27001

PROYECTO DE
NORMA TCNICA COLOMBIANA DE 204/05

CONTENIDO

Pgina

0. INTRODUCCIN........................................................................................................ I

0.1 GENERALIDADES..................................................................................................... I

0.2 ENFOQUE BASADO EN PROCESOS....................................................................... I

0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN................................... III

1. OBJETO.................................................................................................................... 1

1.1 GENERALIDADES.................................................................................................... 1

1.2 APLICACIN............................................................................................................. 1

2. REFERENCIAS NORMATIVAS ................................................................................ 2

3. TRMINOS Y DEFINICIONES .................................................................................. 2

4. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN..................... 4

4.1 REQUISITOS GENERALES...................................................................................... 4

4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI ........................................................... 4

4.3 REQUISITOS DE DOCUMENTACIN...................................................................... 9

5. RESPONSABILIDAD DE LA DIRECCIN.............................................................. 11

5.1 COMPROMISO DE LA DIRECCIN....................................................................... 11

5.2 GESTIN DE RECURSOS...................................................................................... 11

6. AUDITORAS INTERNAS DEL SGSI ..................................................................... 12

PROYECTO DE

Pgina

7. REVISIN DEL SGSI POR LA DIRECCIN........................................................... 13

7.1 GENERALIDADES.................................................................................................. 13

7.2 INFORMACIN PARA LA REVISIN..................................................................... 13

7.3 RESULTADOS DE LA REVISIN........................................................................... 13

8. MEJORA DEL SGSI ................................................................................................ 14

8.1 MEJORA CONTINUA.............................................................................................. 14

8.2 ACCIN CORRECTIVA.......................................................................................... 14

8.3 ACCIN PREVENTIVA........................................................................................... 15

ANEXO A

OBJETIVOS DE CONTROL Y CONTROLES..................................................................... 16

ANEXO B

PRINCIPIOS DE OCDE Y DE ESTA NORMA INTERNACIONAL....................................... 34

ANEXO C

CORRESPONDENCIA ENTRE LA ISO 9001:2000, LA ISO 14001:1996,
Y LA PRESENTE NORMA INTERNACIONAL ......................................................... 35

PROYECTO DE

I

0. INTRODUCCIN

0.1 GENERALIDADES

Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin,
operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la
seguridad de la informacin (SGSI). La adopcin de un SGSI debera ser una decisin
estratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin
estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos
empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus
sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI se
ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple
requiere una solucin de SGSI simple.

Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto
internas como externas.

0.2 ENFOQUE BASADO EN PROCESOS

Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer,
implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organizacin.

Para funcionar eficazmente, una organizacin debe identificar y gestionar muchas actividades.
Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestin
permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso
constituye directamente la entrada del proceso siguiente.

La aplicacin de un sistema de procesos dentro de una organizacin, junto con la identificacin
e interacciones entre estos procesos, y su gestin, se puede denominar como un enfoque
basado en procesos.

El enfoque basado en procesos para la gestin de la seguridad de la informacin, presentado
en esta norma, estimula a sus usuarios a hacer nfasis en la importancia de:

a) comprender los requisitos de seguridad de la informacin del negocio, y la
necesidad de establecer la poltica y objetivos en relacin con la seguridad de la
informacin;

b) implementar y operar controles para manejar los riesgos de seguridad de la
informacin de una organizacin en el contexto de los riesgos globales del
negocio de la organizacin;

c) el seguimiento y revisin del desempeo y eficacia del SGSI, y

d) la mejora continua basada en la medicin de objetivos.
PROYECTO DE

II
Esta norma adopta el modelo de procesos Planificar-Hacer-Verificar-Actuar (PHVA), que se
aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSI toma
como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de
las partes interesadas, y a travs de las acciones y procesos necesarios produce resultados de
seguridad de la informacin que cumplen estos requisitos y expectativas. La Figura 1 tambin
ilustra los vnculos en los procesos especificados en los numerales 4, 5, 6, 7 y 8.

La adopcin del modelo PHVA tambin reflejar los principios establecidos en las Directrices
OCDE (2002)
1
que controlan la seguridad de sistemas y redes de informacin. Esta norma
brinda un modelo robusto para implementar los principios en aquellas directrices que controlan
la evaluacin de riesgos, diseo e implementacin de la seguridad, gestin y reevaluacin de la
seguridad.

EJEMPLO 1 Un requisito podra ser que las violaciones a la seguridad de la informacin no causen dao
financiero severo a una organizacin, ni sean motivo de preocupacin para sta.

EJEMPLO 2 Una expectativa podra ser que si ocurre un incidente serio, como por ejemplo el hacking del sitio
web de una organizacin, haya personas con capacitacin suficiente en los procedimientos apropiados, para
minimizar el impacto.

Planificar
Establecer
el SGSI
Mantener y
mejorar
el SGSI
Hacer
seguimiento y
revisar el SGSI
Implementar
y operar
el SGSI
Verificar
Actuar Actuar
Partes
interesadas
Partes
interesadas
Requisitos y
expectativas de
seguridad de
la informacin
Seguridad de
la informacin
gestionada

Figura 1. Modelo PHVA aplicado a los procesos de SGSI

1
Directrices OCDE para la seguridad de sistemas y redes de informacin. Hacia una cultura de la seguridad.
Pars: OCDE, Julio de 2002. www.oecd.org.
PROYECTO DE

III

Planificar (establecer el SGSI) Establecer la poltica, los objetivos, procesos y
procedimientos de seguridad pertinentes para gestionar
el riesgo y mejorar la seguridad de la informacin, con el
fin de entregar resultados acordes con las polticas y
objetivos globales de una organizacin.
Hacer (implementar y operar el SGSI) Implementar y operar la poltica, los controles, procesos y
procedimientos del SGSI.
Verificar (hacer seguimiento y revisar el SGSI) Evaluar, y, en donde sea aplicable, medir el desempeo
del proceso contra la poltica y los objetivos de seguridad
y la experiencia prctica, y reportar los resultados a la
direccin, para su revisin.
Actuar (mantener y mejorar el SGSI) Emprender acciones correctivas y preventivas con base
en los resultados de la auditora interna del SGSI y la
revisin por la direccin, para lograr la mejora continua
del SGSI.

0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTIN

Esta norma est alineada con la ISO 9001:2000 y la ISO 14001:2004, con el fin de apoyar la
implementacin y operacin, consistentes e integradas con sistemas de gestin relacionados.
Un sistema de gestin diseado adecuadamente puede entonces satisfacer los requisitos de
todas estas normas. La Tabla C.1 ilustra la relacin entre los numerales de esta norma, la
norma ISO 9001:2000 y la ISO 14001:2004.

Esta norma est diseada para permitir que una organizacin alinee o integre su SGSI con los
requisitos de los sistemas de gestin relacionados.

PROYECTO DE

1

TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. SISTEMAS DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN (SGSI). REQUISITOS

IMPORTANTE esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los
usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en s misma no confiere
exencin de las obligaciones legales.

1. OBJETO

1.1 GENERALIDADES

Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, agencias
gubernamentales, organizaciones si nimo de lucro). Esta norma especifica los requisitos para
establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI
documentado dentro del contexto de los riesgos globales del negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad adaptados a las
necesidades de las organizaciones individuales o a partes de ellas.

El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales que
protejan los activos de informacin y brinden confianza a las partes interesadas.

NOTA 1 Las referencias que se hacen en esta norma a negocio se deberan interpretar ampliamente como
aquellas actividades que son esenciales para la existencia de la organizacin.

NOTA 2 La ISO/IEC 17799 brinda orientacin sobre la implementacin, que se puede usar cuando se disean
controles.

1.2 APLICACIN

Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas
las organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la
exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una
organizacin declara conformidad con la presente norma.

Cualquier exclusin de controles, considerada necesaria para satisfacer los criterios de
aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos
asociados han sido aceptados apropiadamente por las personas responsables. En donde se
excluya cualquier control, las declaraciones de conformidad con esta norma no son aceptables
a menos que dichas exclusiones no afecten la capacidad de la organizacin y/o la
responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de
seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios aplicables.

NOTA Si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (por
ejemplo: en relacin con la ISO 9001 o ISO 14001), en la mayora de los casos es preferible satisfacer los requisitos
de la presente norma dentro de este sistema de gestin existente.
PROYECTO DE

2
2. REFERENCIA NORMATIVA

El siguiente documento referenciado es indispensable para la aplicacin de esta norma. Para
referencias fechadas, slo se aplica la edicin citada. Para referencias no fechadas, se aplica
la ltima edicin del documento referenciado (incluida cualquier correccin).

ISO/IEC 17799:2005, Information Technology. Security Techniques. Code of Practice for
Information Security Management.

3. TRMINOS Y DEFINICIONES

Para los propsitos de esta norma, se aplican los siguientes trminos y definiciones:

3.1
aceptacin del riesgo
decisin de asumir un riesgo.

[Gua ISO/IEC 73:2002]

3.2.
activo
cualquier cosa que tiene valor para la organizacin.

[ISO/IEC 13335-1:2004]

3.3
anlisis de riesgo
uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.


3.4
confidencialidad
propiedad que determina que la informacin no est disponible ni sea revelada a individuos,
entidades o procesos no autorizados.

[ISO/IEC 13335-1:2004]

3.5
declaracin de aplicabilidad

documento que describe los objetivos de control y los controles pertinentes y aplicables para el
SGSI de la organizacin.

NOTA Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de
valoracin y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos
del negocio de la organizacin en cuanto a la seguridad de la informacin.

3.6
disponibilidad
propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada.

