autorizado.
A.10.8 Intercambio de informacin
Objetivo de control: Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin
y con cualquier entidad externa.
A.10.8.1 Polticas y procedimientos para el intercambio de informacin
Control: Se deben establecer polticas, procedimientos y controles formales de intercambio para proteger la
informacin mediante el uso de todo tipo de servicios de comunicacin.
A.10.8.2 Acuerdos para el Intercambio
Control: Se deben establecer acuerdos para los intercambios de informacin y del software entre la
organizacin y partes externas.
A.10.8.3 Medios fsicos en trnsito
Control: Los medios que contienen informacin se deben proteger contra el acceso no autorizado, el uso
inadecuado o la corrupcin durante el transporte ms all de los lmites fsicos de la organizacin.
A.10.8.4 Mensajera electrnica
Control: La informacin contenida en la mensajera electrnica debe tener la proteccin adecuada.
A.10.8.5 Sistemas de informacin del negocio
Control: Se deben establecer, desarrollar e implementar polticas y procedimientos para proteger la
informacin asociada con la interconexin de los sistemas de informacin del negocio.
A.10.9 Servicio de comercio electrnico
Objetivo de control: Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura.
A.10.9.1 Comercio electrnico
Control: La informacin involucrada en el comercio electrnico que se transmite por las redes pblicas debe
estar protegida contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no
autorizada.
A.10.9.2 Transacciones en lnea
Control: La informacin involucrada en las transacciones en lnea debe estar protegida para evitar
transmisin incompleta, enrutamiento inadecuado, alteracin, divulgacin, duplicacin o repeticin no
autorizada del mensaje.
Pgina 14 de 22
ISO 27001
A.10.9.3 Informacin disponible al pblico

Control: La integridad de la informacin que se pone a disposicin en un sistema de acceso pblico debe
estar protegida para evitar la modificacin no autorizada.
A.10.10 Monitoreo
Objetivo de control: Detectar actividades de procesamiento de informacin no autorizadas.
A.10.10.1 Registro de auditorias
Control: Se deben elaborar y mantener durante un periodo acordado las grabaciones de los registros para
auditoria de las actividades de los usuarios, las excepciones y los eventos de seguridad de la informacin con
el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso.
A.10.10.2 Monitoreo del uso del sistema
Control: Se debe establecer procedimientos para el monitorear del uso de los servicios de procesamiento de
la informacin, y los resultados de la actividades de monitoreo se deben revisar con regularidad.
A.10.10.3 Proteccin de la informacin del registro
Control: Los servicios y la informacin de la actividad de registro se deben proteger contra el acceso o la
manipulacin no autorizados.
A.10.10.4 Registros del administrador y del operador
Control: Se deben registrar las actividades tanto del operador como del administrador del sistema.
A.10.10.5 Registro de fallas
Control: Las fallas se deben registrar y analizar, y se deben tomar las acciones adecuadas.
A.10.10.6 Sincronizacin de relojes
Control: Los relojes de todos los sistemas de procesamiento de la informacin pertinentes dentro de la
organizacin o del dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta y
acordada.
A.11 CONTROL DE ACCESO

