Iso 27001-2005 Español

Information Security Management System (ISMS).
SISTEMA DE GESTIN
SEGURIDAD DE INFORMACIN

SGSI

Material solo para capacitacin
Para su uso licenciado comprar en www.iso.org

ISO 27001:2005
Ing. J aime Enrique Lpez Hernndez

Cel. 311 876 1474
J aimelopez27001@gmail.com

Sistemas de Gestin de Seguridad en Informtica ISO 27001

Pgina 2 de 29

3 TERMINOS Y DEFINICIONES

3.1 activos: Cualquier cosa que tiene valor para la organizacin.
3.2 disponibilidad: seguridad de que los usuarios autorizados tiene acceso a la
informacin y a los activos asociados cuando lo requieren
3.3 confidenciabilidad: seguridad de que la informacin no esta disponible o divulgada a
personas o entidades o procesos no autorizados
3.4 seguridad de la informacin: preservacin de la confidencialidad, la integridad y la
disponibilidad de la informacin; adicionalmente, otras propiedades pueden tambin ser
involucradas tales como autenticidad, registro, no rechazo y credibilidad
3.5 evento de seguridad de la informacin: un caso identificado de un sistema, servicio
o estado de la red indicando una posible violacin de las polticas de seguridad de la
informacin o falla de control, o una situacin desconocida nuevamente que puede ser
importante en la seguridad
3.6 Incidente seguridad de la informacin: uno o una serie de eventos de seguridad de
la informacin no esperados que tienen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la informacin
3.7 sistema de gestin de la seguridad de la informacin SGSI: parte del sistema de
gestin global, basada en un enfoque de los riesgos de un negocio, para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
informacin.
3.8 integridad: proteccin de la exactitud y estado completo de los activos
3.9 riesgo residual: nivel restante de riesgo despus de que se han tomado medidas de
tratamiento de riesgo
3.10 aceptacin del riesgo: decisin de asumir el riesgo
3.11 anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentes y
estimar el riesgo.
3.12 valoracin del riesgo: proceso global de anlisis y evaluacin del riesgo
3.13 evaluacin del riesgo: proceso de comparar el riesgo estimado contra el criterio de
riesgo establecido para determinar la importancia del riesgo
3.14 gestin del riesgo: actividades coordinadas para dirigir y controlar una organizacin
con respecto al riesgo
3.15 tratamiento de riesgo: proceso de seleccin e implementacin de medidas para
modificar el riesgo
3.16 declaracin de aplicabilidad: documento que describe los objetivos de control y los
controles pertinentes y aplicables para el SGSI de la organizacin.


Pgina 3 de 29

4 SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN

4.1 REQUERIMIENTOS GENERALES
La organizacin debe establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI documento dentro del contexto global de las actividades del negocio y
las fases del riesgo de la organizacin.

Para el propsito de este estndar internacional el proceso esta basado en el modelo
PHVA.

4.2 ESTABLECIMIENTO Y GESTION DEL SGSI

4.2.1 Establecer el SGSI.

La organizacin debe hacer lo siguiente:

a) Definir el alcance y lmites del SGSI en trminos de caractersticas del negocio, la
organizacin, su ubicacin, sus activos y tecnologa, incluyendo detalles de la justificacin
de cualquier exclusin del alcance (Ver 1.2).
b) Definir una poltica del SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa que:
1. incluya un marco de referencia para fijar sus objetivos y establecer un
sentido general de direccin y principios para la accin con relacin a la
seguridad de la informacin.
2. Tener en cuenta los requisitos del negocio, los legales o reglamentario y las
obligaciones de seguridad contractuales.
3. Establezca el contexto organizacional estratgico y de gestin del riesgo en
el cual tendr lugar el establecimiento y mantenimiento del SGSI.
4. Establezca los criterios contra los cuales evaluara los riesgos (Ver 4.2.1 c));
y
5. Haya sido aprobado por la direccin.
Nota: La poltica de seguridad de informacin puede ser descrita en un
documento.
c) Definir un enfoque hacia la valoracin del riesgo.
1) Identificar la metodologa para la valoracin del riesgo que se ajuste al
SGSI a los requerimientos legales y a la seguridad del negocio.
2) Definir criterios para aceptar riesgos e identificar niveles de riesgo
aceptables. (Ver 5.1. f)).

Nota: Existen diferentes metodologas para la evaluacin de riesgos. Ejemplos
pueden verse en ISO/IEC 13335-3.
d) Identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI y los propietarios de
estos activos.
2) Identificar las amenazas de estos activos


Pgina 4 de 29

3) Identificar las vulnerabilidades que podran ser aprovechadas por las
amenazas
4) Identificar el impacto que la perdida de confidencialidad, integridad y
disponibilidad pueden tener sobre los activos.
e) Anlisis y evaluacin de los riesgos
1) Valorar el impacto que causa la falta de seguridad, teniendo en cuenta las
consecuencias por la perdida de confidencialidad, integridad o
disponibilidad de los activos
2) Valorar la posibilidad de que ocurra una falla en la seguridad
3) Estimar los niveles de riesgo
4) Determinar si los riesgos son aceptables o la necesidad de su tratamiento
usando el criterio de aceptacin de riesgos establecido en 4.2.1 c) 2)).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Posibles acciones incluyen:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos con conocimiento y objetividad, de acuerdo a las
polticas de la organizacin y a los criterios de aceptacin del riesgo (Ver 4.2.1
c)2));
3) Evitar riesgos; y
4) Transferir los riesgos asociados con el negocio a otras partes, por ejemplo
aseguradores, proveedores.
g) seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
Los objetivos de control y los controles deben ser seleccionados e implementados
de acuerdo a los requisitos identificados por los procesos de valoracin y
tratamiento del riesgo. Esta seleccin debe tener en cuanta los criterios de
aceptacin del riesgo (Ver 4.2.1 c)2)) tambin como los requisitos legales,
reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A deben ser seleccionados como
parte de este proceso para ajustarlos a los requisitos identificados.
Puede ser necesario seleccionar objetivos de control y controles adicionales a los
presentados en el Anexo A.
h) Obtener la aprobacin de la direccin para el riesgo residual propuesto.
i) Obtener la aprobacin de la direccin para implementar y operar el SGSI.
J ) Preparar la declaracin de aplicabilidad
Una declaracin de aplicabilidad debe incluir lo siguiente:
1) Los objetivos de control y controles seleccionados en 4.2.1 g) y las razones de
su seleccin;
2) Los objetivos de control y controles actualmente implementados (ver 4.2.1 e)
2)); y
3) La exclusin de cualquier objetivo de control y controles en el anexo A y su
justificacin para su exclusin.