[ISO/IEC 13335-1:2004]
PROYECTO DE

3
3.7
evaluacin del riesgo
proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la
importancia del riesgo.


3.8
evento de seguridad de la informacin
presencia identificada de una condicin de un sistema, servicio o red, que indica una posible
violacin de la poltica de seguridad de la informacin o la falla de las salvaguardas, o una
situacin desconocida previamente que puede ser pertinente a la seguridad.

[ISO/IEC TR 18044:2004]

3.9
gestin del riesgo
actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo.


3.10
incidente de seguridad de la informacin.
un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la informacin.

[ISO/IEC TR 18044:2004]

3.11
integridad
propiedad de salvaguardar la exactitud y estado completo de los activos.

[ISO/IEC 13335-1:2004]

3.12
riesgo residual
nivel restante de riesgo despus del tratamiento del riesgo.


3.13
seguridad de la informacin
preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin; adems,
puede involucrar otras propiedades tales como: autenticidad, responsabilidad con obligacin de
reportar (accountability), no repudio y fiabilidad.

[ISO/IEC 17799:2005]

3.14
sistema de gestin de la seguridad de la informacin
SGSI
parte del sistema de gestin global, basada en un enfoque hacia los riesgos de un negocio,
cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la
seguridad de la informacin.
PROYECTO DE

4
NOTA El sistema de gestin incluye la estructura organizacional, polticas, actividades de planificacin,
responsabilidades, prcticas, procedimientos, procesos y recursos.

3.15
tratamiento del riesgo
proceso de seleccin e implementacin de medidas para modificar el riesgo.


NOTA En la presente norma el trmino control se usa como sinnimo de medida.

3.16
valoracin del riesgo
proceso global de anlisis y evaluacin del riesgo.


4. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

4.1 REQUISITOS GENERALES

La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la
organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso
usado se basa en el modelo PHVA que se ilustra en la Figura 1.

4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI

4.2.1 Establecimiento del SGSI

La organizacin debe:

a) Definir el alcance y lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, su ubicacin, sus activos, tecnologa, e incluir los
detalles y justificacin de cualquier exclusin del alcance (vase el numeral 1.2).

b) Definir una poltica de SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, sus activos y tecnologa, que:

1) incluya un marco de referencia para fijar objetivos y establezca un sentido
general de direccin y principios para la accin con relacin a la
seguridad de la informacin;

2) tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y
las obligaciones de seguridad contractuales;

3) est alineada con el contexto organizacional estratgico de gestin del
riesgo en el cual tendr lugar el establecimiento y mantenimiento del
SGSI;

4) establezca los criterios contra los cuales se evaluar el riesgo. (Vase el
numeral 4.2.1, literal c) y;
PROYECTO DE

5
5) haya sido aprobada por la direccin.

c) Definir el enfoque organizacional para la valoracin del riesgo.

1) Identificar una metodologa de valoracin del riesgo que sea adecuada al
SGSI y a los requisitos reglamentarios, legales y de seguridad de la
informacin del negocio, identificados.

2) Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles
de riesgo aceptables. (Vase el numeral 5.1, literal f).

La metodologa seleccionada para valoracin de riesgos debe asegurar que
dichas valoraciones producen resultados comparables y reproducibles.

NOTA Existen diferentes metodologas para la valoracin de riesgos. En el documento
ISO/IEC TR 13335-3, Information technology. Guidelines for the Management of IT Security
Techniques for the Management of IT Security se presentan algunos ejemplos.

d) Identificar los riesgos

1) identificar los activos dentro del alcance del SGSI y los propietarios
2
de
estos activos.

2) identificar las amenazas a estos activos.

3) identificar las vulnerabilidades que podran ser aprovechadas por las
amenazas.

4) Identificar los impactos que la prdida de confidencialidad, integridad y
disponibilidad puede tener sobre estos activos.

e) Analizar y evaluar los riesgos.

1) valorar el impacto de negocios que podra causar una falla en la
seguridad, sobre la organizacin, teniendo en cuenta las consecuencias
de la prdida de confidencialidad, integridad o disponibilidad de los
activos.

2) valorar la posibilidad realista de que ocurra una falla en la seguridad,
considerando las amenazas, las vulnerabilidades, los impactos asociados
con estos activos, y los controles implementados actualmente.

3) estimar los niveles de los riesgos.

2
El trmino propietario identifica a un individuo o entidad que tiene la responsabilidad, designada por la
gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.
PROYECTO DE

6
4) determinar la aceptacin del riesgo o la necesidad de su tratamiento a
partir de los criterios establecidos en el numeral 4.2.1, literal c).

f) Identificar y evaluar las opciones para el tratamiento de los riesgos.

Las posibles acciones incluyen:

1) aplicar los controles apropiados.

2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando
satisfagan claramente la poltica y los criterios de la organizacin para la
aceptacin de riesgos (vase el numeral 4.2.1,literal c));

3) evitar riesgos, y

4) transferir a otras partes los riesgos asociados con el negocio, por
ejemplo: aseguradoras, proveedores, etc.

g) Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos.

Los objetivos de control y los controles se deben seleccionar e implementar de
manera que cumplan los requisitos identificados en el proceso de valoracin y
tratamiento de riesgos. Esta seleccin debe tener en cuenta los criterios para la
aceptacin de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos
legales, reglamentarios y contractuales.

Los objetivos de control y los controles del Anexo A se deben seleccionar como
parte de este proceso, en tanto sean adecuados para cubrir estos requisitos.

Los objetivos de control y los controles presentados en el Anexo A no son
exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y
controles adicionales.

NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comnmente
se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma
consultar el Anexo A como punto de partida para la seleccin de controles, con el fin de
asegurarse de que no se pasan por alto opciones de control importantes.

h) Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.

i) Obtener autorizacin de la direccin para implementar y operar el SGSI.

j) Elaborar una declaracin de aplicabilidad.

Se debe elaborar una declaracin de aplicabilidad que incluya:

1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1,
literal g) y las razones para su seleccin.

2) Los objetivos de control y los controles implementados actualmente (vase
el numeral 4.2.1., literal e) 2)), y
PROYECTO DE

7
3) La exclusin de cualquier objetivo de control y controles enumerados en el
Anexo A y la justificacin para su exclusin.

NOTA La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes
al tratamiento de los riesgos. La justificacin de las exclusiones permite validar que ningn control
se omita involuntariamente.

4.2.2 Implementacin y operacin del SGSI


a) formular un plan para el tratamiento de riesgos que identifique la accin de
gestin apropiada, los recursos, responsabilidades y prioridades para manejar
los riesgos de seguridad de la informacin (vase el numeral 5);

b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye considerar la financiacin y la asignacin de funciones
y responsabilidades;

c) implementar los controles seleccionados en el numeral 4.2.1, literal g) para
cumplir los objetivos de control;

d) definir cmo medir la eficacia de los controles o grupos de controles
seleccionados, y especificar cmo se van a usar estas mediciones con el fin de
valorar la eficacia de los controles para producir resultados comparables y
reproducibles (vase el numeral 4.2.3 literal c));

NOTA La medicin de la eficacia de los controles permite a los gerentes y al personal determinar
la medida en que se cumplen los objetivos de control planificados.

e) implementar programas de formacin y de toma de conciencia, (vase el
numeral 5.2.2);

f) gestionar la operacin del SGSI;

g) gestionar los recursos del SGSI (vase el numeral 5.2);

h) implementar procedimientos y otros controles para detectar y dar respuesta
oportuna a los incidentes de seguridad (vase numeral 4.2.3).

4.2.3 Seguimiento y revisin del SGSI


a) Ejecutar procedimientos de seguimiento y revisin y otros controles para:

1) detectar rpidamente errores en los resultados del procesamiento;

2) identificar con prontitud los incidentes e intentos de violacin a la
seguridad, tanto los que tuvieron xito como los que fracasaron;
PROYECTO DE

8
3) posibilitar que la direccin determine si las actividades de seguridad
delegadas a las personas o implementadas mediante tecnologa de la
informacin se estn ejecutando en la forma esperada;

4) ayudar a detectar eventos de seguridad, y de esta manera impedir
incidentes de seguridad mediante el uso de indicadores, y

5) determinar si las acciones tomadas para solucionar un problema de
violacin a la seguridad fueron eficaces.

b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen el
cumplimiento de la poltica y objetivos del SGSI, y la revisin de los controles de
seguridad) teniendo en cuenta los resultados de las auditorias de seguridad,
incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las
partes interesadas.

c) Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.

d) Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel
de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los
cambios en:

1) la organizacin,

2) la tecnologa,

3) los objetivos y procesos del negocio,

1) las amenazas identificadas,

2) la eficacia de los controles implementados, y

3) eventos externos, tales como cambios en el entorno legal o
reglamentario, en las obligaciones contractuales, y en el clima social.

e) Realizar auditoras internas del SGSI a intervalos planificados (vase el numeral 6).

NOTA Las auditoras internas, denominadas algunas veces auditoras de primera parte, las
realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos.

f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (vase el numeral 7.1).

g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.

h) Registrar acciones y eventos que podran tener impacto en la eficacia o el
desempeo del SGSI (vase el numeral 4.3.3).

PROYECTO DE

9
4.2.4 Mantenimiento y mejora del SGSI

La organizacin debe, regularmente:

a) Implementar las mejoras identificadas en el SGSI;

b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los
numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de
seguridad de otras organizaciones y las de la propia organizacin;

c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel
de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a
acuerdos sobre cmo proceder;

d) Asegurar que las mejoras logran los objetivos previstos.

