4 2 - Iso Iec - 27002 2013

4.
2 ISO/IEC 27002:2013, Information Technology - Security techniques Code of practice for

security management.
Introduccin. . El ISO 27002:2013 es el cdigo de prcticas de seguridad de la informacin el cual tiene como objetivo
proveer una gua para la implementacin de controles para el Sistema de Gestin de Seguridad de la Informacin ISO
27001.
Requerimiento normativo
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
PRINCIPIOS
5 Polticas de
Seguridad de la
Informacin.
Recomendaciones
seguridad de
personales, debern observar los principios

1
de
licitud,
consentimiento,
informacin,
calidad, finalidad, lealtad, proporcionalidad y

responsabilidad, previstos en la Ley.
Art. 6
Art. 9
1. Recomendacin
el
la
informacin
para un ISMS.
Actividades
Los responsables en el tratamiento de datos
para
establecimiento de polticas de
para
el
6 Organizacin de
establecimiento de un marco
Seguridad de la
para la gestin de la seguridad
Informacin.
de la informacin a travs de la
organizacin.
General.
Prcticas de seguridad de la
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al
control de recursos humanos

internos y externos.
Actividades para el control de
8 Gestin de Activos.
activos de informacin dentro

del alcance de un ISMS.
46
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Prcticas para el control de
9 Control de Acceso.
acceso
los
informacin
activos
de
informacin
dentro del alcance de un ISMS.

Lineamientos para la proteccin
10 Criptografa.
de la informacin por medios

criptogrficos.
11 Seguridad Fsica y
Ambiental.
Actividades para la prevencin

de eventos que pueden daar
los activos de informacin.
Prcticas
12 Seguridad en las
operaciones.
para
asegurar
el
apropiado control y seguridad

sobre
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el

sobre
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
con los Proveedores.
Actividades
aseguramiento del siclo de vida

desarrollo,
mantenimiento
adquisicin de sistemas.
Prcticas para la administracin
de
la
seguridad
de
la
informacin con proveedores.
16 Gestin de
Actividades para la gestin de
Incidentes de
incidentes de seguridad de la
Seguridad de la
informacin.
47
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
establecimiento de un plan de
continuidad del negocio.
Negocios.
Actividades para el monitoreo
18 Cumplimiento.
del cumplimiento respecto al

sistema
de
gestin
de
seguridad.
LICITUD Y LEALTAD
Los datos personales debern recabarse y
18.1.1 Identificacin
tratarse de manera lcita, privilegiando la
de legislacin
proteccin de los intereses del titular y la
aplicable y
expectativa
2
razonable
de
privacidad,
sin
importar la fuente de la que se obtienen los

datos.
Art. 7
Art. 7
Art. 10
Art. 44
requerimientos
Paso 1. Alcance y
Objetivos.
contractuales.
18.1.4 Privacidad y
proteccin de
La obtencin de datos personales no debe
Informacin Personal
hacerse a travs de medios engaosos o
Identificable.
fraudulentos.
Proceso para la identificacin y

formalizacin de requerimientos
regulatorios,
legales
contractuales.
Actividades
prevenir
brechas
relacionadas a la seguridad de
informacin personal
CONSENTIMIENTO
El tratamiento de datos personales estar
Art. 11
sujeto al consentimiento de su titular, salvo

3
las excepciones previstas por la Ley.

Los
datos
financieros
patrimoniales
Art. 8
Art. 12
Art. 15
Paso 2. Poltica de
de legislacin
Gestin de Datos
aplicable y
Personales.
requerimientos
contractuales.

regulatorios,
legales
contractuales.
48
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
requerirn consentimiento expreso de su

titular.
18.1.4 Privacidad y
proteccin de
Cuando los datos personales se obtengan
Informacin Personal
personalmente o de manera directa de su
Identificable.
titular, el consentimiento deber ser previo al
Actividades
prevenir
brechas
informacin personal
tratamiento.
de legislacin
aplicable y
El responsable
4
deber
facilitar al titular
medios sencillos y gratuitos para manifestar
Art. 8
Art. 16
su consentimiento expreso.
Paso 2. Poltica de
requerimientos
Gestin de Datos
contractuales.
Personales.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Tratndose de datos personales sensibles, el

responsable
deber
obtener
de legislacin
el
aplicable y
consentimiento expreso y por escrito del

titular
5
para
su
tratamiento.
No podrn crearse bases de datos que

contengan datos personales sensibles, sin
que se justifique la creacin de las mismas
para
finalidades
legtimas,
concretas
acordes con las actividades o fines explcitos
Paso 2. Poltica de
Art. 9
Art. 56
Gestin de Datos
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Actividades
prevenir
brechas
informacin personal
regulatorios,
legales
contractuales.
Actividades para la proteccin
Personales.
18.1.3 Proteccin de
registros.
de registros de acuerdo a las

regulaciones,
legislaciones,
contratos y requerimientos de
negocio vigentes.
49
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
que persigue el sujeto regulado.
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal
Paso 7.
Implementacin de
las Medidas de
Para efectos de demostrar la obtencin del
6
consentimiento,
recaer,
en
la
carga
todos
los
de
la
casos,
Seguridad
prueba
en
Art. 20
el
responsable.
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Medidas de
Seguridad.
INFORMACIN
A
travs
del
aviso
de
privacidad,
el
responsable tendr la obligacin de informar

a los titulares, los datos que recaba, las
finalidades necesarias y las que no lo son
para
7
la
relacin
jurdica,
as
como
las
caractersticas principales de su tratamiento.