4.2.2 Implementacin y operacin del SGSI

La organizacin debe hacer el siguiente:


Pgina 5 de 29

a) Formular plan para tratamiento de riesgos que identifique la accin administrativa
apropiada y responsabilidades para gestionar los riesgos de seguridad de la
informacin. (Ver 5).
b) Implementar plan para el tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye recursos econmicos y asignacin de funciones y
responsabilidades.
c) Implementar controles seleccionados (ver 4.2.1 g)) para cumplir los objetivos de
control.
d) Definir como medir la efectividad de los controles seleccionados o grupos de
controles y especificar como estas medidas son usadas para asignar controles
efectivos que produzcan resultados comparables y reproducibles. (ver 4.2.3 c)).
e) Implementar programas de formacin y de toma de conciencia. (ver 5.2.2).
f) Gestionar operaciones definidas
g) Gestionar recursos del SGSI (ver 5.2).
h) Implementar procedimientos y otros controles para detectar y dar respuesta
oportuna a incidentes de seguridad. (ver 4.2.3 a)).

4.2.3 Seguimiento y revisin del SGSI

La organizacin debe hacer lo siguiente:
a) Ejecutar procedimientos de seguimiento y otros controles para:
1) Detectar rpidamente errores en los resultados del procesamiento
2) Identificar con prontitud los incidentes e intentos de violacin de la
seguridad.
3) Permitir que la direccin determine si las actividades de seguridad
delegadas a personas o implementadas mediante la tecnologa de la
informacin se estn ejecutando como se espera.
4) Ayudar a detectar eventos de seguridad prevenir incidentes de seguridad
con el uso de indicadores y
5) Determinar si las acciones tomadas para resolver un problema de
seguridad fueron efectivas.
b) Emprender revisiones regulares de la eficacia del SGSI (incluyendo la poltica,
objetivos y la revisin de controles de seguridad) teniendo en cuenta los resultados
de las auditorias de seguridad, incidentes, sugerencias y retroalimentacin de
todas las partes interesadas.
c) Medir la efectividad de los controles para verificar que los requerimientos de
seguridad han sido logrados.
d) Revisar el nivel de riesgo residual y riesgo aceptable, teniendo en cuenta los
cambios en:
1) La organizacin
2) La tecnologa
3) Los Objetivos y proceso del negocio
4) Las amenazas identificadas
5) La efectividad de los controles implementados
6) Eventos externos, tales como cambios en el ambiente legal o
reglamentario, obligaciones contractuales y cambios en el clima social.


Pgina 6 de 29

e) Realizar auditorias internas del SGSI a intervalos planificados. (ver 6).
f) Emprender una revisin del SGSI en forma regular (por lo menos una vez al ao),
realizada por la direccin, para asegurar que el alcance sigue siendo adecuado y
que se identifiquen mejoras al proceso del SGSI. (ver 7.1).
g) Actualizar planes de seguridad que tengan en cuenta los hallazgos de las
actividades de monitoreo y revisin.
h) Registrar acciones y eventos que podrn tener impacto en la eficacia o el
desempeo del SGSI. (ver 4.3.3).

4.2.4 Mantener y mejorar el SGSI

La organizacin debe regularmente hacer lo siguiente:
a) Implementar las mejoras identificadas en el SGSI.
b) Emprender las acciones correctivas y preventivas adecuadas en concordancia
con 8.2 y 8.3. Aplicar las lecciones aprendidas de experiencias de seguridad de
otras organizaciones y de si misma.
c) Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle
apropiado de las circunstancias y, como relevante, como convenga proceder.
d) Asegurar que las mejoras logren los objetivos previstos.

4.3 REQUISITOS DE DOCUMENTACIN

4.3.1 Generalidades
La documentacin debe incluir registros de las decisiones de gestin, asegurando que las
acciones son trazables para gestionar las polticas, decisiones y asegurar que los
resultados registrados son reproducibles, debe incluir:
a) Declaraciones documentadas de la poltica de seguridad (ver 4.2.1 b)) y los
objetivos de control;
b) El alcance del SGSI (ver 4.2.1 a));
c) Procedimientos y controles que los apoyan el SGSI;
d) Descripcin de la metodologa para valoracin de riesgos (ver 4.2.1 c));
e) Reporte de tratamiento de riesgos (ver 4.2.1 c) y 4.2.1 g));
f) El plan de tratamiento de riesgos (ver 4.2.2 b));
g) Los procedimientos documentados necesarios para asegurar la eficacia de la
planificacin, operacin y control de sus procesos de seguridad de la informacin
(ver 4.2.3 c));
h) Los registros exigidos por esta norma internacional (ver 4.3.3); y
i) La declaracin de aplicabilidad

4.3.2 Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer
un procedimiento documentado para definir las acciones de gestin necesarias para:
a) Aprobar los documentos en cuanto a su adecuacin antes de su publicacin;
b) Revisar y actualizar los documentos segn sea necesario y reaprobarlos;


Pgina 7 de 29

c) Asegurar que los cambios y el estado de actualizacin de los documentos estn
identificados;
d) Asegurar las versiones mas recientes de los documentos pertinentes estn
disponibles en los puntos de uso;
e) Asegurar que los documentos permanezcan legibles y fcilmente identificables;
f) Asegurar que los documentos estn disponibles para toso cuando sean
necesitados, transferidos, almacenados y destruido de acuerdo con los
procedimientos aplicables a su clasificacin;
g) Asegurar que los documentos de origen externo estn identificados;
h) Asegurar que la distribucin de documentos est controlada;
i) Impedir el uso no previsto de los documentos obsoletos; y
j) Aplicar a los documentos obsoletos la identificacin adecuada, si se retienen para
cualquier propsito;

4.3.3 Control de Registros

Se deben establecer, mantener y controlar los registros para brindar la evidencia de la
conformidad con los requisitos y la operacin eficaz del SGSI. El SGSI debe tener en
cuenta cualquier requisito legal pertinente o requerimiento regulador y obligaciones
contractuales.

Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los
controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin,
tiempo de retencin y disposicin de registros deben ser documentados e implementados.

Se deben llevar registros del desempeo del proceso y de todos los casos de incidentes
de seguridad relacionados con el SGSI.

5 RESPONSABILIDAD DE LA DIRECCIN

5.1 COMPROMISO DE LA DIRECCIN

La direccin debe proporcionar evidencia de su compromiso para establecer,
implementar, revisar, mantener y mejorar el SGSI:
a) Al establecer una poltica de seguridad de la informacin;
b) Al asegurar que se establezcan los objetivos y planes de seguridad de la
informacin;
c) Al establecer funciones y responsabilidades;
d) Al comunicar a la organizacin la importancia de cumplir los objetivos de
seguridad y al cumplir la poltica;
e) Al proveer recursos para implementar y mantener el SGSI (ver
5.2.1);
f) Al decidir el nivel de riesgo aceptable;
g) Asegurar que las Auditorias Internas al SGSI son realizadas (ver 6);
h) Al realizar revisiones del SGSI por la direccin (ver 7).


Pgina 8 de 29

5.2 GESTION DE RECURSOS

5.2.1 Provisin de recursos

La organizacin debe determinar y proveer recursos necesarios para:
a) Establecer, implementar, operar, mantener y mejorar el SGSI.
b) Asegurar que los procedimientos de seguridad de la informacin brindan
soporte a los requisitos del negocio.
c) Identificar y atender los requisitos legales y reglamentarios, as como las
obligaciones de seguridad contractuales.
d) Mantener la seguridad adecuada mediante la aplicacin correcta de todos
los controles implementados.
e) Llevar a cabo revisiones cuando sea necesario y relacionar
apropiadamente a los resultados de estas revisiones.
f) En donde se requiera, mejorar la eficacia del SGSI.