4.3 REQUISITOS DE DOCUMENTACIN

4.3.1 Generalidades

La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar
que las acciones sean trazables a las decisiones y polticas de la gerencia, y que los resultados
registrados sean reproducibles.

Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y
los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la
poltica y objetivos del SGSI.

La documentacin del SGSI debe incluir:

a) declaraciones documentadas de la poltica y objetivos del SGSI (vase el
numeral 4.2.1, literal b));

b) el alcance del SGSI (vase el numeral 4.2.1, literal a))

c) los procedimientos y controles que apoyan el SGSI;

d) una descripcin de la metodologa de valoracin de riesgos (vase el numeral 4.2.1,
literal c));

e) el informe de valoracin de riesgos (vase el numeral 4.2.1. literales c) a g));

f) el plan de tratamiento de riesgos (vase el numeral 4.2.2, literal b));

g) Los procedimientos documentados que necesita la organizacin para asegurar la
eficacia de la planificacin, operacin y control de sus procesos de seguridad de
la informacin, y para describir cmo medir la eficacia de los controles (vase el
numeral 4.2.3. literal c));

h) Los registros exigidos por esta norma (vase el numeral 4.3.3), y

i) La declaracin de aplicabilidad.
PROYECTO DE

10
NOTA 1 En esta norma, el trmino procedimiento documentado significa que el procedimiento est establecido,
documentado, implementado y mantenido.

NOTA 2 El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a:

- El tamao de la organizacin y el tipo de sus actividades, y

- El alcance y complejidad de los requisitos de seguridad y del sistema que se est gestionando.

NOTA 3 Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.

4.3.2 Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un
procedimiento documentado para definir las acciones de gestin necesarias para:

a) aprobar los documentos en cuanto a su suficiencia antes de su publicacin;

b) revisar y actualizar los documentos segn sea necesario y reaprobarlos;

c) asegurar que los cambios y el estado de actualizacin de los documentos estn
identificados;

d) asegurar que las versiones ms recientes de los documentos pertinentes estn
disponibles en los puntos de uso;

e) asegurar que los documentos permanezcan legibles y fcilmente identificables;

f) asegurar que los documentos estn disponibles para quienes los necesiten, y
que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin,
para su transferencia, almacenamiento y disposicin final.

g) asegurar que los documentos de origen externo estn identificados;

h) asegurar que la distribucin de documentos est controlada;

i) impedir el uso no previsto de los documentos obsoletos, y

j) aplicar la identificacin adecuada a los documentos obsoletos, si se retienen
para cualquier propsito.

4.3.3 Control de registros

Se deben establecer y mantener registros para brindar evidencia de la conformidad con los
requisitos y la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El
SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones
contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y
recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin,
recuperacin, tiempo de retencin y disposicin de registros se deben documentar e
implementar.

Se deben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de
todos los casos de incidentes de seguridad significativos relacionados con el SGSI.
PROYECTO DE

11
EJEMPLO Algunos ejemplos de registros son: un libro de visitantes, informes de auditoras y formatos de
autorizacin de acceso diligenciados.

5. RESPONSABILIDAD DE LA DIRECCIN

5.1 COMPROMISO DE LA DIRECCIN

La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin,
operacin, seguimiento, revisin, mantenimiento y mejora del SGSI:

a) mediante el establecimiento de una poltica del SGSI;

b) asegurando que se establezcan los objetivos y planes del SGSI;

c) estableciendo funciones y responsabilidades de seguridad de la informacin;

d) comunicando a la organizacin la importancia de cumplir los objetivos de
seguridad de la informacin y de la conformidad con la poltica de seguridad de
la informacin, sus responsabilidades bajo la ley, y la necesidad de la mejora
continua;

e) brindando los recursos suficientes para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un SGSI (vase el numeral 5.2.1);

f) decidiendo los criterios para aceptacin de riesgos, y los niveles de riesgo
aceptables;

g) asegurando que se realizan auditoras internas del SGSI (vase el numeral 6), y

h) efectuando las revisiones por la direccin, del SGSI (vase el numeral 7).

5.2 GESTIN DE RECURSOS

5.2.1 Provisin de recursos

La organizacin debe determinar y suministrar los recursos necesarios para:

a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar
un SGSI;

b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a
los requisitos del negocio;

c) identificar y atender los requisitos legales y reglamentarios, as como las
obligaciones de seguridad contractuales;

d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los
controles implementados;
PROYECTO DE

12
e) llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a
los resultados de estas revisiones; y

f) en donde se requiera, mejorar la eficacia del SGSI.

5.2.2 Formacin, toma de conciencia y competencia

La organizacin debe asegurar que todo el personal al que se asigne responsabilidades
definidas en el SGSI sea competente para realizar las tareas exigidas, mediante:

a) la determinacin de las competencias necesarias para el personal que ejecute el
trabajo que afecta el SGSI;

b) el suministro de formacin o realizacin de otras acciones (por ejemplo, la
contratacin de personal competente) para satisfacer estas necesidades;

c) la evaluacin de la eficacia de las acciones emprendidas, y

d) el mantenimiento de registros de la educacin, formacin, habilidades,
experiencia y calificaciones (vase el numeral 4.3.3).

La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la
pertinencia e importancia de sus actividades de seguridad de la informacin y cmo ellas
contribuyen al logro de los objetivos del SGSI.

6. AUDITORIAS INTERNAS DEL SGSI

La organizacin debe llevar a cabo auditoras internas del SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:

a) cumplen los requisitos de la presente norma y de la legislacin o
reglamentaciones pertinentes;

b) cumplen los requisitos identificados de seguridad de la informacin;

c) estn implementados y se mantienen eficazmente, y

d) tienen un desempeo acorde con lo esperado.

Se debe planificar un programa de auditoras tomando en cuenta el estado e importancia de los
procesos y las reas que se van a auditar, as como los resultados de las auditoras previas. Se
deben definir los criterios, el alcance, la frecuencia y los mtodos de la auditora. La seleccin
de los auditores y la realizacin de las auditoras deben asegurar la objetividad e imparcialidad
del proceso de auditora. Los auditores no deben auditar su propio trabajo.

Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la
planificacin y realizacin de las auditoras, para informar los resultados, y para mantener los
registros (vase el numeral 4.3.3).
PROYECTO DE

13
La direccin responsable del rea auditada debe asegurarse de que las acciones para eliminar
las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las
actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de
los resultados de la verificacin.

NOTA La norma ISO 19011:2002, Directrices para la auditora de los sistemas de gestin de la calidad y/o
ambiente puede brindar orientacin til para la realizacin de auditoras internas del SGSI.

7. REVISIN DEL SGSI POR LA DIRECCIN

7.1 GENERALIDADES

La direccin debe revisar el SGSI de la organizacin a intervalos planificados(por lo menos una
vez al ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe
incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI,
incluidos la poltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones
se deben documentar claramente y se deben llevar registros (vase el numeral 4.3.3).

7.2 INFORMACIN PARA LA REVISIN

Las entradas para la revisin por la direccin deben incluir:

a) resultados de las auditoras y revisiones del SGSI;

b) retroalimentacin de las partes interesadas;

c) tcnicas, productos o procedimientos que se pueden usar en la organizacin
para mejorar el desempeo y eficacia del SGSI;

d) estado de las acciones correctivas y preventivas;

e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa
de los riesgos;

f) resultados de las mediciones de eficacia;

g) acciones de seguimiento resultantes de revisiones anteriores por la direccin;

h) cualquier cambio que pueda afectar el SGSI; y

i) recomendaciones para mejoras.

7.3 RESULTADOS DE LA REVISIN

Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin
relacionada con:

a) la mejora de la eficacia del SGSI;

b) la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
PROYECTO DE

14
c) La modificacin de los procedimientos y controles que afectan la seguridad de la
informacin, segn sea necesario, para responder a eventos internos o externos
que pueden tener impacto en el SGSI, incluidos cambios a:

1) los requisitos del negocio,

2) los requisitos de seguridad,

3) los procesos del negocio que afectan los requisitos del negocio
existentes,

4) los requisitos reglamentarios o legales,

5) las obligaciones contractuales, y

6) los niveles de riesgo y/o niveles de aceptacin de riesgos.

d) los recursos necesarios.

e) la mejora a la manera en que se mide la eficacia de los controles.

8. MEJORA DEL SGSI

8.1 MEJORA CONTINUA

La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica
de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de
la auditora, el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones
correctivas y preventivas y la revisin por la direccin.

8.2 ACCIN CORRECTIVA

La organizacin debe emprender acciones para eliminar la causa de no conformidades
asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El
procedimiento documentado para la accin correctiva debe definir requisitos para:

a) identificar las no conformidades;

b) determinar las causas de las no conformidades;

c) evaluar la necesidad de acciones que aseguren que las no conformidades no
vuelven a ocurrir;

d) determinar e implementar la accin correctiva necesaria;

e) registrar los resultados de la accin tomada (vase el numeral 4.3.3); y

f) revisar la accin correctiva tomada.

PROYECTO DE

15
8.3 ACCIN PREVENTIVA

La organizacin debe determinar acciones para eliminar la causa de no conformidades
potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas
deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado
para la accin preventiva debe definir requisitos para:

a) identificar no conformidades potenciales y sus causas;

b) evaluar la necesidad de acciones para impedir que las no conformidades
ocurran.

c) determinar e implementar la accin preventiva necesaria;

d) registrar los resultados de la accin tomada (vase el numeral 4.3.3), y

e) revisar la accin preventiva tomada.

La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en
cuanto acciones preventivas, concentrando la atencin en los riesgos que han
cambiado significativamente.