Cuando se traten datos personales como
parte de un proceso de toma de decisiones
sin que intervenga la valoracin de una
persona
fsica,
el
responsable
Art. 14
Art. 15
Art. 23
Art. 112
Paso 2. Poltica de
de legislacin
Gestin de Datos
aplicable y
Personales.
requerimientos
contractuales.

regulatorios,
legales
contractuales.
deber
informar al titular que esta situacin ocurre.
50
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Si obtiene los datos de manera automtica,

deber informar al titular sobre el uso de
estas tecnologas y la forma en que podr
deshabilitarlas.
Paso 7.
Implementacin de
Cuando los datos personales sean obtenidos
directamente
8
del
titular,
el
aviso
las Medidas de
de
Seguridad
privacidad debe ponerse a disposicin de los
Art. 3, I
titulares a travs de formatos impresos,
Art. 17
Art. 27
Aplicables a los
Datos Personales.
digitales, visuales, sonoros o cualquier otra
Cumplimiento
tecnologa.
Cotidiano de
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Medidas de
Seguridad.
Paso 7.
El aviso de privacidad
debe contener un
mecanismo,
el
para
que
titular
Implementacin de
las Medidas de
pueda
manifestar su negativa al tratamiento de sus

9
datos
personales.
Cuando
los
datos
se
obtengan de manera indirecta del titular, el

responsable deber darle a conocer el aviso
de privacidad y sus cambios.
Art. 14
Art. 18
Art. 29
Art. 32
Seguridad
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Medidas de
Seguridad
51
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Paso 7.
Implementacin de
las Medidas de
Para efectos de demostrar la puesta a

disposicin
10
del
aviso
de
privacidad
Seguridad
en
cumplimiento del principio de informacin, la
Art. 31
carga de la prueba recaer, en todos los
Aplicables a los
Datos Personales.
Cumplimiento
casos, en el responsable.
Cotidiano de
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Medidas de
Seguridad.
CALIDAD
11
El responsable procurar que los datos
18.1.3 Proteccin de
personales contenidos en las bases de datos
registros.
sean
exactos,
completos,
pertinentes,
correctos y actualizados segn se requiera
Paso 2. Poltica de
Art. 11
Art. 36
18.1.4 Privacidad y
proteccin de
cual son tratados.
Informacin Personal
Identificable.
Cuando los datos de carcter personal hayan

dejado
de
ser
necesarios
para
de legislacin
el
cumplimiento de las finalidades previstas por

12
el aviso de privacidad y las disposiciones
Art. 3 III
legales aplicables, debern ser cancelados,
Art. 11
previo bloqueo de los mismos.

El responsable de la base de datos estar
Paso 2. Poltica de
Art. 37
Gestin de Datos
Personales.
regulaciones,
legislaciones,
negocio vigentes.
Gestin de Datos
Personales.
para el cumplimiento de la finalidad para la
aplicable y
requerimientos
contractuales.
8.3.2 Eliminacin de
medios.
Actividades
prevenir
brechas
informacin personal
regulatorios,
legales
para
la
contractuales.
Requerimientos
disposicin de medios de forma

segura cuando estos ya no sean
52
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
obligado a eliminar la informacin relativa al

incumplimiento
de
Descripcin
cumplimiento
utilizados.
obligaciones
contractuales, una vez que transcurra un

plazo de setenta y dos meses, contado a
11.2.7 Eliminacin
partir de la fecha calendario en que se
segura o re-uso del

equipo.
presente el mencionado incumplimiento.
Actividades para el re-uso o la

eliminacin de equipo.
Requerimientos
para
la
8.3.2 Eliminacin de
medios.

utilizados.
11.2.7 Eliminacin
segura o re-uso del
equipo.
El responsable establecer y documentar

13
procedimientos para la conservacin y, en su

caso, bloqueo y supresin de los datos
personales.
Paso 2. Poltica de
Art. 38
Gestin de Datos
Personales.
12.1.1 Documentacin
de procedimientos
operacionales.
Actividades para el re-uso o la

eliminacin de equipo.
Requerimientos
documentacin
comunicacin
al
para
la
formal
personal
relevante.
Actividades para la ejecucin de
12.3.1 Respaldo de
informacin.
respaldos de informacin para

prevenir
la
prdida
de
informacin.
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
53
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal
Paso 7.
Implementacin de
las Medidas de
Seguridad
Al responsable le corresponde demostrar que

14
los datos personales se conservan, o en su
Art. 39
caso, bloquean, suprimen o cancelan.
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Medidas de
Seguridad.
FINALIDAD
El tratamiento de datos personales deber
limitarse al cumplimiento de las finalidades

15
previstas en el aviso de privacidad.

Si el responsable pretende tratar los datos
para un fin distinto al establecido, deber
Art. 12
Art. 40
Paso 2. Poltica de
de legislacin
Art. 42
Gestin de Datos
aplicable y
Art. 43
Personales.
requerimientos
contractuales.

regulatorios,
legales
contractuales.
54
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
obtener nuevamente el consentimiento del

titular.
18.1.4 Privacidad y
El titular podr oponerse o revocar su
proteccin de
consentimiento para las finalidades distintas
Informacin Personal
a las que dieron origen a la relacin jurdica,
Identificable.
Actividades
prevenir
brechas
informacin personal
sin que ello tenga como consecuencia la

conclusin del tratamiento.
PROPORCIONALIDAD
de legislacin
El tratamiento de datos personales ser el
aplicable y
que resulte necesario, adecuado y relevante
requerimientos
en relacin con las finalidades previstas en el

16
aviso de privacidad. En particular para datos
Art. 13
personales sensibles, el responsable deber
Art. 45
Art. 46
Paso 2. Poltica de
contractuales.

regulatorios,
legales
contractuales.
Gestin de Datos
Personales.
limitar el periodo de tratamiento al mnimo
18.1.4 Privacidad y
proteccin de
indispensable.
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal.
CONFIDENCIALIDAD
El responsable o terceros que intervengan en
Requerimientos para el diseo
cualquier fase del tratamiento de datos

17
personales debern guardar confidencialidad

respecto de stos, obligacin que subsistir
aun despus de finalizar sus relaciones con el
titular o, en su caso, con el responsable.
Art. 21
Art. 9
Paso 2. Poltica de
13.2.4 Acuerdos de
Gestin de Datos
confidencialidad o de
Personales.
no divulgacin.
e implementacin de acuerdos
de confidencialidad y de no
divulgacin
que
reflejen
las
necesidades de la organizacin
en
cuento
proteccin
de
55
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
informacin.
RESPONSABILIDAD
5 Polticas de
Seguridad de la
Informacin.
Recomendaciones
seguridad de
la
Seguridad de la
Informacin.
7 Seguridad de
Paso 2. Poltica de
aviso de privacidad dado a conocer al titular,
Art. 14
Art. 47
Recursos Humanos.
Personales.
informacin
relacionadas
al