5.2.2 Entrenamiento, toma de conciencia y competencia
La organizacin debe asegurar que todo el personal que tiene asignada
responsabilidades en el SGSI son competentes para realizar las tareas de:
a) La determinacin de las competencias necesarias para el personal que
ejecute el trabajo que afecta el SGSI;
b) Proveer entrenamiento o tomar otras acciones (Ejemplo: competencias del
personal) para satisfacer estas necesidades;
c) La evaluacin de la eficacia de las acciones tomadas; y
d) El mantenimiento de registro de educacin, formacin, habilidades,
experiencia y calificaciones (ver 4.3.3).

6 AUDITORIAS INTERNAS AL SGSI

La organizacin debe realizar auditorias internas al SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:

a) Cumplen los requisitos de esta norma internacional y la legislacin pertinente o
regulaciones;
b) Cumplen con la identificacin de los requerimientos de la seguridad de la
informacin;
c) Son efectivamente implementados y se mantienen; y
d) Cumplen las expectativas.

Un programa de auditoria debe ser planeado, tomando en consideracin el estatus e
importancia de los procesos y reas a ser auditadas, como tambin los resultados
previos de auditoria. Los criterios de auditoria, alcance, frecuencia y mtodos deben
ser definidos. La seleccin de auditores y conducta de los auditores debe asegurar la
objetividad e imparcialidad del proceso de auditoria. Auditores no deben auditar su
propio trabajo.


Pgina 9 de 29

La responsabilidad y requerimientos para la planeacin y conducta durante la
auditoria, y los reportes de resultados y mantenimiento de registros (ver 4.3.3) debe
ser definido en un procedimiento documentado.

El responsable de la direccin del rea auditada debe asegurar que las acciones
tomadas no tengan retrasos en eliminar las no conformidades detectadas y sus
causas. Seguimiento de las actividades debe incluir la verificacin de las acciones
tomadas y el reporte de verificacin de resultados. (Ver 8).

(Ver ISO 19011:2002).

7 REVISIN DEL SGSI POR LA DIRECCIN

7.1 GENERALIDADES
La direccin debe revisar que la organizacin del SGSI a intervalos planeados (por lo
menos una vez al ao) para asegurar su conveniencia, adecuacin y efectividad.
Esta revisin debe incluir
- La evaluacin de oportunidades para mejorar
- y la necesidad de cambios en el SGSI, incluyendo
* Poltica de seguridad de la informacin.
* Objetivos de la seguridad de la informacin.

El resultado de la revisin debe ser claramente documentado y se deben guardar los
registros. (Ver 4.3.3).

7.2 REVISIN DE ENTRADAS

La entrada a la revisin por la gerencia debe incluir:
a) Resultados de las auditorias y revisiones al SGSI;
b) Retroalimentacin de las partes interesadas;
c) Tcnicas, productos o procedimientos, los cuales pueden ser usados en la
organizacin para mejorar el desempeo y efectividad del SGSI;
d) Estado de las acciones preventivas y correctivas;

e) Vulnerabilidades o amenazas no tratadas adecuadamente en la previa evaluacin
de riesgos;
f) Resultados de efectividad de las medidas;
g) Seguimiento de las acciones desde las revisiones previas de la gerencia;
h) Y cualquier cambio que podra afectar el SGSI; y
i) Recomendaciones para mejorar.

7.3 REVISIN DE LAS SALIDAS

Las salidas de la revisin de la gerencia deben incluir cualquier decisin y accin
relacionada con lo siguiente:


Pgina 10 de 29

a) Mejoramiento de la efectividad en el SGSI.
b) Actualizacin del plan de valoracin y tratamiento de riesgos.
c) Modificacin de procedimientos y controles que afecten la seguridad de la
informacin, cuando sea necesario, para responder a eventos internos o externos
que puede impactar sobre el SGSI, incluyendo cambios a:
1) Requerimientos de negocio;
2) Requerimientos de seguridad;
3) Procesos del negocio que afectan los requisitos del negocio existentes;
4) Regulaciones o requerimientos legales;
5) Obligaciones contractuales; y
6) Niveles de riesgo y/o criterio de aceptacin de riesgos.
d) Consideraciones a las necesidades de recursos.
e) Mejoramiento de cmo la efectividad de los controles esta siendo medida.

8 MEJORA DEL SGSI

8.1 MEJORA CONTINUA

La organizacin debe continuamente mejorar la efectividad en el SGSI por medio del uso
de:
- la poltica de seguridad
- objetivos de la seguridad de la informacin
- resultados de auditorias
- anlisis del monitoreo de eventos
- acciones correctivas y preventivas y revisin por la gerencia. (Ver 7).

8.2 ACCIN CORRECTIVA

La organizacin debe emprender acciones para eliminar la causa de no conformidades
asociadas con la implementacin y operacin del SGSI, con el fin de prevenir su nueva
ocurrencia.

Un procedimiento documentado para la accin correctiva debe ser definido para
requerimientos como:

a) Identificando las no conformidades
b) Determinando las causas de no conformidades
c) Evaluando la necesidad de acciones que aseguren que las no conformidades no
vuelvan a ocurrir
d) Determinando e implementando las acciones correctivas necesarias
e) Registrando los resultados de la acciones tomadas (Ver 4.3.3); y
f) Revisando la accin correctiva tomada.


Pgina 11 de 29

8.3 ACCIN PREVENTIVA

La organizacin debe determinar acciones para eliminar la causa de potenciales no
conformidades con los requerimientos del SGSI en orden para prevenir su ocurrencia.
Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas
potenciales.

Un procedimiento documentado para la accin preventiva debe definir requerimientos
para:

a) Identificando potenciales no conformidades y sus causas
b) Evaluando la necesidad de accin para prevenir la ocurrencia de no
conformidades
c) Determinando e implementando acciones preventivas necesarias
d) Registrando resultados de las acciones tomadas (Ver 4.3.3); y
e) Revisando las acciones preventivas tomadas.

La organizacin debe identificar cambios en los riesgos e identificar requerimientos de
acciones preventivas enfocando la atencin sobre los riesgos que han cambiado
significativamente.

La prioridad de las acciones preventivas debe ser determinada basada sobre resultados
de la valoracin de riesgos.

ANEXO A

A.5 POLTICA DE SEGURIDAD

A.5.1 POLTICA DE SEGURIDAD DE INFORMACIN.
Objetivo de Control:
Brindar orientacin y apoyo a la direccin en la seguridad de informacin de acuerdo con
los requerimientos del negocio, leyes relevantes y regulaciones.

A.5.1.1 Documento de la poltica de seguridad de la informacin.
Control: Un documento de la poltica de seguridad debe ser aprobado por la direccin, y
publicado y comunicado a todos los empleados y a partes externas relevantes.

A.5.1.2 Revisin Poltica de seguridad de la informacin.
Control: La informacin de la poltica de seguridad de la informacin debe ser revisado a
intervalos planeados o si hay cambios significativos para asegurar la conveniencia de su
continuidad, adecuacin y efectividad.