La prioridad de las acciones preventivas se debe determinar con base en los resultados de la
valoracin de los riesgos.

NOTA Las acciones para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.

PROYECTO DE

16
ANEXO A
(Normativo)

OBJETIVOS DE CONTROL Y CONTROLES

A.1 INTRODUCCIN

Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido
directamente de los de la ISO/IEC 17799:2005, numerales 5 a 15, y estn alineados con ellos.
Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se
necesitan objetivos de control y controles adicionales. Los objetivos de control y controles de estas
tablas se deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1.

La norma ISO/IEC 17799:2005, numerales 5 a 15, proporciona asesora y orientacin sobre las
mejores prcticas de apoyo a los controles especificados en el literal A.5 a A.15.

Tabla A.1. Objetivos de control y controles

A.5 POLTICA DE SEGURIDAD
A.5.1 Poltica de seguridad de la informacin

Objetivo: brindar orientacin y apoyo de la direccin para la seguridad de la informacin, de
acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes.

A.5.1.1 Documento de la poltica de
Control

La direccin debe aprobar, publicar y
comunicar a todos los empleados y partes
externas pertinentes, un documento de poltica
de seguridad de la informacin.

A.5.1.2 Revisin de la poltica de
Control

Se debe revisar la poltica de seguridad de la
informacin a intervalos planificados, o si ocurren
cambios significativos, para asegurar su
conveniencia, suficiencia y eficacia continuas.

A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
A.6.1 Organizacin interna

Objetivo: gestionar la seguridad de la informacin dentro de la organizacin.

A.6.1.1 Compromiso de la direccin
con la seguridad de la
informacin.
Control

La direccin debe apoyar activamente la
seguridad dentro de la organizacin a travs de
una orientacin clara, la demostracin del
compromiso, y la asignacin y el reconocimiento
explcitos de las responsabilidades de seguridad
de la informacin.

A.6.1.2 Coordinacin de la seguridad
de la informacin.
Control

Las actividades de seguridad de la informacin
deben estar coordinadas por representantes de
diferentes partes de la organizacin con
funciones y roles pertinentes.

A.6.1.3 Asignacin de
responsabilidades de seguridad
de la informacin.
Control

Se deben definir claramente todas las
responsabilidades en cuanto a seguridad de la
informacin.

Contina . . .
PROYECTO DE

17
Tabla A.1. (Continuacin)

A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
A.6.1.4 Proceso de autorizacin para
las instalaciones de
procesamiento de informacin.
Control

Se debe definir e implementar un proceso de
autorizacin de la direccin para nuevas
instalaciones de procesamiento de informacin.

A.6.1.5 Acuerdos de confidencialidad Control

Se deben identificar y revisar regularmente los
requisitos sobre acuerdos de confidencialidad o
no divulgacin que reflejan las necesidades de
la organizacin en cuanto a proteccin de la
informacin.

A.6.1.6 Contacto con las autoridades Control

Se deben mantener contactos apropiados con
las autoridades pertinentes.

A.6.1.7 Contacto con grupos de inters
especiales
Control

Se deben mantener los contactos apropiados
con grupos de inters especiales, otros foros
especializados en seguridad de la informacin,
y asociaciones de profesionales.

A.6.1.8 Revisin independiente de la
Control

El enfoque de la organizacin para la gestin de
la seguridad de la informacin y su
implementacin (es decir, objetivos de control,
controles, polticas, procesos y procedimientos
para seguridad de la informacin) se debe revisar
independientemente a intervalos planificados, o
cuando ocurran cambios significativos en la
implementacin de la seguridad.

A.6.2 Partes externas

Objetivo: mantener la seguridad de la informacin y las instalaciones de procesamiento de la
informacin organizacional a las que tienen acceso las partes externas, o que son procesadas,
comunicadas o gestionadas por ellas.

A.6.2.1 Identificacin de riesgos
relacionados con partes
externas.
Control

Se deben identificar los riesgos asociados con la
informacin y las instalaciones de procesamiento de
informacin organizacional de los procesos de
negocio que involucran partes externas, y se deben
implementar los controles apropiados antes de
otorgar el acceso.

A.6.2.2 Tener en cuenta la seguridad
cuando se trata con clientes
Control

Todos los requisitos de seguridad identificados
se deben tener en cuenta antes de permitir a los
clientes acceso a activos o informacin de la
organizacin.

A.6.2.3 Tener en cuenta la seguridad
en acuerdos con terceras
partes
Control

Los acuerdos con terceras partes, que involucran
acceso, procesamiento, comunicacin o gestin
de la informacin o instalaciones de
procesamiento de informacin de la
organizacin, o la adicin de productos o
servicios a las instalaciones de procesamiento de
informacin, deben cubrir todos los requisitos de
seguridad pertinentes.

PROYECTO DE

18

A.7 GESTIN DE ACTIVOS
A.7.1 Responsabilidad por los activos

Objetivo: lograr y mantener la proteccin apropiada de los activos organizacionales.

A.7.1.1 Inventario de activos Control

Todos los activos se deben identificar claramente y se debe
elaborar y mantener un inventario de todos los activos importantes.
A.7.1.2 Dueos de los activos Control

Toda la informacin y activos asociados con las instalaciones de
procesamiento de informacin deben tener un dueo
3
, que es la
parte designada de la organizacin.
A.7.1.3 Uso aceptable de los activos Control

Se deben identificar, documentar e implementar las reglas para el
uso aceptable de informacin y activos asociados con las
instalaciones de procesamiento de informacin
A.7.2 Clasificacin de la informacin

Objetivo: asegurar que la informacin reciba un nivel apropiado de proteccin.

A.7.2.1 Directrices para clasificacin Control

La informacin se debe clasificar en cuanto a su valor, requisitos
legales, sensibilidad y criticidad para el sistema.
A.7.2.2 Etiquetado y manejo de
informacin
Control

Se debe desarrollar e implementar un conjunto apropiado de
procedimientos para etiquetado y manejo de la informacin, de
acuerdo con el esquema de clasificacin adoptado por la
organizacin.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS
A.8.1 Antes de la relacin laboral
4

Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte
entienden sus responsabilidades y son adecuados para los roles para los que se los
considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

A.8.1.1 Roles y responsabilidades Control

Las responsabilidades y roles de
seguridad de los empleados, contratistas y
usuarios por tercera parte* se deben
definir y documentar de acuerdo con la
poltica de seguridad de la informacin de
la organizacin.

3
Explicacin: El trmino dueo identifica a un individuo o entidad que ha aprobado la responsabilidad de la
gestin aprobada en cuanto el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los
activos. El trmino dueo no significa que la persona realmente tenga derechos de propiedad sobre el activo.

4
Explicacin: La palabra relacin laboral busca cubrir las siguientes situaciones diferentes: empleo de
personal (temporal o de mayor duracin), asignacin y cambio de roles de trabajo, asignacin de contratos,
y la finalizacin de estos acuerdos.
PROYECTO DE

19

A.8.1.2 Seleccin Control

Las revisiones de verificacin de los
antecedentes de todos los candidatos a
empleos, contratistas y usuarios por
tercera parte se deben llevar a cabo de
acuerdo con las leyes, reglamentaciones y
tica pertinentes y proporcional a los
requisitos del negocio; la clasificacin de la
informacin a la que se va a tener acceso
y los riesgos percibidos.

A.8.1.3 Trminos y condiciones de la
relacin laboral.
Control
Como parte de su obligacin contractual,
los empleados, contratistas y usuarios por
tercera parte deben acordar y firmar los
trminos y condiciones de su contrato
laboral, el cual debe indicar sus
responsabilidades y las de la organizacin
en cuanto a seguridad de la informacin.

A.8.2 Durante la relacin laboral

Objetivo: asegurar que todos los empleados, contratistas y usuarios por tercera parte
tengan conciencia sobre las amenazas y problemas relacionados con la seguridad de
la informacin, sus responsabilidades y obligaciones, y que estn preparados para
brindar apoyo a la poltica de seguridad de la informacin organizacional en el curso de
su trabajo normal, y para reducir el riesgo de error humano.

A.8.2.1 Responsabilidades de la
direccin
Control

La direccin debe exigir a los empleados,
contratistas y usuarios por tercera parte
aplicar la seguridad de acuerdo con las
polticas y procedimientos establecidos por
la organizacin.

A.8.2.2 Toma de conciencia, educacin
y formacin en seguridad de la
informacin.
Control

Todos los empleados de la organizacin, y
en donde sea pertinente, los contratistas y
usuarios por tercera parte, deben recibir
formacin apropiada sobre toma de
conciencia y actualizaciones regulares
sobre las polticas y procedimientos
organizacionales, en cuanto sean
pertinentes para su funcin laboral.

A.8.2.3 Proceso disciplinario Control

Debe haber procesos disciplinarios para los
empleados que cometan violaciones a la
seguridad.

PROYECTO DE

20

A.8.3 Terminacin o cambio de la relacin laboral

Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte abandonan una organizacin o
cambian de empleo de una manera ordenada.
A.8.3.1 Responsabilidades de
terminacin
Control

Se deben definir y asignar claramente las
responsabilidades relativas a la terminacin o
cambio de relacin laboral.

A.8.3.2 Devolucin de activos Control

Todos los empleados, contratistas y usuarios
por tercera parte deben devolver los activos
de la organizacin que se encuentran en su
poder, al terminar su relacin laboral, contrato
o acuerdo.