Gestin de Datos


sea respetado en todo momento por l o
por terceros con los que guarde alguna

relacin jurdica.
el
las medidas necesarias.
necesarias y suficientes para garantizar que el
para
organizacin.
personales en su posesin, debiendo adoptar
El responsable deber tomar las medidas
informacin
para un ISMS.
6 Organizacin de
responder por el tratamiento de los datos
18
el
Actividades
El responsable tiene la obligacin de velar y
para
acceso
informacin
los
o
activos
de
informacin

10 Criptografa.

criptogrficos.
Ambiental.
56
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Prcticas
12 Seguridad en las
operaciones
para
asegurar
el

sobre
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el

sobre
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
16 Gestin de
Incidentes de
Seguridad de la
Informacin.
Actividades

desarrollo,
mantenimiento
de
la
seguridad
de
la

informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
Negocios.
57
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18 Cumplimiento.

sistema
de
gestin
de
seguridad.
6.1.5 Seguridad de la
Informacin en la
Gestin de Proyectos.
8.2.1 Clasificacin de
Informacin.
19
para
garantizar
el
debido
tratamiento,
privilegiando los intereses del titular y la

expectativa razonable de privacidad.
Art. 14
Art. 48
para
la
administracin de la seguridad
en proyectos.
Lineamientos
para
la
clasificacin de informacin de
la organizacin.
14.1.1 Anlisis y
Lineamientos para la inclusin
especificacin de
de requerimientos de seguridad
requerimientos de
para la adquisicin, desarrollo o
Seguridad de la
Los responsables debern adoptar medidas
Actividades
Paso 5. Realizar el
Informacin.
Anlisis de Riesgo
de los Datos
de legislacin
Personales.
aplicable y
requerimientos
contractuales.
mejoras
en
los
sistemas
existentes.
regulatorios,
legales
contractuales.
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Actividades
prevenir
brechas
informacin personal
58
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Identificable.
5.1.1 Polticas de
Seguridad de la
Informacin.
Actividades
requerimientos
para definir un set de polticas

la informacin
Lineamientos
para
la
6.2.1 Poltica de
implementacin de una poltica
Dispositivos Mviles.
para el uso y proteccin de

medios mviles.
Actividades
7.2.3 Proceso
Elaborar polticas y programas de privacidad
20
obligatorios y exigibles al interior de la

organizacin.
Paso 2. Poltica de
Art. 48 - I
disciplinario.
el
disciplinario
en
caso
de
violaciones a la seguridad de la
informacin.
Gestin de Datos
Personales.
para
establecimiento de un proceso
8.1.3 Uso aceptable

de activos.
Establecimiento
formal
de
reglas para el uso aceptable de

activos de informacin.
Lineamientos
9.1.1 Poltica de
Control de Acceso.
para
el
establecimiento de una poltica

de
control de acceso a
la
informacin.
Aspectos
relevantes
para
el
10.1.1 Poltica sobre
desarrollo de una poltica sobre
el uso de controles
el
criptogrficos.
uso
de
controles
criptogrficos para proteccin

de la informacin.
59
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
11.2.9 Poltica de
de escritorio y pantalla limpios.
informacin.
14.2.1 Poltica de
desarrollo seguro.
15.1.1 Poltica de
Seguridad de la
Informacin para el
relacionamiento con
terceros.
de legislacin
aplicable y
requerimientos
contractuales.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
21
prctica
un
programa
de
del
personal
sobre
las
obligaciones
materia de proteccin de datos personales.
en
Art. 48 - II
la
limpios.
transferencia de
en
para
implementacin de una poltica
procedimientos de
capacitacin, actualizacin, y concientizacin
Lineamientos
escritorio y pantalla
13.2.1 Polticas y
Poner
Descripcin
cumplimiento
Actividades para el desarrollo

de la poltica y procedimientos
de transferencia de informacin.
Establecimiento
formal
de
polticas de seguridad para el

desarrollo de software.
Gua para el establecimiento
formal de requerimientos de
seguridad cuando se trabaja
con proveedores.
regulatorios,
legales
contractuales.
Actividades
prevenir
brechas
informacin personal
Paso 9. Mejora
7.2.2 Concienciacin,
Actividades para desarrollar e
Continua y
Educacin, y
implementar un programa de
Capacitacin.
Entrenamiento de
Capacitacin.
Seguridad de la
entrenamiento
y capacitacin
sobre temas relevantes para la
60
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Informacin.
seguridad de la informacin.
Las polticas de seguridad de la
5.1.2 Revisin de las
informacin
debern
ser
polticas de Seguridad
revisadas por la direccin o en
de la Informacin.
caso de algn cambio relevante

en la organizacin,
18.2.1 Revisin
independiente de
Establecer
22
un
sistema
de
supervisin
Seguridad de la
vigilancia interna, verificaciones o auditoras

externas para comprobar el cumplimiento de
Art. 48 - III
Paso 8. Revisiones y
Informacin.
Auditora.
las polticas de privacidad.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
La organizacin debe someterse

a revisiones independientes de
seguridad de la informacin en
intervalos planeados o cuando
ocurran cambios significativos.
La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
polticas y procedimientos de
Revisiones peridicas sobre el
18.2.3 Revisin de
cumplimiento de los sistemas
cumplimiento tcnico.
de informacin de acuerdo a
las polticas establecidas.
5.1. Direccin de la
23
Destinar recursos para la instrumentacin de

los programas y polticas de privacidad.
Art. 48 - IV
Paso 3. Establecer
Gerencia para
Funciones y
Seguridad de la
Obligaciones de
Informacin.
Quienes Traten
Datos Personales.
6.1 Organizacin
interna.
Las actividades para proveer

direccin y soporte para la
seguridad de la informacin de
acuerdo a los requerimientos
del negocio.
Actividades
para
el
para
iniciar
controlar
la
61
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
operacin de la seguridad de la
informacin.
18.1 Cumplimiento
Actividades
con requerimientos
brechas
legales y
contractuales.
Informacin en la
Instrumentar un procedimiento para que se
Paso 5. Realizar el
atienda el riesgo para la proteccin de datos