Pgina 12 de 29

A.6 ORGANIZACIN DE SEGURIDAD DE INFORMACION

A.6.1 Organizacin Interna.
Objetivo de control:
Gestionar la seguridad de la informacin dentro de la organizacin.

A.6.1.1 Compromiso de la direccin en la seguridad de la informacin.
Control: La direccin debe soportar activamente la seguridad dentro de la organizacin a
travs de directrices claras, compromiso demostrado, asignaciones expresas, y
reconocimiento de las responsabilidades de la seguridad de la informacin.

A.6.1.2 Coordinacin de la seguridad de la informacin.
Control: Las actividades de la seguridad de la informacin deben ser coordinadas por
representantes de diferentes partes de la organizacin con roles relevantes y funciones de
trabajo.

A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin.
Control: Toda la responsabilidad en seguridad de la informacin debe ser claramente
definida.

A.6.1.4 Proceso de autorizacin para medios de procesamiento de la informacin.
Control: Un proceso de gestin de autorizacin para un medio de procesamiento nuevo
debe ser definido e implementado.

A.6.1.5 Acuerdo de Confidencialidad.
Control: Requerimientos de confidencialidad o los acuerdos de no revelacin necesarios
para la proteccin de la informacin de la organizacin deben ser identificados y
regularmente revisados.

A.6.1.6 Contacto con las Autoridades.
Control: Contacto apropiado con las autoridades competentes debe ser mantenido.

A.6.1.7 Contacto con grupos interesados especialistas
Control: Contacto apropiado con grupos interesados especiales o contacto con grupos de
especialistas, otros foros y asociaciones de profesionales en seguridad se deben
mantener.

A.6.1.8 Revisin Independiente de seguridad de la informacin
Control: La organizacin aprueba el enfoque de gestin de seguridad de la informacin y
su implementacin (Ej. objetivos de control, controles, polticas, procesos, y
procedimientos de seguridad de la informacin) debe ser independientemente revisada y
planeada a intervalos, o cuando ocurren cambios significativos en la implementacin de la
seguridad.


Pgina 13 de 29

A.6.2 Partes externas
Mantener la seguridad de informacin de la organizacin y facilidades en procesamiento
de informacin son accedidas, procesados, comunicados a, o administrados por partes
externas.

A.6.2.1 Identificacin de riesgos relacionados con partes externas.
Control: El riesgo de la informacin y los recursos de procesamiento que involucren a
partes externas deben ser identificados e implementar controles apropiados antes de
conceder el acceso.

A.6.2.2. Tratamiento de la seguridad cuando negociamos con clientes.
Control: Todos los requerimientos identificados en seguridad deben ser tratados antes
de dar acceso a los clientes a la informacin o a los activos de la organizacin.

A.6.2.3 Requisitos de seguridad en acuerdos con terceras partes.
Control: Acuerdos con terceras partes que involucren acceso, procesamiento,
comunicacin o administracin de informacin de la organizacin o medios de
procesamiento de informacin, o adicin de productos o servicios para los recursos de
procesamiento de informacin deben ser tratados para todos los requerimientos en
seguridad.

A.7 GESTIN DE ACTIVOS

A.7.1 Responsabilidad
Ejecutar y mantener apropiada proteccin de los activos de la organizacin.

A.7.1.1 Inventario de activos
Control: Todos los activos deben ser claramente identificados y un inventario de todos los
activos importantes mantenido.

A.7.1.2 Propiedad de los activos
Control: Toda informacin y activos asociados con los medios de procesamiento de
informacin deben de tener un responsable designado por la organizacin.

A.7.1.3 Uso aceptable de los activos
Control: Reglas para el uso aceptable de informacin y activos asociados con los medios
de procesamiento de informacin deben ser identificados, documentados e
implementados.

A.7.2 Clasificacin de la informacin
Asegurar que la informacin reciba un adecuado nivel de proteccin.


Pgina 14 de 29

A.7.2.1 Guas de clasificacin
Control: la informacin debe ser clasificada en trminos de su valor, requerimientos
legales, susceptibles y crticos para la organizacin.

A.7.2.2 Etiquetado y gestin de informacin
Control: Un apropiado sistema de procedimientos para el etiquetado y direccin debe ser
desarrollado e implementado en concordancia con el esquema de clasificacin adoptado
por la organizacin.

A.8 SEGURIDAD DEL PERSONAL

A.8.1 Antes del trabajo
Asegurar que usuarios como empleados, contratistas, terceras partes entiendan sus
responsabilidades y son apropiadas para los roles que han sido considerados para, y
reducir los riesgos de robo, fraude o uso inadecuado de los recursos.

A.8.1.1 Funciones y Responsabilidades
Control: Las funciones y responsabilidades en seguridad de usuarios empleados,
contratistas y terceras partes deben ser definidos y documentados de acuerdo con poltica
de sistemas de informacin de la organizacin.

A.8.1.2 Seleccin
Control: Chequeo de verificacin de fondo de todos los usuarios candidatos para el
empleo, contratistas y terceras partes deben ser revisados de acuerdo con las leyes
relevantes, regulaciones y tica, y proporcional a los requerimientos del negocio, la
clasificacin de la informacin a ser accedida y la percepcin de los riesgos.

A.8.1.3 Trminos y condiciones de la relacin laboral
Control: Como parte de las obligaciones contractuales, los usuarios como empleados,
contratistas y terceras partes deben aceptar y firmar los trminos y condiciones de
contrato de trabajo, se debe definir la responsabilidad de la seguridad de la informacin
de la organizacin.

A.8.2 Durante del trabajo
Asegurar que todos los usuarios empleados, contratistas y terceras partes tengan
conciencia sobre las amenazas y problemas de seguridad de la informacin, sus
responsabilidades y lxico, y que estn preparados para brindar apoyo a la poltica de
seguridad de la informacin organizacional en el curso de su trabajo normal y para reducir
los riesgos de error humano.

A.8.2.1 Gestin de las responsabilidades
Control: La gestin de usuarios empleados, contratistas y terceras partes deben requerir
aplicar la seguridad en concordancia con lo establecido en la poltica y procedimientos de
la organizacin.


Pgina 15 de 29

A.8.2.2 Educacin y formacin en seguridad de la informacin
Control: Todos los usuarios empleados de la organizacin y donde sea aplicable,
contratistas o terceras partes deben recibir entrenamiento apropiado y actualizaciones
regulares sobre las polticas y procedimientos relativos a sus funciones.

A.8.2.3 Proceso disciplinario
Control: Se debe establecer un proceso disciplinario formal para los empleados que
hayan violado la seguridad.

A.8.3 Terminacin o cambio de trabajo
Asegurar que la salida de usuarios empleados, contratistas y terceras partes de la
organizacin o cambio de empleo se haga de una forma metdica.

A.8.3.1 Terminacin de responsabilidades
Control: Responsabilidades para la terminacin de empleo o cambios de trabajo deben
ser claramente definidos y asignados.

A.8.3.2 Devolucin de activos
Control: Todos los usuarios empleados, contratistas o terceras partes deben devolver a
la organizacin todos los activos que tienen en su posesin hasta la terminacin de sus
empleos, contratos o acuerdos.

