NCh-ISO 27001:2005 - Seguridad de la informacion
Tecnologia de la informacién - Técnicas de seguridad
Sistemas de gestion de la seguridad de la informaci6n -
Requisitos
USO EXCLUSIVO PARA EL ENTRENAMIENTO
Le
NORMA NCh-ISO 27001
CHILENA
‘Segunda edicion
2013.10.25
Tecnologia de la informacion - Técnicas
de seguridad - Sistemas de gestion de
la seguridad de la informacion -
Requisitos
Information technology - Security techniques - Information security
management systems - Requirements
Numero de referencia
NCh-ISO 27001:2013
INN 2013
NORMA CHILENA NCh-ISO 27001:2013
DOCUMENTO PROTEGIDO POR COPYRIGHT
© INN 2013
Derechos de autor
La presente Norma Chilena se encuentra protegida por derechos de autor 0 copyright, por fo cual, no puede ser reproducida o utlizada
ten cualquier forma o por cualquler medio, elecranico o mecénic, sin permiso escrito del INN. La publicacion en Internat se encuentra
prohibida y penada por la ley.
‘Se deja expresa constancia que en caso de adqutrallgn documento en formato impraso,éste no puede ser copiado (otocopia,dstalizacion 0
Sinnlores) en casiguer forma. Bajo ringuna ccunstanca puede ser revendida, Asimismo,y sin pejuiclo de lo indicado en el parafo anterior, los
‘documentos alquridos en formato pal, ene autrizada séfo una impresiin por archivo, para uso persoral del Clete, El Clente ha comprado una
Sola Foencia do usuario para guardareste archivo en su compuladr personal El uso compari de estos archivos esta prohibio, sea que se
materaice a vavés de envioso Wansterencias por canea cletrénica, copia en CD, pubbicacién en Inivaneto ntemety simlares.
‘Sitiene alguna difcutad en celacisn cons condiciones antes cladas, osiusted tne alguna pregunta con respecto alos derechos de autor, por
favor conlacte la egulentecreccién:
Instituto Nacional de Normalizacion - INN.
Matias Cousino 64, plso 6 + Santiago de Chile
Tel, + 56 2 445 88 00
Fax + 56.2 461 0429
Correo Electrénica infoe@inn.c}
Sitio Web wor inn.cl
Publicado en Chile
OF
MA CHILENA NChISO 27001:2013
Contenido Pagina
Preambulo.
0 Introduccién, i
0.41 General 1
0.2 Compatibilidad con otras normas de sistema de gestion 1
1 Aleance y campo de aplicacién en 2
2 Referencias normativas... san
3 Términos y definiciones 2
4 Contexto de la organizacié 2
44 Comprender ta organizacién y su contexto 2
4.2 Comprender las necesidades y expectativas de las partes 3
4.3. Determinar el alcance del sistema de gestién de la seguridad de la informacién. 3
4.4 Sistema de gestién de la seguridad de la informacién.. 3
5 Liderazgo. 3
5.1 Liderazgo y compromiso. ee 3
5.2 Politica 4
5.3 Roles organizacionales, responsabilidades y autoridades . 4
6 —_Planificacién... 4
6.1. Acciones para abordar los riesgos y las oportunidade: 4
6.2 Objetivos de seguridad de la informacién y planificacién para lograrlos, 6
T Apoyo seen ie
7.4 — Recursos. 7
7.2 Competencias. 7
7.3 Conocimiento.. 7
74 — Comunicacién. 8
7.5 Informacién documentada 8
8 — Operacién su
8.4 Control y planificacién operac 9
8.2 Evaluacién de riesgo de la seguridad de la 9
8.3 Tratamiento de riesgo de la seguridad de la informacion 9
9 Evaluacién de desempefio 10
8.1 Monitoreo, medicién, analisis y evaluacién
9.2 Auditoria interna
9.3 Revisién de gestion
10 Mejora
10.1. No conformidades y acciones correctivas.
10.2 Mejora continua
Anexos
Anexo A (normativo) Objetivos de control de referencia y controles.
Anexo B (informativo) Bibliografia .
Anexo C (informativo) Justificacién de los cam!
© INN 2013 - Todos los derechos reservados i
NORMA CHILENA NCh-ISO 27001:2013
Tecnologia de la informacién - Técnicas de seguridad -
Sistemas de gestidn de la seguridad de la informacion -
Requisitos
Preambulo
El Instituto Nacional de Normalizacién, INN, es el organismo que tiene a su cargo el estudio y preparacién de
las_normas técnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
tepresentando a Chile ante esos arganismos.
Esta norma se estudié por el Comité Técnico Conjunto de caracteres y codificacién, y define los
requerimientos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestién
de la seguridad de la informacién, dentro del contexto de la organizacién
Esta norma es idéntica a la versién en inglés de la Norma ISO/MEC 27001:2013 Information technology -
‘Security téctihiques - Information security management systems - Requirements.
La Nota Explicativa incluida en un recuadro en cléusula 2 Referencias normativas y Anexo B Bibliografia, es
tun cambio editorial que se incluye con el propésito de informar la correspondencia con Norma Chilena de las
Normas Internacionales citadas en esta norma.
Para los propésitos de esta norma, se han realizado los cambios editoriales que se indican y justifican en
Anexo C.
Los Anexos B y C no forman parte de la norma, se insertan sélo a titulo informativo.
Si bien se ha tomado todo el cuidado razonable en la prepatacién y revisién de los documentos normativos
producto de la presente comercializacién, INN no garantiza que el contenido del documento es actualizado 0
exacto 0 que el documento serd adecuado para los fines esperados por el Cliente,
En la medida permitida por la legislacién aplicable, el INN no es responsable de ningtin dafio directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier dafio que surja o esté conectado con el uso
© el uso indebido de este documento.