24
personales por la implementacin de nuevos

productos, servicios, tecnologas y modelos
de negocios, as como para mitigarlos.
Art. 48 - V
Anlisis de Riesgo
de los Datos
Personales.
Informacin.
para
en
regulaciones,
prevenir
cuanto
requerimientos
legales, y contractuales.
Actividades
para
la
en proyectos.
Lineamientos
para
la
la organizacin.
14.1.1 Anlisis y
especificacin de
requerimientos de
Seguridad de la
Informacin.
18.2.1 Revisin
independiente de
Seguridad de la
Informacin.
mejoras
en
los
sistemas
existentes.
62
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
18.2.3 Revisin de
informacin
debern
ser
de la Informacin.

en la organizacin,
18.2.1 Revisin
independiente de
Revisar
25
peridicamente
las
polticas
programas de seguridad para determinar las

modificaciones que se requieran.
Seguridad de la
y
Art. 48 - VI
Informacin.
Auditora.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.

La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
18.2.3 Revisin de
63
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Paso 7.
Establecer
26
procedimientos
para
recibir
responder dudas y quejas de los titulares de
Art. 48 - VII
los datos personales.
Implementacin de
12.1.1 Documentacin
las Medidas de
de procedimientos
Seguridad
operacionales.
Aplicables a los
Datos Personales.
Cumplimiento
Cotidiano de
Medidas de
Seguridad.
Disponer
27
de
mecanismos
para
el
cumplimiento de las polticas y programas de

privacidad, as como de sanciones por su
incumplimiento.
16.1 Gestin de
incidentes y mejoras
de Seguridad de la
Informacin.
Obligaciones de
7.2.3 Proceso
Quienes Traten
disciplinario.
Seguridad de la
Informacin.
28
de acciones tcnicas y administrativas que

permitan garantizar al responsable el
Paso 6.
cumplimiento de los principios y obligaciones

que establece la Ley y su Reglamento.
Art. 48 - IX
de
procedimientos operacionales y
su
difusin
las
partes
Actividades
para
la
administracin de incidentes de
seguridad.
para
el
establecimiento de un proceso
disciplinario
en
caso
de
violaciones a la seguridad de la
informacin.
5 Polticas de
los datos personales, es decir, un conjunto
de
documentacin
Actividades
Datos Personales.
Establecer medidas para el aseguramiento de
Lineamientos
relevantes.
Paso 3. Funciones y
Art. 48 - VIII
Descripcin
cumplimiento
Recomendaciones
para
el
seguridad de
la
informacin
para un ISMS.
Actividades
para
el
Identificacin de las
6 Organizacin de
medidas de
Seguridad de la
seguridad y Anlisis
Informacin.
de Brecha.
organizacin.
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al

64
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento

acceso
los
informacin
activos
de
informacin

10 Criptografa.

criptogrficos.
Ambiental.

Prcticas
12 Seguridad en las
Operaciones.
para
asegurar
el

sobre
los
activos
de
procesamiento.
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el

sobre
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
Actividades

desarrollo,
mantenimiento
de
la
seguridad
de
la
65
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
16 Gestin de
Incidentes de
Seguridad de la
Informacin.

informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
Negocios.
18 Cumplimiento.

sistema
de
gestin
de
seguridad.
Lineamientos
8.3.1 Gestin de
medios removibles.
para
implementacin
la
de
procedimientos para la gestin

de medios removibles.
29
Establecer medidas para la trazabilidad de los
Paso 6.
datos personales, es decir acciones, medidas
y procedimientos tcnicos que
permiten
rastrear a los datos personales durante su

tratamiento.
Art. 48 - X
medidas de
seguridad y Anlisis
Requerimientos
8.3.2 Eliminacin de
medios.
para
la

utilizados.
de Brecha.
12.7.1 Controles de
auditora sistemas de
informacin.
Actividades para la ejecucin de

auditoras con el objetivo de
minimizar interrupciones en los
procesos de negocio.
66
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
13.2.2 Acuerdos sobre
transferencia de
informacin.
Lineamientos
para
establecer
acuerdos de informacin entre

la
organizacin
entidades
externas.
14.1.1 Anlisis y
especificacin de
requerimientos de
Seguridad de la
Informacin.
mejoras
en
los
sistemas
existentes.
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
Todo responsable deber designar a una

persona,
personales,
30
departamento
quien
dar
de
datos
trmite
las
solicitudes de los titulares, para el ejercicio
Paso 7.
6.1.1 Roles y
Implementacin de
responsabilidades de
las Medidas de
Seguridad de la
Seguridad
Informacin.
Aplicables a los
Art. 30
Datos Personales.
de los derechos a que se refiere la Ley.
Cumplimiento
Asimismo fomentar la proteccin de datos
Cotidiano de
personales al interior de la organizacin.
Medidas de
Seguridad.
Todas
los
roles
responsabilidades
deben
y
ser
definidos y asignados.
Educacin, y
Entrenamiento de
Seguridad de la
entrenamiento
y capacitacin
Informacin.
Recomendaciones
SEGURIDAD
Todo
31
responsable
tratamiento
de
que
datos
lleve
personales
cabo
deber
establecer y mantener medidas de seguridad
Art. 19
Art. 4
Paso 6.
5 Polticas de
Art. 9
Seguridad de la
Art. 57
medidas de
Informacin.
para
el
seguridad de
la
informacin
67
administrativas,
permitan
tcnicas
proteger
los
fsicas
datos
que
personales
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
seguridad y Anlisis
para un ISMS.
de Brecha.
contra dao, prdida, alteracin, destruccin

o el uso, acceso o tratamiento no autorizado.
No
adoptarn
medidas
de
seguridad
menores a aquellas que mantengan para el
Actividades
en territorio mexicano, le sern aplicables las
Reglamento.
el
Seguridad de la
Informacin.
organizacin.
7 Seguridad de
Recursos Humanos.
informacin
relacionadas
al

disposiciones relativas a las medidas de

seguridad contenidas en el Captulo III de
para
6 Organizacin de
manejo de su informacin.
Cuando el encargado se encuentre ubicado
Descripcin
cumplimiento


acceso
los
informacin
activos
de
informacin

10 Criptografa.

criptogrficos.
Ambiental.