A.11.1 Requisitos del negocio para el control de acceso
Objetivo de control: Controlar el acceso a la informacin.
A.11.1.1 Polticas para el control de acceso
Control: Se debe establecer, documentar y revisar la poltica de control de acceso con base en los requisitos
del negocio y de la seguridad para el acceso
A.11.2 Administracin de acceso de usuarios
Objetivo de control: Asegurar el acceso de los usuarios autorizados y evitar el acceso de usuarios no autorizados a los
sistema de informacin.
A.11.2.1 Registro de usuarios.
Control: Debe existir un procedimiento formal para el registro y cancelacin de usuarios con el fin de
conceder y revocar el acceso a todos los sistemas y servicios de informacin
A.11.2.2 Gestin de privilegios.
Control: Se debe restringir y controlar la asignacin y uso de privilegios.
A.11.2.3 Gestin de contraseas para usuarios.
Control: La asignacin de contraseas se debe controlar a travs de un proceso formal de gestin
A.11.2.4 Revisin de los derechos de acceso de los usuarios.
Control: La direccin debe establecer un procedimiento formal de revisin peridica de los derechos de
acceso de los usuarios.
A.11.3 Responsabilidades de los usuarios
Objetivo de control: Evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la informacin y de los
servicios de procesamiento de informacin.
A.11.3.1 Uso de contraseas.
Control: Se debe exigir a los usuarios el cumplimiento de buenas prcticas de seguridad en la seleccin y el
uso de las contraseas
A.11.3.2 Equipo de usuario desatendido.
Control: Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada
A.11.3.3 Poltica de escritorio despejado y pantalla despejada.
Control: Se debe adoptar una poltica de escritorio despejado para reportes y medios de almacenamiento
removibles y una poltica de pantalla despejada para los servicios de procesamiento de informacin
A.11.4 Control de acceso a redes
Objetivo de control: evitar el acceso no autorizado a los servicios en red.
Pgina 15 de 22
ISO 27001
A.11.4.1 Poltica de uso de los servicios en red

Control: Los usuarios slo deben tener acceso a los servicios para cuyo uso estn especficamente
autorizados
A.11.4.2 Autenticacin de usuarios para conexiones externas
Control: Se deben emplear mtodos apropiados de autenticacin para controlar el acceso de usuarios
remotos
A.11.4.3 Identificacin de equipos en red
Control: La identificacin automtica de los equipos se debe considerar un medio para autenticar conexiones
de equipos y ubicaciones especficas
A.11.4.4 Proteccin de puertos de configuracin y diagnstico remoto
Control: El acceso lgico y fsico a los puertos de configuracin y de diagnstico debe estar controlado
A.11.4.5 Separacin de las redes
Control: En las redes se deben separar los grupos de servicio de informacin, usuarios y sistemas de
informacin
A.11.4.6 Control de conexin a las redes
Control: Para redes compartidas, especialmente aquellas que se extienden ms all de las fronteras de la
organizacin, se debe restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la
poltica de control de acceso y los requisitos de aplicacin del negocio (Ver A.11.1)
A.11.4.7 Control de enrutamiento en la red
Control: Se deben implementar controles de enrutamiento en las redes con el fin de asegurar que las
conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso de
las aplicaciones del negocio
A.11.5 Control de acceso al sistema operativo
Objetivo de control: Evitar el acceso no autorizado a los sistemas operativos.
A.11.5.1 Procedimientos de ingreso seguro
Control: El acceso a los sistemas operativos se debe controlar mediante un procedimiento de registro de
inicio seguro.
A.11.5.2 Identificacin y autenticacin de usuarios
Control: Todos los usuarios deben tener un identificador nico (ID del usuario) nicamente para su uso
personal, y se debe elegir una tcnica apropiada de autenticacin para comprobar la identidad declarada de
un usuario
A.11.5.3 Sistema de gestin de contraseas
Control: Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar la calidad de las
contraseas
A.11.5.4 Uso de utilidades del sistema
Control: Se deben restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los
controles del sistema y de la aplicacin
A.11.5.5 Tiempo de inactividad de la sesin
Control: Las sesiones inactivas se deben suspender despus de un perodo definido de inactividad
A.11.5.6 Limitacin del tiempo de conexin
Control: Se deben utilizar restricciones en los tiempos de conexin para brindar seguridad adicional para las
aplicaciones de alto riesgo
A.11.6 Control de acceso a la informacin y a las aplicaciones
Objetivo de control: Evitar el acceso no autorizado a la informacin contenida en los sistemas de informacin.
A.11.6.1 Restriccin de acceso a la informacin
Control: Se deben restringir el acceso a la informacin y a las funciones del sistema de aplicacin por parte
de los usuarios y del personal de soporte, de acuerdo con la poltica definida de control de acceso
A.11.6.2 Aislamiento de sistemas sensibles
Control: Los sistemas sensibles deben tener un entorno informtico dedicado (aislados)
A.11.7 Computacin mvil y trabajo remoto
Objetivo de control: Garantizar la seguridad de la informacin cuando se utilizan dispositivos de computacin mviles y de
trabajo remoto.
A.11.7.1 Computacin y comunicaciones mviles
Control: Se debe establecer una poltica formal y se deben adoptar las medidas de seguridad apropiadas
para la proteccin contra los riesgos debidos al uso de dispositivos de computacin y comunicacin mviles
A.11.7.2 Trabajo remoto
Pgina 16 de 22
ISO 27001
Control: Se deben desarrollar e implementar polticas, planes operativos y procedimientos para las
actividades de trabajo remoto
A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