Esta norma ha sido aprobada por e! Consejo del Instituto Nacional de Normalizecién, en sesién efectuada el
25 de octubre de 2013.
ii INN 2013 - Todos los derechos reservados
NORMA CHILENA NCh-ISO 27001:2013
Tecnologia de la informacién - Técnicas de seguridad -
Sistemas de gestidn de la seguridad de la informacién -
Requisitos
0 Introduccién
0.1 General
Esta norma ha sido preparada para proporcionar los requisitos para establecer, implementar, mantener y
mejorar de manera continua un sistema de gestion de la seguridad de la informacién. La adopcién del
sistema de gestion de fa seguridad de la informacién es una decision estratégica para una organizacién. El
establecimiento e implementacién de un sistema de gestion de la seguridad de la informacién de ta
organizacién esta influenciada por las necesidades y objetivos de la organizacién, los requisitos de seguridad,
los procesos organizacionales utilizados y el tamagio y la estructura de la organizacién. Se espera que todos
estos factores de influencia cambien con el tiempo.
EI sistema de gestion de la seguridad de la informacion conserva la confidencialidad, integridad y
disponibilidad de la informacién al aplicar un proceso de gestién de riesgo y le entrega confianza a las partes,
interesadas cuyos riesgos son gestionados de manera adecuada,
Es importante que el sistema de gestion de seguridad de Ia informacién sea parte de y este integrado a los
procesos de la organizacién y a la estructura de gestion general y que la seguridad de la informacién sea
considerada en el disefio de procesos, sistemas de informacién y controles, Se espera que la implementacion
det sistema de gestion de la seguridad de la informacién sea escalada segin las necesidades de la
organizacién.
Esta norma puede ser usada por las partes intemas y externas para evaluar la capacidad de la organizacion
para cumplir con los propios requerimientos de seguridad de la informacién de la organizacién,
El orden en que se presentan los requerimientos en esta norma no refleja su importancia ni implica el orden
en que seran implementados. La lista de elementos est enumerada solo como referencia,
ISO/IEC 27000 describe las generalidades y el vocabulario de los sistemas de la gestién de la seguridad de
{a informacién, relacionando la familia del sistema de gestién de la seguridad de la informacion de las normas
(incluidos ISOMEC 27003, ISONEC 27004 e ISO/IEC 27008), con los términos y definiciones relacionados.
0.2 Compatibilidad con otras normas de sistema de gestion
Esta norma aplica la estructura de alto nivel, los titulos de sub-cldusula idénticos, el texto idéntico, los
términos en comdn y las definiciones clave definidas en Anexo SL de las Directivas de ISO/IEC, Parte 1,
Suplemento ISO Consolidado y por lo tanto, mantiene la compatibilidad con otras normas del sistema de
gestion que Anexo SL adopto.
Este enfoque comtin definido en Anexo SL sera util para aquellas organizaciones que opten por trabajar con
un solo sistema de gestion que cumpla con los requisitos de dos o mas normas del sistema de gestion.
@ INN 2013 - Todos los derechos reservados 1
NCh-ISO 27001:2013 NORMA CHILENA
4 Alcance y campo de aplicacion
Esta norma define los requerimientos para establecer, implementar, mantener y mejorar de manera continua
Un sistema de gestién de la seguridad de la informacién, dentro del contexto de la organizacion. Esta norma
incluye ademds los requisitos para la evaluacién y tratamiento de los riesgos de la seguridad de la
informacién que se adapla a las necesidades de la organizacién. Los requisitos definidos en esta norma son
genéricos y tienen por objetivo ser aplicables a todas las organizaciones, sin importar el tipo, tamafio 0
naturaleza. A excepcién de los requisitos especificados en cléusulas 4 a la 10, no es aceptable cuando una
organizacién reclama la conformidad de esta norma
2 Referencias normativas
En este documento se hace referencia en forma normativa a los siguientes documentos, completos o parte
de ellos, los que son indispensables para su aplicacién. Para referencias con fecha, sélo aplica la edicién
citada. Para referencias sin fecha, se aplica la Ultima edicién del documento referenciado (incluyendo
cualquier enmienda).
ISOMEC 27000 Information technology - Security techniques —- Information security
management systems - Overview and vocabulary.
NOTA EXPLICATIVA NACIONAL,
La equivalencia de la Norma Intemacional sefialada anteriormente con Norma Chilena, y su grado de
correspondencia es el siguiente:
Norma Internacional Norma nacional Grado de correspondencia |
ISO/IEC 27000 No hay - |
3 Términos y definiciones
Para los propésitos de este documento, se aplican los términos y definiciones proporcionados en
ISOMEC 27000.
4 Contexto de la organizacion
4.4 Comprender fa organizacion y su contexto
(assves)
La organizacién debe determinar los aguntos externos e internos que son importantes para su objetivo y que
afecte su capacidad para lograr e(los) resultado(s) esperado(s) de su sistema de gestién de la seguridad de
la informacién.
NOTA Determinar estos asuntos se refiere a establecer el contexto extemo e intemo de la organizacién, considerado en
(SO 31000:2009, 5.3.
2 INN 2013 - Todos los derechos reservados
NORMA CHILENA NCh-ISO 27001:2013
4.2 Comprender las necesidades y expectativas de las partes interesadas
La organizacion debe determinar:
8) _ las partes interesadas que son pertinentes para el sistema de gestion de la seguridad de la informacién: y
) los requisitos de estas partes interesadas que sean pertinentes para la seguridad de la informacién.
NOTA Los requisitos de las partes interesadas pueden incluir requerimientos legales y regulalorios, asi como
obligaciones contractuales,
4.3 Determinar el alcance del sistema de gestién de la seguridad de la informacion
La organizacién debe determinar los limites y la aplicabilidad del sistema de gestién de la seguridad de la
informacién para establecer su alcance,
Al determinar este alcance, la organizacién debe considerar:
a) los asuntos externos ¢ interos tratados en 4.1;
b) los requerimientos tratados en 4.2; y
_—b TE NTERPASES
y dependencias entre las actividades realizadas por la organizacién y aquellas realizadas
por otfas organizaciones.