Prcticas
12 Seguridad en las
operaciones.
para
asegurar
el

sobre
los
activos
de
procesamiento.
68
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Prcticas
13 Seguridad en las
Comunicaciones.
para
asegurar
el

sobre
los
activos
de
para
el
comunicacin.
14 Adquisicin,
desarrollo y
mantenimiento de
Sistemas.
15 Relacionamiento
16 Gestin de
Incidentes de
Seguridad de la
Informacin.
Actividades

desarrollo,
mantenimiento
de
la
seguridad
de
la

informacin.
17 Aspectos de
Seguridad de la
Informacin de la
Gestin de la
Continuidad de
Actividades
para
el
Negocios.
18 Cumplimiento.

sistema
de
gestin
de
seguridad.
69
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Informacin en la
El responsable determinar las medidas de
seguridad aplicables a los datos personales
que trate, considerando el riesgo existente,
Informacin.
las posibles consecuencias para los titulares,
Actividades
para
la
en proyectos.
Lineamientos
para
la
la organizacin.
la sensibilidad de los datos y el desarrollo
14.1.1 Anlisis y
tecnolgico.
especificacin de
requerimientos de
De
manera
adicional,
el
Seguridad de la
responsable
procurar tomar en cuenta los siguientes
Paso 5. Realizar el
elementos:
32
Descripcin
cumplimiento
I. El nmero de titulares;
Art. 19
II. Las vulnerabilidades previas ocurridas en

los sistemas de tratamiento;
III.
El
riesgo
por
el
valor
potencial
Art. 60
Anlisis de Riesgo
de los Datos
Personales.
Informacin.
de legislacin
aplicable y
requerimientos
contractuales.
cuantitativo o cualitativo que pudieran tener

persona
no
autorizada
para
su
posesin, y
18.1.3 Proteccin de
registros.
IV. Dems factores que puedan incidir en el
los
sistemas
existentes.
regulatorios,
legales
contractuales.

regulaciones,
legislaciones,
negocio vigentes.
nivel de riesgo o que resulten de otras leyes

o regulacin aplicable al responsable.
en
los datos personales tratados para una

tercera
mejoras
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal
70
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Todos los activos asociados con
8.1.1 Inventario de
activos.
informacin e infraestructura de
procesamiento
estar
debern
identificados
en
de
un
inventario.
Todos
33
Elaborar un inventario de datos personales y

de los sistemas de tratamiento.
Paso 4. Elaborar un
Art. 61 - I
Inventario de Datos
8.1.2 Propiedad de
activos.
los
activos
de
informacin identificados deben

tener asignado un dueo que
ser
responsable
de
los
mismos.
Personales.
Informacin.
Lineamientos
informacin.
la
la organizacin.
Establece
8.2.2 Etiquetado de
para
para
los
el
requerimientos
etiquetado
de
informacin de acuerdo a su
clasificacin.
5.1.1 Polticas de
Seguridad de la
Paso 3. Establecer
34
Determinar las funciones y obligaciones de

las personas que traten datos personales.
Art. 61 - II
Informacin.
Funciones y
6.1.1 Roles y
Obligaciones de
responsabilidades de
Quienes Traten
Seguridad de la
Datos Personales.
Informacin.
Actividades
requerimientos
para definir un set de polticas

la informacin
Todas
los
responsabilidades
roles
deben
y
ser
definidos y asignados.
de legislacin
aplicable y
regulatorios,
legales
71
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
requerimientos
contractuales.
contractuales.
Informacin en la
Informacin.
35
personales
que
consiste
en
identificar
peligros y estimar los riesgos a los datos

personales.
Paso 5. Realizar el
Art. 61 - III
Anlisis de Riesgo
de los Datos
Personales.
para
la
en proyectos.
Lineamientos
para
la
la organizacin.
14.1.1 Anlisis y
especificacin de
requerimientos de
Seguridad de la
Contar con un anlisis de riesgos de datos
Actividades
Informacin.
de legislacin
aplicable y
requerimientos
contractuales.
mejoras
en
los
sistemas
existentes.
regulatorios,
legales
contractuales.
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Actividades
prevenir
brechas
Identificable.
72
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
18.1.3 Proteccin de
registros.
Establecer
las
medidas
de
seguridad
aplicables a los datos personales e identificar
Art. 61 - IV
aqullas implementadas de manera efectiva.
regulaciones,
legislaciones,
negocio vigentes.
Paso 6.
36
18.1.4 Privacidad y
medidas de
proteccin de
seguridad y Anlisis
Informacin Personal
de Brecha.
Identificable.
18.2.2 Cumplimiento
con polticas y
estndares de
Seguridad.
Actividades
prevenir
brechas
La
direccin
debe
evaluar
peridicamente
el
nivel
de
cumplimiento
respecto
18.2.3 Revisin de
37
Realizar el anlisis de brecha que consiste en
Paso 6.
14.2.3 Revisin
la diferencia de las medidas de seguridad
tcnica de
existentes y aqullas faltantes que resultan

necesarias para la proteccin de los datos
personales.
Art. 61 - V
medidas de
aplicaciones despus
seguridad y Anlisis
de cambios en la
de Brecha.
plataforma operativa.
Actividades para asegurar que

no
hay
efectos
negativos
despus de haberse realizado

cambios
en
las
plataformas
operativas.
73
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Actividades para asegurar que
18.2 Revisiones de
Seguridad de la
Informacin.
la seguridad de la informacin
se encuentra implementada y
operando de acuerdo a las
polticas
procedimientos
establecidos.
Paso 7.
Implementacin de
las Medidas de
Seguridad
Elaborar
38
un
plan
de
trabajo
para
la
implementacin de las medidas de seguridad
Art. 61 - VI
faltantes, derivadas del anlisis de brecha.
Actividades para identificar y
Aplicables a los
12.6.1 Gestin de
prevenir
Datos Personales.
vulnerabilidades
vulnerabilidades tcnicas en los
Plan de Trabajo
tcnicas.
para la
activos
que
de
las
informacin
sean
explotadas.
Implementacin de
las Medidas de
Seguridad Faltantes.
39
Llevar a cabo revisiones o auditoras.
Art. 61 - VII
debern
ser
de la Informacin.