A.12.1 Requisitos de seguridad de los sistemas de informacin
Objetivo de control: Garantizar que la seguridad es parte integral de los sistemas de informacin.
A.12.1.1 Anlisis y especificacin de los requisitos de seguridad.
Control: Las declaraciones sobre los requisitos del negocio para nuevos sistemas de informacin o mejoras a
los sistemas existentes deben especificar los requisitos para los controles de seguridad
A.12.2 Procesamiento correcto de aplicaciones
Objetivo de control: Evitar errores, prdida, modificaciones no autorizadas o uso inadecuado de informacin en las
aplicaciones.
A.12.2.1 Validacin de los datos de entrada
Control: Se deben validar los datos de entrada a las aplicaciones para asegurar que dichos datos son
correctos y apropiados.
A.12.2.2 Control al procesamiento interno
Control: Se deben incorporar verificaciones de validacin en las aplicaciones para detectar cualquier
corrupcin de la informacin por errores de procesamiento o actos deliberados.
A.12.2.3 Integridad mensaje.
Control: Se deben identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje
en las aplicaciones, as como identificar e implementar los controles adecuados.
A.12.2.4 Validacin de los datos de salida
Control: Se deben validar los datos de salida de una aplicacin para asegurar que el procesamiento de la
informacin almacenada es correcto y adecuado a las circunstancias.
A.12.3 Controles criptogrficos
Objetivo de control: Proteger la confidencialidad, autenticidad e integridad de la informacin.
A.12.3.1 Poltica sobre el uso de controles criptogrficos
Control: Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para
proteccin de la informacin.
A.12.3.2 Gestin de llaves
Control: Se debe implementar un sistema de gestin de llaves para apoyar el uso de las tcnicas
criptogrficas por parte de la organizacin.
A.12.4 Seguridad de los archivos del sistema
Objetivo de control: Garantizar la seguridad de archivos del sistema.
A.12.4.1 Control del software operativo
Control: Se deben implementar procedimientos para controlar la instalacin de software en sistemas
operativos.
A.12.4.2 Proteccin de los datos de prueba del sistema
Control: Los datos de prueba deben seleccionarse cuidadosamente, as como protegerse y controlarse.
A.12.4.3 Control de acceso a cdigo fuente de los programas
Control: Se debe restringir el acceso al cdigo fuente de los programas.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo de control: Mantener la seguridad del software y de la informacin del sistema de aplicaciones.
A.12.5.1 Procedimientos de control de los cambios.
Control: Se deben controlar la implementacin de cambios utilizando procedimientos formales de control de
cambios.
A.12.5.2 Revisin tcnica de aplicaciones despus de cambios en el sistema Operativo
Control: Cuando se cambie los sistemas operativos, las aplicaciones crticas para el negocio se deben revisar
y someter a prueba para asegurar que no hay impacto adverso sobre las operaciones ni en la seguridad de la
organizacin.
A.12.5.3 Restricciones en los cambios a los paquetes de software
Control: Se debe desalentar la realizacin de modificaciones a los paquetes de software, limitarlas a los
cambios necesarios, y todos los cambios se deben controlar estrictamente.
A.12.5.4 Fuga de informacin
Control: Se deben evitar las oportunidades para que se produzcan fuga de informacin.
A.12.5.5 Desarrollo de software contratado externamente
Pgina 17 de 22
ISO 27001
Control: La organizacin debe supervisar y monitorear el desarrollo de software contratado externamente.