El alcance estara disponible come informacién documentada
4.4 Sistema de gestion de la seguridad de la informacion
La organizacién debe establecer, implementar, mantener y mejorar de manera continua un sistema de
gestién de la seguridad de la informacién, segtin los requerimientos de esta norma,
5 Liderazgo
5.1 Liderazgo y compromiso
La alta direccién debe demostrar liderazgo y compromiso con respecto al sistema de gestion de la seguridad
de la informacién al:
@) _asegurar que los objetivos de la politica de seguridad de la informacién y la seguridad de la informacién
se establezcan y sean compatibles con la direccién estratégica de la organizacién;
b) asegurar la integracion de los requisitos del sistema de gestién de la seguridad de la informacién a los
procesos de la organizacién
©) asegurar que los recursos necesarios para el sistema de gestion de la seguridad de la informacion estan
disponibles;
d) _ comunicar la importancia de la gestidn de seguridad de la informacién efectiva y del cumplimiento de los
Fequisitos del sistema de gestion de la seguridad de la informacién;
©) asegurar que el sistema de gestién de la seguridad de la informacién logre su(s) resultado(s)
esperado(s)
CP etervr 120 -
@INN 2013 - Todos los derechos reservados
NCh-ISO 27001:2013 NORMA CHILENA
) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestién de ta seguridad
de la informacion;
9) promover la mejora continua; y
h) apoyar otros roles de gestién relevantes para demostrar su liderazgo, segtin corresponda a sus areas de
responsabilidad
5.2 Politica
La alta direccién debe establecer una politica de seguridad de la informacion que:
a) es pertinente al objetivo de la organizacién;
b) _incluya los objetivos de seguridad de la informacién (consulte 6.2) 0 que proporcione el marco de trabajo
para establecer los objetivos de seguridad de la informacién;
©) incluye un compromiso para satisfacer los requisitos aplicables, rel
informacién; y
jonados a ta seguridad de la
4) incluya un compromiso para la mejora continua del sistema de gestién de la seguridad de fa informacién,
La politica de seguridad de la informacién debe:
e) estar disponible como informacién documentada;
f) ser comunicada dentro de la organizacién; y
g) estar disponible para las partes interesadas, segtin corresponda
5.3 Roles organizacionales, responsabilidades y autoridades
La alta direccién debe asegurar que las responsabilidades y las autoridades para los roles pertinentes a la
seguridad de la informacién son asignados y comunicados.
La alta direcoién debe asignar la responsabilidad y la autoridad para:
a) _asegurar que el sistema de gestién de la seguridad de la Informacién cumple con los requisitos de esta
norma; y
b) _informar a la alta direccién sobre el desempeiio del sistema de gestion de la seguridad de la informacién.
NOTA Ademés, ta alta direccién puede asignar responsabilidades y autoridades para informar sobre el desemperio del
sistema de gestién de la seguridad de la informacién dentro de la organizacién,
6 Planificacion
6.1 Acciones para abordar los riesgos y las oportunidades
6.1.4 General
Al planificar el sistema de gestién de la seguridad de la informacién, la organizacién debe considerar los
asuntos tratados en 4.1 y los requisitos tratados en 4.2 y determinar los riesgos y oportunidades que
necesitan ser cubiertos para:
a) asegurar que el sistema de gestién de la seguridad de la informacién pueda lograr su(s) resultado(s)
esperado(s):
4 © INN 2013 - Todos los derechos reservados
NORMA CHILENA NCh-ISO 27001:2013
b) _ evitar o disminuir efectos no deseados; y
©) lograr una mejora continua,
La organizacién debe planificar:
d) _acciones para abordar estos riesgos y oportunidades; y
e) cémo
1) integrar e implementar las acciones en los procesos del sistema de gestién de la seguridad de la
informacién; y
2) evaluar la eficacia de estas acciones.
6.1.2 Evaluacién de riesgo de la seguridad de la informacion
La organizacién debe definir y aplicar un proceso de evaluacién de riesgo de la seguridad de la informacién
que:
a) _establezca y mantenga los criterios de riesgo de Ia seguridad de la informacion que incluya:
1) los criterios de aceptacién del riesgo; y
2) los eriterios para realizar las evaluaciones de riesgo de la seguridad de la informacién;
b) asegure que las evaluaciones de riesgo de la seguridad de la informacion, producen resultados
consistentes, validos y comparables, una y otra vez;
©) identifica los riesgos de la seguridad de la informacién:
1) aplica el proceso de evaluacién del riesgo de la seguridad de la informacién para identificar los
riesgos asociados a la pérdida de la confidencialidad, integridad y disponibilidad para la informacién
dentro del alcance del sistema de gestion de la seguridad de la informacion; y
2)_ identifica los propietarios del riesgo,
d) analiza los riesgos de la seguridad de la informacion:
1) evalda las posibles consecuencias que podrian resultar si los riesgos identificados en 6.1.2 c) 1) se
hicieran realidad;
2) evallta la probabilidad realista de la ocurrencia de los riesgos identificados en 6.1.2 ¢) 1); y
3) determina los niveles de riesgo;
€) evaliia los riesgos de la seguridad de la informacion:
1) compara los resultados del andlisis de riesgo con los criterios de riesgo definidos en 6.1.2 a); y
2) prioriza los riesgos analizados para el tratamiento de riesgo.