en la organizacin,
Auditora.
informacin
18.2.1 Revisin
independiente de
Seguridad de la
Informacin.
18.2.2 Cumplimiento

La
direccin
debe
evaluar
74
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
con polticas y
peridicamente
el
nivel
de
estndares de
cumplimiento
respecto
Seguridad.
18.2.3 Revisin de
Paso 9. Mejora
40
Capacitar
al
personal
que
efecte
el
tratamiento de datos personales.
Art. 61 - VIII
Continua y
Capacitacin.
Capacitacin.
Educacin, y
Entrenamiento de
Seguridad de la
Informacin.
entrenamiento
y capacitacin


8.1.1 Inventario de
activos.
41
Realizar un registro de
los medios de
almacenamiento de los datos personales.
Art. 61 - IX
procesamiento
estar
Paso 5. Realizar el
inventario.
Anlisis de Riesgo
Todos
de los Datos
Personales.
8.1.2 Propiedad de
activos.
debern
identificados
los
en
activos
de
un
de

ser
responsable
de
los
mismos.
Informacin.
Lineamientos
para
la
la organizacin.
75
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
Establece
8.2.2 Etiquetado de
informacin.
para
los
el
requerimientos
etiquetado
de
informacin de acuerdo a su
clasificacin.
8.1.1 Inventario de
3. Acciones a
42
Contar con una relacin de las medidas de

seguridad.
activos.
implementar para la
Art. 61
procesamiento
estar
debern
identificados
en
de
un
inventario.
seguridad de los
Todos
datos personales
documentadas.
8.1.2 Propiedad de
activos.
los
activos
de

ser
responsable
de
los
mismos.
Actualizar las medidas de seguridad cuando:
43
I. Se modifiquen las medidas o procesos de

seguridad para su mejora continua, derivado
de las revisiones a la poltica de seguridad

Art. 62
Auditora.
informacin
debern
ser
de la Informacin.

en la organizacin,
76
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
del responsable.
II. Se produzcan modificaciones sustanciales
en el tratamiento que deriven en un cambio
del nivel de riesgo.
III. Se vulneren los sistemas de tratamiento,
de conformidad con lo dispuesto en el
de legislacin
artculo 20 de la Ley y 63 de su Reglamento.
aplicable y
IV.
Exista
una
afectacin
los
datos
requerimientos
personales distinta a las anteriores.
contractuales.

regulatorios,
legales
para
la
contractuales.
En el caso de datos personales sensibles, los

responsables procurarn revisar y, en su caso,
actualizar las relaciones correspondientes una
vez al ao.
VULNERACIONES A LA SEGURIDAD
16.1 Gestin de
incidentes y mejoras
Las vulneraciones de seguridad ocurridas en

cualquier fase del tratamiento que afecten de
forma significativa los derechos patrimoniales

44
o morales de los titulares, sern informadas

de forma inmediata por el responsable al
titular, a fin de que este ltimo pueda tomar
las medidas correspondientes a la defensa de
sus derechos.
Art. 20
Art. 63
Art. 64
Auditora.
de Seguridad de la
Informacin.
Actividades
administracin de incidentes de
seguridad.
Vulneraciones a la
Seguridad de la
Informacin.
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
77
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal
En caso de que ocurra una vulneracin a la

seguridad
de
los
datos
personales,
el
responsable deber informar al titular al

menos lo siguiente:
I. La naturaleza del incidente.

45
II. Los datos personales comprometidos.

III. Las recomendaciones al titular acerca de
Auditora.
Art. 65
Vulneraciones a la
Seguridad de la
las medidas que ste pueda adoptar para
Informacin.
proteger sus intereses.
16.1.5 Respuesta a
incidentes de
Seguridad de la
Informacin.
Procedimientos
respuesta
para
incidentes
la
de
seguridad.
IV. Las acciones correctivas realizadas de

forma inmediata.
V. Los medios donde puede obtener ms
informacin al respecto.
En caso de que ocurra una vulneracin a los
datos
personales,
el responsable
deber
16.1.6 Lecciones
Auditora.
aprendidas de los
Vulneraciones a la
incidentes de
preventivas y de mejora para adecuar las
Seguridad de la
Seguridad de la
medidas de seguridad correspondientes, a
Informacin.
Informacin.
analizar las causas por las cuales se present

46
implementar
las
acciones
correctivas,
Art. 66
Establecimiento de una base de

datos de eventos de seguridad
para minimizar el impacto de
eventos similares en el futuro.
efecto de evitar que la vulneracin se repita.

ENCARGADO
78
El
encargado
tendr
las
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
siguientes
Actividades para mantener la
obligaciones respecto del tratamiento que
13.2 Transferencia de
realice por cuenta del responsable:
informacin.
I. Tratar nicamente los datos personales
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
conforme a las instrucciones del responsable.
15.1 Seguridad de la
Actividades para asegurar la
II. Abstenerse de tratar los datos personales
Informacin para el
proteccin de los activos de
para finalidades distintas a las instruidas por
relacionamiento con
informacin que esta accesible
el responsable.
proveedores.
III. Implementar las medidas de seguridad
15.2 Gestin de la
conforme a la Ley, su Reglamento y las
entrega de servicios
dems disposiciones aplicables.