A.8.3.3 Retiro del derecho de acceso Control

Se debe retirar el derecho de acceso de los
empleados, contratistas y usuarios por
tercera parte, a la informacin y a las
instalaciones de procesamiento de
informacin, al terminar su relacin laboral,
contrato o acuerdo, o se debe ajustar de
acuerdo con el cambio.

A.9 SEGURIDAD FSICA Y DEL ENTORNO
A.9.1 reas seguras

Objetivo: evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones
e informacin de la empresa.

A.9.1.1 Permetro fsico de seguridad Control
Se deben usar permetros de seguridad
(barreras tales como muros, puertas de
entrada controladas con tarjetas, o reas de
recepcin con personal) para proteger las
reas que contengan informacin y las
instalaciones de procesamiento de
informacin.

A.9.1.2 Controles de acceso fsico. Control
Las reas seguras deben estar protegidas por
controles de entrada apropiados que
aseguren que slo se permite el acceso a
personal autorizado.

A.9.1.3 Seguridad de oficinas,
recintos e instalaciones.
Control
Se debe disear y aplicar seguridad fsica a
oficinas, recintos e instalaciones.

A.9.1.4 Proteccin contra amenazas
ambientales y externas.
Control
Se debe disear y aplicar proteccin fsica
contra incendios, inundaciones, terremotos,
explosiones, disturbios u otras formas de
desastres naturales o causados por el
hombre.

A.9.1.5 Trabajo en reas seguras. Control
Se debe disear y aplicar proteccin fsica y
directrices para trabajo en reas seguras.

PROYECTO DE

21

A.9 SEGURIDAD FSICA Y DEL ENTORNO
A.9.2 Seguridad de los equipos
Objetivo: evitar prdida, dao, robo o puesta en peligro de los activos e interrupcin de
las actividades de la organizacin.

A.9.2.1 Ubicacin y proteccin
de equipos.
Control

Los equipos deben estar ubicados o protegidos para
reducir los riesgos de amenazas y peligros del
entorno y las oportunidades de acceso en forma no
autorizada.

A.9.2.2 Servicios pblicos de
apoyo
Control

Los equipos deben estar protegidos contra fallas en
el suministro de energa y otras interrupciones
causadas por fallas en los servicios pblicos de
apoyo.

A.9.2.3 Seguridad del cableado. Control

El cableado de energa elctrica y de
telecomunicaciones que porta datos o presta
soporte a servicios de informacin debe estar
protegido contra interceptacin o dao.

A.9.2.4 Mantenimiento de
equipos.
Control

Los equipos deben recibir el mantenimiento correcto
que permita su permanente disponibilidad e
integridad.

A.9.2.5 Seguridad de los
equipos fuera de las
instalaciones.
Control

Se deben aplicar medidas de seguridad a los
equipos que se encuentran fuera de las
instalaciones, teniendo en cuenta los diferentes
existentes al trabajar fuera de la organizacin.

A.9.2.6 Seguridad en la
reutilizacin o
eliminacin de equipos.
Control

Se deben revisar todos los elementos de equipos
que contienen medios de almacenamiento, para
asegurar que cualquier dato sensible y software con
licencia haya sido eliminado o sobrescrito en forma
segura antes de su eliminacin.

A.9.2.7

Retiro de activos
Control

No se deben retirar de su sitio equipos, informacin
o software sin autorizacin previa.

A.10 GESTIN DE COMUNICACIONES Y OPERACIONES
A.10.1 Procedimientos operacionales y responsabilidades

Objetivo: asegurar la operacin correcta y segura de las instalaciones de procesamiento
de informacin.

A.10.1.1 Procedimientos de
operacin
documentados.
Control

Los procedimientos de operacin se deben
documentar, mantener y deben estar disponibles
para todos los usuarios que los necesiten.

A.10.1.2 Gestin del cambio. Control

Se deben controlar los cambios en las instalaciones
y sistemas de procesamiento de informacin.

PROYECTO DE

22

A.10.1.3 Separacin de
funciones.
Control

Los deberes y reas de responsabilidad se deben
separar para reducir oportunidades de modificacin
no autorizada o utilizacin inapropiada de los
activos de la organizacin.

A.10.1.4 Separacin de las
instalaciones de
desarrollo, ensayo y
operacionales.
Control

Las instalaciones de desarrollo, ensayo y
operacionales deben estar separadas para reducir
los riesgos de acceso no autorizado o cambios al
sistema operacional.

A.10.2 Gestin de la prestacin del servicio por tercera parte

Objetivo: implementar y mantener el nivel apropiado de seguridad de la informacin y prestacin del servicio en
lnea con los acuerdos de prestacin de servicios por una tercera parte.
A.10.2.1 Prestacin del servicio Control

Se debe asegurar que las terceras partes
implementen, operen y mantengan los controles de
seguridad, las definiciones y niveles de prestacin
del servicio incluidos en el acuerdo de prestacin
de servicios.

A.10.2.2 Seguimiento y revisin
de los servicios
prestados por terceras
partes
Control

Se debe hacer seguimiento y se deben revisar
regularmente los servicios, informes y registros
suministrados por una tercera parte, y se deben
llevar a cabo auditoras regularmente.

A.10.2.3 Gestin de cambios en los
servicios suministrados por
terceras partes
Control

Los cambios en la prestacin de los servicios,
incluido el mantenimiento y la mejora de las
polticas, procedimientos y controles de seguridad
de la informacin existentes, se deben gestionar
teniendo en cuenta la criticidad de los sistemas y
procesos de los negocios involucrados y la re-
valoracin de los riesgos.

A.10.3 Planificacin y aceptacin del sistema

Objetivo: minimizar el riesgo de fallas de los sistemas.

A.10.3.1 Gestin de la
capacidad.
Control

Se deben hacer seguimiento y ajustes al uso de los
recursos, y se deben hacer proyecciones de los
requisitos de capacidad futura, para asegurar el
desempeo requerido del sistema.

A.10.3.2 Aceptacin del sistema. Control

Se deben establecer criterios de aceptacin para
sistemas de informacin nuevos, actualizaciones y
nuevas versiones, y se deben llevar a cabo los
ensayos adecuados del sistema, durante el
desarrollo y antes de su aceptacin.

PROYECTO DE

23

A.10.4 Proteccin contra cdigos maliciosos y mviles

Objetivo: proteger la integridad del software y la informacin.

A.10.4.1 Controles contra
cdigos maliciosos.
Control

Se deben implementar controles de deteccin,
prevencin y recuperacin para protegerse contra
cdigos maliciosos, y se deben implementar
procedimientos apropiados de toma de conciencia
de los usuarios.

A.10.4.2 Controles contra
cdigos mviles
Control

En donde se autoriza el uso de cdigos mviles, la
configuracin debe asegurar que el cdigo mvil
autorizado opera de acuerdo con una poltica de
seguridad definida claramente, y se debe impedir la
ejecucin de cdigos mviles no autorizados.

A.10.5 Respaldo

Objetivo: mantener la integridad y disponibilidad de la informacin y de las instalaciones de procesamiento de
informacin.
A.10.5.1 Informacin de respaldo. Control

Se deben hacer copias de respaldo de la
informacin y del software, y se deben poner a
prueba con regularidad de acuerdo con la poltica
de respaldo acordada.

A.10.6 Gestin de la seguridad de redes

Objetivo: asegurar la proteccin de la informacin de las redes y la proteccin de la
infraestructura de soporte.

A.10.6.1 Controles de redes. Control

Las redes se deben gestionar y controlar en forma
adecuada, con el fin de protegerlas contra
amenazas y mantener la seguridad en los sistemas
y aplicaciones que usan la red, incluida la
informacin en trnsito.

A.10.6.2 Seguridad de los
servicios de la red.
Control

Las caractersticas de seguridad, niveles de servicio
y requisitos de gestin de todos los servicios de la
red se deben identificar e incluir en cualquier
acuerdo de servicios de red, ya sea que estos
servicios se suministren internamente o se
contraten externamente

A.10.7 Manejo de medios

Objetivo: evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada,
y la interrupcin en las actividades del negocio.

A.10.7.1 Administracin de los
medios removibles.
Control

Debe haber implementados procedimientos para la
gestin de los medios removibles.

A.10.7.2 Eliminacin de medios. Control

Cuando ya no se requieran estos medios, su
disposicin final debe ser en forma segura y sin
riesgo, usando procedimientos formales.

PROYECTO DE

24

A.10.7..3 Procedimientos para el
manejo de la
informacin.
Control

Se deben establecer procedimientos para el manejo
y almacenamiento de la informacin, con el fin de
protegerla contra divulgacin o uso no autorizado.

A.10.7.4 Seguridad de la
documentacin del
sistema.
Control

La documentacin del sistema debe estar protegida
contra uso no autorizado.

A.10.8 Intercambio de informacin

Objetivo: mantener la seguridad de la informacin y el software que se intercambia dentro
de la organizacin y con cualquier entidad externa.

A.10.8.1 Polticas y
procedimientos para
intercambio de
informacin
Control

Se deben implementar polticas, procedimientos y
controles para proteger el intercambio de
informacin mediante el uso de todo tipo de
instalaciones de comunicacin.

A.10.8.2 Acuerdos de
intercambio
Control

Se deben establecer acuerdos para el intercambio
de informacin y de software entre la organizacin y
partes externas.

A.10.8.3 Medios fsicos en
trnsito.
Control

Los medios que contienen informacin se deben
proteger contra acceso no autorizado, uso
inadecuado o corrupcin durante el transporte ms
all de los lmites fsicos de la organizacin.

A.10.8.4 Mensajera electrnica. Control

La informacin involucrada en la mensajera
electrnica se debe proteger apropiadamente.