La organizacién debe conservar la informacién documentada acerca del proceso de evaluacién de riesgo de
la seguridad de la informacién
INN 2018 - Todos los derechos reservados 5
NCh-ISO 27001:2013 NORMA CHILENA
6.1.3 Tratamiento de riesgo de la seguridad de la informacion
La organizacién debe definir y aplicar un praceso de tratamiento de riesgo de la seguridad de la informacion
para’
@)_seleccionar las opciones apropiadas de tratamiento de riesgo de la seguridad de la informacion, tomando
en consideracién los resultados de la evaluacion de riesgo;
b) determinar todos los controles que son necesarios para implementar las opciones de tratamiento de
riesgo de la seguridad de la informacién escogida
NOTA Las organizaciones pueden disefiar controles, segtin sea necesario, o identificarlos desde cualquier fuente,
©) comparar los controles definidos en 6.1.3 b) més arriba con aquellos en Anexo A y verificar que ningtin
control necesario fue omitido: Fuse AmentTs. dWranee to ncce<
d) almacenamiento y conservacion, incluida la conservacién de la legibilidad;
) control de cambios (por ejemplo, control de versién); y
f) retencién y disposicién,
Informacién documentada de origen externo, determinada por la organizacién, de ser necesario, para la
Planificacién y operacién del sistema de gestién de la seguridad de la informacion debe ser identificado como
apropiado y controlado,
NOTA El acceso implica una decisién con respecto al permiso para solo ver la informacién documentada o el permiso y
la autoridad para ver y cambiar la informacién documentada, ete,
8 Operacion
8.1 Control y planificacién operacional
La organizacién debe planificar, implementar y controlar los procesos necesarios para cumplir con los
Fequisitos de seguridad de la informacion y para implementar las acciones definidas en 6.1. La organizacion
ademas debe implementar los planes para lograr los objetivos de seguridad de la informacién, definidos
en 6.2.
La organizacién debe mantener la informacion documentada hasta que sea necesario y tener la certeza que
los procesos se llevaron a cabo sequin lo planeado.
La organizacién debe controlar los cambios planificados y revisar las consecuencias de los cambios no
Planificados, al tomar acciones para mitigar cualquier efecto adverso, segtin sea necesario.
La organizacién se debe asegurar de que los procesos externalizados se determinan y controlan.
8.2 Evaluacién de riesgo de la seguridad de la informacion
La organizacién debe realizar evaluaciones de riesgo de la seguridad de fa informacién, en intervalos
Planificados o cuando se propongan u ocurran cambios significativos, considerando los criterios establecidos
en6.1.2 a).
La organizacién debe conservar la informacién documentada de los resultados de las evaluaciones de riesgo
de la seguridad de la informacién.
8.3 Tratamiento de riesgo de la seguridad de la informacién
La organizacién debe implementar el plan de tratamiento del riesgo de la seguridad de la informacién.
La organizacién debe conservar la informacion documentada de los resultados del tratamiento del riesgo de
la seguridad de la informacién,
© INN 2013 - Todos los derechos reservados 9
NCh-ISO 27001:2013 NORMA CHILENA
9 Evaluacién de desempefio
9.1 Monitoreo, medicién, analisis y evaluacion
La organizacion debe evaluar el desempefio de la seguridad de la informacién y la efectividad del sistema de
gestidn de la seguridad de la informacién,
La organizacién debe determinar
a) qué se necesita monitorear y medir,incluidos los controles y procesos de la seguridad de a informacién,
b) los métedos para monitorear, medir, analizar y evaluar, segiin corresponda, para asegurar resultados
validos;
NOTA Los métodos seleccionados deberian generar re
considerados validos.
ullados comparables y teproducibles para que sean
¢) cuando se deben llevar a cabo el monitores y la medicién;
d)_quién debe monitorear y medir,
fe) cuando se deben analizar y evaluar los resultados del monitoreo y la medici6n; y
1) quién debe analizar y evaluar estos resultados.
La organizacién debe conservar ta informacién decumentada correspondiente, como evidencia de los
resultados del monitoreo y medicion.
9.2 Auditoria interna
La organizacién debe llevar a cabo auditorias internas en intervalos planificades para proporcionar
informacién sobre si el sistema de gestion de la seguridad de la informacién:
a) cumple con:
4) los propios requisitos de la organizacién para su sistema de gestién de la seguridad de la
informacién; y
2) 10s requisitos de esta norma;
b) esta debidamente implementada y mantenida, La organizacién debe:
©) planificar, establecer, implementar y mantener programa(s) de auditorla, incluida la frecuencia, métodos,
fesponsabilidades, requisitos de planificacién ¢ informes. El (los) programa(s) de auditoria debe(n)
considerar la importancia de los procesos en cuestién y los resultados de las auditorias anteriores;
4d) definir los criterios de auditoria y ef alcance para cada auditoria;
@) seleccionar auditores y realizar auditorias que aseguren la objetividad y la imparcialidad del proceso de
auditoria;
1) asegurar que los resultados de las auditorias son informados a la direccién pertinente; y
9) conservar la informacién documentada como evidencia de los programas de auditoria y los resultados de
{a auditoria
40 INN 2013 - Tados los derechos reservados
NORMA CHILENA NCh-ISO 27001:2013
9.3 Revision de gestion
La alta direccion debe revisar el sistema de gestion de la seguridad de la informacion en los plazos
Planificados para asegurar su conveniencia, suficiencia y efectividad continua.
La revisi6n de la direccién debe considerar:
a) el estado de las acciones, a pattir de las revisiones de gestién anteriores;
b) los cambios en los asuntos externos e internos que son pertinentes al sistema de gestion de la seguridad
de la informacion;
©) los comentarios sobre el desempefio de la seguridad de la informacién, incluidas tendencias en’
1) no conformidades y acciones correctivas;
2) resultados del monitoreo y mediciones;
3) resultados de auditoria; y
4) cumplimiento de los objetivos de seguridad de la informacién;
d) comentarios de las partes interesadas;
©) resultados de la evaluacién de riesgo y el estado del plan de tratamiento de riesgo; y
) las oportunidades para la mejora continua.
Los resultados de la revisién de direccién deben incluir las decisiones relacionadas a las oportunidades de
mejora y cualquier necesidad de cambios al sistema de gestién de la seguridad de la informacion.