47
Descripcin
cumplimiento
IV. Guardar confidencialidad respecto de los

datos personales tratados.
Art. 50
1. Recomendacin
de proveedores.
para terceros.
Actividades
para
el
mantenimiento de niveles de
servicio y seguridad apropiados
con terceras partes.
General.
V. Suprimir los datos personales objeto de

tratamiento una vez cumplida la relacin
jurdica
con
el
responsable
por
instrucciones del responsable, siempre y
18.1 Cumplimiento
cuando no exista una previsin legal que
con requerimientos
exija la conservacin de los datos personales.

VI.
Abstenerse
de
transferir
los
legales y
datos
contractuales.
personales salvo en el caso de que el

responsable
as
lo
determine,
Lineamientos
para
relacionadas
regulaciones
prevenir
layes
contratos
relacionados a seguridad de la
informacin
la
comunicacin derive de una subcontratacin,

o
cuando
as
lo
requiera
la
autoridad
competente.
SUBCONTRATACIONES
79
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
transferencia de
informacin.
Lineamientos
para
establecer

la
organizacin
entidades
externas.
13.2.4 Acuerdos de
Paso 7.
no divulgacin.
48
relacin
entre
el
responsable
el
Seguridad
clusulas contractuales u otro instrumento
Aplicables a los
jurdico que decida el responsable, que
Art. 51
Datos Personales.
permita acreditar su existencia, alcance y
Cumplimiento
contenido.
Cotidiano de
Medidas de
que
reflejen
las
cuento
proteccin
de
informacin.
las Medidas de
encargado deber estar establecida mediante
divulgacin
en
Implementacin de
La
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
Seguridad.
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Actividades
prevenir
brechas
informacin personal
80
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
que contribuye al
Descripcin
cumplimiento
Toda subcontratacin de servicios por parte
del encargado que implique el tratamiento
Informacin para el
de datos personales deber ser autorizada
relacionamiento con
por el responsable, y se realizar en nombre
proveedores.
y por cuenta de este ltimo.

Una
vez
obtenida
la
autorizacin,
el
subcontratado
travs
de
Implementacin de
las Medidas de
clusulas
contractuales u otro instrumento jurdico que

permita acreditar su existencia, alcance y
contenido.
Seguridad
Art. 54
Aplicables a los
Art. 55
Datos Personales.
Cumplimiento
En caso de que la subcontratacin no haya
Cotidiano de
sido prevista en clusulas contractuales, el
Medidas de
encargado deber obtener la autorizacin

correspondiente
del
para terceros.
Paso 7.
el
encargado deber formalizar la relacin con
49
Objetivo de Control
Seguridad.
responsable
de legislacin
aplicable y
requerimientos
contractuales.

regulatorios,
legales
contractuales.
previamente.
La
obligacin
de
acreditar
que
la
subcontratacin se realiz con autorizacin

del responsable corresponder al encargado.
CMPUTO EN LA NUBE
50
Para el tratamiento de datos personales en
Paso 7.
servicios, aplicaciones e infraestructura en el
Implementacin de
denominado cmputo en la nube, en los que
Art. 52 - I
las Medidas de
el responsable se adhiera a los mismos
Seguridad
mediante condiciones o clusulas generales
Aplicables a los
13.2.1 Polticas y
procedimientos de
transferencia de
informacin.

81
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
de contratacin, slo podr utilizar aquellos
Datos Personales.
servicios en los que el proveedor cumpla, al
Cumplimiento
menos, con lo siguiente:
Cotidiano de
transferencia de
Medidas de
informacin.
a) Tener y aplicar polticas de proteccin de
Seguridad.
Reglamento;
b) Transparentar las subcontrataciones que
c) Abstenerse de incluir condiciones en la

prestacin del servicio que le autoricen o
permitan asumir la titularidad o propiedad de
la informacin sobre la que presta el servicio,
y
d) Guardar confidencialidad respecto de los
datos personales sobre los que se preste el
servicio.
para
establecer

la
organizacin
entidades
externas.
13.2.4 Acuerdos de
no divulgacin.
divulgacin
que
reflejen
las
en
involucren la informacin sobre la que se

presta el servicio;
Lineamientos
datos personales afines a los principios y

deberes aplicables que establece la Ley y su
Descripcin
cumplimiento
cuento
proteccin
de
informacin.
Informacin para el
relacionamiento con
proveedores.
15.2 Gestin de la
de proveedores.
de legislacin
aplicable y
requerimientos
contractuales.
para terceros.
Actividades
para
el
regulatorios,
legales
contractuales.
82
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
18.1.3 Proteccin de
registros.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
prevenir
brechas
Para el tratamiento de datos personales en

servicios, aplicaciones e infraestructura en el
denominado cmputo en la nube, en los que
informacin.
el responsable se adhiera a los mismos

mediante condiciones o clusulas generales
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
Paso 7.
de contratacin, slo podr utilizar aquellos
Implementacin de
servicios en los que el proveedor cuente con
las Medidas de
Informacin para el
Seguridad
relacionamiento con
Aplicables a los
proveedores.
mecanismos, al menos, para:

51
Actividades
a) Dar a conocer cambios en sus polticas de
Art. 52 - II
Datos Personales.
privacidad o condiciones del servicio que
Cumplimiento
presta;
Cotidiano de
Medidas de
b) Permitir al responsable limitar el tipo de

tratamiento de los datos personales sobre los
que se presta el servicio;
Seguridad.
15.2 Gestin de la
de proveedores.
de legislacin
aplicable y
requerimientos
c)
Establecer
mantener
medidas
de
contractuales.
para terceros.
Actividades
para
el
regulatorios,
legales
contractuales.
83
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
seguridad adecuadas para la proteccin de
los datos personales sobre los que se preste
18.1.3 Proteccin de
el servicio;
registros.
d) Garantizar la supresin de los datos

regulaciones,
legislaciones,
negocio vigentes.
personales una vez que haya concluido el

servicio prestado al responsable, y que este
ltimo haya podido recuperarlos, y
18.1.4 Privacidad y
e) Impedir el acceso a los datos personales a
proteccin de
personas que no cuenten con privilegios de
Informacin Personal
acceso, o bien en caso de que sea a solicitud
Identificable.
fundada
competente,
motivada
informar
de
de
autoridad
ese
hecho
Actividades
prevenir
brechas
informacin personal
al
responsable.
TRANSFERENCIAS
52
Cuando el responsable pretenda transferir los
Paso 7.
datos personales a terceros nacionales o
Implementacin de
extranjeros, distintos del encargado, deber
las Medidas de