A.10.8.5 Sistemas de
informacin del negocio.
Control

Se deben desarrollar e implementar polticas y
procedimientos para proteger la informacin
asociada con la interconexin de los sistemas de
informacin del negocio.

A.10.9 Servicios de comercio electrnico

Objetivo: garantizar la seguridad de los servicios de comercio electrnico, y su uso seguro.
A.10.9.1 Comercio electrnico Control

La informacin involucrada en el comercio
electrnico que se transmite por redes pblicas se
debe proteger contra actividad fraudulenta, disputas
contractuales y divulgacin y modificacin no
autorizadas.

A.10.9.2 Transacciones en lnea Control

La informacin involucrada en transacciones en
lnea debe estar protegida para impedir su
transmisin incompleta, enrutamiento errado,
alteracin de mensajes no autorizada, divulgacin
no autorizada, y duplicacin o repeticin de
mensajes no autorizada.

PROYECTO DE

25

A.10.9.3 Informacin disponible
pblicamente.
Control

La integridad de la informacin que est disponible
en un sistema disponible pblicamente se debe
proteger para impedir modificaciones no
autorizadas.

A.10.10 Seguimiento

Objetivo: detectar actividades de procesamiento de informacin no autorizadas.
A.10.10.1 Registro de auditoras Control

Se deben elaborar registros de auditora para las
actividades de los usuarios, excepciones y eventos
de seguridad de la informacin, y se deben
mantener durante un perodo acordado para ayudar
a futuras investigaciones y tener acceso a
seguimiento de control.

A.10.10.2 Uso del sistema de
seguimiento
Control

Se deben establecer procedimientos para hacer el
seguimiento al uso de las instalaciones de
procesamiento de la informacin, y se deben revisar
regularmente los resultados de las actividades de
seguimiento.

A.10.10.3 Proteccin de la
informacin del registro
Control

Las instalaciones de registro y la informacin de
registro se deben proteger contra alteracin y
acceso no autorizado.

A.10.10.4 Registros del
administrador y el
operador
Control

Las actividades del operador y del administrador del
sistema se deben registrar.

A.10.10.5 Registro de fallas Control

Las fallas se deben registrar, analizar y se deben
tomar las medidas apropiadas.

A.10.10.6 Sincronizacin de
relojes
Control

Los relojes de todos los sistemas de procesamiento
de informacin pertinente dentro de una
organizacin o dominio de seguridad deben estar
sincronizados con una fuente de tiempo exacto
acordada.

A.11 CONTROL DE ACCESO
A.11.1 Requisito del negocio para control del acceso

Objetivo: controlar el acceso a la informacin.
A.11.1.1 Poltica de control de
acceso
Control

Se debe establecer, documentar y revisar una
poltica de control de acceso con base en los
requisitos de acceso del negocio y de seguridad.

A.11.2 Gestin de acceso de usuarios

Objetivo: asegurar el acceso autorizado a los usuarios e impedir el acceso no autorizado a sistemas de
informacin.

PROYECTO DE

26

A.11.2.1 Registro de usuarios. Control

Debe haber un procedimiento formal de registro* y
cancelacin del registro* a usuarios, para conceder
y anular el acceso a todos los sistemas y servicios
de informacin.

A.11.2.2 Gestin de privilegios. Control

Se debe restringir y controlar la asignacin y uso de
privilegios.

A.11.2.3 Gestin de contraseas
para usuarios.
Control

La asignacin de contraseas se debe controlar
mediante un proceso de gestin formal.

A.11.2.4 Revisin de los derechos
de acceso de los usuarios.
Control

La direccin debe establecer un proceso formal de
revisin peridica de los derechos de acceso de los
usuarios.

A.11.3 Responsabilidades de los usuarios

Objetivo: evitar el acceso a usuarios no autorizados, y el robo o la puesta en peligro de
informacin y de instalaciones de procesamiento de informacin.

A.11.3.1 Uso de contraseas. Control

Se debe exigir a los usuarios el cumplimiento de
buenas prcticas de seguridad en la seleccin y
uso de las contraseas.

A.11.3.2 Equipo de usuario
desatendido.
Control

Los usuarios deben asegurarse de que a los
equipos desatendidos se les da proteccin
apropiada.

A.11.3.3 Poltica de puesto de
trabajo despejado y
bloqueo de pantalla.
Control

Se debe adoptar una poltica de puesto de trabajo
despejado para papeles y medios de
almacenamiento removibles, y una poltica de
bloqueo de pantalla para instalaciones de
procesamiento de informacin.

A.11.4 Control de acceso a redes

Objetivo: impedir el acceso no autorizado a servicios en red.

A.11.4.1 Poltica de uso de los
servicios de red.
Control

Los usuarios slo deben tener acceso directo a los
servicios para los que han sido autorizados
especficamente.

A.11.4.2 Autenticacin de usuarios
para conexiones externas.
Control

Se deben usar mtodos de autenticacin
apropiados para controlar el acceso de usuarios
remotos.

A.11.4.3 Identificacin de equipos
en redes.
Control

La identificacin de equipos automticos se debe
considerar como un medio para autenticar
conexiones desde lugares y equipos especficos.

PROYECTO DE

27

A.11.4.4 Proteccin de puertos de
diagnstico y configuracin
remotos.
Control

El acceso fsico y lgico a los puertos de
diagnstico y configuracin se debe controlar.

A.11.4.5 Subdivisin de redes. Control

Los grupos de servicios de informacin, usuarios y
sistemas de informacin se deben subdividir en
las redes.

A.11.4.6 Control de conexin a las
redes.
Control

Para redes compartidas, especialmente las que se
extienden a travs de los lmites de la organizacin,
la capacidad de conexin de los usuarios a la red
debe estar restringida, en lnea con la poltica de
control de acceso y los requisitos de las aplicaciones
del negocio (vase el numeral 11.1).

A.11.4.7 Control de enrutamiento en
la red.
Control

Se deben implementar controles de enrutamiento
para las redes, para asegurar que las conexiones
entre computadores y los flujos de informacin no
incumplan la poltica de control de acceso de las
aplicaciones del negocio.

A.11.5 Control de acceso al sistema operativo

A.11.5.1 Control de acceso al sistema operativo

Objetivo: evitar el acceso no autorizado a los sistemas operativos.

A.11.5.1 Procedimientos de ingreso
seguros
Control

El acceso a los sistemas operativos se debe
controlar mediante un proceso de ingreso seguro

A.11.5.2 Identificacin y autenticacin
de usuarios.
Control

Todos los usuarios deben tener un identificador
nico (ID del usuario) para su uso personal y
exclusivo. Se debe escoger una tcnica de
autenticacin adecuada para comprobar la
identidad declarada de un usuario.

A.11.5.3 Sistema de gestin de
contraseas.
Control

Los sistemas de gestin de contraseas deben
ser interactivos y deben asegurar contraseas de
calidad.

A.11.5.4 Uso de utilitarios (utilities)
del sistema
Control

El uso de programas utilitarios* que pueden estar
en capacidad de anular el sistema y los controles
de aplicacin se debe restringir y controlar
estrictamente.

A.11.5.5 Plazo expirado de la sesin. Control

Las sesiones inactivas se deben apagar despus
de un perodo de inactividad definido.

A.11.5.6 Limitacin del tiempo de
conexin.
Control

Se deben aplicar restricciones en los tiempos de
conexin, para brindar seguridad adicional en
aplicaciones de alto riesgo.

PROYECTO DE

28

A.11.6 Control de acceso a la informacin y a las aplicaciones

Objetivo: evitar el acceso no autorizado a la informacin contenida en los sistemas de
informacin.

A.11.6.1 Restriccin de acceso a la
informacin.
Control

El acceso a la informacin y a las funciones del
sistema de aplicaciones por parte de los usuarios
se debe restringir de acuerdo con la poltica de
control de acceso definida.

A.11.6.2 Aislamiento de sistemas
sensibles.
Control

Los sistemas sensibles deben tener entornos
informticos dedicados (aislados).

A.11.7 Computacin mvil y trabajo remoto

Objetivo: garantizar la seguridad de la informacin cuando se usan instalaciones de computacin mvil y trabajo
remoto
A.11.7.1 Computacin y
comunicaciones mviles.
Control

Se debe establecer una poltica formal y se deben
tomar las medidas de seguridad apropiadas para
protegerse contra los riesgos generados al usar
instalaciones de computacin y comunicacin
mviles.

A.11.7.2 Trabajo remoto. Control

Se debe desarrollar e implementar una poltica, y
procedimientos y planes operacionales para
actividades de trabajo remoto.

A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
A.12.1 Requisitos de seguridad de los sistemas de informacin

Objetivo: garantizar que la seguridad es parte integral de los sistemas de informacin.

A.12.1.1

Anlisis y especificacin
de requisitos de
seguridad
Control

Las declaraciones de los requisitos del negocio
para nuevos sistemas de informacin, o las
mejoras a los existentes, deben especificar los
requisitos para controles de seguridad.

A.12.2 Procesamiento correcto en las aplicaciones

Objetivo: evitar errores, prdida, modificacin no autorizada o mala utilizacin de la
informacin en aplicaciones

A.12.2.1 Validacin de los datos de
entrada.
Control

Los datos de entrada a las aplicaciones se deben
validar para asegurar que son correctos y
apropiados.

A.12.2.2 Control de procesamiento
interno.
Control

Se deben incorporar en las aplicaciones
revisiones de validacin para detectar cualquier
corrupcin de la informacin debida a errores de
procesamiento o actos deliberados.