La organizacién debe conservar la informacién documentada como evidencia de los resultados de las
revisiones de gestion
40 Mejora
10.1 No conformidades y acciones correctivas
Cuando ocurre una no conformidad, la organizacién debe’
a) _reaccionar frente a fa no conformidad y si corresponde:
1) tomar acciones para controlatlo y corregitlo; y
2) encargarse de las consecuencias;
b) evaluar la necesidad de accién para eliminar las causas de no conformidad, y que asi esto no vuelva a
ocurrir 0 que ocurra en otto lugar, al:
1) revisar la no conformidad:
2) determinar las causas de las no conformidades; y
3) determinar si existe una no conformidad similar 0 podrta ocurrir,
© INN 2013 - Todos los derechos reservados: a
NCh-ISO 27001:2013 NORMA CHILENA
©) implementar cualquier accion necesaria;
d)_revisar la efectividad de cualquier accién correctiva implementada; y
€) hacer cambios al sistema de gestién de la seguridad de la informacion, si es necesario.
Las acciones correctivas deben ser pertinentes a los efectos de las no conformidades halladas.
La organizacién debe conservar la informacion documentada como evidencia de:
f) la naturaleza de las no conformidades y las subsecuentes acciones implementadas, y
9) {os resultados de cualquier accién correctiva
10.2 Mejora continua
La organizacién debe mejorar de manera continua la conveniencia, suficiencia y efectividad del sistema de
gestién de la seguridad de la informacién.
42 G@INN 2018 - Todos los derechos reservados
NORMA CHILENA
NCh-ISO 27001:2013
Anexo A
(normativo)
Objetivos de control de referencia y controles
Los objetivos de control y los controles enumerados en Tabla A.1 se obtuvieron directamente y estén
alineados con aquellos enumerados en ISO/IEC 27002:2013, clausulas 5 a 18 y deben ser utilizados con
clausula 6.1.3,
Tabla A.1 - Objetivos de control y controles
JA.5 Politicas de seguridad de la informa
clr
}A.5.1 Orientacién de la direccién para la seguridad de la informacién
requisites del negocio y con las regulaci
JObjetivo: Proporcionar orientacién y apoyo de la diteccién para la seguridad de la informacién, de acuerdo con lo:
iones y leyes pertinentes,
Politicas para la segurida
A514 |e ta informacion
Controt
La direccion debe definir, aprobar, publicar y comunicar a todos los empleado:
y 8 las partes externas pertinentes un grupo de pollticas para la seguridad de l]
informacién
Revision de las pollticas dé
[Seguridad de la informacién|
Controt
se deben revaar ts polcas de seguridad de ta Ifomecion a interval
plvitcados, o si se producen cambios. signfeatves, pare asegurar of
|A.6 Organizacién de la seguridad de la i
informacién
}A.6.1 Organizacién interna
JObjetivo: Establecer un marco de trabaj
ide la seguridad de la informacion dentro
jo de la direccién para comenzar y controlar la implementacién y funcionamient
de la organizacién,
Roles y responsabilidades
JA.6.1.1 {de ta seguridad de la
informacion
Controt
‘Todas las responsabilidades de la seguridad de la informaciin deben set
Jdefinidas y asignadas.
JA.6.1.2_|Segregacion de funciones
IControt
‘Se deben segregar las funciones y las areas de responsabilidad para reduci
las oportunidades de modificaciones no aulorizadas o no intencionales, o ef
Uso inadecuado de los activos de fa organizacién,
A.6.1.3 | Contacto con autoridades
Contro}
‘Se deben mantener los contactos aproplados con las autoriades pertinentes.
[Contacto con grupos
ene especiales de interés
Control
[Se deben mantener los contactos apropiados con los grupos especiales d
interés u otros foros especializados en seguridad, asi como asociaciones dd]
profesionales,
G@INN 2019 - Todos los derechos reservados
(continda)
13
NCh-ISO 27001:2013
NORMA CHILENA
Tabla A.1 - Objetivos de control y controles (continuacién)
ABAS
Jen la gestion de proyecto
Seguridad de la informacié
Control
‘Se debe abordar la seguridad de la informacion en la gestién de proyecto, si
importar el tipo de proyecto.
A.6.2 Dispositivos moviles y trabajo remolo
(Objetivo: garantizar la seguridad del trabajo remoto y el uso de dispositives méviles.
Polltica de dispositives
Control
A624 [Se debe adoptar una politica y medidas de apoyo a la seguridad para gestional
moviles
los riesgos presentados al usar dispositivos méviles.
Controt
ete aie eellreceie remote [Se debe implementar una politica y medidas de apoyo a ta seguridad par
proteger la informacion a la que se accede, procesa o almacena en los lugare
Jde trabajo remoto,
|A7 Seguridad ligada a los recursos humanos
.A.7.1 Previo al empleo
lObjetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidad, y que sea aptos para los roles par
ios cuales est
‘an siendo considerados,
Controt
Se debe realizar la verificacion de antecedentes en todos los candidatos
alempleo, de acuerdo con las leyes, regulaciones y normas éticas relevantes
pease) beseuenen Jen proporcién a los requisites del negooio, la clasificacién de la informacién
ser accedida, y los riesgos percibidos.
Controt
a Términos y condiciones de |Los acuerdos contractuales con los empleados y contratistas deben indicar st
la retacion laboral
responsabilidades y las de la organizacién en cuanto a seguridad de Id
Informacién,
|A7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas estén en conocimiento y cumplan con sus responsabilidades di
seguridad de
la Informacién.
A724
A7.2.2
Responsabllidades de
direccién
Concientizacién, educaci
de la informacion
ly formacién en seguridac
[Controt
Iq]La direccign debe solctar a todos fos empleados y contratistas que apliquen I
seguridad de la informacién de acuerdo con las polticas y procedimiento:
lestablecidos por la organizacién.