informacin.
comunicar a stos el aviso de privacidad y las
Art. 68
Seguridad
finalidades a las que el titular sujet su
Art. 71
Aplicables a los
Art. 72
Datos Personales.
Art. 74
Cumplimiento
de legislacin
a lo convenido en el aviso de privacidad, el
Cotidiano de
aplicable y
cual contendr una clusula en la que se
Medidas de
requerimientos
indique
Seguridad.
contractuales.
tratamiento.
El tratamiento de los datos se har conforme
si
el
titular
acepta
no
la
Art. 36
seguridad en
transmitida
organizacin
la
informacin
dentro
y
de
la
entidades
externas.
regulatorios,
legales
contractuales.
84
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
transferencia de sus datos, de igual manera,
el tercero receptor, asumir las mismas

obligaciones
que
correspondan
Descripcin
cumplimiento
18.1.3 Proteccin de
al
registros.
responsable que transfiri los datos.

regulaciones,
legislaciones,
negocio vigentes.
18.1.4 Privacidad y
proteccin de
Informacin Personal
Identificable.
Para
efectos
transferencia,
de
demostrar
sea
sta
que
la
nacional
internacional, se realiza conforme a lo que

53
establece la Ley y su Reglamento, la carga de
Art. 69
la prueba recaer, en todos los casos, en el
Paso 7.
13.2.1 Polticas y
Implementacin de
procedimientos de
las Medidas de
transferencia de
Seguridad
informacin.
Medidas de
Seguridad.
En
54
el
caso
de
transferencias
de
datos
personales entre sociedades controladoras,

subsidiarias o afiliadas bajo el control comn
del mismo grupo del responsable, o a una

transferencia de
informacin.
13.2.1 Polticas y
Art. 70
brechas
informacin personal

Datos Personales.
Cotidiano de
de los datos personales.
prevenir
Aplicables a los
Cumplimiento
responsable que transfiere y en el receptor
Actividades
1. Recomendacin
procedimientos de
General
transferencia de
informacin.
Lineamientos
para
establecer

la
organizacin
entidades
externas.

85
Referencia
Referencia
Referencia
LFPDPPP
Reglamento
Recomendaciones
Objetivo de Control
que contribuye al
Descripcin
cumplimiento
sociedad matriz o a cualquier sociedad del

mismo grupo del responsable, el mecanismo
para garantizar que el receptor de los datos
personales cumplir con las disposiciones
previstas en la Ley, su Reglamento y dems
normativa aplicable, podr ser la existencia
transferencia de
de normas internas de proteccin de datos
informacin.
personales cuya observancia sea vinculante,
Lineamientos
para
establecer

la
organizacin
entidades
externas.
siempre y cuando stas cumplan con lo

establecido en la Ley, su
Reglamento y
dems normativa aplicable.

Paso 7.
Implementacin de
La
transferencia
deber
formalizarse
las Medidas de
mediante algn mecanismo que permita

55
Seguridad
demostrar que el responsable transferente
Art. 73
Aplicables a los
comunic
Art. 75
Datos Personales.
al
responsable
receptor
las
13.2.1 Polticas y
procedimientos de
transferencia de
informacin.
condiciones en las que el titular consinti el
Cumplimiento
tratamiento de sus datos personales.
Cotidiano de
transferencia de
Medidas de
informacin.
Seguridad.

Lineamientos
para
establecer

la
organizacin
entidades
externas.
86

4 2 - Iso Iec - 27002 2013

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

4 2 - Iso Iec - 27002 2013

Cargado por

Copyright:

Formatos disponibles

4.

2 ISO/IEC 27002:2013, Information Technology - Security techniques Code of practice for

personales, debern observar los principios

calidad, finalidad, lealtad, proporcionalidad y

Los responsables en el tratamiento de datos

para la gestin de la seguridad

control de recursos humanos

activos de informacin dentro

dentro del alcance de un ISMS.

de la informacin por medios

Actividades para la prevencin

apropiado control y seguridad

apropiado control y seguridad

aseguramiento del siclo de vida

informacin con proveedores.

Actividades para la gestin de

del cumplimiento respecto al

tratarse de manera lcita, privilegiando la

proteccin de los intereses del titular y la

importar la fuente de la que se obtienen los

La obtencin de datos personales no debe

hacerse a travs de medios engaosos o

Proceso para la identificacin y

sujeto al consentimiento de su titular, salvo

las excepciones previstas por la Ley.

Proceso para la identificacin y

requerirn consentimiento expreso de su

Cuando los datos personales se obtengan

personalmente o de manera directa de su

titular, el consentimiento deber ser previo al

medios sencillos y gratuitos para manifestar

Tratndose de datos personales sensibles, el

consentimiento expreso y por escrito del

No podrn crearse bases de datos que

acordes con las actividades o fines explcitos

Proceso para la identificacin y

de registros de acuerdo a las

que persigue el sujeto regulado.

Proceso para la identificacin y

responsable tendr la obligacin de informar

caractersticas principales de su tratamiento.

Proceso para la identificacin y

informar al titular que esta situacin ocurre.

Si obtiene los datos de manera automtica,

privacidad debe ponerse a disposicin de los

titulares a travs de formatos impresos,

digitales, visuales, sonoros o cualquier otra

Proceso para la identificacin y

manifestar su negativa al tratamiento de sus

obtengan de manera indirecta del titular, el

Proceso para la identificacin y

Para efectos de demostrar la puesta a

cumplimiento del principio de informacin, la

carga de la prueba recaer, en todos los

Proceso para la identificacin y

El responsable procurar que los datos

personales contenidos en las bases de datos

correctos y actualizados segn se requiera

cual son tratados.

Cuando los datos de carcter personal hayan

cumplimiento de las finalidades previstas por

el aviso de privacidad y las disposiciones

legales aplicables, debern ser cancelados,