ISO 27001:2005

Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el

tratamiento de exclusiones.
Normas para consulta: otras normas que sirven de referencia.
Trminos y definiciones: breve descripcin de los trminos ms usados en la
norma.
Sistema de gestin de la seguridad de la informacin: cmo crear,
implementar, operar, supervisar, revisar, mantener y mejorar el SGSI
requisitos de documentacin y control de la misma.
Responsabilidad de la direccin: en cuanto a compromiso con el SGSI,
!estin y provisin de recursos y concienciacin, formacin y capacitacin del
personal.
Auditoras internas del SGS: cmo reali"ar las auditor#as internas de control
y cumplimiento.
Re!isin del SGS por la direccin: cmo !estionar el proceso peridico de
revisin del SGSI por parte de la direccin.
"ejora del SGS: mejora continua, acciones correctivas y acciones
preventivas.
Objeti!os de control y controles: anexo normativo que enumera los objetivos
de control y controles que se encuentran detallados en la norma IS$
%&''%(%'').
Relacin con los #rincipios de la O$%&: anexo informativo con la
correspondencia entre los apartados de la IS$ %&''* y los principios de buen
!obierno de la $+,-.
$orrespondencia con otras normas: anexo informativo con una tabla de
correspondencia de clusulas con IS$ .''* e IS$ */''*.
'ibliografa: normas y publicaciones de referencia.
ISO 27002:2005 (anterior ISO 17799:2005)
ntroduccin: conceptos !enerales de se!uridad de la informacin y SGSI.
$ampo de aplicacin: se especifica el objetivo de la norma.
Trminos y definiciones: breve descripcin de los trminos ms usados en la
norma.
&structura del est(ndar: descripcin de la estructura de la norma.
&!aluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y
tratar los ries!os de se!uridad de la informacin.
#oltica de seguridad: documento de pol#tica de se!uridad y su !estin.
Aspectos organi)ati!os de la seguridad de la informacin: or!ani"acin
interna terceros.
Gestin de acti!os: responsabilidad sobre los activos clasificacin de la
informacin.
Seguridad ligada a los recursos *umanos: antes del empleo durante el
empleo cese del empleo o cambio de puesto de trabajo.
Seguridad fsica y ambiental: reas se!uras se!uridad de los equipos.
Gestin de comunicaciones y operaciones: responsabilidades y
procedimientos de operacin !estin de la provisin de servicios por terceros
planificacin y aceptacin del sistema proteccin contra cdi!o malicioso y
descar!able copias de se!uridad !estin de la se!uridad de las redes
manipulacin de los soportes intercambio de informacin servicios de
comercio electrnico supervisin.
$ontrol de acceso: requisitos de ne!ocio para el control de acceso !estin de
acceso de usuario responsabilidades de usuario control de acceso a la red
control de acceso al sistema operativo control de acceso a las aplicaciones y a
la informacin ordenadores porttiles y teletrabajo.
Ad+uisicin, desarrollo y mantenimiento de los sistemas de
informacin: requisitos de se!uridad de los sistemas de informacin
tratamiento correcto de las aplicaciones controles cripto!rficos se!uridad de
los arc0ivos de sistema se!uridad en los procesos de desarrollo y soporte
!estin de la vulnerabilidad tcnica.
Gestin de incidentes de seguridad de la informacin: notificacin de
eventos y puntos dbiles de la se!uridad de la informacin !estin de
incidentes de se!uridad de la informacin y mejoras.
Gestin de la continuidad del negocio: aspectos de la se!uridad de la
informacin en la !estin de la continuidad del ne!ocio.
$umplimiento: cumplimiento de los requisitos le!ales cumplimiento de las
pol#ticas y normas de se!uridad y cumplimiento tcnico consideraciones sobre
las auditor#as de los sistemas de informacin.
ISO 27005:2008
-sta norma establece las directrices para la !estin del ries!o en la se!uridad
de la informacin. 1poya los conceptos !enerales especificados en la norma
IS$2I-+ %&''* y est dise3ada para ayudar a la aplicacin satisfactoria de la
se!uridad de la informacin basada en un enfoque de !estin de ries!os.
#re(mbulo
ntroduccin
Referencias normati!as
Trminos y definiciones
're!e descripcin de los trminos m(s usados en la norma-
&structura del est(ndar
%escripcin de la estructura de la norma-
.undamentos del proceso de gestin de riesgos /SR"0
ndicaciones sobre cmo e!aluar y tratar los riesgos de seguridad de la
informacin-
&stablecimiento del conte1to
&!aluacin de riesgos /SRA0
Tratamiento de riesgos
Aceptacin del riesgo
$omunicacin del riesgo
"onitori)acin y re!isin del riesgo
ISO 27006:2007
4-sta norma referencia directamente a muc0as clusulas de IS$ *&'%* requisitos de
entidades de auditor#a y certificacin de sistemas de !estin, por lo que es
recomendable disponer tambin de dic0a norma, que puede adquirirse en espa3ol en
1-5$67.
#re(mbulo: presentacin de las or!ani"aciones IS$ e I-+ y sus actividades.
ntroduccin: antecedentes de IS$ %&''8 y !u#a de uso para la norma.
$ampo de aplicacin: a quin aplica este estndar.
Referencias normati!as: otras normas que sirven de referencia.
Trminos y definiciones: breve descripcin de los trminos ms usados en la
norma.
#rincipios: principios que ri!en esta norma.
Re+uisitos generales: aspectos !enerales que deben cumplir las entidades
de certificacin de SGSIs.
Re+uisitos estructurales: estructura or!ani"ativa que deben tener las
entidades de certificacin de SGSIs.
Re+uisitos en cuanto a recursos: competencias requeridas para el personal
de direccin, administracin y auditor#a de la entidad de certificacin, as# como
para auditores externos, expertos tcnicos externos y subcontratas.
Re+uisitos de informacin: informacin p9blica, documentos de certificacin,
relacin de clientes certificados, referencias a la certificacin y marcas,
confidencialidad e intercambio de informacin entre la entidad de certificacin y
sus clientes.
Re+uisitos del proceso: requisitos !enerales del proceso de certificacin,
auditor#a inicial y certificacin, auditor#as de se!uimiento, recertificacin,
auditor#as especiales, suspensin, retirada o modificacin de alcance de la
certificacin, apelaciones, reclamaciones y re!istros de solicitantes y clientes.
Re+uisitos del sistema de gestin de entidades de certificacin: opciones,
opcin * 4requisitos del sistema de !estin de acuerdo con IS$ .''*7 y opcin
% 4requisitos del sistema de !estin !eneral7.
Ane1o A An(lisis de la complejidad de la organi)acin de un cliente y
aspectos especficos del sector: potencial de ries!o de la or!ani"acin 4tabla
orientativa7 y cate!or#as de ries!o de la se!uridad de la informacin espec#ficas
del sector de actividad.
Ane1o ' 2reas de ejemplo de competencia del auditor: consideraciones de
competencia !eneral y consideraciones de competencia espec#fica
4conocimiento de los controles del 1nexo 1 de IS$ %&''*(%'') y
conocimientos sobre SGSIs7.
Ane1o $ Tiempos de auditora( introduccin, procedimiento para determinar
la duracin de la auditor#a y tabla de tiempos de auditor#a 4incluyendo
comparativa con tiempos de auditor#a de sistemas de calidad IS$ .''*y
medioambientales IS$ */''*7.
Ane1o % Gua para la re!isin de controles implantados del Ane1o A de
SO 34556:3557: tabla de apoyo para el auditor sobre cmo auditar los
controles, sean or!ani"ativos o tcnicos.