Contro
‘Todos los empleados de la organizacién, y en donde sea pertinente, lo
Jcontratistas deben recibir formacién adecuada en concientizacién
Jactualizaciones regulares en politicas y procedimientos organizacionales|
pertinentes para su funcién laboral
14
(continay
@INN 2019 - Todos los derechos reservados
NORMA CHILENA
Tabla A
NCh-ISO 27001:2013
41 - Objetivos de control y controles (continuacién)
A723 [Proceso disciplinario
Controf
tomar acciones en contra de los empleados que hayan cometido una infraccio
2 la seguridad de la informacisn,
Debe exist un proceso disipinario formal y sabido por los empleades pard
Jempleo
a
}A.7.3 Desvinculacién y cambio de empleo
|Objetivo: Proteger los intereses de la organizacion como parte del proceso de cambio o desvinculacion del empleo.
A sia J Sontor
fesponsabilidades en it on eos
1a7.3.1 | desvinculacién o cambio de S® deben definr y comunicar las responsablldades y funciones de la seguridad,
de la informacién que siguen en vigor después de Is desvinculacién 0 cambi
de relacién labora,
|A.8 Administracion de activos
|A.8.1 Responsabilidad por los activos
JObjetivo: Identificar los activos de la
‘organizacién y definir las responsabilidades de proteccién pertinentes.
Control
Los actives asociados a la informacién y a las instalaciones de Procesaent
A811 |Inventario de aetivos Jde la informacién deben ser identificadas y se deben mantener y realizar ur
inventario de dichos activos.
Control
A.8.1.2 | Propiedad de los activos {Los activos que se mantienen en inventario deben pertenecer a un duefo.
Control
la.g.t3 |US0 aceplable de loySe deben identiicar, documentar © implementar las reglas para el vd
- actives Jaceptable de la informacion y los actives asociados con la informacién y lat
nstalaciones de provesamiento de informacién.
Control
‘Todos los empleados y usuarios de terceras partes deben devolver todos lo:
4.0.1.4 [Devolucion de activos |
jactivos pertenecientes a la organizacién que estén en su poder com
Jconsecuencia de ta finalizacion de su relacion faboral, contrato 0 acuerdo,
4.8.2 Clasiticacién de la informacion
n
[Objetivo: Asegurar que la informacién recibe el nivel de proteccién adecuado, segin su importancia para la organizacién.
}A.8.2.1 | Clasificacion de la informacié
Control
La informacién debe ser clasificada en términos de requisitos legales, valor
criticidad y sensibilidad para la divulgacién o modificacién sin autorizacién.
r
A.8.2.2 | Etiquetado de fa informacién
(Control
Se debe desarrollar e implementar un conjunto apropiade de procedimiento:
para el etiquetado de la informacién, de acuerdo al esquema de clasificacién d
informacién adoptado por la organizacién,
(continda)
© INN 2013 - Todos tos derechos reservados: 15
)
NCh-ISO 27001:2043
NORMA CHILENA
Tabla A.1 - Objetivos de control y controles (continuacién)
}A.8.2.3 [Manejo de activos [Controt
[Se deben desarrollar € implementar los procedimientos para el manejo d
actives, de acuerdo al esquema de clasificacién de informacién adoptado por |
lorganizacién.
[A.8.3 Manejo de los medios
[Objetivo: Prevenir la divulgacién no autorizada, modificacién, eliminacién 0 destruccién de la informacién almacenada er
los medios,
A831 |Gestionde os medios | Control
removibles ‘Se deben implementar los procedimientos para la gestion de los medio:
removibles, de acuerdo al esquema de clasificacién adoptado por |
lorganizacién.
A.8.3.2 | Eliminacién de tos medios | Control
Se deben eliminar los medios de forma segura y sin peligro cuando no sq
necesiten mas, usando procedimientos formales
A.8.3.3 [Transferencia fisicade | Controf,
medios
Los medios que contengan informacién se deben proteger contra acceso 1
aulotizado, uso inadecuado 0 corrupcién durante el transporte.
4.9 Control de acceso
/A.9.4 Requisitos de negocio para el control de acceso
[Objetivo: Restringir el acceso a la informacién y a las instalaciones de procesamiento de informacion.
Controt
Politica de control de [Se debe establecer, documentar y revisar una pollica de control de access
AgAA
acceso basadas en los requisites del negocio y de seguridad de la informacién,
7 ' los| Some!
A912 \ccesos a las redes ¥ 2108) 5 usuarios solo deben tener acceso directo a la red y a los servicios de la red
servicios de la red
para los que han sido autorizados espectficamente,
4.9.2 Gestion de acceso del usuario
[Objetivo: Asegurar el acceso de usuarios autorizados y evitar el acceso sin autorizacién a los sistemas y servicios.
Registro y cancelacién de
Control
A924 Se debe implementar un proceso de registro y cancelacién de registro di
registro de usuario Usuario para habiltar la asignacién de derechos de acceso.
Contro!
> JAsignacién de acceso de |Debe existir un procedimiento formal de asignacién de acceso de usuario par
A922
usuario Jasignar 0 revacar los derechos de acceso para todos los tipos de usuarios,
todos fos sistemas y servicios.
de derechos de [OM"®"
A9.2.3 — [Gestionde derechos de Is. debe restringir y controlar la asignacion y uso de los derechos de acces
‘acceso privilegiados
priviegiado,
16
(continiay
© INN 2013 - Todas los derechos reservados
NORMA CHILENA
NCh-ISO 27001:2013
Tabla A.1 - Objetivos de control y controles (continuacién)
Gestion de informacién
A924 |secreta de autenticacisn de|
usuarios
Control
[Se debe controlar ta asignacién de informacién de autenticacién secret
mediante un proceso de gestion formal.