A.8.3.3 Eliminacin de derechos de acceso
Control: Los derechos de acceso de usuarios a la informacin y recursos de
procesamiento de informacin de todos los usuarios empleados, contratistas o terceras
partes deben ser removidos antes de la terminacin del empleo, contrato o acuerdo o
ajustado sobre el cambio.

A.9 SEGURIDAD FSICA Y DEL ENTORNO

A.9.1 reas seguras
Objetivo de Control:
Prevenir el acceso fsico no autorizado, dao e interferencia a las instalaciones e
informacin de la organizacin.

A.9.1.1 Permetro de seguridad fsica
Control: Permetros de seguridad (barreras como paredes, entrada controlada con
tarjetas o recepciones) deben ser usadas para proteger reas que contengan informacin
e instalaciones de procesamiento de informacin.

A.9.1.2 Control de acceso fsico
Control: Las reas seguras deben estar protegidas por controles de entrada apropiados
que aseguren que slo se permite el acceso a personal autorizado.


Pgina 16 de 29

A.9.1.3 Seguridad de oficinas, recintos e instalaciones
Control: Seguridad fsica para oficinas, recintos e instalaciones deben ser asignadas y
aplicadas.

A.9.1.4 Proteccin contra amenazas externas o medioambientales.
Control: Proteccin fsica contra daos por fuego, inundacin, terremoto, explosin,
desordenes civiles y otras formas naturales o desastres hechos por el hombre deben ser
diseadas y aplicadas.

A.9.1.5 Trabajo en reas seguras
Control: Protecciones fsicas y guas para incrementar el nivel de seguridad de un rea
segura deben ser diseadas y aplicadas.

A.9.1.6 Acceso publico, despacho y reas de carga
Control: Las reas de despacho y carga y otros puntos donde personal no autorizado
puede ingresar, el permiso debe ser controlado y si es posible, deben estar aisladas de
las instalaciones de procesamiento de informacin para evitar el acceso no autorizado.

A.9.2 Seguridad de los equipos
Prevenir dao, prdida, robo o puesta en peligro de los activos e interrupciones de las
actividades de la organizacin.

A.9.2.1 Ubicacin y proteccin de los equipos
Control: Los equipos deben ser ubicados o protegidos para reducir los riesgos de
amenazas o peligros del entorno, y las oportunidades de acceso en forma no autorizada.

A.9.2.2 Suministro de energa
Control: Los equipos deben ser protegidos contra fallas en el suministro de energa y
otras anomalas elctricas.

A.9.2.3 Seguridad del cableado
Control: El cableado de energa elctrica y de telecomunicaciones que porta datos o
presta soporte a servicios de informacin debe estar protegido contra interceptacin o
dao.

A.9.2.4 Mantenimiento de los equipos
Control: Los equipos deben recibir el mantenimiento adecuado que permita su
permanente disponibilidad e integridad.

A.9.2.5 Seguridad de los equipos fuera de las instalaciones
Control: Para cualquier uso de equipos para procesamiento de la informacin fuera de
las instalaciones de la organizacin, se debe exigir autorizacin.


Pgina 17 de 29

A.9.2.6 Disposicin segura o re utilizacin de equipos
Control: Todos los dispositivos de almacenamiento con informacin deben ser revisados
para asegurar que cualquier informacin relevante o licencia de software ha sido removido
o sobre escrito antes de su disposicin.

A.9.2.7 Retiro de bienes
Control: Los equipos, informacin o software que pertenece a la organizacin no se
deben retirar sin autorizacin.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.1 PROCEDIMIENTOS OPERACIONALES Y REPONSABILIDADES
Asegurar la operacin correcta y segura de las instalaciones de procesamiento de la
informacin.

A.10.1.1 Procedimientos de operacin documentados
Control: Procedimientos operacionales deben ser documentados, mantenidos y estar
disponibles para todos los usuarios que lo necesiten.

A.10.1.2 Gestin de Cambios
Control: Deben ser controlados los cambios en las instalaciones de procesamiento y
sistemas.

A.10.1.3 Separacin de funciones
Control: Deben estar separadas las funciones en reas de responsabilidad para reducir
la oportunidad para una desautorizada modificacin.

A.10.1.4 Separacin de las instalaciones, desarrollo y produccin
Control: Deben estar separadas las instalaciones para el desarrollo, prueba y produccin
para reducir el riesgo de acceso no autorizado o cambios en el sistema operativo.

A.10.2 GESTION DE SERVICIOS ENTREGADOS POR TERCERAS PARTES
Implementar y mantener los niveles apropiados de seguridad de la informacin y de los
servicios entregados por terceras partes, teniendo en cuenta los acuerdos pactados.

A.10.2.1 Entrega de servicios
Control: Se debe asegurar que los controles de seguridad, definiciones de servicios y
niveles de entrega incluidos en los acuerdos de servicios con terceras partes sean
implementados, operados y mantenidos por las terceras partes.

A.10.2.2 Monitoreo y revisin de servicios suministrados por terceras partes
Control: Los servicios, reportes y registros provistos por las terceras partes deben ser
regularmente supervisados y revisados. Deben peridicamente auditarse.


Pgina 18 de 29

A.10.2.3 Gestin de cambios en servicios hechos por terceras partes
Control: Los cambios en el suministro de servicios, incluyendo el mantenimiento y
mejoramiento de las polticas de seguridad de la informacin existentes, procedimientos y
controles, deben ser gestionados, ingreso de la criticidad de los sistemas del negocio y
procesos involucrados y re asignados a los riesgos.

A.10.3 PLANEACION Y ACEPTACION DEL SISTEMA
Minimizar el riesgo de fallas en los sistemas.

A.10.3.1 Planeacin de la capacidad
Control: El uso de los recursos debe ser monitoreado, afinado y hacer proyecciones de
requerimientos de capacidad futura para asegurar el desempeo del sistema requerido.

A.10.3.2 Aceptacin del sistema
Control: Criterios de aceptacin para nuevos sistemas de informacin, actualizaciones, y
nuevas versiones deben ser establecidas y llevar a cabo pruebas adecuadas del sistema,
durante el desarrollo y antes de su aceptacin.

A.10.4.1 Controles contra software malicioso
Control: Se deben implementar controles de deteccin, prevencin y recuperacin para
protegerse contra software malicioso, y procedimientos apropiados de toma de conciencia
de los usuarios.

A.10.4.2 Controles contra software mvil
Control: Cuando el uso de software mvil es autorizado, la configuracin debe asegurar
su funcionamiento de acuerdo con las polticas de seguridad claramente definidas, y
cdigo mvil no autorizado debe ser prevenido desde su ejecucin.

A.10.5 Backup-up
Mantener la integridad y disponibilidad de informacin y medios de procesamiento de
informacin.

A.10.5.1 Back-up de la informacin
Control: Copias de back-up de informacin y software deben ser realizadas y revisadas
regularmente en concordancia con la poltica de backup.

A.10.6 Gestin de la seguridad de la red
Asegurar la proteccin de informacin en la red y proteccin del soporte de la
infraestructura.