A.12.6 Gestin de vulnerabilidad tcnica
Objetivo de control: Reducir los riesgos resultantes de la explotacin de vulnerabilidad tcnicas publicadas.
A.12.6.1 Control de vulnerabilidades tcnicas.
Control: Se debe obtener informacin oportuna sobre las vulnerabilidades tcnicas de los sistemas de
informacin que estn en uso, evaluar la exposicin de la organizacin a dichas vulnerabilidades y tomar
acciones apropiada para tratar los riesgos asociados.
A.13 GESTIN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE INFORMACIN.

A.13.1 Reporte sobre los eventos y las debilidades de la seguridad de informacin
Objetivo de control: Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los
sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente.
A.13.1.1 Reporte sobre los eventos de seguridad de informacin
Control: Los eventos de seguridad de la informacin se deben informar a travs de los canales de gestin
apropiados tan pronto como sea posible.
A.13.1.2 Reporte sobre las debilidades de la seguridad
Control: Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y
servicios de informacin que observen y reporten todas las debilidades observadas o sospechosas en los
sistemas o servicios.
A.13.2 Gestin de los incidentes y las mejoras en la seguridad de la informacin
Objetivo de control: Asegurar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes de seguridad
de la informacin.
A.13.2.1 Responsabilidades y procedimientos
Control: Se deben establecer responsabilidades y los procedimientos de gestin para asegurar una respuesta
rpida, eficaz y ordenada a los incidentes de seguridad de la informacin.
A.13.2.2 Aprendizaje debido a los incidentes en la seguridad de la informacin
Control: Debe existir mecanismos que permitan cuantificar y monitorear todos los tipos, volmenes y costos
de los incidentes de seguridad de informacin.
A.13.2.3 Recoleccin de evidencia
Control: Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente de
seguridad de informacin que implica acciones legales (civil o penales), la evidencia se debe recolectar,
retener y presentar para cumplir con las reglas para la evidencia establecida en la jurisdiccin pertinente.
A. 14 GESTION DE CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio
Objetivo de control: Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra
los efectos de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su recuperacin oportuna.
A.14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de continuidad del
negocio.
Control: Se debe desarrollar y mantener un proceso de gestin para continuidad del negocio en toda la
organizacin el cual trate los requisitos de seguridad de informacin necesarios para la continuidad del
negocio de la organizacin.
A.14.1.2 Continuidad del negocio y avaluacin de riesgos.
Control: Se deben identificar los eventos que pueden ocasionar interrupciones en los procesos del negocio
junto con la probabilidad y el impacto de dichas interrupciones, as como sus consecuencias para la
seguridad de la informacin.
A.14.1.3 Desarrollo e implementacin de planes de continuidad que incluyen la seguridad de la
informacin.
Control: Se deben desarrollar e implementar planes para mantener o recuperar las operaciones y asegurar la
disponibilidad de la informacin en el grado y la escala de tiempo requeridos, despus de la interrupcin o la
falla de los procesos crticos para el negocio.
A.14.1.4 Estructura para la planificacin de la continuidad del negocio.
Control: Se debe mantener una sola estructura de los planes de continuidad del negocio, para asegurar que
todos los planes son consistentes, y considerar los requisitos de seguridad de informacin de forma
consistente, as como identificar las prioridades para pruebas y mantenimiento.
A.14.1.5 Prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio.
Pgina 18 de 22
ISO 27001
Control: Los planes de continuidad del negocio se deben someter a pruebas y revisiones peridicas para
asegurar su actualizacin y su eficacia.
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento con los requisitos legales
Objetivo de control: Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y
de cualquier requisito de seguridad.
A.15.1.1 Identificacin de la legislacin aplicable
Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, as como el enfoque de
la organizacin para cumplir estos requisitos se deben definir explcitamente, documentar y mantener
actualizados para cada sistema de informacin y para la organizacin.
A.15.1.2 Derechos de propiedad intelectual (DPI)
Control: Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos
legales, reglamentarios y contractuales sobre el uso del material con respecto al cual se pueden existir
derechos de propiedad intelectual y sobre el uso de productos de software patentados.
A.15.1.3 Proteccin de los registros de la organizacin
Control: Los registros importantes se deben proteger contra prdida, destruccin y falsificacin, de acuerdo
con los requisitos estatutarios, reglamentarios, contractuales, y del negocio.
A.15.1.4 Proteccin de los datos y privacidad de la informacin personal
Control: Se debe garantizar la proteccin de los datos y la privacidad, de acuerdo con la legislacin y los
reglamentos pertinentes y, si se aplica, con las clusulas del contrato.
A.15.1.5 Prevencin del uso inadecuado de los servicios de procesamiento de la informacin
Control: Se debe disuadir a los usuarios de utilizar los servicios de procesamiento de informacin para
propsitos no autorizados.
A.15.1.6 Reglamentacin de los controles criptogrficos
Control: Se deben utilizar controles criptogrficos que cumplan todos los acuerdos, las leyes y los
reglamentos pertinentes.
A.15.2 Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico
Objetivo de control: Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin.
A.15.2.1 Cumplimiento con las polticas y normas de seguridad.
Control: Los directores deben garantizar que todos los procedimientos de seguridad dentro de su rea de
responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las polticas y las normas de
seguridad.
A.15.2.2 Verificacin de cumplimiento tcnico
Control: Los sistemas de informacin se deben verificar peridicamente para determinar el cumplimiento con
las normas de implementacin de la seguridad.
A.15.3 Consideraciones de auditora de sistemas de informacin
Objetivo de control: Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su
interferencia.
A.15.3.1 Controles de auditoria de los sistemas de informacin
Control: Los requisitos y las actividades de auditoria que implican verificaciones de los sistemas operativos se
deben planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones de los procesos del
negocio.
A.15.3.2 Proteccin de las herramientas de auditoria de sistemas de informacin
Control: Se debe proteger el acceso a las herramientas de auditoria de los sistemas de informacin para
evitar su uso inadecuado o ponerlas en peligro.
ANEXO B
PRINCIPIOS
Toma de conciencia
Responsabilidad
Respuesta
Valoracin de riesgos
Diseo e implementacin de la seguridad
Gestin de la seguridad
Reevaluacin
Pgina 19 de 22
ISO 27001
Pgina 20 de 22
ISO 27001
Anexo C
Pgina 21 de 22
ISO 27001
Anexo C
Pgina 22 de 22

Norma ISO 27001 de 2005

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Norma ISO 27001 de 2005

Uploaded by

Copyright:

Available Formats

NORMA ISO 27001:2005

TECOLOGIA DE IFORMACI TECICAS DE SEGURIDAD

Partes Planificar Partes

4. SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN

2) Desarrollar criterios para la aceptacin de riesgos, e identificar niveles de riesgo aceptables.

Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la planificacin y

e) registrar los resultados de la accin tomada (Ver 4.3.3); y

OBJETIVOS DE CONTROL Y CONTROLES

A.6 ORGANIZACIN DE SEGURIDAD DE INFORMACION

A.7 GESTIN DE ACTIVOS

A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.2.3 Proceso disciplinario

A.9 SEGURIDAD FSICA Y DEL ENTORNO

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.9.3 Informacin disponible al pblico

A.11 CONTROL DE ACCESO

A.11.4.1 Poltica de uso de los servicios en red

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Control: La organizacin debe supervisar y monitorear el desarrollo de software contratado externamente.

A.13 GESTIN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE INFORMACIN.

A. 14 GESTION DE CONTINUIDAD DEL NEGOCIO

You might also like