Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el
tratamiento de exclusiones. Normas para consulta: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. Sistema de gestin de la seguridad de la informacin: cmo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI requisitos de documentacin y control de la misma. Responsabilidad de la direccin: en cuanto a compromiso con el SGSI, !estin y provisin de recursos y concienciacin, formacin y capacitacin del personal. Auditoras internas del SGS: cmo reali"ar las auditor#as internas de control y cumplimiento. Re!isin del SGS por la direccin: cmo !estionar el proceso peridico de revisin del SGSI por parte de la direccin. "ejora del SGS: mejora continua, acciones correctivas y acciones preventivas. Objeti!os de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma IS$ %&''%(%''). Relacin con los #rincipios de la O$%&: anexo informativo con la correspondencia entre los apartados de la IS$ %&''* y los principios de buen !obierno de la $+,-. $orrespondencia con otras normas: anexo informativo con una tabla de correspondencia de clusulas con IS$ .''* e IS$ */''*. 'ibliografa: normas y publicaciones de referencia. ISO 27002:2005 (anterior ISO 17799:2005) ntroduccin: conceptos !enerales de se!uridad de la informacin y SGSI. $ampo de aplicacin: se especifica el objetivo de la norma. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. &structura del est(ndar: descripcin de la estructura de la norma. &!aluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar los ries!os de se!uridad de la informacin. #oltica de seguridad: documento de pol#tica de se!uridad y su !estin. Aspectos organi)ati!os de la seguridad de la informacin: or!ani"acin interna terceros. Gestin de acti!os: responsabilidad sobre los activos clasificacin de la informacin. Seguridad ligada a los recursos *umanos: antes del empleo durante el empleo cese del empleo o cambio de puesto de trabajo. Seguridad fsica y ambiental: reas se!uras se!uridad de los equipos. Gestin de comunicaciones y operaciones: responsabilidades y procedimientos de operacin !estin de la provisin de servicios por terceros planificacin y aceptacin del sistema proteccin contra cdi!o malicioso y descar!able copias de se!uridad !estin de la se!uridad de las redes manipulacin de los soportes intercambio de informacin servicios de comercio electrnico supervisin. $ontrol de acceso: requisitos de ne!ocio para el control de acceso !estin de acceso de usuario responsabilidades de usuario control de acceso a la red control de acceso al sistema operativo control de acceso a las aplicaciones y a la informacin ordenadores porttiles y teletrabajo. Ad+uisicin, desarrollo y mantenimiento de los sistemas de informacin: requisitos de se!uridad de los sistemas de informacin tratamiento correcto de las aplicaciones controles cripto!rficos se!uridad de los arc0ivos de sistema se!uridad en los procesos de desarrollo y soporte !estin de la vulnerabilidad tcnica. Gestin de incidentes de seguridad de la informacin: notificacin de eventos y puntos dbiles de la se!uridad de la informacin !estin de incidentes de se!uridad de la informacin y mejoras. Gestin de la continuidad del negocio: aspectos de la se!uridad de la informacin en la !estin de la continuidad del ne!ocio. $umplimiento: cumplimiento de los requisitos le!ales cumplimiento de las pol#ticas y normas de se!uridad y cumplimiento tcnico consideraciones sobre las auditor#as de los sistemas de informacin. ISO 27005:2008 -sta norma establece las directrices para la !estin del ries!o en la se!uridad de la informacin. 1poya los conceptos !enerales especificados en la norma IS$2I-+ %&''* y est dise3ada para ayudar a la aplicacin satisfactoria de la se!uridad de la informacin basada en un enfoque de !estin de ries!os. #re(mbulo ntroduccin Referencias normati!as Trminos y definiciones 're!e descripcin de los trminos m(s usados en la norma- &structura del est(ndar %escripcin de la estructura de la norma- .undamentos del proceso de gestin de riesgos /SR"0 ndicaciones sobre cmo e!aluar y tratar los riesgos de seguridad de la informacin- &stablecimiento del conte1to &!aluacin de riesgos /SRA0 Tratamiento de riesgos Aceptacin del riesgo $omunicacin del riesgo "onitori)acin y re!isin del riesgo ISO 27006:2007 4-sta norma referencia directamente a muc0as clusulas de IS$ *&'%* requisitos de entidades de auditor#a y certificacin de sistemas de !estin, por lo que es recomendable disponer tambin de dic0a norma, que puede adquirirse en espa3ol en 1-5$67. #re(mbulo: presentacin de las or!ani"aciones IS$ e I-+ y sus actividades. ntroduccin: antecedentes de IS$ %&''8 y !u#a de uso para la norma. $ampo de aplicacin: a quin aplica este estndar. Referencias normati!as: otras normas que sirven de referencia. Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. #rincipios: principios que ri!en esta norma. Re+uisitos generales: aspectos !enerales que deben cumplir las entidades de certificacin de SGSIs. Re+uisitos estructurales: estructura or!ani"ativa que deben tener las entidades de certificacin de SGSIs. Re+uisitos en cuanto a recursos: competencias requeridas para el personal de direccin, administracin y auditor#a de la entidad de certificacin, as# como para auditores externos, expertos tcnicos externos y subcontratas. Re+uisitos de informacin: informacin p9blica, documentos de certificacin, relacin de clientes certificados, referencias a la certificacin y marcas, confidencialidad e intercambio de informacin entre la entidad de certificacin y sus clientes. Re+uisitos del proceso: requisitos !enerales del proceso de certificacin, auditor#a inicial y certificacin, auditor#as de se!uimiento, recertificacin, auditor#as especiales, suspensin, retirada o modificacin de alcance de la certificacin, apelaciones, reclamaciones y re!istros de solicitantes y clientes. Re+uisitos del sistema de gestin de entidades de certificacin: opciones, opcin * 4requisitos del sistema de !estin de acuerdo con IS$ .''*7 y opcin % 4requisitos del sistema de !estin !eneral7. Ane1o A An(lisis de la complejidad de la organi)acin de un cliente y aspectos especficos del sector: potencial de ries!o de la or!ani"acin 4tabla orientativa7 y cate!or#as de ries!o de la se!uridad de la informacin espec#ficas del sector de actividad. Ane1o ' 2reas de ejemplo de competencia del auditor: consideraciones de competencia !eneral y consideraciones de competencia espec#fica 4conocimiento de los controles del 1nexo 1 de IS$ %&''*(%'') y conocimientos sobre SGSIs7. Ane1o $ Tiempos de auditora( introduccin, procedimiento para determinar la duracin de la auditor#a y tabla de tiempos de auditor#a 4incluyendo comparativa con tiempos de auditor#a de sistemas de calidad IS$ .''*y medioambientales IS$ */''*7. Ane1o % Gua para la re!isin de controles implantados del Ane1o A de SO 34556:3557: tabla de apoyo para el auditor sobre cmo auditar los controles, sean or!ani"ativos o tcnicos.