Pgina 19 de 29

A.10.6.1 Controles de red
Control: Se deben administrar y controlar las redes para que est protegida de ataques y
para mantener la seguridad de los sistemas y aplicaciones usados en la red, incluida la
informacin en transito.

A.10.6.2 Seguridad de los servicios de red.
Control: Deben ser identificados e incluidos en cualquier acuerdo de servicios de red, las
caractersticas de seguridad, niveles de servicio y los requerimientos de administracin
para todos los servicios de red, donde estos servicios son provistos por outsourcing o
in-house.

A.10.7 GESTION DE LOS MEDIOS
Prevenir acceso no autorizado, modificacin, eliminacin o destruccin de activos, e
interrupcin de las actividades del negocio.

A.10.7.1 Gestin de los medios removibles
Control: Debe haber procedimientos para la administracin de los medios removibles.

A.10.7.2 Eliminacin de medios
Control: Medios deben ser dispuestos para efectos y seguridad cuando no se requieran
por largo tiempo, usando un procedimiento formal.

A.10.7.3 Procedimientos para el manejo de la informacin
Control: Se deben establecer procedimientos para el manejo y almacenamiento de la
informacin para protegerla de divulgacin no autorizada o mal uso.

A.10.7.4 Seguridad de la documentacin del sistema
Control: Se debe proteger la documentacin contra el acceso no autorizado.

A.10.8 INTERCAMBIO DE INFORMACION
Mantener la seguridad de la informacin e intercambio de software dentro de la
organizacin y con cualquier entidad externa.

A.10.8.1 Procedimientos y polticas para el intercambio de informacin
Control: Se deben tener polticas, procedimientos y controles para proteger el
intercambio de informacin a travs del uso de todos los medios de comunicacin.

A.10.8.2 Acuerdos de Intercambio
Control: Se deben establecer acuerdos para los intercambios de informacin y de
software entre la organizacin y entidades externas.

A.10.8.3 Medios fsicos en trnsito
Control: Se debe proteger la informacin contra accesos no autorizados, mal uso o dao
durante el transporte ms halla de los lmites de las instalaciones.


Pgina 20 de 29

A.10.8.4 Correo electrnico
Control: La informacin incluida en el correo electrnico debe ser protegida
apropiadamente.

A.10.8.5 Sistemas de informacin de negocios
Control: Las polticas y procedimientos deben ser desarrollados e implementados para
proteger la informacin asociada con la interconexin de los sistemas de informacin de
los negocios.

A.10.9 SERGURIDAD EN COMERCIO ELECTRONICO
Asegurar la seguridad de los servicios de comercio electrnico, y su uso seguro.

A.10.9.1 Comercio electrnico
Control: La informacin intercambiada utilizando correo electrnico por redes pblicas
debe ser protegida de actividad fraudulenta, disputas en contratos y revelacin no
autorizada y modificacin.

A.10.9.2 Transacciones en lnea
Control: La informacin utilizada en transacciones en lnea debe ser protegida para
prevenir transmisiones incompletas, perdidas de enrutamiento, alteracin de mensajes,
divulgacin no autorizada, mensajes duplicados no autorizados o repeticin.

A.10.9.3 Informacin disponible pblicamente
Control: Se debe cuidar la proteccin de la integridad de la informacin publicada
electrnicamente para evitar la modificacin no autorizada.

A.10.10 MONITOREO
Detectar las actividades de procesamiento de informacin no autorizadas.

A.10.10.1 Auditoria de ingresos al sistema Log-in
Control: Registros de logs de los usuarios, excepciones, y los eventos de seguridad
deben ser mantenidos por un perodo de tiempo acordado ya que podran servir para
futuras investigaciones y para el monitoreo del control de acceso.

A.10.10.2 Monitoreo del uso del sistema
Control: Procedimientos para monitorear el uso de los recursos del sistema de
informacin deben ser establecidos y el resultado del monitoreo revisado regularmente.

A.10.10.3 Proteccin de logs de informacin
Control: Los Log-in de ingreso a los recursos y los logs de informacin deben ser
protegidos contra manipulaciones y accesos no autorizados.


Pgina 21 de 29

A.10.10.4 Eventos del Administrador y operador
Control: Las actividades del administrador y del operador deben ser registradas en el
Log.

A.10.10.5 Ingresos fallidos al sistema
Control: Los ingresos fallidos al sistema deben ser registrados en un Log, y analizados y
tomar la accin apropiada.

A.10.10.6 Sincronizacin de relojes
Control: Los relojes de todos los sistemas de procesamiento de la informacin relevantes
dentro de la organizacin o dominio de seguridad deben ser sincronizados de acuerdo a
una fuente de referencia.

A.11 CONTROL DE ACCESO

A.11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESO
Controlar el acceso a la informacin.

A.11.1.1 Polticas para el control de acceso
Control: Una poltica de control de acceso debe ser establecida, documentada y revisada
basada en el negocio y los requerimientos de se seguridad para el acceso.

A.11.2 ADMINISTRACION DE ACCESO DE USUARIOS
Asegurar el acceso de los usuarios autorizados y prevenir el acceso de usuarios no
autorizados al sistema.

A.11.2.1 Registro de usuarios.
Control: Debera haber un procedimiento formal de registro y cancelacin del registro a
usuarios para conceder y revocar el acceso a todos los sistemas y servicios de
informacin.

A.11.2.2 Administracin de privilegios.
Control: Se debera restringir y controlar la asignacin y uso de privilegios.

A.11.2.3 Administracin de contraseas para usuarios.
Control: Se debera controlar la asignacin de contraseas mediante un proceso de
gestin formal.

A.11.2.4 Revisin de los derechos de acceso de los usuarios.
Control: La direccin debera establecer un proceso formal de revisin peridica de los
derechos de acceso de los usuarios.


Pgina 22 de 29

A.11.3 RESPONSABILIDADES DE LOS USUARIOS
Prevenir el acceso de usuarios no autorizados, y el robo de informacin y el
procesamiento de informacin.

A.11.3.1 Uso de contraseas.
Control: Los usuarios deben ser obligados a seguir buenas prcticas de seguridad en la
seleccin y uso de sus contraseas.

A.11.3.2 Equipo de cmputo de usuario desatendido.
Control: Los usuarios deben asegurar que los equipos informticos no usados estn
debidamente protegidos.

A.11.3.3 Poltica de puesto de trabajo despejado y bloqueo de pantalla.
Control: Una poltica de puesto de trabajo despejado de papeles y medios de
almacenamiento removibles y una poltica de bloqueo de pantalla para los recursos de
tratamiento de informacin debe ser adoptada.

A.11.4 CONTROL DE ACCESO A REDES
Prevenir el acceso no autorizado a los servicios en red.

A.11.4.1 Poltica de uso de los servicios en red
Control: Los usuarios solo deben tener acceso directo a los servicios para los que han
sido autorizados especficamente a usar.

A.11.4.2 Autenticacin de usuarios para conexiones externas
Control: Deben ser usados mtodos de autenticacin apropiados para controlar el acceso
de los usuarios remotos.

A.11.4.3 Identificacin de equipos en red
Control: Se debe tener en cuenta la identificacin automtica de equipos como un medio
para autenticar las conexiones realizadas desde una localizacin o equipo.