Revisién de los derechos
Control
lag25 | i Los propietatios de activos deben revisar los derechos de acceso de tod
© Seesso de usuario Tusuatios de manera periédica,
Control
As26 — {fliminacién o ajuste de les leiemes a. la informacion Ya las instalaciones de procesamiento dé
derechos de acceso
[Se deben retirar los derechos de acceso de todos los empleados y caf
informacion, una vez que termine su relacién laboral,
ajuste segin el cambio.
}A.9.3 Responsabilidades del usuario
[Objetivo: Responsabilizar a los usuarios del cuidado de su informacion de autentica
T
Uso de informacion de
eee jautenticacion secreta
Controt
Se debe exigir a los usuarios el cumplimiento de las practicas de Id
‘organizacion en el uso de la informacién de autenticacisn secreta
[A.9.4 Control de acceso al sistema y aplicaciones
Objetivo: Evitar el acceso sin autorizacién
a los sistemas y aplicaciones.
hand Restriccion de acceso a la
Control
[Se debe restringir ef acceso a la informacién y a las funciones del sistema d:
Inert eolcacons, oscuro con apalcn ta conlia sen
Conte
Procdmintos de nc aio o ex a plica de contol de aces, el acceso bs stme
eee sesién seguro japlicaciones debe ser controtado por un procedimiento de inicio de sesiorl
a
ore
A9.4.3, Sistema de gestion de Los sistemas de gestién de contrasefias deben ser interactivos y deben
caouor connote de oats
one!
asa |Usodeprosramasutirase debe esting y contol eatctamene cus de programas wttaroe aud
peices eden esarencavstad do aural osomay te ee ea
trol \cces eddigo} Control
ang [Conotae acon alc
fuente de los programas
[Se debe restringir el acceso al cbdigo fuente de los programas.
INN 2019 - Todos fos derechos reservados
Teontinia)
ute
NCh-ISO 27001:2013
NORMA CHILENA
Tabla A.1 - Objetivos de control y controles (continuacién)
A.10 Criptagratia
|A.10.1 Controles ctiptograticos
[Objetivo: Asegurar el uso adecuado y eficaz de la criptografia para proteger la confidencialidad, autenticidad 0 integrida
de la informacién,
A011
Politica sobre el uso de
Jcontroles criptogrdficos
Control
JSe deve desarrollar e implementar una politica sobre el uso de controled
criptograficos para la proteccién de la informacién.
AA0.1.2
|Gestién de claves
Control
Se debe desarcollar e implementar una politica sobre el uso, proteccién y vida
Wil de las claves eriplogréticas durante toda su vida uti
|A.11 Seguridad fisica y del ambiente
JA.t1.1 Areas seguras
Objetivo: Evitar acoesas fisicos no autorizs
{a informacién de la organizacién,
jos, dafios e inlerferencias contra las instalaciones de procesamiento de Id
informacion y
AAA
A142
T
|Perimetro de seguridad
fisica
Controles de acceso fisico
Control
Se deben defini y utilizar perimetros de seguridad para proteger las areas qui
Jcontienen ya sea informacién sensible o critica y las instalaciones di
procesamiento de informacién.
Control
Las reas seguras deben estar protegidas por controles de entrada apropiadog
]que aseguren que solo se permite el acceso 4 personal autorizado.
[Seguridad de oficinas, sala:
e instalaciones
Control
|Se debe disefiar y aplicar la seguridad fisica en offcinas, salas e instalaciones.
AMAA
Proteccién contra
Jamenazas extemas y del
ambiente
Control
Se debe disefar y aplicar la proteccidn fisica contra datios por desastre natural
Alaque malicioso o accidentes.
A115
Trabajo en areas seguras
|Controt
‘Se deben disefar y aplicar procedimientos para trabajar en areas seguras.
AMA
[Areas de entrega y carga
|Controt
[Se deben controlar los puntos de acceso tales como areas de entrega y de
[carga y otros puntos donde las personas no autorizadas puedan acceder a la:
instalaciones, y si es posible, aistarlas de tas instalaciones de procesamientd
de la informacién para evitar el acceso no autorizado.
18
(continda)
INN 2012- Todas los derechos reservados
NORMA CHILENA
NCh-ISO 2700
013
Tabla A.1 - Objetivos de control y controles (continuacién)
A11.2 Equipamiento
foraanizacion,
(Objetivo: Prevenir pérdidas, dafios, hurtos o el compromiso de ls actives asi como la interrupoién de las actividades da I
Ubicacién y proteccién det
ANZA
lequipamiento
Controt
por amenazas y peligros ambientales, y oportunidades de acceso n
El equipamiento se debe ubicar y proteger para reducir los riesgos ocasionado:
utorizado. |
A.11.2.2 — |Elementos de soporte
Controt
Se debe proteger el equipamiento contra fallas en el suministro de energia
otras interrupciones causadas por fallas en elementos de soporte
11.2.3 | Seguridad en el cableado
Control
Se debe proteger el cableado de energia y de telecomunicaciones qui
fransporta datos 0 brinda soporte a servicios de informacién contr
interceptacién, interferencia o dafios,
Mantenimiento del
At1.2.4
Jequipamiento
[Control
El equipamiento debe recibir ef mantenimiento correcto para asegurar
[permanente disponibilidad e integridad
}4.11.2.5 |Retiro de activos
Controt
[Seguridad del equipamient
A.11.2.6 ly los activos fuera de las
instalaciones
/Seguridad en ta
A.11.2.7 — |reuliizacion o descarte de
Jequipos
Control
[Se deben asegurar todos los activos fuera de las instalaciones, teniendio |
Jouenta los diferentes riesgos de trabajar fuera de las instalaciones de
lorganizacién
(Control
Todos los elementos de! equipamiento que contenga medios dé
Jalmacenamienta deben ser revisados para asegurar que todos fos dato:
sensibles y soflware licenciado se hayan temovido o se haya sobrescrito cot
seguridad antes de su descarte o reutilizacién,
Equipo de usuario
Control
pantalla limpios
A128 eee ide Los usuarios se deben asegurar de que a los equipos desatendidos se les da]
proteccién apropiada,
Control
|at1.2.9 [Politica de eseritorio y
[Se debe adoptar una politica de escritorio timpio para papeles y medios 4
almacenamiento removibles y una politica de pantalla limpia para las
instalaciones de procesamiento de informacin.