PROYECTO DE

29

A.12.2.3 Integridad de los
mensajes.
Control

Se deben identificar los requisitos para asegurar la
autenticacin y proteger la integridad de los
mensajes en las aplicaciones, y se deben identificar
e implementar controles apropiados.

A.12.2.4 Validacin de los datos
de salida.
Control

La salida de datos de una aplicacin se debe validar
para asegurar que el procesamiento de la
informacin almacenada es correcto y apropiado
para las circunstancias.

A.12.3 Controles criptogrficos

Objetivo: proteger la confidencialidad, autenticidad o integridad de la informacin, por
medios criptogrficos.

A.12.3.1 Poltica sobre el uso de
controles criptogrficos.
Control

Se debe desarrollar e implementar una poltica sobre
el uso de controles criptogrficos para la proteccin
de la informacin.

A.12.3.2 Gestin de llaves. Control

Se debe implementar un sistema de gestin de
llaves para apoyar el uso de las tcnicas
criptogrficas por parte de la organizacin.

A.12.4 Seguridad de los archivos del sistema

Objetivo: garantizar la seguridad de los archivos del sistema.

A.12.4.1 Control del software
operativo.
Control

Se deben implementar procedimientos para
controlar la instalacin del software en sistemas
operativos.

A.12.4.2 Proteccin de los datos
de ensayo del sistema.
Control

Los datos de ensayo se deben seleccionar, proteger
y controlar cuidadosamente.

A.12.4.3 Control de acceso al
cdigo fuente de los
programas
Control

Se debe restringir el acceso al cdigo fuente de los
programas.

A.12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: mantener la seguridad del software y la informacin del sistema de aplicaciones.

A.12.5.1 Procedimientos de
control de cambios.
Control

La implementacin de los cambios se debe controlar
estrictamente mediante el uso de procedimientos
formales de control de cambios.

A.12.5.2 Revisin tcnica de las
aplicaciones despus de
cambios en el sistema
operativo.
Control

Cuando los sistemas operativos cambian, las
aplicaciones crticas del negocio se deben revisar y
poner a prueba para asegurar que no hay impacto
adverso en las operaciones o en la seguridad de la
organizacin.

PROYECTO DE

30

A.12.5.3 Restricciones en los
cambios a los paquetes
de software.
Control

Se debe desalentar la realizacin de modificaciones
a los paquetes de software, que se deben limitar a
los cambios necesarios, y todos los cambios se
deben controlar estrictamente.

A.12.5.4 Fuga de informacin Control

Se deben impedir las oportunidades para fuga de
informacin.

A.12.5.5 Desarrollo de software
contratado externamente
Control

El desarrollo de software contratado externamente
debe ser supervisado y la organizacin debe hacer
seguimiento de esto.

A.12.6 Gestin de la vulnerabilidad tcnica

Objetivo: reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas.
A.12.6.1 Control de
vulnerabilidades tcnicas

Control

Se debe obtener informacin oportuna acerca de las
vulnerabilidades tcnicas de los sistemas de
informacin usados, se debe evaluar la exposicin
de la organizacin a estas vulnerabilidades, y se
deben tomar las medidas apropiadas tomadas para
abordar el riesgo asociado.

A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
A.13.1 Reporte de eventos y debilidades de seguridad de la informacin

Objetivo: asegurar que los eventos y debilidades de seguridad de la informacin asociados con los sistemas de
informacin se comunican de una manera que permite que se tomen acciones correctivas oportunas.
A.13.1.1 Reporte de eventos de
seguridad de la
informacin
Control

Los eventos de seguridad de la informacin se
deben reportar a travs de los canales de gestin
apropiados, lo ms rpidamente posible.

A.13.1.2 Reporte de las
debilidades de seguridad
Control

Todos los empleados, contratistas y usuarios por
tercera parte, de sistemas y servicios de
informacin, deben observar y reportar cualquier
debilidad en la seguridad de sistemas o servicios,
observada o que se sospeche.

A.13.2 Gestin de incidentes y mejoras en la seguridad de la informacin

Objetivo: asegurar que se aplica un mtodo consistente y eficaz a la gestin de los incidentes de seguridad de la
informacin.
A.13.2.1 Responsabilidades y
procedimientos
Control

Se deben establecer responsabilidades y
procedimientos de gestin para asegurar una
respuesta rpida, eficaz y metdica a los incidentes
de seguridad de la informacin.

A.13.2.2 Aprendizaje de los
incidentes de seguridad
de la informacin
Control

Se deben implementar mecanismos para posibilitar
que los tipos, volmenes y costos de los incidentes
de seguridad de la informacin sean cuantificados y
se les haga seguimiento.

PROYECTO DE

31

A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
A.13.2.3 Recoleccin de evidencia Control

En donde una accin de seguimiento contra una
persona u organizacin despus de un incidente de
seguridad de la informacin involucra acciones
legales (ya sea civiles o penales), la evidencia se
debe recolectar, retener y presentar para cumplir
con las reglas para evidencia establecidas en la
jurisdiccin pertinente.

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO
A.14.1 Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio

Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los
efectos de fallas o desastres de gran magnitud en los sistemas de informacin, y asegurar su reanudacin
oportuna.
A.14.1.1 Incluir la seguridad de la
informacin en el
proceso de gestin de la
continuidad del negocio
Control

Se debe desarrollar y mantener un proceso
gestionado para la continuidad del negocio en toda
la organizacin, que aborde los requisitos de
seguridad de la informacin necesarios para la
continuidad del negocio de la organizacin.

A.14.1.2 Valoracin de la
continuidad del negocio y
del riesgo
Control

Se deben identificar los eventos que pueden causar
interrupciones en los procesos del negocio, junto
con la probabilidad e impacto de estas
interrupciones y sus consecuencias para la

A.14.1.3 Desarrollo e
implementacin de
planes de continuidad
que incluyen seguridad
de la informacin
Control

Se deben desarrollar e implementar planes para
mantener o restaurar las operaciones y asegurar la
disponibilidad de informacin al nivel requerido y en
las escalas de tiempo requeridas despus de la
interrupcin o falla de los procesos crticos del
negocio.

A.14.1.4 Estructura de planeacin
de la continuidad del
negocio
Control

Se debe mantener una sola estructura de los planes
de continuidad del negocio para asegurar que todos
los planes sean consistentes, abordar en forma
consistente los requisitos de seguridad de la
informacin, e identificar prioridades para ensayo y
mantenimiento.

A.14.1.5 Ensayo, mantenimiento y
re-valoracin de los
planes de continuidad del
negocio
Control

Los planes de continuidad del negocio se deben
poner a prueba y actualizar regularmente para
asegurar que estn actualizados y sean eficaces.

PROYECTO DE

32

A.15 CUMPLIMIENTO
A.15.1 Cumplimiento de los requisitos legales

Objetivo: evitar incumplimiento de cualquier ley, obligacin estatutaria, reglamentaria o
contractual, y de cualquier requisito de seguridad.

A.15.1.1 Identificacin de la
legislacin aplicable.
Control

Todos los requisitos estatutarios, reglamentarios
y contractuales pertinentes y el enfoque de la
organizacin para cumplirlos, se deben definir y
documentar explcitamente, y mantenerlos
actualizados para cada sistema de informacin y
para la organizacin.

A.15.1.2 Derechos de propiedad
intelectual (DPI).
Control

Se deben implementar procedimientos
apropiados para asegurar el cumplimiento de los
requisitos legislativos, reglamentarios y
contractuales sobre el uso de material con
respecto al cual puede haber derechos de
propiedad intelectual, y sobre el uso de
productos de software patentados.

A.1.5.1.3 Proteccin de los registros de
la organizacin.
Control

Los registros importantes se deben proteger
contra prdida, destruccin y falsificacin, de
acuerdo con los requisitos estatutarios,
reglamentarios, contractuales y del negocio.

A.15.1.4 Proteccin de los datos y
privacidad de la informacin
personal.
Control

Se debe asegurar la proteccin y privacidad de
los datos, como se exige en la legislacin,
reglamentaciones, y si es aplicable, clusulas
contractuales pertinentes.

A.15.1.5 Prevencin del uso
inadecuado de las
instalaciones de
procesamiento de la
informacin.
Control

Se debe impedir que los usuarios usen las
instalaciones de procesamiento de la
informacin para propsitos no autorizados.

A.15.1.6 Reglamentacin de los
controles criptogrficos.
Control

Se deben usar controles criptogrficos de
conformidad con todos los acuerdos, leyes y
reglamentaciones pertinentes.

A.15.2 Cumplimiento de polticas y normas de seguridad y cumplimiento tcnico

Objetivo: asegurar el cumplimiento de los sistemas con las polticas y normas de seguridad organizacionales.
A.15.2.1 Cumplimiento de las polticas
y normas de seguridad.
Control

Los gerentes deben asegurar que todos los
procedimientos de seguridad dentro de su rea
de responsabilidad se realicen correctamente
para lograr el cumplimiento de las polticas y
normas de seguridad.

A.15.2.2 Verificacin del cumplimiento
tcnico.
Control

Se debe verificar regularmente el cumplimiento
de las normas de implementacin de seguridad.

PROYECTO DE

33
Tabla A.1. (Final)

A.15 CUMPLIMIENTO
A.15.3 Consideraciones de la auditora de sistemas de informacin

Objetivo: maximizar la eficacia del proceso de auditora de sistemas de informacin y
minimizar la interferencia desde y hacia ste.

A.15.3.1 Controles de auditora de
sistemas de informacin.
Control
Los requisitos y las actividades de auditora que
involucran verificaciones sobre sistemas
operacionales se deben planificar y acordar
cuidadosamente para minimizar el riesgo de
interrupciones en los procesos del negocio.