A.11.4.4 Proteccin de puertos de diagnstico y configuracin remota
Control: Debe controlarse el acceso fsico y lgico a los puertos de diagnstico y
configuracin.

A.11.4.5 Segmentacin de redes
Control: Las redes se deben segmentar por grupos de servicios de informacin, usuarios
y sistemas de informacin.


Pgina 23 de 29

A.11.4.6 Control de conexin a las redes
Control: Para redes compartidas, especialmente aquellas que atraviesan las fronteras de
la organizacin la capacidad de los usuarios para conectarse a la red deben ser
restringidas de acuerdo con las polticas de control de acceso y los requisitos de las
aplicaciones del negocio.

A.11.4.7 Control de enrutamiento en la red
Control: Se deben implementar controles de enrutamiento para asegurar que las
conexiones del computador y los flujos de informacin no violen las polticas de control de
acceso de las aplicaciones del negocio.

A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
Prevenir el acceso no autorizado a los sistemas operativos.

A.11.5.1 Procedimientos de identificacin de usuarios segura
Control: El acceso a los servicios de informacin debe ser controlado mediante un
proceso de conexin seguro.

A.11.5.2 Identificacin y autenticacin de usuarios
Control: Todos los usuarios deben tener un identificador nico (ID de usuario) para su
uso personal y exclusivo, utilizando una tcnica de autenticacin de manera que las
actividades se puedan rastrear hasta el individuo responsable.

A.11.5.3 Sistema de administracin de contraseas
Control: Los sistemas de administracin de contraseas deben ser interactivos y
asegurar la calidad de las contraseas.

A.11.5.4 Uso de utilidades del sistema
Control: El uso de programas utilitarios capaces de eludir las medidas de control del
sistema debe ser limitado y mantenerse estrictamente controlados.

A.11.5.5 Time-out de sesin
Control: Las sesiones inactivas se deben deshabilitar despus de un periodo de tiempo
definido.

A.11.5.6 Limitacin del tiempo de conexin
Control: Se deben aplicar restricciones en los tiempos de conexin para brindar
seguridad adicional en aplicaciones de alto riesgo.

A.11.6 CONTROL DE ACCESO EN LA INFORMACION Y A LAS APLICACIONES
Prevenir el acceso no autorizado a la informacin contenida en los sistemas de
informacin.


Pgina 24 de 29

A.11.6.1 Restriccin de acceso a la informacin
Control: Debe ser restringido de acuerdo con las polticas de control de acceso definidas,
el acceso a la informacin y a las funciones del sistema de aplicaciones, a los usuarios y
al personal de soporte.

A.11.6.2 Aislamiento de sistemas relevantes
Control: Los sistemas susceptibles deben tener un entorno informtico dedicado
(aislado).

A.11.7 COMPUTACION MOVIL Y TRABAJO REMOTO
Garantizar la seguridad de la informacin cuando se usan dispositivos de computacin
mviles y trabajo remoto.

A.11.7.1 Computacin y comunicaciones mviles
Control: Una poltica formal debe estar en el lugar, y apropiadas medidas de seguridad
debe ser adoptada para proteger contra riesgos usando computacin mvil y
herramientas de comunicaciones.
.
A.11.7.2 Trabajo remoto
Control: Una poltica, planes operacionales y procedimientos debe ser desarrollada e
implementada para actividades de trabajo remoto.

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
Asegurar que la seguridad es una parte integral de los sistemas de informacin.

A.12.1.1 Anlisis y especificacin de los requisitos de seguridad.
Control: Declaraciones de requerimientos del negocio para nuevos sistemas de
informacin, o mejora de los sistemas de informacin existentes debe especificar los
requerimientos para los controles de seguridad.

A.12.2 PROCESAMIENTO CORRECTO DE APLICACIONES
Prevenir errores, prdida, modificaciones no autorizadas o uso errneo de informacin en
aplicaciones.

A.12.2.1 Validacin de los datos de entrada
Control: Datos de entrada a las aplicaciones deben ser validados para asegurar que
estos datos son correctos y apropiados.


Pgina 25 de 29

A.12.2.2 Control al procesamiento interno
Control: Chequeos de validacin deben ser incorporados dentro de las aplicaciones para
detectar cualquier corrupcin de informacin por medio de errores de procesamiento o
actor deliberados.

A.12.2.3 Autenticacin de mensajes
Control: Requerimientos para asegurar la autenticidad y mensajes de proteccin de la
integridad en las aplicaciones debe ser identificado, y controles apropiados identificados e
implementados.

A.12.2.4 Validacin de los datos de salida
Control: Datos de salida desde una aplicacin debe ser validada para asegurar que el
procesamiento almacenado de informacin es correcto y apropiado por las circunstancias.

A.12.3 CONTROLES CRIPTOGRFICOS
Proteger la confidencialidad, autenticidad e integridad de informacin por medios
criptogrficos.

A.12.3.1 Poltica en el uso de controles criptogrficos
Control: Una poltica sobre el uso de controles criptogrficos para proteccin de la
informacin debe ser desarrollado e implementada.

A.12.3.2 Administracin de llaves
Control: Un administrador de llaves debe existir en el lugar para soportar en el uso de
tcnicas criptogrficas de la organizacin.

A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA
Asegurar la seguridad de los archivos del sistema.

A.12.4.1 Control operativo del software
Control: Debe ser implementado procedimientos en el sitio de controles de instalacin de
software sobre sistemas operativos.

A.12.4.2 Proteccin de los datos de prueba del sistema
Control: Los datos de prueba debe ser cuidadosamente seleccionados, y protegidos y
controlados.

A.12.4.3 Control de acceso a cdigo de programas fuente
Control: Acceso a los programas fuentes debe ser restringido.

A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Mantener la seguridad de aplicaciones del software del sistema e informacin.


Pgina 26 de 29

A.12.5.1 Procedimientos de control de los cambios.
Control: La implementacin de cambios debe ser controlada por el uso de un
procedimiento formal de control de cambios.

A.12.5.2 Revisin tcnica de aplicaciones despus de cambios en el sistema
Operativo
Control: Cuando el sistema operativo cambie, las aplicaciones crticas del sistema debe
ser revisado y probado para asegurar que no suceda un impacto adverso sobre la
operacin de la organizacin o seguridad.

A.12.5.3 Restricciones en los cambios a los paquetes de software
Control: Modificaciones a los paquetes de software debe ser disuadir, limitado a los
cambios necesarios, y todos los cambios deben ser estrictamente controlados.

A.12.5.4 Fuga de informacin
Control: Oportunidades de la fuga de informacin debe ser prevenida.

A.12.5.5 Desarrollo externo de software
Control: Outsourcing de desarrollo de software debe ser supervisado y monitoreado por
la organizacin.

A.12.6 GESTIN DE VULNERABILIDAD TCNICA
Reducir el riesgo resultante desde la explotacin de vulnerabilidad tcnica publicable.

A.12.6.1 Control de vulnerabilidades tcnicas.
Control: Cronograma de informacin acerca de vulnerabilidades tcnicas de sistemas de
informacin debe ser usado, la organizacin es expuesta a vulnerabilidades evaluadas y
apropiada medicin tomada para direccional los riesgos asociados.