INN 2018 - Todos los derechos reservados
(continda}
19
NCh-ISO
27001:2013
NORMA CHILENA
Tabla A.1 - Objetivos de control y controles (continuacién)
A.12 Seguridad de las operaciones
|A.12.1 Pracedimientos operacionales y responsabilidades
[Objetivo: Asegurar la operacién correcta y segura de las instalaciones de procesamiento de informacién,
Procedimientos de
Control
pee co instalaciones de procesamiento de informacidn y los sistemas que afecten ke
eee eesti ce fa Coeacite proyecciones de los futuros requisitos de capacidad para asegurar ef
|\desempefio requerido del sistema.
sepeterlen ae tae lesarrollo, pruet sién se deben separar pare
prueba y operacionales
reducir fos riesgas de acceso no autorizado o cambios al ambiente d
loperacién
A.12.2 Proteccion contra cédigo malicioso
JObjetivo: Asegurar que la informacion y
Jcédigo maticioso.
las instalaciones de procesamiento de informacién estan protegidas contra e}
A12.24
|Controles contra cédigo
/malicioso
|Controt
[Se deben implantar controles de deteccién, prevencién y reouperacién pars
protegerse contra cédigos maliciosos, junto con los procedimientos adecuados
para concientizar a los usuarios.
AA2.3 Respaldo
[Objetivo: Proteger en contra de la pérdida de datos,
12.3.4
[Respaldo de ta informacion
Contro
‘Se deben hacer copias de respaldo y pruebas de la informacion, del software
ide las imagenes del sistema con regularidad, de acuerdo con la politica |
respaldo acordada,
A124 Registro y monitoreo
Objetivo: Registrar eventos y generar evidencia.
A244
Registro de evento
Contr
Se deben generar, mantener y revisar on regulardad Ios regjistos de evetod
Ge las acveads del usuario, excepoiones, falas y eventos de seguridad de
nformacin
20
INN 2013 - Todos los
NORMA CHILENA
NCh-ISO 27001:2013
Tabla A.1 - Objetivos de control y controles (continuacién)
Proteccién de la
[Control
y el operador
A242 vtormacién de registros [2S instalaciones de registro la informacion de registro se deben proteged
Jcontra alleraciones y accesos no autorizades.
Contro!
A.12.4,3 [Resists del administrador] se deben registrar las actividades del operadory del administrador del sistemal
los registros se deben proteger y revisar con regularidad
12.4.4 |Sincronizacién de relojes
Control
Los relojes de todos los sistemas de procesamiento de informacion pertinent
dentro de una organizacién 0 dominio de seguridad deben estar sincronizado:
‘una sola fuente horaria de referencia,
|A.12.5 Control del software de operacién
[Objetivo: Asegurar la integridad de los sistemas operacionales.
Instalacién del sotware en
12.6.4
sistemas operacionales
Control
[Se deben implementar los procedimientos para controlar la instalacién de|
software en los sistemas operacionales.
}A.12.6 Geslién de la vulnerabildad teonica
Objetivo: Evitar la explotacién de las vulnerabilidades técnicas.
Control
}Se debe obtener la informacién acerca de las vulnerabilidades técnicas de lo
instalacién de software
aaz.6.1 [Cestn te as sistemas de informacidn usados se debe obtener de manera oportuna, evalua
uinerabiidades técnicas lis exposicién de la organizacion a estas vulnerabildades y se deben tomer lad
medidas apropiadas para abordar el riesgo asociado,
7 ce Controt
atz.2 |Reniccones
También podría gustarte
- Entrada en TeleticketDocumento1 páginaEntrada en TeleticketGiancarlo Gutierrez SotoAún no hay calificaciones
- Manual 5S PDFDocumento56 páginasManual 5S PDFcarmat123456789100% (4)
- Estadistica Descriptiva Formulario PDFDocumento7 páginasEstadistica Descriptiva Formulario PDFGiancarlo Gutierrez SotoAún no hay calificaciones
- 1.fundamentos de LEAN MANUFACTURINGDocumento33 páginas1.fundamentos de LEAN MANUFACTURINGGiancarlo Gutierrez SotoAún no hay calificaciones
- Designan Jefes de Las Unidades de Asesoría Jurídica y de Administración y Finanzas Del Programa Nacional de Inversiones en Salud - PronisDocumento2 páginasDesignan Jefes de Las Unidades de Asesoría Jurídica y de Administración y Finanzas Del Programa Nacional de Inversiones en Salud - PronisGiancarlo Gutierrez SotoAún no hay calificaciones
- Los Requisitos de Capacitación - 1926.503. - Administración de Seguridad y SaludDocumento4 páginasLos Requisitos de Capacitación - 1926.503. - Administración de Seguridad y SaludGiancarlo Gutierrez SotoAún no hay calificaciones
- CV - Giancarlo Gutierrez SotoDocumento4 páginasCV - Giancarlo Gutierrez SotoGiancarlo Gutierrez SotoAún no hay calificaciones
- Nadia Alvarado - Rubi Fernandez - Lourdes Sapacayo - Trabajo de Suficiencia Profesional - Título Profesional - 2017 PDFDocumento173 páginasNadia Alvarado - Rubi Fernandez - Lourdes Sapacayo - Trabajo de Suficiencia Profesional - Título Profesional - 2017 PDFGiancarlo Gutierrez SotoAún no hay calificaciones
- Test de Evaluación-Lci IDocumento3 páginasTest de Evaluación-Lci IGiancarlo Gutierrez SotoAún no hay calificaciones
- Ejemplos JavaDocumento39 páginasEjemplos JavaGiancarlo Gutierrez SotoAún no hay calificaciones