A.15.3.2 Proteccin de las
herramientas de auditora de
sistemas de informacin.
Control
Se debe proteger el acceso a las herramientas
de auditora del sistema de informacin, para
evitar que se pongan en peligro o que se haga
un uso inadecuado de ellas.

PROYECTO DE

34
ANEXO B
(Informativo)

PRINCIPIOS DE LA OCDE Y DE ESTA NORMA INTERNACIONAL

Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y
Redes de Informacin [1] se aplican a todos los niveles de poltica y operacionales que
controlan la seguridad de los sistemas y redes de informacin. Esta norma internacional brinda
una estructura del sistema de gestin de la seguridad de la informacin para implementar
algunos principios de la OCDE usando el modelo PHVA y los procesos descritos en los
numerales 4, 5, 6 y 8, como se indica en la Tabla B.1.

Tabla B.1. Principios de la OCDE y el modelo PHVA

Principio OCDE Proceso de SGSI correspondiente y fase de PHVA
Toma de conciencia

Los participantes deben estar conscientes de la
necesidad de seguridad de los sistemas y redes de
informacin y de lo que pueden hacer para mejorar la
seguridad.
Esta actividad es parte de la fase Hacer (vanse los
numerales 4.2.2 y 5.2.2)
Responsabilidad

Todos los participantes son responsables por la
seguridad de los sistemas y redes de informacin.
Esta actividad es parte de la fase Hacer (vanse los
numerales 4.2.2 y 5.1)
Respuesta

Los participantes deberan actuar de una manera
oportuna y en cooperacin para evitar, detectar y
responder ante incidentes de seguridad.
sta es en parte una actividad de seguimiento de la fase
Verificar (vanse los numerales 4.2.3 y 6 a 7.3 y una
actividad de respuesta de la fase Actuar (vanse los
numerales 4.2.4 y 8.1 a 8.3). Esto tambin se puede cubrir
por algunos aspectos de las fases Planificar y Verificar.
Valoracin de riesgos

Los participantes deberan realizar valoraciones de
los riesgos.
Esta actividad es parte de la fase Planificar (vase el
numeral 4.2.1) y la revaloracin del riesgo es parte de la
fase Verificar (vanse los numerales 4.2.3 y 6 a 7.3).
Diseo e implementacin de la seguridad

Los participantes deberan incorporar la seguridad
como un elemento esencial de los sistemas y redes
de informacin.
Una vez que se ha realizado la valoracin de riesgos, se
seleccionan controles para el tratamiento de riesgos como
parte de la fase Planificar (vase el numeral 4.2.1). La fase
Hacer (vanse los numerales 4.2.2 y 5.2) cubre la
implementacin y el uso operacional de estos controles.
Gestin de la seguridad

Los participantes deberan adoptar un enfoque amplio
hacia la gestin de la seguridad.
La gestin de riesgos es un proceso que incluye la
prevencin, deteccin y respuesta a incidentes,
mantenimiento, auditoras y revisin continuos. Todos estos
aspectos estn cobijados en las fases de Planificar, Hacer,
Verificar y Actuar.
Revaloracin

Los participantes deberan revisar y revalorar la
seguridad de los sistemas y redes de informacin, y
hacer las modificaciones apropiadas a las polticas,
prcticas, medidas y procedimientos de seguridad.
La revaloracin de la seguridad de la informacin es una
parte de la fase Verificar (vanse los numerales 4.2.3 y 6 a
7.3), en donde se deberan realizar revisiones regulares para
verificar la eficacia del sistema de gestin de la seguridad de
la informacin; y la mejora de la seguridad es parte de la
fase Actuar (vanse los numerales 4.2.4 y 8.1 a 8.3).

PROYECTO DE

35
ANEXO C
(Informativo)

CORRESPONDENCIA ENTRE LA NTC ISO 9001:2000, LA ISO 14001:1996,
Y LA PRESENTE NORMA INTERNACIONAL

La Tabla C.1 muestra la correspondencia entre la ISO 9001:2000, la ISO 14001:2004 y la
presente norma internacional.

Tabla C.1. Correspondencia entre la ISO 9001:2000, la ISO 14001:2004 y la presente norma internacional

Esta norma internacional NTC ISO 9001:2000 NTC ISO 14001:1996
Introduccin

Generalidades

Enfoque basado en procesos

Compatibilidad con otros sistemas
0. Introduccin

0.1 Generalidades

0.2 Enfoque basado en procesos

0.3 Relacin con la norma ISO 9004

0.4 Compatibilidad con otros sistemas de
gestin

Introduccin
1 Objeto

1.1 Generalidades

1.2 Aplicacin
1. Alcance

1.1 Generalidades

1.2 Aplicacin
1. Objeto y campo de
aplicacin
2 Referencias normativas 2. Referencias normativas 2. Referencias normativas
3 Trminos y definiciones 3. Trminos y definiciones 3. Trminos y definiciones
4. Sistema de gestin de la seguridad
de la informacin

4.1 Requisitos generales

4.2 Establecimiento y gestin del
SGSI

4.2.1 Establecimiento del SGSI

4.2.2 Implementacin y operacin del
SGSI

4.2.3 Seguimiento y revisin del SGSI

4. Sistema de gestin de la calidad


8.2.3 Seguimiento y medicin de los
procesos

8.2.4 Seguimiento y medicin del producto
4. Requisitos del sistema de
gestin ambiental


4.4 Implementacin y operacin

4.5.1 Seguimiento y medicin

4.2.4 Mantenimiento y mejora del
SGSI

Contina . . .
PROYECTO DE

36
Tabla C.1. (Final)

Esta norma internacional NTC ISO 9001:2000 NTC ISO 14001:1996
4.3 Requisitos de documentacin

4.3.1 Generalidades


4.2 Requisitos de documentacin

4.2.1 Generalidades

4.2.2 Manual de calidad




5. Responsabilidad de la direccin

5.1 Compromiso de la direccin
5. Responsabilidad de la direccin

5.1 Compromiso de la direccin

5.2 Enfoque al cliente

5.3 Poltica de calidad

5.4 Planificacin

5.5 Responsabilidad, autoridad y
comunicacin

4.2 Poltica ambiental

4.3 Planificacin
5.2 Gestin de recursos

5.2.1 Provisin de recursos

5.2.2 Formacin, toma de conciencia
y competencia
6. Gestin de los recursos

6.1 Provisin de recursos

6.2 Recursos humanos

6.2.2 Competencia, toma de conciencia y
formacin

6.3 Infraestructura

6.4 Ambiente de trabajo

4.2.2 Competencia, formacin
y toma de conciencia
6. Auditoras internas del SGSI

8.2.2 Auditora interna

4.5.5 Auditora interna

7. Revisin del SGSI por la direccin

7.1 Generalidades

7.2 Informacin para la revisin

7.3 Resultados de la revisin
5.6 Revisin por la direccin

5.6.1 Generalidades

5.6.2 Informacin para la revisin

5.6.3 Resultados de la revisin
4.6 Revisin por la direccin
8. Mejora del SGSI

8.1 Mejora continua
8.5 Mejora

8.5.2 Mejora continua

8.2 Accin correctiva

8.5.3 Acciones correctivas

4.5.3 No conformidad,
accin correctiva y accin
preventiva
8.3 Accin preventiva 8.5.3 Acciones preventivas
Anexo A Objetivos de control y
controles

Anexo B Principios de la OCDE y esta
norma

Anexo C Correspondencia entre la
ISO 9001:2000, la ISO 14001:2004 y
esta Norma Internacional

Anexo A Correspondencia entre la ISO
9001:2000 y la ISO 14001:1996
Anexo A Orientacin para el
uso de esta norma
internacional

Anexo B Correspondencia
entre la ISO 14001 y la
ISO 9001
PROYECTO DE

37
BIBLIOGRAFA

[1] ISO 9001:2000, Quality Management Systems. Requirements.

[2] ISO/IEC 13335-1:2004, Information Technology. Part 1: Concepts and Models for
Information and Communications Technology Security Management.

[3] ISO/IEC TR 13335-3:1998, Information Technology. Guidelines for the Management of
IT Security. Part 3: T&chniques for the Management of IT Security.

[4] ISO/IEC TR 13335-4:2000, Information Technology. Guidelines for the Management of
IT Security. Part 4: Selection of Safeguards.

[5] ISO 14001:2204, Environmental Management Systems. Requirements with Guidance for use.

[6] ISO/IEC TR 18044:2004, Information Technology. Security Techniques. Information
Security Incident Management.

[7] ISO 19011:2002, Guidelines for Quality and/or Environmental Management Systems Auditing.

[8] ISO/IEC Guide 62:1996, General Requirements for Bodies Operating Assessment and
Certification/registration of Quality Systems.

[9] ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.

Otras publicaciones

[1] OECD, Guidelines for the Security of Information Systems and Networks. Towards a
Culture of Security, Paris: OECD, July 2002. www.oecd.org.

[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems.

[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig
Study, 1986.

PROYECTO DE

38
DOCUMENTO DE REFERENCIA

BRITISH STANDARDS INSTITUTION. Information Security Management Systems.
Specification with Guidance for Use. London, BSI. pp 33 (BS 7799-2:2002).

PREPARADO POR: __________________________________________________
FABIO ORLANDO CADENA C./ YOBANY VARGAS G

grr/csm.

27001

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

27001

Cargado por

Copyright:

Formatos disponibles

PROYECTO DE

NORMA TCNICA COLOMBIANA DE 204/05

También podría gustarte