A.13 GESTIN DE LOS INCIDENTES DE SEGURIDAD DE INFORMACIN.

A.13.1 REPORTE DE INCIDENTES Y ANOMALIAS DE SEGURIDAD DE
INFORMACIN.
Asegurar que los incidentes de seguridad de la informacin y anomalas asociadas con
los sistemas de informacin son comunicados se deben manejar peridicamente tomando
acciones correctivas.

A.13.1.1 Reporte de los incidentes en seguridad de informacin
Control: Los incidentes en seguridad de la informacin se deben reportar a travs de los
canales de direccin apropiados y tan rpidos como sea posible.


Pgina 27 de 29

A.13.1.2 Reporte de las debilidades en la seguridad
Control: Todos los empleados, contratistas y terceras partes usuarios de sistemas de
informacin y servicios deben notificar y reportar cualquier observacin o amenaza
sospechosa en seguridad.

A.13.2 Gestin de los incidentes e imprevistos en la seguridad de la informacin
Asegurar un consistente y efectivo enfoque es aplicado para la gestin de incidentes en la
seguridad de la informacin.

A.13.2.1 Responsabilidades y procedimientos
Control: Gestin de responsabilidades y procedimientos debe ser establecido para
asegurar un rpido, efectivo y ordenada respuesta a incidentes de seguridad.

A.13.2.2 Aprendizaje desde los incidentes en la seguridad de la informacin
Control: Debe ser habilitados mecanismos en el lugar para tipos, volmenes y costos de
incidentes de seguridad de informacin para ser cuantificada y monitoreada.

A.13.2.3 Recoleccin de evidencias
Control: Donde una accin de seguimiento contra una persona u organizacin despus
de un incidente de seguridad de informacin que involucre una accin legal (sea civil o
penal), la evidencia debe ser recopilada, retenida, y presentada de conformidad con las
reglas de evidencia ante la relevante jurisdiccin.

A. 14 GESTION DE CONTINUIDAD DEL NEGOCIO

A.14.1 ASPECTOS DE SEGURIDAD DE INFORMACION EN GESTION DE
CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos
crticos de los efectos de fallas mayores de sistemas de informacin o desastres y
asegurar la recuperacin oportuna.

A.14.1.1 Incluyendo informacin de seguridad en el proceso de gestin de
continuidad del negocio.
Control: Un proceso de gestin debe ser desarrollado y mantenido la continuidad del
negocio en toda la organizacin que incluya los requerimientos de seguridad de
informacin necesarios para la continuidad del negocio de la organizacin.

A.14.1.2 Continuidad del negocio y avalu de riesgos.
Control: Eventos que pueden causar interrupciones a los procesos del negocio deben ser
identificados, junto con la probabilidad y el impacto de tales interrupciones y sus
consecuencias para la seguridad de la informacin.


Pgina 28 de 29

A.14.1.3 Desarrollo e implementacin del plan de continuidad incluyendo seguridad
de la informacin.
Control: Planes deben ser desarrollados e implementados para mantener o restaurar las
operaciones y asegurar la disponibilidad de la informacin en el plazo requerido siguiendo
las escalas de tiempo de interrupcin para, o falla de, procesos crticos del negocio.

A.14.1.4 Planeacin de la estructura de la continuidad del negocio.
Control: Una simple estructura de los planes de continuidad del negocio debe ser
mantenidos para asegurar que todos los planes son consistentes, los requerimientos de
seguridad de informacin consistentemente enviados, y para identificar prioridades de
pruebas y mantenimiento.

A.14.1.5 Prueba, mantenimiento y reevaluacin del plan de continuidad del negocio.
Control: Los planes de continuidad del negocio deben ser probados y actualizados
regularmente para asegurar que ellos son actuales y efectivitos.

A.15 CONFORMIDAD

A.15.1 CONFORMIDAD CON LOS REQUISITOS LEGALES
Evitar incumplimientos en cualquier ley, estatuto, reglamentacin u obligaciones
contractuales, y cualquier requerimiento de seguridad.

A.15.1.1 Identificacin de la legislacin aplicable
Control: Estatutos pertinente, reglamentarios y requerimientos contractuales y
acercamiento con organizaciones para encontrar estos requerimientos debe ser
explcitamente definidos, documentados, y continuamente actualizados para cada sistema
de informacin y la organizacin.

A.15.1.2 Derechos de propiedad intelectual.
Control: Procedimientos apropiados deben ser implementados para asegurar
conformidad con la legislacin, regulaciones, y requerimientos contractuales sobre el uso
del material por lo que se refiere el cual puede ser derechos de propiedad intelectual y en
el uso de los productos de software propietarios.

A.15.1.3 Proteccin de los registros de la organizacin
Control: Registros importantes deben ser protegidos de prdida, destruccin y
falsificacin, de acuerdo con estatutos, reglamentaciones, contractuales, y requerimientos
del negocio.

A.15.1.4 Proteccin de los datos y privacidad de la informacin personal
Control: Proteccin de los datos y privacidad debe ser asegurada como requerimiento en
la legislacin relevante, regulaciones, y, si es aplicable, clusulas contractuales.


Pgina 29 de 29

A.15.1.5 Proteccin del uso inadecuado de los recursos de procesamiento de la
informacin
Control: Usuarios deben ser disuadidos de usar las instalaciones de procesamiento de
informacin para propsitos no autorizados.

A.15.1.6 Reglamentacin de los controles criptogrficos
Control: Controles criptogrficos deben ser usados en conformidad con todos los
acuerdos relevantes, leyes, y regulaciones.

A.15.2 CONFORMIDAD DE POLTICA DE SEGURIDAD, NORMAS Y EL
CUMPLIMIENTO TCNICO
Asegurar conformidad de los sistemas con polticas de seguridad y estndares de la
organizacin.

A.15.2.1 Conformidad de la poltica de seguridad y normas
Control: Los directores deben asegurar que todos los procedimientos de seguridad
dentro de su rea de responsabilidad se realizan correctamente para alcanzar
conformidad con polticas y estndares de la seguridad.

A.15.2.2 Verificacin de conformidad tcnico
Control: Sistemas de informacin deben ser regularmente comprobada para la
conformidad con estndares de implementacin de seguridad.

A.15.3 CONSIDERACIONES DE AUDITORIA DE SISTEMAS DE INFORMACIN
Maximizar la efectividad de y para minimizar la interferencia de/desde los procesos de
auditoria.

A.15.3.1 Controles de auditoria de sistemas de informacin
Control: Requerimientos de auditoria y actividades de revisin de sistemas operativos
deben ser cuidadosamente planeados y convenientemente para minimizar los riesgos de
interrupcin de los procesos del negocio.

A.15.3.2 Proteccin de las herramientas de auditoria de sistemas de informacin
Control: El acceso a las herramientas de auditoria de los sistemas de informacin debe
ser protegido para prevenir cualquier uso errneo relevante.

Iso 27001-2005 Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27001-2005 Español

Cargado por

Copyright:

Formatos disponibles

Information Security Management System (ISMS).

También podría gustarte